Odido account beveiligen na datalek 2026: 2FA, wachtwoord en phishing

Odido account beveiligen na het datalek van 2026: dit zijn de concrete stappen om je account te beschermen, tweefactorauthenticatie (2FA) in te schakelen, je wachtwoord te wijzigen en phishing-mails te herkennen die uit naam van Odido worden verstuurd. Begin 2026 werden de persoonlijke gegevens van 6,5 miljoen Odido-klanten gestolen via een aanval op een medewerkerssysteem. Hier lees je wat er precies is gelekt en wat jij nu moet doen.

Wat is er bij Odido gebeurd?

In februari 2026 maakten aanvallers via phishing en social engineering toegang vrij tot het CRM-systeem (klantenbeheersysteem) van Odido. Ze logden in via gecompromitteerde medewerkeraccounts en omzeilden extra verificatiestappen door medewerkers te bellen als “IT-ondersteuning”.

De gelekte dataset bevat voor miljoenen klanten:

• Naam, adres en woonplaats
• Telefoonnummer en e-mailadres
• Geboortedatum
• Rekeningnummer (IBAN)
• In sommige gevallen: identiteitsdocumentnummers (paspoort/rijbewijs)

Wat is NIET gelekt: wachtwoorden van Mijn Odido en bankpinnen. De wachtwoorden waren versleuteld opgeslagen en niet toegankelijk voor de aanvallers.

Stap 1: Controleer of je gegevens zijn gelekt

Ga naar haveibeenpwned.com en voer je e-mailadres in. Als het Odido-datalek verschijnt in de resultaten, zijn jouw gegevens definitief onderdeel van het gelekte bestand.

Odido heeft ook een eigen informatiepagina: odido.nl/veiligheid. Hier vind je actuele informatie over het incident en stappen die Odido zelf heeft ondernomen.

Stap 2: Wachtwoord wijzigen in Mijn Odido

Ook al zijn wachtwoorden niet gelekt, is het een goed moment om je wachtwoord te vernieuwen — zeker als je hetzelfde wachtwoord ook op andere sites gebruikt.

1. Ga naar mijn.odido.nl
2. Log in en ga naar Mijn gegevens → Wachtwoord wijzigen
3. Kies een nieuw wachtwoord van minimaal 12 tekens: mix van letters, cijfers en symbolen
4. Gebruik dit wachtwoord nergens anders — gebruik een wachtwoordmanager zoals Bitwarden (gratis) of 1Password

Stap 3: Tweefactorauthenticatie (2FA) inschakelen

2FA voegt een extra beveiligingslaag toe: naast je wachtwoord heb je ook een tijdelijke code nodig om in te loggen. Zelfs als iemand je wachtwoord kent, kan hij niet inloggen zonder die code.

1. Log in op mijn.odido.nl
2. Ga naar Mijn gegevens → Beveiliging → Verificatie in twee stappen
3. Kies tussen sms-verificatie of een authenticatie-app
4. Aanbevolen: authenticatie-app (veiliger dan sms, want sms kan worden onderschept via SIM-swapping). Gebruik Google Authenticator, Microsoft Authenticator of Aegis (open-source)
5. Scan de QR-code in de authenticatie-app en voer de zescijferige code in om de koppeling te bevestigen

Stap 4: Phishing-mails herkennen na het datalek

Nu criminelen over je naam, e-mailadres en telefoonnummer beschikken, verwacht een toename van gerichte phishing-aanvallen. Ze sturen berichten die lijken te komen van Odido, je bank of de overheid.

Kenmerken van phishing-mails na het Odido-lek

• Het bericht verwijst naar het datalek en beweert dat je snel moet handelen om schade te beperken
• Er staat een link in naar een nep-Odido-site (let op het domein: odido.beveiligen.nl is NIET van Odido)
• Je wordt gevraagd je wachtwoord, pincode of identiteitsbewijs “te verifiëren”
• De mail is gepersonaliseerd met jouw naam en adres — criminelen gebruiken gelekte data om geloofwaardiger over te komen

Gouden regels bij twijfel

• Klik nooit op links in mails of sms’jes over het datalek — ga altijd handmatig naar odido.nl via je browser
• Odido vraagt nooit per mail om je wachtwoord, pincode of identiteitsdocumenten
• Bel bij twijfel de klantenservice van Odido op het officiële nummer: 1200
• Meld verdachte mails via valse-email@odido.nl of via fraudehelpdesk.nl

Stap 5: Bankrekening bewaken

Omdat IBAN-nummers zijn gelekt, kunnen oplichters proberen incasso’s in te stellen of jouw rekeningnummer te misbruiken.

• Controleer dagelijks je bankafschriften op onbekende afschrijvingen
• Stel transactiemeldingen in via je bank-app: je krijgt dan direct een pushmelding bij elke betaling
• Onbekende incasso’s mag je altijd terugboeken via je bank, dit is wettelijk geregeld (SEPA terugboekrecht)
• Neem contact op met de Fraudehelpdesk (fraudehelpdesk.nl / 088 786 7689) als je verdachte activiteit ziet

Stap 6: BKR-registratie controleren

Met jouw persoonlijke gegevens kan iemand een creditcard of lening aanvragen op jouw naam. Controleer je BKR-registratie:

1. Ga naar mijnbkr.nl
2. Maak een account aan en verifieer je identiteit via DigiD
3. Bekijk welke kredietregistraties op jouw naam staan
4. Zie je een onbekende registratie? Neem contact op met de crediteur én de politie

Stap 7: Identiteitsfraude melden en voorkomen

Meld je preventief bij het Centraal Meldpunt Identiteitsfraude (CMI) via rijksoverheid.nl/cmi. Dit is een gratis melding die helpt bij het bewijs leveren als er later fraude met jouw identiteit wordt gepleegd. Zorg ook dat je paspoort of rijbewijs geldig is en laat een gestolen identiteitsdocument direct blokkeren via loket.nl.

Veelgestelde vragen over het Odido-datalek

Ben ik automatisch getroffen als ik Odido-klant ben?

Niet alle klanten zijn getroffen. Het lek heeft 6,5 miljoen personen geraakt, maar Odido heeft meerdere miljoenen klanten. Check je status via haveibeenpwned.com of wacht op een persoonlijk bericht van Odido aan getroffen klanten.

Kan ik schadevergoeding eisen van Odido?

Er loopt een massaclaim via CUIC (Collectief Verhaal Datalekken). Je kunt je gratis aanmelden op hun website. De uitkomst is afhankelijk van de juridische procedure, die meerdere jaren kan duren. Odido heeft aangegeven mee te werken aan het onderzoek.

Is mijn wachtwoord gelekt?

Nee, wachtwoorden zijn versleuteld opgeslagen en waren niet toegankelijk voor de aanvallers. Odido heeft dit bevestigd. Toch is het verstandig je wachtwoord te wijzigen als je het al langer dan een jaar niet hebt aangepast.

Wat is het verschil tussen sms-2FA en een authenticatie-app?

Sms-2FA is kwetsbaarder: criminelen kunnen je sims verwisselen (SIM-swapping) en zo jouw sms-codes onderscheppen. Een authenticatie-app genereert codes lokaal op je telefoon en is niet afhankelijk van de telefoonlijn — daardoor veiliger.

Hoe herken ik een nep-Odido-website?

Controleer altijd het volledige webadres: de officiële website is odido.nl of mijn.odido.nl. Subdomeinen als “odido-beveiliging.nl”, “odido-support.eu” of “mijnodido.net” zijn nep. Kijk ook naar het slotje (HTTPS) — maar let op: ook nepsites hebben tegenwoordig HTTPS. Het beste signaal is het domein zelf.

Moet ik aangifte doen als ik phishing heb ontvangen?

Heb je alleen een phishingmail ontvangen maar er niet op gereageerd? Dan is aangifte niet nodig. Heb je wél persoonlijke gegevens ingevuld of geld overgemaakt? Doe dan direct aangifte bij de politie (politie.nl/aangifte-of-melding) en informeer je bank.