Het datalek bij Odido, waarbij persoonlijke gegevens van miljoenen klanten op straat zijn komen te liggen, is opnieuw een harde confrontatie met een ongemakkelijke waarheid: het is niet de vraag of je gevoelige gegevens worden gelekt, maar wanneer.
Voor een cybercrimineel is dit een goudmijn. Daarmee probeert die kwaadwillende een valse kredietaanvraag op jouw naam te doen of bestelt hij dure spullen naar een afhaalpunt. Binnen enkele weken kun je met schulden zitten of -op zijn minst- in een vervelende rompslomp belanden.
En toen bedacht ik me weer hoe makkelijk veel mensen hun gevoelige gegevens online (vaak zonder na te denken) weggeven. Terwijl veel van die gegevens helemaal niet nodig zijn.
Tijd voor een andere aanpak. Slimmer delen!
Bij de meeste bedrijven hoef je bijna niets te delen
Telecombedrijven zoals Odido moeten bepaalde gegevens verzamelen. Dat komt door wetten als de Telecommunicatiewet en EU-regels. Ze moeten je naam, adres en geboortedatum registreren om fraude te voorkomen en aan opsporingsverplichtingen te voldoen. Bij prepaid SIM-kaarten is vaak ook een kopie van je ID verplicht.
Bijna alle andere bedrijven, van kledingwinkels tot streamingdiensten, hoeven helemaal niet te weten wie je bent. Toch vragen ze vaak om je naam, adres, geboortedatum, telefoonnummer, en soms zelfs je geslacht of beroep. Maar dat is zelden nodig.
Webwinkels hebben alleen een bezorgadres en betalingsgegevens nodig. Je hoeft niet je echte naam of geboortedatum te geven. Gebruik een alias, een pakketpunt, of een pseudoniem. Abonnementen voor streaming, nieuwsbrieven of apps hebben vaak alleen een e-mailadres nodig. Loyaliteitsprogramma’s willen graag je geboortedatum, telefoonnummer en koopgedrag weten maar dat is voor henzelf, niet voor jou. Je kunt nee zeggen. De ellende van een datalek is die 5 euro korting niet waard.
Tijd voor een grote digitale schoonmaak
Het Odido-lek is een goede aanleiding om eens grondig op te ruimen. Hoe minder accounts en gegevens je online hebt staan, hoe kleiner de kans dat ze ooit gelekt worden.
Begin met het maken van een lijst van al je online accounts. Gebruik een wachtwoordmanager zoals Bitwarden, 1Password of KeePass om een overzicht te krijgen. Sluit accounts die je niet meer gebruikt, zoals oude webwinkels, forums, nieuwsbrieven, of sociale media die je niet meer bezoekt. Gebruik JustDeleteMe voor instructies per dienst.
Bij accounts die je wel houdt, controleer je welke persoonlijke gegevens er staan. Vervang je echte naam door een pseudoniem, gebruik een alias-e-mailadres, en verwijder onnodige gegevens zoals je telefoonnummer of geboortedatum. Schakel tweestapsverificatie in voor belangrijke accounts en controleer je privacy-instellingen.
Bonus: Gebruik een dienst als Have I Been Pwned om te checken of je e-mailadres in bekende datalekken voorkomt. Zo weet je welke accounts extra aandacht nodig hebben.
Wat nu als je klant bent bij Odido?
Als je klant bent bij Odido en je gegevens zijn gelekt, loop je risico op phishing, identiteitsfraude en oplichting. Wijzig direct je wachtwoorden, zeker als je hetzelfde wachtwoord elders gebruikt. Gebruik een wachtwoordmanager voor sterke, unieke wachtwoorden en schakel tweestapsverificatie in voor belangrijke accounts. Odido geeft aan dat er geen wachtwoorden gelekt zijn. Maar dit is sowieso verstandig om te doen na een datalek.
Controleer regelmatig je bankzaken op verdachte transacties en meld fraude direct bij je bank. Wees extra alert op phishingpogingen via e-mail, sms of telefoon. Klik niet op links en bel niet naar nummers in verdachte berichten.
Meld je aan voor een waarschuwingsdienst zoals Have I Been Pwned en overweeg een fraudewaarschuwing bij het Bureau Krediet Registratie (BKR). Vraag Odido om uitleg over welke gegevens precies gelekt zijn, hoe lang ze toegankelijk waren en wat het bedrijf doet om herhaling te voorkomen.
Gebruik voor nieuwe aanmeldingen e-mailaliassen, deel zo min mogelijk persoonlijke gegevens en gebruik een standaard ‘valse’ geboortedatum bij bedrijven waar dat kan.
Bedrijven: vraag alleen wat nodig is
Het is ongelofelijk kwalijk dat veel bedrijven hun klanten niet beter beschermen. Pas na een datalek komt er een actie (en die is vaak voornamelijk gericht op het beperken van reputatieschade).
Bedrijven hebben een verantwoordelijkheid. Minder data verzamelen betekent minder risico bij een datalek. Als een webwinkel alleen een bezorgadres nodig heeft, waarom dan ook om een telefoonnummer, geboortedatum en geslacht vragen?
Dataminimalisatie is het nieuwe uitgangspunt: vraag alleen wat echt nodig is voor de dienstverlening. Leg klanten uit waarom je bepaalde gegevens vraagt en geef ze de keuze om minder te delen. Als er een lek is, kun je zeggen: “Doordat wij alleen het strikt noodzakelijke opslaan, is de impact beperkt gebleven.” Dat is een boodschap die vertrouwen geeft.
Conclusie: bewuster delen, minder risico
Bij telecomproviders zijn sommige gegevens verplicht, maar bij de meeste andere bedrijven hoef je bijna niets te delen. Gebruik e-mailaliassen, wees kritisch, deel alleen wat echt nodig is, en doe regelmatig een digitale schoonmaak.
Want de vraag is niet of er nog een datalek komt. De vraag is: hoe erg zal het voor jou zijn?
