Gestolen Odido-data gebruikt op sociale media en websites

In dit artikel:

De complete lek van Odido-klantgegevens heeft geleid tot het beschikbaar komen van data van ruim zes miljoen Nederlanders op het darkweb; delen van die informatie circuleren inmiddels ook op sociale media en op reguliere websites waar mensen kunnen checken of hun gegevens zijn gelekt. De dataset bevat gevoelige persoonsgegevens zoals adressen, paspoortnummers en bankgegevens, wat het risico op identiteitsfraude en doxing (het openbaar maken van iemands persoonsgegevens met intimiderende bedoelingen) sterk vergroot, waarschuwt het Openbaar Ministerie (OM).

Beveiligings- en juridische dilemma’s spelen: het downloaden, verspreiden of gebruiken van gestolen data is strafbaar, vaak als heling, maar de wet kent een uitzondering wanneer verwerking te goeder trouw in het algemeen belang plaatsvindt. IT-jurist Arnoud Engelfriet benadrukt dat de gegevens door een misdrijf zijn verkregen en dat verwerking problematisch blijft; hij vergelijkt het risico met het zelf “opgraven” van gevaarlijke stoffen en suggereert dat professioneel toezicht wenselijk is.

Als reactie op het lek bouwde ICT'er Joost Schuttelaar een checksite waarmee klanten kunnen nagaan of hun gegevens zijn gelekt. Hij zegt de blootstelling te beperken door persoonsgegevens te versleutelen en geen directe kopieën van e‑mailadressen of telefoonnummers op de site te bewaren. Engelfriet vindt de werkwijze ogenschijnlijk zorgvuldig, maar wijst erop dat juridische en morele vragen alleen een rechter definitief kan beantwoorden. De politie zelf heeft ook een officiële pagina beschikbaar gemaakt voor controles.

Daarnaast circuleren op X statistieken en analyses die uit de Odido-data zouden zijn afgeleid, onder meer met AI‑tools die achternamen koppelen aan etniciteit en (vermeende) fraudepatronen; zulke conclusies leiden tot racistische reacties en verhogen de kans dat data door derden nog verder verspreid worden. Engelfriet waarschuwt dat het gebruik van AI-bedrijven voor analyse betekent dat die partijen ook toegang tot de gestolen data krijgen, wat de zorgvuldigheid ondermijnt.

Het OM richt zich primair op opsporing van de hackers, maar sluit niet uit dat misbruik van de gelekte gegevens tegen individuele gebruikers wordt vervolgd. Sancties kunnen variëren van boetes tot maximaal een jaar gevangenisstraf, afhankelijk van de ernst en het doel van het gebruik.