odido datalek shinyhunters fraude identiteitsdiefstal 06-nummer privacy

Odido-datalek februari 2026: jouw 06 ligt bij criminelen — wat doe je nu

29 mei 2026 · privacydial.nl

In het weekend van 7-8 februari 2026 vond het grootste telecom-datalek in de Nederlandse geschiedenis plaats. De hackergroep ShinyHunters brak in bij Odido (de in 2023 gefuseerde T-Mobile + Tele2) en stal data van naar schatting 8 miljoen klanten. Toen Odido weigerde €1+ miljoen losgeld te betalen, dumpten de hackers eind februari de hele database online. Definitief bevestigd: data van 6,5 miljoen mensen — bijna 40% van de Nederlandse bevolking.

Als je in 2023-2026 klant was bij Odido, T-Mobile of Tele2 — en dat is statistisch zo’n 60% kans als je een 06-nummer hebt — dan staat jouw nummer, naam, adres, geboortedatum, en mogelijk je BSN + ID-scan in handen van criminelen die dat de komende jaren zullen verkopen, kopiëren en misbruiken.

Dit artikel legt uit wat er gebeurd is, wat het concreet betekent voor jou, welke stappen je vandaag kunt zetten, en welke rol een tweede telefoonnummer speelt in de schade-beperking.

Wat is er gelekt — precies

Per getroffen klant zit in de gedumpte database:

Volledige naam (voor- en achternaam zoals geregistreerd)
Woonadres met postcode
Geboortedatum
Klantnummer
Telefoonnummer (je actieve Odido/T-Mobile/Tele2 06 — bij sommigen ook eerdere nummers)
E-mailadres verbonden aan je account
IBAN-bankrekening voor de incasso

Bij ongeveer 5 miljoen van de 6,5 miljoen ook:

BSN-nummer
Identiteitsbewijs — paspoort, rijbewijs of ID-kaart inclusief scan/foto
Interne klantnotities van Odido-medewerkers (betalingsachterstanden, klantgeschiedenis, persoonlijke opmerkingen)

Voor ondernemers (zakelijke klanten) ook KvK-koppelingen.

Het concrete risico van een gelekt 06

Een gelekt telefoonnummer alleen klinkt overzichtelijk — wat kunnen ze ermee, je 06 belt iedereen al. Maar in combinatie met de andere gelekte data wordt het zwaar:

Risico 1 — Phishing met geloofwaardigheid

Crimineel belt je. Weet je naam, geboortedatum, IBAN, adres. Zegt “U spreekt met Pieter van Odido klantenservice. Op uw rekening eindigend op …4831 zien we een fraudepoging.” Geloofwaardig genoeg dat zelfs goed opgeleide mensen erin trappen. Het Nederlandse Fraudehelpdesk meldt voor maart 2026 een 150% stijging in phishing-melingen ten opzichte van januari.

Risico 2 — SIM-swap aanval

Met BSN + ID-scan + woonadres + telefoonnummer heeft een crimineel alles wat nodig is om bij je provider te bellen of een providerwinkel binnen te lopen en jouw nummer te laten overzetten naar een nieuwe simkaart. Vanaf dat moment ontvangt hij jouw 2FA-codes voor banken. Lees ons artikel over SIM-swap voorkomen voor preventie.

Risico 3 — AI voice-cloning op je netwerk

Combineer gelekte data (jouw naam + nummer + familienamen via OSINT) met een 3-seconden voice-sample uit je TikTok of voicemail, en een crimineel kan je moeder/partner bellen met een geklonen stem van jou. Lees ons artikel over AI voice-spoofing voor de details.

Risico 4 — Jarenlange spam vanaf wisselende nummers

Je nummer wordt herverkocht in dark-web markten en gebruikt voor automated spam-campagnes. Niet eenmalig — jaren lang. Je zult een toename merken in “0900”-belletjes, “marktonderzoek”, “verzekering”-calls, “Microsoft Support” en SMS-phishing.

Check: zit jij in het lek

Drie manieren:

Have I Been Pwned — haveibeenpwned.com → vul je e-mailadres in. ShinyHunters’ Odido-dump is geïndexeerd. Krijg je een hit, dan staat je e-mail in de breach.
Radar (Avrotros) check — radar.avrotros.nl heeft een speciale Odido-lek-checker waar je je telefoonnummer kunt invullen.
Brief van Odido zelf — Odido heeft betroffen klanten een melding gestuurd per post of e-mail tussen februari en april 2026. Geen brief gehad maar wel Odido-klant geweest 2023-2026: ga er sowieso vanuit dat je in het lek staat.

Wat moet je nu doen — 7 concrete stappen

1. Activeer SIM-swap blokkering bij je provider

Bel je huidige provider (Odido, KPN of Vodafone) en vraag expliciet om een porteer-PIN of klant-PIN. Zonder dat is een SIM-swap nu trivialer dan ooit. KPN noemt het “porteer-PIN”, Vodafone “klantnummer-blokkering”, Odido “veiligheids-PIN”.

2. Schakel SMS-2FA om naar app-gebaseerde 2FA

Banken, e-mail en sociale media werken bij voorkeur met authenticator-apps (Aegis, Google Authenticator, 1Password) of hardware-keys (YubiKey) in plaats van SMS-codes. Banken die alleen SMS-2FA bieden: minimaal de porteer-PIN.

3. Verander wachtwoorden van je e-mail, bank, hoofd-accounts

Vooral als je hetzelfde wachtwoord gebruikte voor je Odido-account en andere belangrijke diensten. Gebruik een password-manager (Bitwarden, 1Password).

4. Activeer fraude-monitoring bij je bank

ABN-AMRO, ING en Rabobank bieden gratis fraude-monitoring + transactie-alerts. Schakel SMS- en push-meldingen aan voor elke uitgaande overschrijving boven €100.

5. Meld bij Fraudehelpdesk dat je in het lek zit

Niet voor aangifte, wel als preventieve registratie. Fraudehelpdesk.nl houdt patronen bij en kan je waarschuwen als jouw data ergens herverkocht wordt.

6. Wees sceptisch over elke onverwachte telefonische contact-poging

Banken bellen nooit en vragen nooit om PINs, codes, of overschrijvingen via de telefoon. Politie belt niet om DigiD-codes. Hang op bij twijfel. Bel altijd terug op het bekende nummer (achterkant pinpas, officiële website).

7. Voeg een tweede nummer toe voor publieke contexten

Hier komt PrivacyDial in beeld. Je echte 06 is gelekt — daar is niets meer aan te veranderen. Maar je kunt vanaf nu een tweede nummer gebruiken voor alle nieuwe contexten: Marktplaats-advertenties, dating-apps, ZZP-website, klant-contact, online accounts. Je echte 06 verstop je weer naar de cirkel die het al heeft (familie, bank).

Hoe PrivacyDial helpt — en wat het niet kan

Wat het niet kan: je gelekte data weghalen van het internet. Dat is onmogelijk. Je naam, adres, geboortedatum, IBAN en oude 06 blijven jaren circuleren in criminele markten.

Wat het wel doet: een vers +31 97-nummer aan jou toewijzen dat niet in het Odido-lek staat. Het is een schone start voor je nieuwe digitale leven.

Concreet gebruik post-lek

Marktplaats / Vinted — adverteer met je 097, niet meer met je 06
Tinder / Bumble / dating — wisselende matches krijgen je 097, niet je echte nummer
ZZP-website / visitekaartje — klanten contacten je via 097
Online accounts en webshops — geef je 097 voor SMS-verificatie waar mogelijk
Verkoop koophuis / auto — tijdelijk nummer voor de tijd dat de advertentie loopt, daarna weg

Je echte (gelekte) 06 gebruik je alleen nog voor: familie/vrienden, bank, DigiD, werkgever. Daar hoort het. Hoe minder je 06 verspreidt, hoe minder kans dat hij ook nog in toekomstige lekken belandt — het Odido-lek is niet de laatste.

Vervangen na lek

Komt je 097 ook ergens onaangenaam terecht — bv. een dating-app match wordt stalker — dan wissel je ‘m voor €2 om in je dashboard. Nieuwe 097, oude is weg, gelekt nummer kan niemand meer bereiken. Onmogelijk bij een KPN/Vodafone/Odido-abonnement zonder honderden euro’s en weken porteer-werk.

De grotere les

Het Odido-lek is geen toeval. Het is een patroon. Adidas (2020), Booking (2021), Marktplaats (2022), GGD (2021), KPN (2024), Mediamarkt (2023), Odido (2026) — een lijst die elk jaar langer wordt. De vraag is niet of je data lekt, maar wanneer en hoe vaak.

De enige verdediging die werkt: scheid je risico-blootstelling. Houd je echte 06 voor mensen die het écht moeten weten. Gebruik een wegwerpbaar tweede nummer voor alles wat publiek of semipubliek is. Als dat tweede nummer ooit lekt, gooi je het weg en neem je een nieuw.

PrivacyDial begint bij €3,99/mnd. Geen tweede simkaart, geen tweede telefoon. Setup in 30 seconden.

→ Activeer een fresh tweede nummer

→ Hoe het werkt

→ Lees: AI voice-spoofing en het Odido-lek

→ Lees: SIM-swap voorkomen na het lek

Veelgestelde vragen

Wat is er precies gebeurd bij het Odido-datalek?

In het weekend van 7-8 februari 2026 wisten hackers van de groep ShinyHunters in te breken in systemen van Odido (de gefuseerde T-Mobile + Tele2). Ze maakten data van naar schatting 8 miljoen klanten buit. Toen Odido weigerde €1+ miljoen losgeld te betalen, dumpten de daders eind februari de complete database online. Definitief bevestigd is data van ongeveer 6,5 miljoen mensen.

Welke gegevens zijn precies gelekt?

Per klant: naam, adres, geboortedatum, klantnummer, telefoonnummer (zowel je oude T-Mobile/Tele2 06 als bijbehorende nummers), e-mailadres, IBAN-bankrekeningnummer. Bij circa 5 miljoen klanten ook: BSN, ID-bewijs (paspoort, rijbewijs of ID-kaart inclusief scan), en interne klantnotities van Odido-medewerkers (betalingsachterstanden, persoonlijke omstandigheden).

Hoe weet ik of mijn gegevens in het lek zitten?

Check via Have I Been Pwned (haveibeenpwned.com) op je e-mailadres — Odido-data is daar geïndexeerd. Voor uitgebreidere check ook bij Radar (Avrotros) en via Authority Persoonsgegevens. Als je in 2023-2026 Odido/T-Mobile/Tele2-klant was, ga ervan uit dat je in het lek staat.

Wat is het concrete risico van een gelekt telefoonnummer?

Vier hoofdrisico's: (1) gerichte phishing-belletjes — criminelen weten al je naam, adres en bank, klinken supergeloofwaardig; (2) SIM-swap aanvallen — met je BSN + ID kunnen ze bij providers nummers laten overzetten; (3) AI voice-cloning op je netwerk (zie ons artikel daarover); (4) jaren spam-bellen vanaf wisselende nummers door verkoop in dark-web data-markten.

Kan ik mijn 06-nummer wijzigen na het lek?

Ja, bij elke NL-provider. Kosten: KPN ~€18, Vodafone ~€20, Odido ~€25. Nadeel: je moet al je contacten, banken, DigiD, werk en abonnementen informeren. Praktisch een dag werk. Voor publieke contexten (Marktplaats, dating, ZZP-website) raden we juist aan een tweede nummer toe te voegen — dan blijft je 06 voor familie/bank en heb je een ander nummer voor risico-blootstelling.

Helpt PrivacyDial tegen de gevolgen van het Odido-lek?

Voor het verleden niet — gelekte data is gelekt. Voor de toekomst wel: een PrivacyDial-nummer is een vers +31 97-nummer dat niet in het Odido-lek staat. Geef dat aan nieuwe contacten (Marktplaats-kopers, dating-matches, klanten) — zij hebben dan geen toegang tot je 'oude' gelekte 06. Je echte 06 verstop je weer naar familie/bank-only.

Moet ik aangifte doen of melden bij Autoriteit Persoonsgegevens?

Odido heeft zelf melding gedaan bij de AP en bij betroffen klanten een brief gestuurd. Eigen aangifte bij politie is alleen zinvol als er concrete schade is (transacties op jouw naam, ontvreemd geld). Voor preventie: meld bij Fraudehelpdesk dat je in het lek zit, vraag SIM-swap-blokkering aan bij je provider, en activeer ID-monitoring bij je bank.

Wat is een SIM-swap blokkering en waarom is die nu extra belangrijk?

Een SIM-swap blokkering is een PIN/wachtwoord bij je provider die nodig is voor elke nummer-wijziging of porteren. Sinds Odido-lek staan je BSN + ID + nummer op straat — alles wat een crimineel nodig heeft om jouw nummer over te laten zetten en je 2FA codes te onderscheppen. Bel je provider en vraag expliciet om een porteer-pin (KPN/Vodafone/Odido bieden dit allemaal aan).

Worden mijn gegevens ooit nog weggehaald van het internet?

Nee. Eenmaal in criminele dataset blijft het daar circuleren — verkocht, gekopieerd, herverdeeld in dark-web markten. Wettelijk recht op vergetelheid (AVG art 17) werkt niet tegen criminelen die zich niet bekend maken. Wat je wel kunt: nieuwe lekken voorkomen door bewuster te zijn met welk nummer je waar achterlaat.

Klaar om je privacy te beschermen?

Echt +31 nummer, direct actief. Vanaf €4,99/mnd · incl. BTW.

Bekijk pakketten →

← Terug naar blog