Odido Datalek: Welke Gegevens Zijn Gelekt, Hoe Check Je Het & Wat Moet Je Nu Doen

Het grootste datalek in de Nederlandse geschiedenis: welke gegevens zijn gelekt, hoe je checkt of je getroffen bent en welke stappen je vandaag nog moet nemen.

🚨

Datalek Odido · Februari 2026

6,2 miljoen klanten getroffen

Namen, adressen, IBAN, telefoonnummers, geboortedatums en in sommige gevallen identiteitsbewijzen zijn buitgemaakt door hackersgroep ShinyHunters.

📑 Inhoudsopgave

1. Wat is er precies gebeurd?
2. Welke gegevens zijn gelekt?
3. Ben ik getroffen? Zo check je het
4. Wat moet je nu doen? (stappenplan)
5. Welke risico’s loop je?
6. Wie zijn ShinyHunters?
7. Hoe is Odido gehackt?
8. Heb ik recht op schadevergoeding?
9. Tijdlijn van het datalek
10. Veelgestelde vragen

Op 12 februari 2026 maakte telecomprovider Odido bekend dat het slachtoffer was geworden van een grootschalige cyberaanval. Hackersgroep ShinyHunters wist via een phishingaanval het klantcontactsysteem binnen te dringen en gegevens van miljoenen klanten buit te maken. Het gaat om het grootste datalek in de Nederlandse geschiedenis: ruim 6,2 miljoen klantaccounts zijn getroffen. In dit artikel leg ik uit wat er precies is gebeurd, hoe je checkt of jouw gegevens zijn gelekt en welke stappen je nu moet nemen om jezelf te beschermen.

Wat is er precies gebeurd?

Odido (voorheen T-Mobile Nederland) is getroffen door een cyberaanval waarbij hackers toegang hebben gekregen tot een intern klantcontactsysteem. Via dit systeem, een Salesforce-omgeving, hebben de aanvallers een grote database met klantgegevens gedownload. Volgens Odido gaat het om gegevens van ongeveer 6,2 miljoen klantaccounts, hoewel de hackers zelf spreken over 8 tot 10 miljoen records.

De hackersgroep ShinyHunters eiste een losgeld van €1 miljoen. Odido weigerde te betalen. Als reactie begon ShinyHunters eind februari met het publiceren van de gestolen data op het dark web. Inmiddels zijn alle gegevens gepubliceerd.

⚠️ Niet alleen huidige klanten

Het datalek treft ook oud-klanten van Odido, T-Mobile en Ben. Odido bleek persoonsgegevens van voormalige klanten soms tot vijf jaar te hebben bewaard, terwijl het eigen privacybeleid een maximum van twee jaar voorschrijft. Ben je de afgelopen jaren klant geweest bij een van deze merken, dan ben je mogelijk getroffen.

Welke gegevens zijn gelekt?

Niet alle klanten zijn op dezelfde manier getroffen. Odido onderscheidt meerdere categorieën. Dit is wat er per categorie is gelekt:

Gelekte gegevens	Alle getroffen klanten?
Volledige naam	Ja
Adres en woonplaats	Ja
Telefoonnummer	Ja
E-mailadres	Ja
Klantnummer	Ja
Geboortedatum	Bij een deel
IBAN (rekeningnummer)	Bij een deel
Identiteitsbewijsgegevens (nummer + geldigheid)	Bij een deel
Wachtwoorden, belgegevens, facturen	Niet gelekt

Odido benadrukt dat er geen wachtwoorden, belgegevens, factuurgegevens of BSN-nummers zijn gelekt. Het bedrijf slaat geen BSN-nummers op in zijn systemen. Wel bevat het lek bij een deel van de klanten identiteitsbewijsgegevens (documentnummer en geldigheidsdatum), wat het risico op identiteitsfraude vergroot.

Ben ik getroffen? Zo check je het

Wil je weten of jouw gegevens onderdeel zijn van het Odido datalek? Er zijn meerdere manieren om dit te controleren:

🔍 3 manieren om te checken

📧

Check je inbox op een bericht van OdidoOdido heeft getroffen klanten per e-mail (van info@mail.odido.nl) of sms geïnformeerd. Heb je rond 12 tot 14 februari 2026 een bericht van Odido ontvangen over het datalek? Dan ben je getroffen. Check ook je spam.

🔎

Gebruik Have I Been PwnedGa naar haveibeenpwned.com en voer je e-mailadres in. De 688.000 gestolen e-mailadressen uit het Odido-lek zijn aan deze database toegevoegd. Staat je e-mail erbij, dan ben je getroffen.

🏛️

Politie Check je HackDe politie biedt een eigen controlepagina via politie.nl/checkjehack. Hier kun je checken of je e-mailadres voorkomt in bekende datalekken, waaronder het Odido-lek.

💡 Geen e-mail ontvangen ≠ niet getroffen

Het informeren van 6,2 miljoen klanten kost tijd. Het is mogelijk dat je nog geen bericht hebt ontvangen maar wel getroffen bent. Gebruik daarom altijd ook Have I Been Pwned of de politie-checker om zekerheid te krijgen. Ben je op enig moment klant geweest bij Odido, T-Mobile of Ben? Ga er dan voor de zekerheid vanuit dat je getroffen bent.

Wat moet je nu doen? Stappenplan

Dit zijn de concrete stappen die je vandaag nog kunt nemen als je getroffen bent door het Odido datalek:

Wees extra alert op phishingCriminelen kennen nu je naam, adres, telefoonnummer en mogelijk je IBAN. Ze kunnen zich voordoen als Odido, je bank of de overheid. Klik nooit op links in verdachte e-mails of sms’jes. Ga altijd zelf naar de officiële website van een organisatie.

Zet tweestapsverificatie (2FA) aanSchakel 2FA in op je e-mail, bankrekening, DigiD en andere belangrijke accounts. Gebruik bij voorkeur een authenticator-app (Google Authenticator, Authy) in plaats van sms, vanwege het risico op sim-swapping.

Houd je bankrekening in de gatenControleer je afschrijvingen regelmatig op onbekende bedragen. Zet pushmeldingen aan voor elke transactie via je bank-app. Zie je iets verdachts? Neem direct contact op met je bank.

Wijzig wachtwoorden van belangrijke accountsHoewel Odido zegt dat er geen wachtwoorden zijn gelekt, is het verstandig om als voorzorgsmaatregel je wachtwoorden te vernieuwen. Vooral als je hetzelfde wachtwoord op meerdere plekken gebruikt.

Let op sim-swappingVerliest je telefoon plotseling bereik terwijl anderen om je heen wel netwerk hebben? Dit kan wijzen op sim-swapping. Neem direct contact op met Odido en je bank.

Gebruik de KopieID-appMoet je in de toekomst een kopie van je identiteitsbewijs delen? Gebruik dan de gratis KopieID-app van de Rijksoverheid. Deze app plaatst een watermerk op je kopie zodat het moeilijker misbruikt kan worden.

Welke risico’s loop je?

Het Centraal Meldpunt Identiteitsfraude (CMI) benadrukt dat een datalek niet automatisch betekent dat er identiteitsfraude plaatsvindt. Maar de risico’s zijn wel degelijk reëel. Dit is waar je op moet letten:

🎣

Gerichte phishing (spearphishing)Criminelen gebruiken je naam, adres en telefoonnummer om geloofwaardige nepberichten te sturen via e-mail, sms of WhatsApp. Ze doen zich voor als Odido, je bank of de Belastingdienst.

📱

Sim-swappingMet je persoonlijke gegevens kunnen criminelen proberen je 06-nummer over te nemen bij de provider. Als dat lukt, kunnen ze sms-verificatiecodes onderscheppen en daarmee toegang krijgen tot je accounts.

🪪

IdentiteitsfraudeBij klanten van wie ID-gegevens zijn gelekt, bestaat het risico dat criminelen proberen diensten of producten aan te vragen op jouw naam. Volgens het CMI zijn hiervoor wel extra controles nodig (DigiD, fysiek ID), maar niet alle bedrijven voeren die even streng uit.

💰

Social engineering en oplichtingMet zoveel persoonlijke details kunnen criminelen bellen en zich voordoen als een betrouwbare partij. Ze weten je naam, adres en geboortedatum, waardoor ze overtuigend genoeg klinken om je om de tuin te leiden.

✅ Geruststellend: wat kan NIET zomaar

Volgens de Nederlandse Vereniging van Banken (NVB) kun je met een IBAN-nummer niet inloggen in je bankapp of internetbankieren. Je bankrekening is dus niet direct in gevaar. Ook kan er met de gelekte gegevens niet zomaar een lening, bankrekening of nieuw identiteitsdocument worden aangevraagd, want daarvoor zijn extra controles nodig.

Wie zijn ShinyHunters?

ShinyHunters is een internationaal opererende hackersgroep die al sinds 2020 actief is. De groep staat bekend om het stelen en doorverkopen van grote databases met persoonsgegevens. Eerdere slachtoffers zijn onder meer Ticketmaster, AT&T, Microsoft en Bonobos.

De groep richt zich specifiek op cloudomgevingen en SaaS-platformen (zoals Salesforce) en maakt vaak gebruik van social engineering: het misleiden van medewerkers om inloggegevens te bemachtigen. Na de hack bij Odido eiste ShinyHunters een losgeld van €1 miljoen. Toen Odido weigerde te betalen, begonnen de hackers met het publiceren van de data.

Hoe is Odido gehackt?

De aanval op Odido verliep via een techniek die al langer bekend is en waar Salesforce eind januari 2026 nog voor waarschuwde. De inbraak vond vermoedelijk kort na die waarschuwing plaats.

🔓 Zo verliep de aanval (stap voor stap)

Hackers namen contact op met een Odido-medewerker en deden zich voor als IT-support

De medewerker werd doorgestuurd naar een vervalste inlogpagina

Met de buitgemaakte inloggegevens kregen de hackers toegang tot de Salesforce-omgeving

Vanuit die omgeving downloadden zij de volledige klantendatabase (~100 GB aan data)

Dezelfde methode is eerder succesvol ingezet bij andere grote bedrijven, waaronder KLM-Air France en Palo Alto Networks. Zowel Salesforce, de FBI als Google-dochter Mandiant hadden organisaties al gewaarschuwd voor precies deze aanvalstechniek.

Heb ik recht op schadevergoeding?

Een veelgestelde vraag: heb je als getroffen klant recht op Odido schadevergoeding? Het antwoord is genuanceerd.

Wat Odido zegt

Een datalek geeft niet automatisch recht op compensatie. Odido biedt getroffen klanten 2 jaar gratis F-Secure (beveiligingssoftware) aan als tegemoetkoming.

Wat juridisch mogelijk is

Onder de AVG kun je schadevergoeding eisen als je kunt aantonen dat Odido tekort is geschoten in de beveiliging én dat je schade hebt geleden als gevolg. DAS en Achmea Rechtsbijstand bieden hulp aan gedupeerden.

Het Openbaar Ministerie is een strafrechtelijk onderzoek gestart. Daarnaast lopen er onderzoeken van de Autoriteit Persoonsgegevens (AP). Als blijkt dat Odido nalatig is geweest in de beveiliging of het te lang bewaren van klantgegevens, kan dat de juridische positie van gedupeerden versterken.

Tijdlijn van het Odido datalek

Eind jan 2026

Salesforce waarschuwt voor de phishingmethode die ShinyHunters gebruikt

Begin feb 2026

Hackers dringen binnen bij Odido via phishing van een medewerker

12 feb 2026

Odido maakt het datalek publiek; getroffen klanten ontvangen e-mail

14 feb 2026

Bevestiging: 6,2 miljoen klantaccounts getroffen; losgeldeis van €1 miljoen

Eind feb 2026

Odido weigert losgeld; ShinyHunters publiceert eerste deel van de data

2 mrt 2026

Resterende data gepubliceerd; e-mailadressen toegevoegd aan Have I Been Pwned

3-4 mrt 2026

Politie en FBI ontmantelen forum Leakbase; 100+ acties tegen 37 gebruikers wereldwijd

Veelgestelde vragen over het Odido datalek

Zijn mijn wachtwoorden gelekt? ▾

Nee. Odido bevestigt dat er geen wachtwoorden zijn gelekt. Wachtwoorden worden versleuteld opgeslagen en zijn niet toegankelijk geweest voor de hackers. Toch is het verstandig om uit voorzorg je wachtwoorden te vernieuwen, zeker als je ze op meerdere plekken hergebruikt.

Moet ik mijn bankrekening wijzigen? ▾

Volgens Odido en de Nederlandse Vereniging van Banken (NVB) is dat niet nodig. Met enkel een IBAN-nummer kun je niet inloggen bij je bank of betalingen doen. Je bankrekening is dus niet direct in gevaar. Houd wel je afschrijvingen goed in de gaten en meld onbekende transacties direct bij je bank.

Is mijn BSN-nummer gelekt? ▾

Nee. Odido slaat geen BSN-nummers op in zijn systemen. Wel zijn bij een deel van de klanten identiteitsbewijsgegevens gelekt (documentnummer en geldigheidsdatum), maar niet het BSN zelf.

Ik was klant bij T-Mobile of Ben, ben ik ook getroffen? ▾

Mogelijk wel. T-Mobile Nederland is opgegaan in Odido, en Ben is een dochtermerk. Klantgegevens van beide merken zaten in hetzelfde systeem. Als je in de afgelopen jaren klant bent geweest bij T-Mobile of Ben, is het verstandig om ervanuit te gaan dat je getroffen kunt zijn.

Kan ik bellen, internetten en tv-kijken? ▾

Ja. Het datalek heeft geen invloed op de dienstverlening van Odido. Je kunt gewoon blijven bellen, internetten en tv-kijken. Het probleem zit niet in het netwerk, maar in wat criminelen kunnen doen met de gestolen persoonsgegevens.

Wat biedt Odido aan als compensatie? ▾

Odido biedt getroffen klanten 2 jaar gratis F-Secure beveiligingssoftware aan. Het bedrijf geeft aan dat er op dit moment geen recht is op verdere financiële compensatie. Juridische experts wijzen er echter op dat schadevergoeding onder de AVG mogelijk is als je kunt aantonen dat je schade hebt geleden door het lek.

Wat is sim-swapping en hoe herken ik het? ▾

Bij sim-swapping nemen criminelen je telefoonnummer over door zich bij de provider als jou voor te doen. Herkenning: je telefoon verliest plotseling bereik terwijl anderen om je heen wel netwerk hebben. Neem in dat geval direct contact op met Odido en je bank. Schakel sms-verificatie waar mogelijk om naar een authenticator-app.

Waar kan ik een melding doen als ik slachtoffer word van fraude? ▾

Meld fraude bij de politie (aangifte online of op het bureau), het Centraal Meldpunt Identiteitsfraude (CMI) van de Rijksoverheid, en bij je eigen bank als het om financiële fraude gaat. Bewaar altijd bewijsmateriaal (screenshots, e-mails, transacties).