Odido datalek 2026 — wat je moet weten

In februari 2026 werd bevestigd dat hackersgroep ShinyHunters de persoonsgegevens van 6.1 miljoen Odido-klanten heeft buitgemaakt en online heeft gezet. Dit maakt het een van de grootste datalekken in de Nederlandse geschiedenis.

Wat is er precies gebeurd?

Odido, voorheen bekend als T-Mobile Nederland, is het doelwit geworden van een cyberaanval door de hackersgroep ShinyHunters. Deze groep staat bekend om grootschalige datalekken wereldwijd. De aanvallers hebben toegang gekregen tot klantendatabases en de gestolen gegevens vervolgens gepubliceerd op het dark web en via Telegram-kanalen verspreid.

Het lek treft niet alleen klanten die direct bij Odido een abonnement hebben afgesloten, maar ook klanten van dochtermerk Ben. Simpel-klanten zijn niet getroffen.

Wanneer is het ontdekt?

De eerste signalen van het datalek kwamen eind januari 2026 naar buiten toen beveiligingsonderzoekers meldingen kregen over een grote dataset die online werd aangeboden. Odido bevestigde het incident in februari 2026 en heeft getroffen klanten geïnformeerd.

Welke gegevens zijn gelekt?

De gelekte gegevens omvatten een breed scala aan persoonlijke informatie. Niet iedere klant heeft al deze gegevens bij Odido staan — het verschilt per account. De volgende categorieën zijn aangetroffen in de gelekte bestanden:

• Volledige namen en adressen — NAW-gegevens inclusief postcode en woonplaats
• Telefoonnummers — zowel mobiele als vaste nummers
• E-mailadressen — het adres waarmee het abonnement is afgesloten
• IBAN-nummers — bankrekeningnummers gebruikt voor automatische incasso
• Paspoortnummers — documentnummers van identiteitsbewijzen
• Rijbewijsnummers — documentnummers van rijbewijzen
• Geboortedata — volledige geboortedatum
• Klantenservice-notities — interne opmerkingen van medewerkers

Wachtwoorden van Mijn Odido-accounts zijn volgens Odido niet buitgemaakt. Ook belgegevens, facturen, locatiegegevens en kopieën van identiteitsdocumenten zijn niet gelekt.

Hoeveel mensen zijn getroffen?

In totaal zijn de gegevens van 6.1 miljoen accounts gelekt. Dit betreft zowel huidige als voormalige klanten van Odido (voorheen T-Mobile) en Ben. Gezien het feit dat Nederland ongeveer 17 miljoen inwoners telt, betekent dit dat ruim een derde van de bevolking potentieel is getroffen.

Wat zijn de risico's?

Met de combinatie van persoonsgegevens die bij dit lek zijn vrijgekomen, kunnen criminelen diverse vormen van fraude plegen:

• Gerichte phishing — overtuigende nep-mails of sms-berichten die specifiek op jou zijn gericht met je echte naam en gegevens
• Identiteitsfraude — criminelen die zich voordoen als jou bij instanties of bedrijven
• Social engineering — telefonische oplichting waarbij bellers je persoonlijke gegevens noemen om vertrouwen te wekken
• SIM-swapping — overname van je telefoonnummer om toegang te krijgen tot accounts met tweefactorauthenticatie via sms

Wat kun je doen?

Het belangrijkste is om alert te zijn en preventieve maatregelen te nemen:

• Wijzig het wachtwoord van je Mijn Odido-account preventief
• Schakel tweefactorauthenticatie (2FA) in op al je belangrijke accounts
• Wees extra alert op verdachte e-mails, sms-berichten en telefoontjes
• Vertrouw geen onverwachte berichten, ook niet als ze je persoonlijke gegevens noemen
• Houd je bankafschriften in de gaten op ongeautoriseerde transacties
• Meld verdachte situaties bij de politie en het Centraal Meldpunt Identiteitsfraude (CMI)

Volgens de Nederlandse Vereniging van Banken (NVB) hoef je geen nieuw IBAN aan te vragen — met alleen een rekeningnummer kan niemand bij je geld. Het Centraal Meldpunt Identiteitsfraude (CMI) geeft aan dat met alleen documentnummers geen identiteitsfraude kan worden gepleegd.

Ben ook getroffen?

Ja, ook klanten van Ben (onderdeel van Odido) zijn getroffen door dit datalek. Simpel-klanten zijn niet geraakt. Gebruik het e-mailadres dat je bij Ben of Odido hebt gebruikt om te controleren of jouw gegevens zijn gelekt.