Het Odido-datalek en de prijs van gecentraliseerde identiteitsopslag

Het is het grootste datalek in de Nederlandse geschiedenis. Begin maart 2026 publiceerde de hackersgroep ShinyHunters de volledige dataset van gestolen Odido-klantgegevens online, nadat het telecombedrijf weigerde losgeld te betalen. Het resultaat: persoonsgegevens van 6,5 miljoen Nederlanders en 600.000 bedrijven zijn nu publiek beschikbaar op het dark web.

Dit datalek roept fundamentele vragen op over hoe we als Nederlandse samenleving omgaan met identiteitsverificatie en gegevensopslag. Want hoewel de beveiliging bij Odido tekortschoot, is de situatie complexer dan “Odido deed het fout.” De realiteit is dat telecombedrijven wettelijk verplicht zijn om uitgebreide klantgegevens te verzamelen en beschikbaar te houden.

Wat er gebeurde bij Odido

Tussen 7 en 8 februari 2026 gebruikten hackers van ShinyHunters — bekend van eerdere aanvallen op Ticketmaster en Microsoft — een klassieke maar effectieve social engineering-aanval. Ze stuurden phishing-e-mails naar klantenservice-medewerkers, stalen wachtwoorden, en belden vervolgens deze medewerkers terwijl ze zich voordeden als IT-personeel van Odido. Door deze medewerkers te misleiden om een secundaire login-aanvraag (2FA) goed te keuren, kregen de hackers toegang tot Odido’s Salesforce-systeem.

Gedurende 48 uur konden ze onopgemerkt de database scrapen. Het resultaat is verwoestend:

• Meer dan 5 miljoen unieke identificatiedocumenten: rijbewijzen, paspoorten, verblijfsvergunningen
• Volledige persoonsgegevens: namen, adressen, geboortedatums
• Financiële informatie: bankrekeningnummers
• Gevoelige aantekeningen: interne notities over klanten, waaronder informatie over stalking, huiselijk geweld en beschermde adressen van slachtoffers

Toen Odido weigerde het losgeld van €500.000 te betalen — een beslissing die op advies van politie en cybersecurityspecialisten werd genomen — publiceerde ShinyHunters op 1 maart 2026 de volledige dataset online.

De wettelijke context: waarom telecombedrijven zoveel gegevens opslaan

Het is makkelijk om Odido te bekritiseren voor het bewaren van zoveel gevoelige gegevens. Maar de werkelijkheid is genuanceerder. Telecombedrijven in Nederland opereren onder strikte wettelijke verplichtingen.

De Telecommunicatiewet en opsporingsbevoegdheden

Op grond van de Telecommunicatiewet en aanverwante regelgeving zijn telecomaanbieders verplicht om:

• Klantidentificatie uit te voeren: Bij het afsluiten van een abonnement moet de identiteit van de klant worden vastgesteld met een geldig identiteitsbewijs.
• Gegevens beschikbaar te houden voor opsporingsdiensten: Politie en justitie kunnen op basis van wettelijke bevoegdheden klantgegevens opvragen. Telecombedrijven moeten deze gegevens kunnen leveren.
• NAW-gegevens te koppelen aan telefoonnummers: Voor het bestrijden van criminaliteit en terrorisme is het essentieel dat een telefoonnummer te herleiden is naar een persoon.

Deze verplichtingen bestaan niet zonder reden. Ze helpen bij het opsporen van criminelen, het lokaliseren van vermiste personen, en het onderzoeken van ernstige misdrijven. De maatschappelijke waarde hiervan is reëel.

Het dilemma van gecentraliseerde opslag

Hier ontstaat het dilemma: dezelfde gegevens die nuttig zijn voor legitieme opsporingsdoeleinden, worden ook een doelwit voor criminelen. Als de wet vereist dat Odido kan bewijzen wie klant X is, dan moet die informatie ergens worden opgeslagen. En alles wat wordt opgeslagen, kan worden gestolen.

Dit is geen falen van één bedrijf — het is een fundamentele spanning in hoe we als samenleving identiteitsverificatie hebben georganiseerd. We hebben een systeem gecreëerd waarin duizenden organisaties fungeren als bewaarders van gevoelige identiteitsgegevens. Elke organisatie is een potentieel doelwit.

De aanval: waarom 2FA niet genoeg was

Een belangrijk detail in de Odido-hack verdient aandacht: de hackers omzeilden tweefactorauthenticatie (2FA) door medewerkers te bellen en hen te misleiden om een secundaire login-aanvraag goed te keuren.

Dit illustreert een fundamentele zwakte van traditionele 2FA-systemen. Of het nu gaat om SMS-codes, authenticator-apps, of push-notificaties — ze zijn allemaal kwetsbaar voor social engineering. Een medewerker die een telefoontje krijgt van “IT” met het verzoek om “even die login goed te keuren” kan in een moment van onoplettendheid toegang verlenen aan een aanvaller.

Dit is geen kritiek op de individuele medewerkers. Mensen zijn geen robots, en social engineering-aanvallen worden steeds geraffineerder. Het probleem zit in het systeem: zolang authenticatie afhankelijk is van codes of goedkeuringen die kunnen worden onderschept of afgedwongen, blijft dit risico bestaan.

Een andere benadering: gedecentraliseerde identiteit

Dit brengt ons bij een fundamenteel andere manier van denken over identiteitsverificatie. Wat als de gegevens die nodig zijn voor verificatie niet centraal bij duizenden bedrijven worden opgeslagen, maar bij de burger zelf blijven?

Dit is het principe achter gedecentraliseerde identiteitssystemen zoals Yivi. In plaats van dat een bedrijf een kopie van je paspoort bewaart, bewijst de gebruiker zelf — via cryptografisch ondertekende attributen op de eigen telefoon — dat hij of zij is wie hij zegt te zijn.

Hoe werkt dit in de praktijk?

Bij een gedecentraliseerd systeem:

1. De gebruiker heeft attributen (naam, geboortedatum, BSN, etc.) op de eigen telefoon, cryptografisch ondertekend door een betrouwbare bron (gemeente, overheid)
2. Bij verificatie toont de gebruiker alleen de benodigde attributen — bijvoorbeeld “Ik ben ouder dan 18” of “Dit is mijn naam en adres”
3. Het bedrijf ontvangt een cryptografisch bewijs dat deze attributen kloppen, zonder de onderliggende gegevens permanent op te slaan
4. Het bedrijf slaat op: “Klant geverifieerd op [datum]” — niet de identiteitsgegevens zelf

Geen centrale database om te stelen

Het cruciale verschil: er is geen centrale database met miljoenen identiteitsbewijzen. De gegevens blijven op de telefoons van de individuele gebruikers. Een hacker die het systeem van een bedrijf binnendringt, vindt geen paspoortkopieen of BSN-nummers — want die zijn er simpelweg niet.

Dit is geen theoretisch concept. Yivi is een werkend systeem dat dit principe implementeert. Gemeenten als Nijmegen gebruiken het al voor digitale dienstverlening.

Authenticatie zonder onderschepbare codes

Er is nog een relevant aspect van de Odido-hack: de manier waarop de hackers 2FA omzeilden door medewerkers te misleiden om login-aanvragen goed te keuren.

Bij Yivi-authenticatie bestaat dit probleem niet, om een simpele reden: er zijn geen codes of push-notificaties om te onderscheppen. De authenticatie gebeurt via cryptografische bewijzen die direct door de gebruiker worden gegenereerd op het eigen device. Er is geen “code” die een medewerker kan doorgeven of een “aanvraag” die kan worden goedgekeurd door de verkeerde persoon.

Dit maakt social engineering-aanvallen op het authenticatieproces fundamenteel moeilijker.

De bredere vraag: hoe organiseren we identificatie?

Het Odido-datalek is niet alleen een technisch beveiligingsprobleem. Het is een symptoom van een dieper vraagstuk: hoe heeft de Nederlandse samenleving identiteitsverificatie georganiseerd?

Op dit moment hebben we een systeem waarin:

• Duizenden organisaties wettelijk verplicht zijn om identiteitsgegevens te verzamelen
• Deze gegevens centraal worden opgeslagen in bedrijfsdatabases
• Elke database een potentieel doelwit is voor hackers
• Een succesvolle aanval op één database miljoenen burgers kan treffen

De vraag is niet of bedrijven hun beveiliging moeten verbeteren — dat moeten ze zeker. De vraag is of we niet fundamenteel anders moeten nadenken over waar identiteitsgegevens worden bewaard.

De rol van regelgeving

De huidige regelgeving dwingt bedrijven in de richting van gecentraliseerde opslag. Als de wet vereist dat een telecombedrijf gegevens kan verstrekken aan opsporingsdiensten, dan moeten die gegevens ergens worden bewaard. Maar de AVG vereist tegelijkertijd dataminimalisatie.

Met de komst van eIDAS 2.0 en de European Digital Identity Wallet ontstaan nieuwe mogelijkheden. Deze regelgeving erkent het principe dat burgers hun eigen identiteitsgegevens kunnen beheren en selectief kunnen delen. Dit opent de deur naar systemen waarin verificatie en opslag worden ontkoppeld.

Wat zou er anders kunnen?

Een toekomstscenario: een telecombedrijf verifieert de identiteit van een nieuwe klant via een digitale identiteitswallet. De verificatie is juridisch geldig en voldoet aan de wettelijke eisen. Maar het bedrijf slaat geen paspoortkopie op — alleen het feit dát verificatie heeft plaatsgevonden.

Als opsporingsdiensten later gegevens nodig hebben, kunnen ze — met de juiste wettelijke basis — de klant zelf benaderen, of via de gemeente/overheid die de oorspronkelijke identiteitsattributen heeft uitgegeven.

Dit vereist aanpassingen in wetgeving, technische infrastructuur, en de manier waarop opsporingsbevoegdheden worden uitgeoefend. Maar het is geen sciencefiction — de bouwstenen bestaan al.

Conclusie: een systeem in transitie

Het Odido-datalek is een pijnlijke les, maar het zou oneerlijk zijn om alle schuld bij één bedrijf te leggen. Odido opereerde binnen een systeem dat bedrijven dwingt om gevoelige gegevens centraal op te slaan — en dat systeem heeft inherente kwetsbaarheden.

De vraag voor de komende jaren is: kunnen we evolueren naar een model waarin identiteitsverificatie mogelijk is zonder dat elke organisatie een potentieel lekkende database van identiteitsbewijzen beheert?

Gedecentraliseerde identiteitssystemen bieden een alternatief perspectief. Niet als wondermiddel, maar als een fundamenteel andere architectuur waarin:

• Gegevens bij de burger blijven in plaats van bij bedrijven
• Verificatie werkt via cryptografische bewijzen in plaats van kopieën
• Een datalek bij één organisatie niet automatisch miljoenen identiteitsbewijzen blootstelt
• Authenticatie niet afhankelijk is van onderschepbare codes

Of dit de toekomst wordt, hangt af van technologische ontwikkeling, wetgevende keuzes, en de bereidheid van organisaties om hun processen aan te passen. Maar na het Odido-datalek lijkt het moment rijp om deze discussie serieus te voeren.

De technologie voor gedecentraliseerde identiteit bestaat — Yivi is daar een voorbeeld van. De vraag is of we als samenleving bereid zijn om de manier waarop we identiteit organiseren, te heroverwegen.

Meer informatie

• Over gedecentraliseerde identiteit: docs.yivi.app/what-is-yivi
• eIDAS 2.0 en de European Digital Identity Wallet: Europese Commissie
• Telecommunicatiewet: wetten.overheid.nl

Bronnen over het Odido-datalek:

• NL Times: Hackers publish full cache of stolen Odido customer data
• TechCrunch: Dutch phone giant Odido says millions of customers affected by data breach
• The Record: Dutch mobile phone giant Odido announces data breach
• Cybernews: Odido data breach escalates into criminal probe