Op 1 maart publiceerde de hackersgroep ShinyHunters de volledige dataset van Odido op het darkweb. Gegevens van 6,5 miljoen personen en 600.000 bedrijven liggen nu open en bloot op internet. Namen, adressen, IBAN nummers, geboortedatums, paspoortnummers en zelfs BSN nummers van zzp'ers. Maar het echte gevaar van dit datalek zit niet in wat er gestolen is. Het zit in wat criminelen er straks mee gaan doen.
Eén datalek is pas het begin
Veel mensen denken bij een datalek aan een lijstje met namen en e-mailadressen dat ergens op het darkweb rondzwerft. Vervelend, maar niet het einde van de wereld. Die gedachte is begrijpelijk, maar gevaarlijk onjuist. Want criminelen gebruiken gestolen data niet als losse puzzelstukjes. Ze leggen puzzels.
Het proces heet dataverrijking. Criminelen kopen of downloaden datasets van verschillende datalekken en koppelen die aan elkaar. Een e-mailadres dat bij Odido is gestolen, duikt misschien ook op in het lek bij de GGD uit 2021, waar medische gegevens en BSN nummers van 6,5 miljoen Nederlanders op straat lagen. Of in een oud lek van LinkedIn, waar werkgevers en functies in stonden. Of in een breach bij een webwinkel, waar bestelgeschiedenis en wachtwoorden waren opgeslagen.
Door al die losse gegevens aan elkaar te knopen ontstaat er iets veel gevaarlijkers dan een enkel datalek ooit kan zijn: een compleet digitaal profiel van een persoon. Naam, adres, geboortedatum, telefoonnummer, bankrekeningnummer, paspoortnummer, werkgever, medische achtergrond, online accounts en wachtwoorden. Alles bij elkaar.
Hoe criminelen profielen bouwen
Het klinkt ingewikkeld, maar de werkwijze is verrassend eenvoudig. Een e-mailadres of telefoonnummer dient als sleutel. Criminelen zoeken in honderden gelekte databases naar matches. Overal waar hetzelfde e-mailadres opduikt, voegen ze de bijbehorende gegevens samen. Zo groeit een profiel stap voor stap.
De complete profielen worden in het criminele jargon "fullz" genoemd, een afkorting van "full information". Een fullz bevat alles wat nodig is om iemands identiteit over te nemen: naam, adres, geboortedatum, BSN, bankgegevens en vaak ook beveiligingsvragen en wachtwoorden. Op het darkweb worden deze pakketten verhandeld voor bedragen tussen de 20 en 130 dollar per stuk, afhankelijk van hoe compleet ze zijn.
Hoe goed deze criminele industrie werkt, bleek in 2019 toen onderzoekers een onbeveiligde server ontdekten met 1,2 miljard verrijkte profielen. Vier terabyte aan data, samengesteld uit sociale media, publieke registers en eerdere datalekken. Dat waren geen gestolen databases, het waren bewust opgebouwde digitale dossiers. Uit onderzoek bleek dat de gemiddelde waarde van alle gegevens van een persoon op het darkweb rond de 1.090 euro ligt. Genoeg om er een bloeiende handel op te bouwen.
Waarom Odido data extra waardevol is
Niet alle datalekken zijn gelijk. Het lek bij Odido is voor criminelen uitzonderlijk bruikbaar als bouwsteen voor dataverrijking. De combinatie van IBAN nummer, geboortedatum en paspoortnummer is vrij uniek en heel veel geld waard op het darkweb. En dat is precies wat er bij Odido gestolen is.
Telecomproviders bewaren namelijk een bijzonder brede mix van gegevens. Ze hebben je identiteitsbewijs nodig voor contracten, je bankgegevens voor de facturen, en je contactgegevens voor de dienstverlening. Bovendien is een telefoonnummer tegenwoordig een sleutel tot vrijwel al je online accounts. Van je bank tot je DigiD, overal wordt je mobiele nummer gebruikt voor verificatie en herstel. Wie dat nummer bezit samen met je andere gegevens, heeft de sleutel tot je digitale leven.
Consultant PwC Nederland waarschuwde in een analyse over het Odido lek dat "terwijl een enkel persoonlijk record beperkte mogelijkheden biedt voor fraudeurs, de combinatie van meerdere identificatoren het potentieel voor misbruik aanzienlijk vergroot." Simpeler gezegd: elk extra gegeven dat criminelen toevoegen aan een profiel vermenigvuldigt de schade die ze ermee kunnen aanrichten.
Wat criminelen met verrijkte profielen doen
Met een compleet profiel kunnen criminelen vrijwel alles doen wat normaal alleen jijzelf kunt. Het meest directe gevaar is gerichte phishing. Een oplichter die je naam, klantnummer, IBAN en provider kent, kan een bericht sturen dat vrijwel niet van echt te onderscheiden is. "Beste [naam], we hebben een onregelmatigheid geconstateerd op uw rekening eindigend op [laatste vier cijfers]. Neem contact op via dit nummer." Dat is geen generieke spam meer, dat is een persoonlijke aanval.
Maar het gaat verder dan phishing. Criminelen kunnen met je gegevens abonnementen afsluiten, leningen aanvragen of bankrekeningen openen op jouw naam. Ze bellen helpdesks en beantwoorden de beveiligingsvragen feilloos, want ze kennen je geboortedatum, je adres en je klantnummer. Sommige criminelen gaan nog een stap verder en combineren echte gegevens uit meerdere lekken tot volledig nieuwe, synthetische identiteiten. Die zijn zo intern consistent dat ze zelfs kredietcontroles doorstaan.
Er is nog een minder bekend maar minstens zo verontrustend risico. Criminelen gebruiken verrijkte data om zogenaamde sukkellijsten samen te stellen. Door gegevens te combineren identificeren ze makkelijke doelwitten: ouderen, mensen met betalingsproblemen of personen die al eerder slachtoffer werden van fraude. Die lijsten worden doorverkocht aan andere fraudeurs, die weten dat deze mensen het kwetsbaarst zijn.
Kwetsbare groepen in extra gevaar
Bij het Odido lek kwam een bijzonder pijnlijk detail aan het licht. In de tweede publicatie van gestolen data bleken klantennotities te zitten met informatie over stalking door partners, personen onder bewindvoering en mensen met een geheim adres. Minstens vijf personen met een geheim adres konden worden geïdentificeerd. Veilig Thuis noemde het "bizar en enorm zorgwekkend", want de fysieke veiligheid van deze mensen is nu direct in gevaar. En dan zijn er nog de duizenden gestolen identiteitsbewijzen die na eerdere ransomware aanvallen op Nederlandse bedrijven op het darkweb zijn beland. Het Odido lek voegt daar miljoenen records aan toe.
Er is nog een risico dat de meeste mensen niet zullen bedenken. Vijandige inlichtingendiensten kopen dit soort databases op om politici, overheidspersoneel en medewerkers van energiebedrijven en havens te traceren en te profileren. Dat dit geen theorie is, bleek toen gegevens van 41 Nederlandse parlementariërs op het darkweb opdoken. Vanuit mijn achtergrond bij de politie weet ik hoe gevoelig dit ligt. Voor mensen in functies bij de politie, gemeente, defensie of andere overheidsinstanties is het risico van dataverrijking daarom nog groter dan voor de gemiddelde burger.
AI maakt het erger
Wat het allemaal nog urgenter maakt, is de rol van kunstmatige intelligentie. Waar criminelen voorheen handmatig databases moesten doorzoeken en koppelen, kan AI dat proces nu razendsnel automatiseren. Modellen getraind op gelekte datasets kunnen patronen herkennen, profielen aanvullen en zelfs voorspellen welke gegevens bij welke persoon horen. De Federal Reserve Bank of Boston waarschuwde in 2025 al dat generatieve AI de groei van synthetische identiteitsfraude flink versnelt.
PwC formuleerde het zo: "De toename van openbare of gelekte informatie, gecombineerd met de snelle groei van de mogelijkheden van AI, versnelt en formaliseert deze pogingen alleen maar." Dataverrijking is geen ambachtelijk werk meer. Het is een geautomatiseerde industrie geworden.
Wat je nu moet doen
Het goede nieuws is dat je niet machteloos bent. Op onze pagina Ben je slachtoffer van een datalek? vind je een compleet stappenplan met alles wat je nu kunt doen om jezelf te beschermen. Van het controleren van je BKR registratie tot het beveiligen van je DigiD en het aanvragen van een fraudewaarschuwing.
Maar onthoud vooral dit: het feit dat iemand je naam, IBAN of geboortedatum kent, is geen bewijs dat diegene echt is. Criminelen gebruiken juist die bekendheid om je vertrouwen te winnen. Ga nooit in op onverwachte berichten die om actie vragen, hoe overtuigend ze ook klinken. Bel zelf het officiële nummer als je twijfelt.
Een lek dat nooit meer dicht gaat
Het Odido datalek is voorbij in de zin dat alle data nu gepubliceerd is. Maar de gevolgen beginnen nu pas. De gegevens van miljoenen Nederlanders circuleren op het darkweb, worden gecombineerd met andere lekken en omgebouwd tot complete digitale dossiers. Dat proces stopt niet. Over zes maanden, over een jaar, zelfs over vijf jaar zullen deze gegevens nog gebruikt worden voor fraude, oplichting en identiteitsdiefstal.
Neem het serieus. Loop de stappen hierboven door. En deel dit artikel met mensen die denken dat een datalek ze niet raakt. Want juist die mensen zijn straks het makkelijkste doelwit.
► Lees ook: Gehackt bij Odido: wat criminelen nu over jou weten en wat je moet doen
► Lees ook: Wat is identiteitsfraude?
► Lees ook: De donkere handel in gestolen reisdocumenten
► Lees ook: Hoeveel ben je waard op het darkweb?
► Lees ook: Tips om jezelf te beschermen