Odido-datalek: wat betekent dit voor jou en wat moet je nu doen?

Kort antwoord: Ben je klant bij Odido of Ben, dan zijn bij de recente cyberaanval mogelijk persoonsgegevens van jou buitgemaakt (zoals naam, adres, telefoonnummer, IBAN en in sommige gevallen ID-gegevens). Internet, bellen en tv werken nog gewoon; het echte risico zit in misbruik van die gegevens via phishing, fraude, sim-swapping en identiteitsmisbruik. In dit artikel leggen we rustig uit wat dit concreet voor jou betekent en welke stappen je vandaag nog kunt nemen.

Maak je je zorgen of je al iets moet doen? In Haaglanden (Den Haag, Delft, Zoetermeer, Rijswijk, Voorburg-Leidschendam en regio) kan InstantIT met je meekijken: op afstand of aan huis. We helpen je om je apparaten en accounts stap-voor-stap beter te beveiligen.

In dit artikel lees je:

• wat er ongeveer is gelekt bij het Odido-datalek
• wat er níet is gelekt
• wat criminelen met deze gegevens kunnen (inclusief sim-swapping)
• wat dit betekent voor je IBAN en bankrekening
• 5 praktische stappen om jezelf te beschermen
• wat je kunt doen rond identiteitsfraude en formele stappen
• wanneer het verstandig is om extra hulp in te schakelen

---

Wat is er aan de hand bij het Odido-datalek?

Telecomprovider Odido is getroffen door een cyberaanval waarbij een klantcontactsysteem is geraakt. Uit dat systeem is een groot databestand met klantgegevens gedownload. Volgens Odido gaat het om gegevens van ongeveer 6,2 miljoen klantaccounts (met mogelijk dubbelingen, bijvoorbeeld als je zowel mobiel als vast abonnement hebt).

Volgens Odido / Ben gaat het voor een deel van de klanten om onder meer:

• volledige naam
• adres en woonplaats
• mobiele nummer
• klantnummer
• e-mailadres
• IBAN (rekeningnummer)
• geboortedatum
• identificatiegegevens (paspoort- of rijbewijsnummer en geldigheid)

Belangrijk om te weten: je kunt gewoon blijven bellen, internetten en tv-kijken. Het netwerk zelf ligt er niet uit; het probleem zit in wat anderen met jouw gegevens kunnen doen.

---

Wat is wél gelekt en wat níet?

De exacte impact verschilt per klant, maar in grote lijnen kun je het zo zien:

Mogelijk wél gelekt (afhankelijk van je situatie):

• naam en adres
• telefoonnummer / 06-nummer
• e-mailadres
• klantnummer
• IBAN (je rekeningnummer)
• geboortedatum
• bij sommige klanten: ID-gegevens (documentnummer en geldigheid)

Volgens Odido níet gelekt:

• je wachtwoorden
• inhoud van gesprekken, sms of data
• locatiegegevens
• factuurinhoud en volledige scans van identiteitsbewijzen

Dat betekent niet dat er geen risico is, maar wel dat de kern vooral zit in profilering en misbruik van je persoonsgegevens, niet in “iemand kan nu in je bankapp inloggen”.

---

Wat kunnen criminelen met deze gegevens?

Met deze combinatie van gegevens kun je vrij overtuigende fraude- en phishingpogingen bouwen. Denk aan:

• e-mails of sms’jes die lijken alsof ze van Odido, Ben of je bank komen;
• berichten waarin jouw echte naam, adres, klantnummer of IBAN staat;
• nepfacturen (“er staat nog een bedrag open”) of betaalverzoeken;
• telefonische oplichting (“we bellen u namens de bank / provider, kunt u even inloggen of een code doorgeven?”).

Zelfs zonder wachtwoorden kunnen criminelen:

• jouw gegevens gebruiken om vertrouwen te wekken (“we weten dat u klant bent bij Odido, op adres X…”);
• bij andere organisaties proberen in te breken of informatie los te krijgen (“ik ben mevrouw X, mijn geboortedatum is…, ik ben mijn inloggegevens kwijt”);
• gegevens bundelen met andere datalekken om een vollediger profiel van je te bouwen.

Daarom is het belangrijk dat je de komende tijd extra alert bent, maar niet in paniek raakt. Met een paar gerichte stappen kun je je risico al flink verlagen.

---

Extra telecom-risico: sim-swapping (nummerkaping)

Bij een telecomdatalek komt er nog een extra gevaar bij: zogeheten sim-swapping. Daarbij proberen criminelen jouw 06-nummer over te nemen door zich voor te doen als jou bij de provider, of door helpdeskmedewerkers te misleiden.

Als dat lukt, verliest jouw eigen simkaart het bereik en komen:

• sms’jes met inlogcodes (2FA),
• verificatiecodes voor wachtwoordresets,
• en soms zelfs telefoontjes met je bank of broker

ineens bij de aanvaller binnen.

Signalen van mogelijke sim-swapping:

• je telefoon heeft ineens geen mobiel bereik (geen netwerk), terwijl mensen om je heen wel bereik hebben;
• herstarten van je toestel helpt niet;
• je provider bevestigt dat je sim of eSIM recent gewijzigd/omgezet is zonder dat jij dat hebt aangevraagd.

Wat je dan direct doet:

1. Neem zo snel mogelijk contact op met Odido/Ben vanaf een andere telefoon en meld dat je mogelijk slachtoffer bent van sim-swapping.
2. Laat je simkaart blokkeren en vraag om een nieuwe, op jouw naam.
3. Controleer belangrijke accounts (e-mail, bank, brokers, sociale media) op vreemde inlogpogingen of wachtwoordresets.

Preventietip: gebruik waar mogelijk een authenticator-app (zoals Microsoft Authenticator, Google Authenticator, Authy) in plaats van sms-codes voor tweestapsverificatie. Dan ben je minder afhankelijk van je telefoonnummer.

---

IBAN: moet je je rekeningnummer wijzigen?

Veel mensen schrikken als ze lezen dat ook het IBAN (rekeningnummer) in het gelekte bestand kan staan. Logische gedachte: “Kunnen ze nu mijn rekening leeg halen?”

Belangrijk om te weten:

• Met alleen je IBAN kan niemand inloggen in je bankapp of internetbankieren.
• Het risico zit vooral in social engineering: criminelen die jouw gegevens gebruiken om vertrouwen te wekken (“we zien verdachte transacties op rekening NL… op uw naam”).
• Automatische incasso’s die onterecht zijn, kun je in de meeste gevallen laten terugboeken via je bank.

Wat kun je praktisch doen:

• Zet bank-notificaties aan (pushbericht of sms bij elke betaling/afschrijving).
• Check de komende maanden regelmatig je afschrijvingen.
• Zie je een afschrijving die je niet vertrouwt? Neem contact op met je bank en vraag wat er mogelijk is qua terugboeken of blokkeren van de incassant.

In de meeste gevallen is “rekeningnummer wijzigen” geen eerste stap. Veel belangrijker is alert zijn, notificaties aanzetten en snel reageren op verdachte dingen.

---

Stap 1: Check rustig of jij bericht hebt gekregen

Odido en Ben informeren betrokken klanten per e-mail of sms. Dat kan even duren omdat het om een groot aantal mensen gaat.

1. Controleer je mailbox en sms op een bericht van Odido of Ben.
2. Lees de tekst rustig door en controleer:
   • afzenderadres / telefoonnummer;
   • of er géén vreemde linkjes of direct betaalverzoeken in staan.
3. Twijfel je aan de mail?
   • Ga dan zélf naar de officiële website of app van Odido/Ben.
   • Log daar in en kijk of er een melding in je account staat.

Klik nooit zomaar op linkjes uit een mail als je het niet vertrouwt. Typ liever zelf odido.nl in je browser.

---

Stap 2: Maak jezelf minder interessant voor phishing

Als jouw gegevens in dit soort bestanden zitten, is de kans groot dat je de komende tijd meer spam en phishing krijgt.

Een paar praktische dingen die je vandaag al kunt doen:

• Zet notificaties aan bij je bank

  • Veel banken bieden een pushbericht of sms bij elke betaling.
  • Zo zie je sneller als er iets geks gebeurt.

• Pas je wachtwoorden aan waar je ze hergebruikt

  • Zijn je Odido- of Ben-wachtwoorden hetzelfde als bij e-mail, bol.com of je bank?
  • Verander dan in ieder geval de wachtwoorden van je belangrijkste accounts (e-mail, bank, cloudopslag).

• Gebruik waar mogelijk tweestapsverificatie (MFA)

  • Schakel MFA in op je e-mail, bank en belangrijke accounts.
  • Gebruik bij voorkeur een authenticator-app in plaats van alleen sms.

Heb je hier hulp bij nodig of weet je niet waar je moet beginnen? We kunnen dit via een korte sessie op afstand voor je nalopen.

---

Stap 3: Wees scherp op neptelefoontjes, sms en e-mails

Criminelen zullen proberen de gelekte gegevens te gebruiken om jou te overtuigen.

Let de komende weken extra op:

• Onverwachte betaalverzoeken
  • “Er staat nog een factuur open”
  • “Uw abonnement wordt anders geblokkeerd”
• Druk en tijdsdruk
  • “U moet nu direct handelen”
  • “Klik binnen 30 minuten hier”
• Vragen om inlogcodes of bankgegevens
  • Een echte bank of provider vraagt je nooit om je inlogcodes of een veilige inlog goed te keuren voor hen.

Twijfel je tijdens een telefoongesprek?

1. Hang vriendelijk op.
2. Zoek zélf het officiële nummer op van de organisatie (bijv. op de website van je bank of Odido).
3. Bel daarheen en leg de situatie uit.

---

Stap 4: Bewaak je rekening en identiteit

Omdat IBAN en sommige ID-gegevens mogelijk in het gelekte bestand zitten, is het slim om zelf alvast wat basiscontrole in te bouwen.

• Controleer je bankafschriften regelmatig

  • Kijk de komende maanden wekelijks even door je bij- en afschrijvingen.
  • Noteer verdachte transacties en neem bij twijfel contact op met je bank.

• Let op brieven of e-mails over vreemde aanvragen op jouw naam

  • Bijvoorbeeld nieuwe leningen, creditcards of abonnementen waar je nooit om hebt gevraagd.

• Check 1x per jaar je BKR-gegevens

  • Zo kun je zien of er leningen of kredieten op jouw naam staan die je niet herkent.

Zie je iets wat niet klopt? Neem dan direct contact op met de betreffende organisatie en vraag wat er precies is aangevraagd.

---

Stap 5: Identiteitsfraude en formele stappen

In de meeste gevallen hoef je niet in paniek allerlei instanties te bellen. Maar zie je echt signalen van misbruik, dan kun je denken aan:

• Fraudehelpdesk

  • Meld het incident en vraag om advies welke stappen voor jouw situatie passend zijn.

• Politie (aangifte)

  • Bij duidelijke fraude of identiteitsmisbruik kun je aangifte doen.
  • Bewaar brieven, e-mails en screenshots als bewijs.

• Dossier bijhouden

  • Noteer voor jezelf: datum, welke partij, wat er is gebeurd, met wie je hebt gesproken.
  • Dit helpt als je later opnieuw moet...