Mark JansenOp 7 februari 2026 lekte bij telecomprovider Odido een databank met persoonsgegevens van 6,2 miljoen klanten. Sindsdien stromen er nepberichten van het CJIB — het Centraal Justitieel Incassobureau — massaal de e-mailinboxen in. Het bureau ontving in één week tijd maar liefst 5.200 telefoontjes van bezorgde burgers. Normaal zijn dat er enkele tientallen.
Wat er precies gestolen is
De hackers buitmaakten bij Odido een combinatie van gegevens die bijzonder waardevol is voor cybercriminelen: namen, e-mailadressen, fysieke adressen, bankrekeningnummers en kopieën van identiteitsdocumenten. Volgens beveiligingsonderzoekers die de zaak volgen — geciteerd door NOS op 18 maart 2026 — is het vrijwel zeker dat de gestolen Odido-data direct gebruikt wordt in de lopende phishingcampagne.
De opzet is slim: de e-mails zien eruit als officiële berichten van het CJIB, compleet met het logo en een professionele lay-out. Ze melden dat de ontvanger een verkeersboete openstaan heeft en deze binnen 24 uur moet betalen via een bijgevoegde link — anders volgen extra kosten. De urgentie is bewust gecreëerd om slachtoffers te laten klikken voordat ze nadenken.
Hoe u de nepmails herkent
Het echte CJIB verstuurt nooit betalingsverzoeken per e-mail, sms of WhatsApp. Alle officiële correspondentie verloopt uitsluitend per gewone post. Dit is een vaste gedragslijn van het bureau die al jaren geldt. Het CJIB bevestigde dit nogmaals in een verklaring op zijn officiële website.
Andere signalen die op phishing wijzen:
- Urgente betaaltermijn van 24 of 48 uur — officiële boetes geven altijd meer tijd
- Een link naar een onbekend domein — het CJIB gebruikt uitsluitend cjib.nl
- Verzoek om bankgegevens direct in te voeren — dat doet geen overheidsinstantie
- Persoonlijke details zoals uw naam of adres — deze kunnen uit het Odido-lek afkomstig zijn
Wanneer u zo'n mail ontvangt: klik niet op de link, open geen bijlagen en verwijder het bericht. Meld het via de Fraudehelpdesk (0800-0800, gratis).
Wat te doen als u al betaald heeft
Als u al heeft geklikt of betaald, handelt u het best zo snel mogelijk:
1. Blokkeer uw bankrekening. Neem onmiddellijk contact op met uw bank via het officiële nummer op de achterkant van uw betaalpas. Leg uit wat er is gebeurd — banken hebben protocollen voor phishingslachtoffers.
2. Doe aangifte bij de politie. Online aangifte is mogelijk via politie.nl. Bewaar alle bewijsstukken: de ontvangen e-mail, betalingsbevestiging en eventuele screenshots.
3. Meld het bij de Fraudehelpdesk en AP. De Autoriteit Persoonsgegevens (AP) registreert meldingen van datalekken en phishing. Uw melding helpt anderen te beschermen.
4. Controleer uw kredietwaardigheid. Met gestolen identiteitsgegevens kunnen criminelen leningen of abonnementen op uw naam afsluiten. Services als Kredietregistratie Bureau (BKR) bieden inzage.
De juridische positie van slachtoffers
Hier wordt het interessant: omdat de gestolen data afkomstig zijn van Odido, heeft het bedrijf mogelijk een aansprakelijkheid tegenover getroffen klanten. Onder de AVG (Algemene Verordening Gegevensbescherming) zijn bedrijven verplicht persoonsgegevens adequaat te beveiligen. Een datalek van deze omvang kan aanzienlijke boetes van de AP opleveren — maar ook de mogelijkheid voor individuele slachtoffers om schadevergoeding te claimen.
Als u als gevolg van het lek financieel schade heeft geleden (door phishing, identiteitsfraude of onterechte schuldinvorderingen), kunt u overwegen juridisch advies in te winnen. Een specialist in IT-recht of privacyrecht kan beoordelen of u recht heeft op compensatie van Odido.
Via platforms als Expert Zoom zijn IT-beveiligingsexperts en juristen beschikbaar voor een online consult, zonder dat u naar een kantoor hoeft.
Wat kunt u preventief doen voor de toekomst?
Het Odido-datalek illustreert iets wat IT-beveiligingsexperts al jaren benadrukken: uw data is niet veiliger dan de zwakste schakel in de keten. U kunt uw eigen beveiliging versterken door:
- Unieke wachtwoorden te gebruiken voor elke dienst (gebruik een wachtwoordmanager)
- Tweefactorauthenticatie (2FA) in te schakelen voor e-mail en bankzaken
- Alert te zijn op onverwachte berichten met urgente betaalverzoeken, zelfs als ze uw naam bevatten
- Uw e-mailadres te controleren op Have I Been Pwned (haveibeenpwned.com) — een gratis dienst die laat zien bij welke datalekken uw adres is buitgemaakt
De Fraudehelpdesk meldt dat in de eerste maand na het Odido-lek al 400 tot 500 mensen per week belden met phishing-vragen. Verwacht wordt dat dit aantal de komende weken nog zal oplopen.
Waarom dit datalek ernstiger is dan het lijkt
Bij veel datalekken gaat het om e-mailadressen en wachtwoorden — vervelend, maar beheersbaar. Het Odido-lek gaat verder: doordat namen, adressen en kopieën van identiteitsbewijzen zijn buitgemaakt, kunnen criminelen uw identiteit vrijwel volledig nabootsen. Dat opent de deur naar zogeheten identiteitsfraude op grote schaal.
Identiteitsfraude houdt in dat iemand anders op uw naam een abonnement afsluit, een lening aanvraagt of zelfs strafbare feiten pleegt. Slachtoffers merken dit soms pas maanden later, als incassobureaus zich melden of als een kredietaanvraag geweigerd wordt. De schade herstellen kost gemiddeld tientallen uren aan bewijs verzamelen, formulieren invullen en telefoontjes plegen.
Controleer nu al uw kredietregistratie bij het BKR en houd de komende maanden uw bankafschriften extra goed in de gaten op onbekende afschrijvingen. Hoe eerder fraude wordt gesignaleerd, hoe beperkter de schade.
Disclaimer: Dit artikel is informatief van aard en vervangt geen juridisch of beveiligingsadvies op maat. Raadpleeg een professional voor uw specifieke situatie.
