Hoe Yivi de impact van het Odido-datalek had kunnen verkleinen
← Terug naar Kennisbank

Hoe Yivi de impact van het Odido-datalek had kunnen verkleinen

Yivi Team 8 min read
datalek privacy data breach beveiliging gedecentraliseerd Odido telecombedrijven identiteitsverificatie

Het is het grootste datalek in de Nederlandse geschiedenis. Begin maart 2026 publiceerde de hackersgroep ShinyHunters de volledige dataset van gestolen Odido-klantgegevens online, nadat het telecombedrijf weigerde losgeld te betalen. Het resultaat: persoonsgegevens van 6,5 miljoen Nederlanders en 600.000 bedrijven zijn nu publiek beschikbaar op het dark web.

Voor velen is dit nieuws schokkend maar niet verrassend. Grootschalige datalekken lijken onvermijdelijk geworden in ons digitale tijdperk. Maar dat is een gevaarlijke misvatting. Het Odido-lek was niet onvermijdelijk — het was het directe gevolg van een fundamenteel gebrekkig systeem voor het opslaan en verwerken van identiteitsgegevens.

Er is een alternatief. Een waarbij de impact van dit soort mega-datalekken drastisch kan worden verminderd. Een waarbij gebruikers controle houden over hun eigen gegevens. Een waarbij bedrijven niet langer hoeven te functioneren als kwetsbare data-kluizen. Dit alternatief bestaat vandaag en wordt al in productie gebruikt: Yivi.

Wat er mis ging bij Odido

Tussen 7 en 8 februari 2026 gebruikten hackers van ShinyHunters — bekend van eerdere aanvallen op Ticketmaster en Microsoft — een klassieke maar effectieve social engineering-aanval. Ze stuurden phishing-e-mails naar klantenservice-medewerkers, stalen wachtwoorden, en belden vervolgens deze medewerkers terwijl ze zich voordeden als IT-personeel van Odido. Door deze medewerkers te misleiden om een secundaire login-aanvraag goed te keuren, kregen de hackers toegang tot Odido’s Salesforce-systeem.

Gedurende 48 uur konden ze onopgemerkt de database scrapen. Het resultaat is verwoestend:

  • Meer dan 5 miljoen unieke identificatiedocumenten: rijbewijzen, paspoorten, verblijfsvergunningen
  • Volledige persoonsgegevens: namen, adressen, geboortedatums
  • Financiële informatie: bankrekeningnummers
  • Gevoelige aantekeningen: interne notities over klanten, waaronder informatie over stalking, huiselijk geweld en beschermde adressen van slachtoffers

Toen Odido weigerde het losgeld van €500.000 te betalen — een beslissing die op advies van politie en cybersecurityspecialisten werd genomen — publiceerde ShinyHunters op 1 maart 2026 de volledige dataset online.

Het fundamentele probleem: gevoelige identiteitsgegevens in klantdatabases

Laten we duidelijk zijn: het is volkomen logisch en noodzakelijk dat een telecombedrijf als Odido een klantendatabase bijhoudt. Ze moeten weten wie hun klanten zijn, welke abonnementen ze hebben, hoe ze contact kunnen opnemen en hoe de facturatie verloopt. Dat is gewoon goede bedrijfsvoering.

Het probleem zit hem in wat er in die database wordt opgeslagen. Odido bewaarde niet alleen operationele klantgegevens, maar ook:

  • Kopieën van paspoorten en rijbewijzen
  • BSN-nummers
  • Volledige geboortedata
  • Kopieën van verblijfsvergunningen

Dit zijn gegevens die nodig waren voor verificatie — om te controleren dat iemand is wie hij zegt te zijn — maar die daarna geen operationeel doel meer dienen. Toch blijven ze jarenlang in de database staan, als een tikkende tijdbom.

Bij Odido was de zwakste schakel niet de technische beveiliging van het Salesforce-systeem zelf, maar de menselijke factor: klantenservice-medewerkers die door social engineering werden misleid. Dit is geen falen van individuen — het is een ontwerpfout van het systeem. Zolang toegang tot een CRM-systeem ook toegang tot miljoenen identiteitsbewijzen betekent, blijft het risico catastrofaal.

De kernvraag is: waarom moest Odido überhaupt al die identiteitsgegevens bewaren? Het antwoord: dat hoefde niet.

Een andere aanpak: gedelegeerde identiteitsverificatie met Yivi

Yivi biedt een slimmere architectuur voor identiteitsverificatie. Het idee is niet dat bedrijven geen klantgegevens meer mogen hebben — maar dat de verificatie van identiteit wordt gedelegeerd naar een gedecentraliseerd systeem, zodat gevoelige identiteitsgegevens nooit in bedrijfsdatabases terechtkomen.

Het principe: verifiëren zonder kopiëren

Stel je voor dat Odido bij het afsluiten van een abonnement niet vraagt om een kopie van je paspoort, maar in plaats daarvan:

  1. Je opent de Yivi-app op je telefoon
  2. Odido vraagt om verificatie: “Is deze persoon wie hij zegt te zijn?”
  3. Yivi bevestigt dit met een cryptografisch bewijs, op basis van je BRP-gegevens of paspoort-credentials — met dezelfde zekerheid als het controleren van een fysiek paspoort
  4. Odido slaat op: “Klant Dibran Mulder, geverifieerd via Yivi met paspoort-credentials op 4 maart 2026”

Dat is alles. Geen kopie van het paspoort. Geen paspoortnummer. Geen BSN. Odido heeft de identiteit van de klant geverifieerd met dezelfde zekerheid als bij het fysiek controleren van een paspoort — maar zonder de gevoelige gegevens op te slaan die identiteitsfraude mogelijk maken.

Wat Odido wél opslaat

In dit model houdt Odido gewoon een normale klantendatabase bij:

  • Naam en contactgegevens (e-mail, telefoonnummer)
  • Adres voor verzending/dienstverlening
  • Abonnementsgegevens en factuurhistorie
  • Servicegeschiedenis en notities
  • Verificatiestatus: “Geverifieerd via Yivi (paspoort) op [datum]”

Wat Odido níet opslaat

  • Kopieën van identiteitsbewijzen
  • Paspoortnummers of rijbewijsnummers
  • BSN-nummers
  • Volledige geboortedata

Selective disclosure: deel alleen wat nodig is

Het mooie van Yivi is dat je niet je volledige identiteitsbewijs hoeft te delen. Je kunt specifieke attributen delen:

  • “Identiteit geverifieerd” in plaats van een volledige kopie van je paspoort
  • “Woonachtig in Nederland” in plaats van je volledige adres
  • “Houder van geldig Nederlands paspoort” in plaats van een kopie met alle gegevens

Voor een telecombedrijf dat iemands identiteit moet verifiëren, is dit voldoende. Ze krijgen dezelfde zekerheid dat iemand is wie hij zegt te zijn — zonder paspoortnummers of BSN-nummers op te slaan die bij een datalek gestolen kunnen worden.

Privacy voor de gebruiker, geen tracking

Een bijkomend voordeel: Yivi is zo ontworpen dat niemand je verificaties kan tracken. Zelfs de uitgever van je credentials (bijvoorbeeld de gemeente voor BRP-gegevens) kan niet zien waar en wanneer je deze gebruikt. Er is geen centrale partij die al je verificaties registreert.

Wat betekent dit voor datalekken?

Dit is het cruciale punt: als een bedrijf als Odido geen kopieën van identiteitsbewijzen, BSN-nummers of paspoortnummers opslaat, kunnen deze ook niet gestolen worden. De impact van elk datalek wordt aanzienlijk verminderd.

In het Yivi-model zou een datalek bij Odido er zo uitzien:

  • Hackers krijgen toegang tot het CRM-systeem
  • Ze vinden: klantnamen, contactgegevens, contractinformatie, betaalhistorie
  • Ze vinden ook: “Klant X geverifieerd via Yivi met paspoort-credentials op [datum]”
  • Ze vinden niet: kopieën van paspoorten, paspoortnummers, BSN-nummers

Het verschil is enorm. Contactgegevens en contractinformatie zijn vervelend als ze lekken, maar ze leiden niet tot identiteitsfraude. Je hoeft geen nieuw paspoort aan te vragen. Je BSN circuleert niet op het dark web.

Waarom doen bedrijven dit niet al?

Als gedelegeerde identiteitsverificatie zo logisch is, waarom doen bedrijven het dan niet? Er zijn enkele praktische redenen:

“Zo hebben we het altijd gedaan”

Bedrijven zijn gewend om kopieën van identiteitsbewijzen te verzamelen. Het voelt als een stevige controle: je ziet het document, je bewaart het voor eventuele controles later. Maar die kopie dient na de initiële verificatie vaak geen echt doel meer. Het is security theater dat een vals gevoel van veiligheid geeft — en ondertussen een enorme aansprakelijkheid creëert.

De technologie bestaat, maar is nog niet mainstream

Yivi bestaat en werkt — gemeenten zoals Nijmegen gebruiken het al — maar het is nog niet de standaard. De meeste identiteitsverificatieprocessen zijn gebouwd rond documentkopieën. Overstappen vraagt aanpassingen aan bestaande systemen.

Het goede nieuws: dit is geen complete systeemvervanging. Bedrijven kunnen hun bestaande CRM en klantenbeheersystemen gewoon houden. Ze hoeven alleen het verificatieproces te veranderen: in plaats van een documentkopie uploaden, een Yivi-verificatie uitvoeren.

Wet- en regelgeving dwingt verandering af

De wind draait. De AVG vereist al dataminimalisatie — je mag alleen gegevens verzamelen die strikt noodzakelijk zijn. Het aankomende eIDAS 2.0-kader maakt EU Digital Identity Wallets verplicht. En na het Odido-debacle zal de druk op strengere regels rond het bewaren van identiteitsgegevens alleen maar toenemen.

Bedrijven die nu overstappen, lopen voor op regelgeving in plaats van erachteraan te hinken.

Wat kunnen organisaties nu doen?

Het mooie is dat dit geen revolutionaire systeemverandering vereist. Bedrijven kunnen hun klantendatabases gewoon houden — ze hoeven alleen het verificatieproces aan te passen.

1. Inventariseer wat je écht bewaart

Stel jezelf de vraag: welke identiteitsgegevens slaan we op, en waarom?

  • Hebben we kopieën van identiteitsbewijzen nodig na de initiële verificatie?
  • Waarom bewaren we paspoortnummers of BSN-nummers?
  • Wat zou er gebeuren als al deze gegevens morgen zouden lekken?

Vaak blijkt dat identiteitsgegevens worden bewaard “voor het geval dat” — zonder concreet doel.

2. Scheid verificatie van opslag

De kernoplossing: verifieer via Yivi, bewaar alleen het verificatieresultaat.

In plaats van:

  • “Kopie paspoort opgeslagen” → “Geverifieerd via Yivi (paspoort-credentials) op 4-3-2026”

Je klantenbeheersysteem blijft hetzelfde. Je voegt alleen een Yivi-integratie toe aan je onboarding-flow.

3. Begin met een pilot

Je hoeft niet alles tegelijk te veranderen. Begin met één use case:

  • Nieuwe klantregistratie
  • Identiteitsverificatie bij contractwijzigingen
  • Adresverificatie bij verhuizing

Bied klanten de keuze: traditionele verificatie of via Yivi. Meet de resultaten en breid uit.

Wat kun je als consument doen?

Als je weer eens gevraagd wordt om een kopie van je paspoort te uploaden, stel dan de vraag: “Waarom? Kunt u mij ook via Yivi verifiëren?”

Hoe meer mensen hierom vragen, hoe sneller bedrijven overstappen.

Download de Yivi-app en experimenteer ermee. Hoe meer mensen Yivi gebruiken, hoe aantrekkelijker het wordt voor bedrijven om het te ondersteunen.

Conclusie

Het Odido-datalek was geen onvermijdelijk lot. Het was het gevolg van een specifieke keuze: identiteitsverificatie doen door documenten te kopiëren en permanent op te slaan, in plaats van te verifiëren en alleen het resultaat te bewaren.

Met Yivi kunnen organisaties zoals Odido iemands identiteit verifiëren met volledige zekerheid — bewijzen dat iemand is wie hij zegt te zijn — zonder BSN-nummers of paspoortnummers op te slaan. De klantendatabase zou nog steeds namen, adressen, contracten en contactgegevens bevatten. Wat er niet in had gezeten: 5 miljoen kopieën van identiteitsbewijzen en de gevoelige identificatienummers die identiteitsfraude mogelijk maken.

De les is simpel: verifieer, maar bewaar niet.

Bedrijven die dit principe omarmen, beschermen niet alleen hun klanten, maar ook zichzelf. Geen identiteitsgegevens in je database betekent geen identiteitsgegevens die kunnen lekken.

De technologie bestaat. De vraag is alleen: wie durft er als eerste?

Meer informatie

Bronnen over het Odido-datalek: