Odido ontkende BSN-lek maar burgerservicenummers staan wel degelijk op dark web
Nederland, donderdag, 26 februari 2026.
RTL Nieuws ontdekt dat het Odido-datalek BSN’s bevat, terwijl de telecomprovider dit eerder ontkende. Cybercriminelen van Shinyhunters publiceren dagelijks klantgegevens na weigering van 1 miljoen euro losgeld. Het lek treft 6,2 miljoen accounts met namen, adressen, bankrekeningnummers en paspoortnummers. Politie onderzoekt met grote prioriteit en steunt Odido’s keuze om niet te betalen. Autoriteit Persoonsgegevens vraagt opheldering over te lang bewaren gegevens. Getroffen klanten ontvingen waarschuwingsmail voor phishing en identiteitsfraude.
Ontkend maar toch gelekt: BSN’s van zakelijke klanten op dark web
Het datalek bij Odido is ernstiger dan de telecomprovider toegaf. RTL Nieuws ontdekte op 25 februari 2026 dat de door cybercriminelen gepubliceerde klantgegevens ook burgerservicenummers bevatten [1]. Dit terwijl Odido eerder beweerde dat er geen BSN’s in de gelekte data zaten [1]. Het gaat om tientallen BSN’s van zakelijke klanten, vooral zelfstandige ondernemers [1]. De verklaring ligt in het verleden: tot 2020 bevatten btw-nummers van zelfstandigen hun BSN, en gegevens van uitgeschreven zelfstandigen staan blijkbaar nog altijd in het systeem [1]. Een gedupeerde oud-klant bevestigde tegenover RTL dat zijn BSN-nummer inderdaad is gelekt [1]. Hij toonde zich ontevreden over het gebrek aan communicatie en compensatie van Odido [1]. De telecomprovider reageert niet op vragen vanwege een lopend onderzoek [1].
Dagelijkse publicatie gestolen gegevens na weigering losgeld
Zoals eerder gemeld in ons vorige artikel over de strafrechtelijke vervolging, heeft Odido geweigerd het gevraagde losgeld van 1 miljoen euro te betalen aan hackersgroep Shinyhunters [2]. Daarop besloot de criminele organisatie elke dag privégegevens van honderdduizenden Nederlanders te delen op het dark web [2]. Van ongeveer 275.000 klanten zijn IBAN-nummers gelekt [4]. De politie onderzoekt het datalek onder leiding van het Landelijk Parket met ‘grote prioriteit’ [5]. Stan Duijf, hoofd Operatiën cybercrime, steunt Odido’s keuze: ‘Ons advies aan slachtoffers van ransomware is: niet betalen. Wanneer zij worden betaald, blijft hun verdienmodel in stand’ [5]. Het risico op identiteitsfraude is groot nu persoonsgegevens van meer dan 6 miljoen klanten in handen van criminelen zijn [5].
Autoriteit Persoonsgegevens vraagt opheldering over gegevensbewaring
De Autoriteit Persoonsgegevens heeft Odido om opheldering gevraagd over het mogelijk te lang bewaren van gegevens [1]. Dit naar aanleiding van de ontdekking dat BSN’s van uitgeschreven zakelijke klanten nog altijd in het systeem stonden. Het Centraal Meldpunt Identiteitsfraude ontvangt veel vragen van Odido-klanten naar aanleiding van het datalek [3]. Het meldpunt benadrukt dat een datalek niet automatisch identiteitsfraude betekent [3]. Getroffen klanten ontvingen een e-mail van Odido en worden geadviseerd alert te zijn op phishingmails en verdachte telefoontjes [4]. Experts raden extra waakzaamheid aan, omdat persoonlijke gegevens waardevol zijn voor criminelen [4]. Je kunt berichten die verdacht lijken verifiëren bij je bank of Odido zelf [4].