6,2 mln
Odido klantrecords
552.000
BSN-nummers gestolen
100 GB
Patiëntdata bedreigd
Februari 2026 · Telecomprovider · 6,2 miljoen klanten
Odido — datalek bij loginlaag
Naam, adres, telefoonnummer, e-mail, paspoortnummer en bankrekeningnummer gestolen. De loginlaag was direct gekoppeld aan contractdata.
⚠ Wat er gelekt werd — situatie 2026
- Naam + adresVolledig zichtbaar in klantsysteem
- Telefoonnummer + e-mailGekoppeld aan login-ID
- PaspoortnummerOpgeslagen als legitimatiebewijs
- BankrekeningnummerFacturatie aan login gekoppeld
- LogingeschiedenisIP-adressen, tijdstempels — leesbaar
✓ Met PrismPass — wat de aanvaller ziet
- Naam + adresStaat niet in de loginlaag
- Telefoonnummer + e-mailNooit opgeslagen bij authenticatie
- PaspoortnummerNiet aanwezig in loginlaag
- BankrekeningnummerGescheiden systeem, niet bereikbaar via login
- ZKP-token (eenmalig)Verlopen, onbruikbaar — geen koppeling mogelijk
Impact — werkelijkheid
6,2 miljoen klanten kwetsbaar voor identiteitsfraude, phishing en SIM-swapping.Impact — met PrismPass
Aanvaller vindt alleen verlopen tokens. Geen naam, geen adres, geen paspoort.Simuleer de aanval — wat zou jij gevonden hebben?
LAAG RISICO — PrismPass architectuur
Loginlaag bevat geen persoonsdata. Een lek levert alleen verlopen tokens op.
Bron: iPhoned.nl — Odido datalek, februari 2026 · Scenario is illustratief
Maart 2026 · Gemeente · ClickFix-aanval
Gemeente Epe — BSN en identiteitsbewijzen gestolen
552.000 bestanden gestolen via een ClickFix-aanval. Naam, adres, BSN, geboortedatum — van vrijwel alle inwoners.
⚠ Wat er gelekt werd — situatie 2026
- BSN (burgerservicenummer)Opgeslagen in loginlaag
- Naam + adres + geboortedatumVolledig profiel in één database
- Kopieën identiteitsbewijzenOpgeslagen als legitimatie
- BankrekeningnummersGekoppeld aan uitkeringsadministratie
- Koppeling inwoner ↔ dienstZichtbaar welke diensten per persoon actief zijn
✓ Met PrismID — wat de aanvaller ziet
- Inwoner-bewijs (ZKP)"Inwoner: ja" — geen BSN zichtbaar
- Naam + adres + geboortedatumNiet aanwezig in authenticatielaag
- Kopie identiteitsbewijsNooit opgeslagen — ZKP vervangt fysieke kopie
- BankrekeningnummerGescheiden systeem
- Koppeling dienst ↔ persoonOnzichtbaar — sessies niet te linken
Hoe PrismID dit oplost
De gemeente vraagt bij een aanvraag niet meer "wie ben jij?" maar "ben jij inwoner van Epe?" — en krijgt alleen dat antwoord. Het BSN blijft bij de inwoner.
Simuleer gemeentedienst — welke gegevens zijn écht nodig?
Selecteer een dienst — zie wat de gemeente nu opvraagt vs. wat PrismID volstaat.
Bron: epe.nl — Datalek gemeente Epe, maart 2026 · Scenario is illustratief
April 2026 · Zorgsoftware · Ransomware-aanval
ChipSoft — patiëntportalen platgelegd
Hackersgroep Embargo dreigde 100 GB patiëntdata te publiceren. Tientallen ziekenhuizen offline. De loginlaag en het medisch dossier waren direct gekoppeld.
⚠ Wat er risico liep — situatie 2026
- Login = toegang medisch dossierÉén inlogpunt voor alle gevoelige data
- Naam + geboortedatum + BSNIn portaal opgeslagen
- Diagnoses, medicatie, behandelhistorieBereikbaar via zelfde sessie als login
- Koppeling patiënt ↔ ziekenhuisZichtbaar bij welk ziekenhuis iemand bekend is
- VerzekeringsgegevensOpgeslagen voor facturatie
✓ Met PrismPass — wat de aanvaller bereikt
- Login = alleen sessietokenGeen koppeling naar dossier in loginlaag
- Naam + geboortedatum + BSNNiet in portaal-database aanwezig
- Diagnoses, medicatieLosstaand systeem — niet bereikbaar via portaal-lek
- Koppeling patiënt ↔ ziekenhuisOnzichtbaar — sessies zijn unlinkable
- VerzekeringsgegevensGescheiden — portaal heeft deze data niet nodig
Impact — werkelijkheid
Tientallen ziekenhuizen platgelegd. Patiënten konden niet inloggen. Dreiging: 100 GB aan medische dossiers publiek.Impact — met PrismPass
Portaallogin bevat geen persoonsdata. Een aanvaller vindt verlopen tokens — geen dossiers, geen namen, geen diagnoses.Simuleer het portaal — wat ziet de aanvaller bij een lek?
Bron: MAX Meldpunt — ChipSoft datalek, april 2026 · Scenario is illustratief