Op 7 en 8 februari 2026 zijn bij het datalek van Odido de persoonsgegevens van 6,2 miljoen klanten gestolen. Dit is circa 90% van het totale klantenbestand en daarmee het grootste datalek in de Nederlandse geschiedenis. Hieronder leest u welke categorieën gegevens precies zijn gelekt, en wat de risico's per gegevenstype zijn.
De gestolen gegevens per categorie
Naam-, adres- en contactgegevens
Voor- en achternamen, huisadressen, telefoonnummers en e-mailadressen zijn in alle gevallen gelekt. Deze gegevens zijn op zichzelf al waardevol voor criminelen, omdat ze overtuigende phishingberichten mogelijk maken waarin u met uw juiste naam en adres wordt aangesproken.
Geboortedata
Geboortedata zijn voor veel accounts en bij banken een extra verificatievraag. In combinatie met uw naam en adres kan een geboortedatum door criminelen worden gebruikt voor identiteitsfraude of voor het openen van accounts op uw naam.
IBAN-bankrekeningnummers
Van een groot deel van de klanten is ook het IBAN-rekeningnummer gestolen. Hoewel een IBAN op zichzelf niet voldoende is om geld van uw rekening af te schrijven, kan het wel gebruikt worden voor phishingpogingen die overtuigend lijken (“wij zien een verdachte afschrijving op rekening NL..”) of voor frauduleuze machtigingen.
Paspoort- en rijbewijsnummers
Dit is het meest zorgwekkende deel van het datalek. Van veel klanten zijn bij Odido destijds kopieën van een identiteitsbewijs vastgelegd voor identificatie bij het aangaan van een abonnement. Met een paspoort- of rijbewijsnummer, in combinatie met de overige gegevens, kunnen criminelen zich in sommige situaties voordoen als u. Dit heet identiteitsfraude en kan ernstige financiële en juridische gevolgen hebben.
Wie zijn er precies getroffen?
Niet alleen huidige Odido-klanten. Omdat Odido in 2023 is voortgekomen uit T-Mobile Nederland (en Tele2 in 2019 fuseerde met T-Mobile), stonden ook oude gegevens van T-Mobile- en Tele2-klanten in dezelfde systemen. Zelfs van personen die al 5 tot 10 jaar geleden zijn vertrokken blijken gegevens bewaard te zijn, in strijd met het eigen privacybeleid van Odido dat maximaal 2 jaar bewaartermijn voorschrijft.
Ook klanten van Ben, dat een sub-merk van Odido is, zijn getroffen. Klanten van Simpel vallen buiten het datalek; Simpel opereert op een eigen systeem en is geen onderdeel van Odido.
De data is online gepubliceerd
De hackersgroep ShinyHunters heeft de gestolen gegevens inmiddels online gepubliceerd op zogenaamde leak-platforms op het dark web. Dat betekent dat de data niet alleen in handen is van de oorspronkelijke hackersgroep, maar effectief voor iedere kwaadwillende beschikbaar. Deze verspreiding is onomkeerbaar.
Wat kunt u doen?
Verander uw wachtwoorden, schakel tweefactorauthenticatie in waar mogelijk, en informeer uw bank als uw IBAN is gelekt. Vermoedt u misbruik? Doe dan aangifte bij de politie en meld dit bij het Centraal Meldpunt Identiteitsfraude. Meld u daarnaast aan bij Stichting VCC om deel te nemen aan de collectieve actie: dit is kosteloos en vrijblijvend.
Bent u getroffen? Meld u kosteloos aan
Stichting VCC onderzoekt een collectieve schadeclaim tegen Odido. Aanmelden is vrijblijvend en kosteloos. Door u aan te melden blijft u op de hoogte van de voortgang van de zaak.