Tweaker ontdekt e-mailadres in 2d-barcode pakketjes, PostNL start onderzoek

Een tweaker deelt op het forum een manier om de 2d-barcode van PostNL-pakketlabels te decoderen. Daaruit blijkt dat naast het bezorgadres en de naam van de ontvanger ook het e-mailadres vermeld staat. PostNL start naar aanleiding van de ontdekking een onderzoek.

PostNL pakketPostNL laat in een statement aan Tweakers en de gebruiker op het forum weten dat de betreffende 2d-barcode wordt toegevoegd aan 'een erg klein gedeelte van de pakketten'. "Op het pakket staan gegevens die noodzakelijk zijn voor een correcte bezorging en om ontvangers proactief te informeren over hun zending." Het bezorgbedrijf zegt naar aanleiding van de melding over het e-mailadres te onderzoeken of er eventueel maatregelen nodig zijn.

E-mail in 2d-barcode

Tweaker Componix wist met een script de betreffende 2d-barcode, in dit geval een 2d-matrixcode, te decoderen. De informatie blijkt met het base64-codeerformaat gecomprimeerd en gecodeerd, maar niet versleuteld. Met een relatief simpel script kunnen gebruikers de in de matrix verwerkte gegevens decoderen en dus als platte tekst lezen. In de barcode staan verschillende persoonsgegevens:

  • Voor- en achternaam
  • Straatnaam en huisnummer
  • Postcode
  • Woonplaats
  • Datum
  • E-mailadres

PostNL zegt standaard een 3S-barcode te gebruiken, wat een conventionele barcode is. Daarnaast wordt in sommige gevallen een 2d-matrixbarcode gebruikt voor extra informatie. Daar staat het e-mailadres van de ontvanger ook in. Het is niet duidelijk in welke gevallen PostNL deze extra gegevens op het pakketlabel gebruikt.

PostNL 2d-barcode matrix

Gevolgen voor klanten

Op het forum is veel discussie over de gevolgen van het verwerken van het e-mailadres van de ontvanger. Volgens critici is het onnodig dat dit op het pakket staat, of in ieder geval onversleuteld uit te lezen is. Dit zou phishingrisico’s met zich meebrengen. Klanten zouden zich hier daarnaast niet van bewust zijn.

Anderen beweren dat het niet werkbaar is voor kwaadwillenden om op grote schaal gegevens uit pakketlabels te verzamelen, omdat deze in principe niet openbaar te verkrijgen zijn. Verder staan veel gegevens, waaronder het bezorgadres en de naam, standaard al op labels.

Door Yannick Spinner

Redacteur

Feedback • 16-02-2026 16:46
129 • submitter: CLB

16-02-2026 • 16:46

129

Submitter: CLB

Lees meer

PostNL werkt aan landelijk netwerk van openbare laadpleinen voor vrachtwagens
PostNL werkt aan landelijk netwerk van openbare laadpleinen voor vrachtwagens Nieuws van 30 december 2025
PostNL experimenteert met drie soorten robots, waaronder bezorghond
PostNL experimenteert met drie soorten robots, waaronder bezorghond Nieuws van 21 oktober 2025
Track-and-trace werkt niet bij PostNL vanwege storing - update
Track-and-trace werkt niet bij PostNL vanwege storing - update Nieuws van 25 september 2024
PostNL test advertenties in app onder kleine groep gebruikers
PostNL test advertenties in app onder kleine groep gebruikers Nieuws van 19 juni 2024
PostNL introduceert antiphishingcode voor e-mails
PostNL introduceert antiphishingcode voor e-mails Nieuws van 4 juni 2024
PostNL geeft 250.000 rolcontainers bluetooth-trackers om pakjes beter te volgen
PostNL geeft 250.000 rolcontainers bluetooth-trackers om pakjes beter te volgen Nieuws van 11 maart 2021
Meer producten en artikelen
Economie en maatschappij Privacy PostNL

Reacties (129)

-Moderatie-faq
129
128
55
0
0
54
Wijzig sortering

Sorteer op:

Weergave:
vDorst 16 februari 2026 16:51
Daarom haal ik altijd pakketdienst-label van de dozen voor dat ik ze buiten zet. Kan dat iig niet lekken op straat.
Reageer
bzuidgeest
@vDorst16 februari 2026 16:58
Want je adres is niet duidelijk door het feit dat de doos voor jou huis staat? Door jou word buitengezet? Er is niets in dat label dat niet al lang bekend is. Zelfs e-mailadressen zijn voor de meeste mensen zo te vinden (mogelijk niet voor jou).


Het label verwijderen klinkt mij als paranoia. Maar doe wat je wil. Het hindert ook niemand.
Reageer
densoN @bzuidgeest16 februari 2026 17:20
Dus als ik jou een adres geef kun jij mij voorzien van namen en emailadressen van de betreffende bewoners?
Reageer
svenk91 @densoN16 februari 2026 17:26
Het is nog niet zo gek lang geleden dat je naam, adres, en telefoonnummer van je hele stad jaarlijks op de mat ontving. E-mail is nieuw, maar het is niet vreemd de aanname te doen dat dat voor veel mensen ook wel te vonden is als ze ernaar zoeken.

Wat bizar is is dat wij voor veel zaken een paar van zulke gegevens kunnen opdreunen genoeg verificatie vinden voor van alles.
Reageer
Powerblast @svenk9116 februari 2026 17:38
Vroeger kon aangeven dat je niet in de gouden gids (zo noemde het in België althans) terecht wou komen. Dat werd dan ook veel gebruikt.
Reageer
ktorfs @Powerblast16 februari 2026 17:59
De Gouden Gids bevatte gegevens van bedrijven, de Witte Gids was die met de residentiële gegevens.
Reageer
Davey400 @Powerblast16 februari 2026 18:05
Ook in België was de Gouden Gids net zoals in in Nederland een commerciële bedrijvengids met deels betaalde advertenties.
Het reguliere ‘telefoonboek’ was volgens mij ‘De witte gids’.
Reageer
Standeman @svenk9116 februari 2026 17:44
Verschil is dat je voor een grote phishing campagne je 100.000 brieven moest uitprinten, in enveloppen moest doen, postzegel er op plakken en naar het postkantoor moest brengen. Geen enkele crimineel deed dit.

Nu kan dat met een lijst email adress binnen 10 minuten en drie keer klikken bij wijze van spreken. Heel veel criminelen doen dit nu.

Drempels waren toen heel veel hoger dan nu en dat maakt het niet vergelijkbaar.
Reageer
Wolfos @Standeman16 februari 2026 19:07
Er is hier in het dorp iemand die alle KVK-geregistreerde adressen handgeschreven brieven over Jezus stuurt. Dus het komt wel voor!
Reageer
Standeman @Wolfos16 februari 2026 19:43
Gekkies heb je altijd :)

Maar dat is vast geen poging tot phishing. Eerder "gewone" spam.
Reageer
William_H @svenk9116 februari 2026 17:43
Het is nog niet zo gek lang geleden dat je naam, adres, en telefoonnummer van je hele stad jaarlijks op de mat ontving.
En genoeg mensen die aangaven niet in het telefoonboek (geheim nummer) te willen staan. Die waren dan ook niet vindbaar in het telefoonboek.
Reageer
metalmania_666 @William_H16 februari 2026 20:23
Klopt. Daar was ik er 1 van :)
Reageer
Scriptkid @densoN16 februari 2026 17:25
waarschijnlijk wel.
Reageer
Gladiator5 @densoN16 februari 2026 19:39
Anno 2026 denk ik wel xD
bedankt odido :p

Flauw, maar ergens waar :)
Reageer
vDorst @bzuidgeest16 februari 2026 17:01
Nope het is een gezamelijk papier ophaal plaats.
Reageer
Kidtchow @vDorst16 februari 2026 17:36
Lekker voor de ophalers als het regent :) . Of zit er een afdak boven?
Reageer
bzuidgeest
@vDorst16 februari 2026 17:28
Maar ik kan toch kijken welke dozen jij buitenzet. De postbode kan toch noteren wat hij aflevert?
Reageer
Powerblast @bzuidgeest16 februari 2026 17:39
Met de postbode heb je op zich dan nog een zakelijke relatie. Als die gegevens gaat lekken heeft hij wettelijk gezien ook wat voor. Wat er daarna mee gebeurt is echter wat anders.
Reageer
Powerblast @bzuidgeest16 februari 2026 17:37
Je weet eigenlijk nooit waar een dergelijke doos verzeilt geraakt. Dat ze voor je deur staat is tijdelijk zeg maar. Daar kun je niet veel aan doen. Maar ik heb liever niet dat mijn gegevens "lekken" bij de afvalverwerker. Mijn inziens weinig verschil met dat je ook liever niet hebt dat diezelfde gegevens, naam, voornaam, adres, email enzovoort, digitaal zou lekken. Moest dat gebeuren zou het als datalek aanzien worden. Dus op zich weinig verschil met dit fysiek lek. Better safe than sorry :).
Reageer
sympa @Powerblast16 februari 2026 17:42
Ik kreeg de tip van een vriendelijke buurman, toen ik de doos van de monitor buiten zetten. "Haal wel je adreslabel eraf want anders lokt het inbrekers aan".

Uiteraard had ik dat al gedaan :)
Reageer
segil @sympa16 februari 2026 18:52
jaja... en het was niet bedoeld om te voorkomen dat "illegale" papierdumping niet meer te herleiden is naar de eigenaar? Want zo ken het ik namelijk. Mensen die het label verwijderen en zo ergens papier neerzetten waar het niet mag, omdat ze geen zin hebben verder te lopen.
Reageer
indigo79 @segil16 februari 2026 20:02
Bij ons kan je het papier ook gewoon buiten zetten op de juiste dag van de maand en dan is dat tegen de middag erna verdwenen. ;)
Reageer
ZinloosGeweldig @bzuidgeest16 februari 2026 18:07
Ja gelekte e-mail adressen zijn zo te vinden. Dat is dus een uitstekende reden om te proberen te voorkomen dat je e-mail adres lekt :).
Reageer
To_Tall @bzuidgeest16 februari 2026 18:48
Nou ja. Op sommige dozen staan logo’s en of andere verwijzingen naar een product.

Als jij nu bij de papierbak een mooie Apple iMac doos of een dure tv doos enz achterlaat bij oudpapier ophaal plekken.

Dan kan dat best een interessant plek zijn waar criminele data weg kunnen halen wat men zoal in huis zou hebben. En geeft ook wel bepaalde inzicht. Zo zal iemand die een dure reciever waarschijnlijk ook dure speaker hebben. Dus ja adres lables op pakketten bij oudvuil zetten is niet altijd heel handig.
Reageer
SprockerJock @bzuidgeest16 februari 2026 18:59
"Wij danken je voor het vertrouwen dat je in insert company name stelt en wensen je veel genot met je recent aangekocht insert device name.

Om er zeker van te zijn dat je lang van je insert device name kan genieten, willen we je eraan herinneren dat je je garantie kan verlengen tot 4 jaar door je toestel te registeren op volgende link: insert link"

Gelieve uit te leggen hoe je dit doet enkel met een doos buiten je huis.
Reageer
Linux gebruiker @bzuidgeest16 februari 2026 19:06
Want je adres is niet duidelijk door het feit dat de doos voor jou huis staat? Door jou word buitengezet? Er is niets in dat label dat niet al lang bekend is. Zelfs e-mailadressen zijn voor de meeste mensen zo te vinden (mogelijk niet voor jou).


Het label verwijderen klinkt mij als paranoia. Maar doe wat je wil. Het hindert ook niemand.
Tot er iemand jou wat flikt, door een oude doos met jouw pakketzegel misbruikt om afval te dumpen.
Reageer
Grauw @bzuidgeest16 februari 2026 21:04
Mijn moeder kreeg laatst bijna een boete van de gemeente Amsterdam omdat ze afval op straat had laten staan.

Maar mijn moeder woont helemaal niet in Amsterdam.

Bleek uiteindelijk dat een doos (met adreslabel) welke ze naar een tweedehandswinkel had gebracht in handen van een Amsterdammer was beland, welke hem vervolgens met afval op straat had gedumpt.

Was nog een heel gedoe om de ambtenaar te overtuigen en de boete te ontlopen.

Dus nee, het is niet paranoïde om labels te verwijderen of onleesbaar te maken.
Reageer
Llopigat
@bzuidgeest16 februari 2026 22:08
Ik doe het ook wel eens als ik bijvoorbeeld een doos heb van iets duurs, zeg een pakket van Apple of Samsung of Lenovo ofzo.

Als ik die dan naar de papiercontainer breng haal ik het label er af. Er wordt hier in de buurt megaveel ingebroken dus zeker iets om mee rekening te houden.

PS: Ik koop niet zoveel spullen maar ik krijg vaak dingen opgestuurd voor mijn werk om iets op te testen of te bouwen en dan gaat het daarna mee naar kantoor.

Soms zie ik bijvoorbeeld een doos van een hele dure TV naast de container staan (past er niet in en die mensen zijn te lui om het in stukken te snijden) en dan staat het adres er gewoon op, niet echt slim.

[Reactie gewijzigd door Llopigat op 16 februari 2026 22:09]

Reageer
Marve79 @vDorst16 februari 2026 16:55
Dat is wel heel aluhoedje vind ik, die moeite ga ik echt niet nemen. Ik bestel zoveel online dat zou wel heel veel werk zijn. Het is ook nog eens heel ver gezocht dat een hacker jouw doosje gaat fotograferen om je later een phishingmail te kunnen sturen.
Reageer
gitaarwerk @Marve7916 februari 2026 17:00
Dat valt eigenlijk wel mee. Ik ken veel mensen die hun adresgegevens verwijderen van labels of brieven als deze worden weggegooid.
Reageer
Blinkin @gitaarwerk16 februari 2026 17:04
Ik heb nooit anders gedaan idd. Meeste van mijn collega ICT'ers idem, laatst nog over gehad omdat er een collega was die dat niet deed en een lading verbaasde reacties kreeg. In mijn directe omgeving ken ik niet veel mensen die dit niet doen.
Reageer
Marve79 @Blinkin16 februari 2026 17:07
Maar waarom zou je dit doen. Je hebt toch gewoon een naambordje ook op je deur en naw gegevens zijn publiekelijk bekend.
Reageer
NicoHF @Marve7916 februari 2026 17:15
Zelf haal ik ook al mijn gegevens van post en dozen af.
Je weet namelijk nooit waar je afval beland en ik heb geen zin dat er ergens een vuilniszak of stuk karton ergens gaat rond zwerven en ik vervolgens handhaving of wat dan ook aan de deur heb, omdat er ergens een vuilniszak is meegenomen bv.
Ook voor de privacy hoeft niemand mijn gegevens op een poststuk te zien.
Zelfde geldt voor een naambordje, dat heb ik niet hangen bij mijn appartementencomplex.
Reageer
William_H @NicoHF16 februari 2026 17:47
Je weet namelijk nooit waar je afval beland en ik heb geen zin dat er ergens een vuilniszak of stuk karton ergens gaat rond zwerven en ik vervolgens handhaving of wat dan ook aan de deur heb, omdat er ergens een vuilniszak is meegenomen bv.
Precies dit! Regelmatig is er zwerfafval bij ons. Dus wordt er op gecontroleerd. Maar als je ziet hoe het papier uit de containers gehaald wordt, kan het ook gebeuren dat jou keurig ingeleverde karton zomaar op straat verschijnt. Met naam en toenaam. Dan heb ik ook liever niet handhaving (of hendhaving ;) ) aan m'n deur.
Zelfde geldt voor een naambordje, dat heb ik niet hangen bij mijn appartementencomplex.
Helaas hebben wij daar dan weer niks over te zeggen bij de intercom, staat wel gewoon een bordje met achternamen. Liever had ik dat niet gehad, maar om dat er nu weer te gaan afslopen (zit met klinknagels vast) ben ik nog niet zover gekomen.
Maar bij de voordeur van het appartement dan weer niet....
Reageer
SunnieNL @NicoHF16 februari 2026 20:16
Maar als je dat van alle post en dozen haalt en ze daarna niet in een vuilniszak doet, waar laat je die dan allemaal?
Reageer
NicoHF @SunnieNL16 februari 2026 21:48
In de papiervernietiger of ik knip ze in hele kleine stukjes en gooi ze in de vuilnisbak.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod @Marve7916 februari 2026 17:16
Een naambordje neemt af in populariteit volgens mij. Meer dan eens wordt de informatie daarop gebruikt bij bv een babbeltruc. Iemand aanspreken met bv de voornaam wekt vertrouwen, bijvoorbeeld bij kinderen. Als er geen echt nut is voor een naambordje adviseer ik die altijd achterwege te laten.
Reageer
Jerie @Bor16 februari 2026 17:28
In Duitsland wordt post niet bezorgd wanneer er geen (correct) naambordje hangt. Mijn tante (koude kant) moest na de dood van mijn oom zelfs haar meisjesnaam weer verplicht erop zetten.

Ik maak me er ook niet zo'n zorgen over. Iemand die mij target en een beetje best doet (we zitten bijv. allen in allerlei pastes), komt hier binnen, en kinderen zijn op allerlei manieren eenvoudig te verschalken.
Reageer
Llopigat
@Bor16 februari 2026 22:12
Ja ik had dit ook liever gehad maar net als @William_H geen zeggenschap over, dat wordt geregeld door de beheerders van het gebouw.

Overigens pak ik sowieso de deurtelefoon niet op als er iemand aanbelt en ik niemand of geen pakketje verwacht (pakketten haal ik sowieso bijna allemaal bij het postkantoor en Amazon of Cainao automaat). Het is bijna altijd bedelen, vage figuren die de lifthal binnen willen, uitschot van energiemaatschappijen enz.

[Reactie gewijzigd door Llopigat op 16 februari 2026 22:13]

Reageer
KillerAce_NL @Marve7916 februari 2026 17:12
Omdat je niet weet waar dit allemaal terechtkomt ? Is heel normaal denk ik hoor, de labels van dozen halen voordat je ze weggooit. Poststukken met mijn naam erop worden ook verscheurd.
Reageer
bwerg @Marve7916 februari 2026 17:22
Je hebt toch gewoon een naambordje ook op je deur
Nee? Naar mijn idee zijn er minder mensen zonder bordje dan met.

Maar daarbovenop: wel of geen naambordje kies je zelf, dat is een slecht excuus voor anderen om jouw gegevens publiek beschikbaar te maken.
Reageer
xxs @Marve7916 februari 2026 17:29
Nee hoor, hier geen naamplaatje, alle geadresserde labels/post gaat door een schredder. Plastic passen worden in stukken geknipt (eventueel dwars door een chip) en over 2 verschillende afvalstromen weggegooid.Nooit een vermelding in het telefoonboek gehad.

Noem mij maar $naampje maar ik probeer zelf iets aan data lekken te doen daar waar ik invloed uit kan oefenen.
Reageer
Blinkin @Marve7916 februari 2026 17:49
Naambordje op de deur? Nee nooit gehad.
Gewoon kwestie van privacy waarborgen. Ik weet dat er zat mensen zijn die 'niks te verbergen hebben'. Los van dat dat kul is, maar daar zal ik maar niet over beginnen, zijn er genoeg mensen die wel die moeite nemen om de kans op identiteitsdiefstal bijvoorbeeld te verminderen. Zoals anderen hier ook aangeven weet je niet waar het terecht komt.
Uiteraard zal dit een persoonlijke afweging zijn of het de moeite is. Ik zie het zelf niet als moeite. Het kost mij niet meer tijd dan afval scheiden.
Reageer
SilentLucidity @Marve7916 februari 2026 17:29
Iets met Appels en Peren
Reageer
terradrone @Blinkin16 februari 2026 17:37
Hier precies hetzelfde. En voor echte privédingen, bijvoorbeeld brieven van het ziekenhuis oid die privé info bevatten, die gaan eerst door de shredder, voordat ze bij het oud papier gaan. Eigenlijk zou iedereen een shredder moeten hebben. Denk ook aan lege verpakkingen van de apotheek met labels erop die privé info bevatten, poststukken van energieleveranciers, medische informatie van zorgbedrijven etc. Zulke documenten zet je toch niet zomaar aan straat??
Reageer
Blinkin @terradrone16 februari 2026 17:54
Nou daar noem je een goed voorbeeld. Medicijndoosjes met NAW gegevens ontdoe ik altijd eerst daarvan en gaan niet herleidbaar bij het oudpapier.
De papierversnipperaar is hier eigenlijk alleen voor de poststukken. Voor de rest gebruik ik hem niet.

Ik kan mij ook niet voorstellen dat je dit zo aan de weg zet. Blijkbaar is dat wel een ding.

[Reactie gewijzigd door Blinkin op 16 februari 2026 17:56]

Reageer
NicoHF @terradrone16 februari 2026 21:51
Gek genoeg ken ik er genoeg die dat dus wel zomaar weggooien en mij voor gek verklaren dat ik alles eraf haal en vernietig.
Reageer
supersnathan94
@gitaarwerk16 februari 2026 17:37
Alles gewoon verscheuren toch? Het enige wat ze van mij mogen hebben is het envelop venstertje. Die ga ik er helaas echt niet uit lopen priegelen.
Reageer
aadje93 @Marve7916 februari 2026 17:28
Probleem is, een boze buur pakt het verzend label van jou pakket, duwt het bij een lading vuilniszakken vol troep en gooit het op straat. Nu word jouw naam+ adres gekoppeld aan de afvaldumping en mag jij betalen voor ruimen, en bewijs maar is dat je het niet was als je eigen adres er tussen ligt.... Hier gaat alle geadresseerde materialen ook door de shredder inderdaad.
Reageer
ApexAlpha @aadje9316 februari 2026 17:50
Dit heeft de gemeente bij mij ook wel eens geprobeerd. Ik duw alles netjes weg in de propvolle container, als iemand anders het eruit trekt krijg ik de boete.

Dat houdt juridisch absoluut geen stand, gewoon direct counteren met 'bewijs dan' en dan seponeren ze de boete. Deze wanpraktijk van de overheid lijkt me ook niet een degelijk argument om nergens meet een naam + adres op te zetten.

[Reactie gewijzigd door ApexAlpha op 16 februari 2026 17:50]

Reageer
telenut @aadje9316 februari 2026 18:03
De boze buur kan ook gewoon een labeltje printen op zijn werk van wie hij wil pesten en dat er in steken...
Reageer
Navi @aadje9316 februari 2026 18:23
En hoe vaak is dat bij jou voorgekomen?
Reageer
Powerblast @Marve7916 februari 2026 17:24
Doe ik standaard ook eigenlijk. Werd mij zelfs aangeraden bij zo van die phishing trainings omdat die labels nogal wat info vermelden die je liever niet gecombineerd op een papiertje hebt staan. Doe dit eigenlijk al 20j zo🙂

[Reactie gewijzigd door Powerblast op 16 februari 2026 17:41]

Reageer
davince72 @Marve7916 februari 2026 17:25
prima hoe jij met privacy omgaat, maar ga niet beweren dat een ander vreemd is omdat die zijn privacy wel beschermt.
Reageer
Sjah @vDorst16 februari 2026 17:05
Huh? Hier word je geacht met je doos naar de kartoncontainer te slepen, en in stukjes erin te doen. Zoniet riskeer je een boete.
Reageer
bwerg @Sjah16 februari 2026 17:24
Welk afval je in een container moet doen en welke je aan straat mag zetten, in een kliko of in een doos, verschilt per gemeente.
Reageer
Jaïr.exe @vDorst16 februari 2026 16:54
Anders zet je letterlijk je gegevens op straat.
Reageer
Jeroen2611 @vDorst16 februari 2026 16:59
Niet alleen daar voor, maar ook als je per ongeluk ander soort verpakkingsmateriaal bij het oud papier zet, wat op die manier terug naar jou te herleiden valt.
Reageer
faim @vDorst16 februari 2026 17:22
En wat doe je er dan vervolgens mee? Verbrand je ze in de vuurkorf of gooi je ze vervolgens in diezelfde papiercontainer?
Reageer
xoniq @vDorst16 februari 2026 17:49
Het zijn tegenwoordig thermal labels, die je helemaal kunt uitwissen met een hitte pistool, strijkijzer, of zoals ik het doe, een aansteker langs mn naam en adres zodat dat zwart gemaakt wordt. Lichtjes erlangs is genoeg.
Reageer
NicoHF @xoniq16 februari 2026 18:22
Label lijkt zwart, maar de tekst is nog gewoon zichtbaar 's je er goed op kijkt, wellicht moet je er nog een lampje op schijnen.
Kan mij niet voorstellen dat mensen dat gaan doen,. Maar goed 100% is deze methode niet.
Reageer
Remzi1993 @vDorst16 februari 2026 17:32
Ik doe dat ook maar voor andere redenen die ik hier niet openbaar ga opnoemen.
Reageer
supersnathan94
@Remzi199316 februari 2026 17:50
Ik ben nou echt oprecht benieuwd. Zit hier nu al 15 minuten na te denken over mogelijke redenen. 🫠
Reageer
Sjah @supersnathan9416 februari 2026 21:24
Impertinente vraag, hij is daar toch duidelijk over...
Reageer
Romborum @vDorst16 februari 2026 19:54
Ach als odido klant ben ik al positief. Er staat namelijk geen banknummer of ID kaart nummer in...
Reageer
poing @vDorst16 februari 2026 21:06
Ik zet mijn dozen niet meer buiten want er zit inderdaad heel wat persoonlijke informatie in zo'n papier dozen (ik ga naar het container park).
Reageer
CH4OS @vDorst16 februari 2026 22:09
Dan zul je sowieso eerst een barcode scanner moeten hebben, een specifiek gedeelte uit de gescande code halen, dat je vervolgens door een stukje code moet halen. Daar krijg je dan een base64 encoded string uit (of dat is dat specifieke stukje al), dat je dan gemakkelijk kan laten decoderen. Goed, het is geen feilloze of foutloze beveiliging, het email-veld is daarnaast ook nog eens optioneel, maar zomaar lekken op straat is ook weer een andere uiterste, want dat is ook niet echt het geval.
Reageer
Jerie 16 februari 2026 16:54
Voor wie is het nodig dat de afzender en verzender bekend is? De vervoerder. Er zou niet eens een adres op hoeven te staan. Naam vervoerder plus hash (met parity) zou voldoende moeten zijn (hoewel de autoriteiten ook bij de DB moeten kunnen). Traditioneel zetten we NAW gegevens op post, maar bovenstaande zou een volwaardig alternatief zijn. In ieder geval hoeft er niet nog meer bij NAW gegevens, zoals telefoonnummers en email. Is me ook een doorn in het oog m.b.t. China bestellingen.
Reageer
wooha @Jerie16 februari 2026 16:55
Voor als de bezorger het in de hal van een appartementencomplex achterlaat.

Ah ik snap het: alleen de naam kan natuurlijk.

[Reactie gewijzigd door wooha op 16 februari 2026 16:58]

Reageer
Jerie @wooha16 februari 2026 17:29
Ze kunnen de hash delen met partijen. In een hal een pakket achterlaten is onverstandig maar op zich kan de bezorger dan het huisnummer er even opzetten met viltstift.
Reageer
Paul @Jerie16 februari 2026 21:21
Die hebben (en nemen) daar de tijd echt niet voor. Ze nemen al amper de tijd om aan te bellen, die gaan echt niet met een viltstift in de weer...
Reageer
Jerie @Paul16 februari 2026 21:23
Kost 5 seconden. Alternatief is dat ze het aan de deur moeten bezorgen in het apartment. Ik zou het wel weten.
Reageer
Paul @Jerie16 februari 2026 21:33
Ik ook, dat gaat mee terug naar het depot en overmorgen kun je het aan de andere kant van de stad ophalen op een punt dat 4 dagen per week 6 uur per dag open is.
Reageer
Jerie @Paul16 februari 2026 21:41
Dacht je? Als bezorgers dat flikken terwijl de klant thuis is, dan krijgt diegene van mij een klacht aan de broek. Zo gaan we in dit land niet om met bejaarden.
Reageer
moonlander @Jerie16 februari 2026 17:20
Tot het label net bij die barcode beschadigd is.. Wat best wel vaak voorkomt..
Dan heb je nog iets als 300 pakketjes in een busje liggen. Hoe ga je die sorteren.
En wat gebeurt er als jij een pakketje van de buren krijgt, dan weet je niet van wie dat is...
Reageer
Jerie @moonlander16 februari 2026 17:35
Daar heb je parity en redunancy voor, bovendien kun je het pakket openmaken en dan zit er een pakbon of rekening in. Vaak zetten vervoerders er nog allerlei andere barcodes op. Zolang enkel de vervoerder die kan relateren, is het OK.

Het geheel doet me een beetje denken aan deze talk van 2016: Where in the World Is Carmen Sandiego? Becoming a secret travel agent (en dit was niet de laatste talk over dit onderwerp, overigens ook niet de eerste ontdekking over dit probleem).
Reageer
ApexAlpha @Jerie16 februari 2026 17:16
Als je zo bang bent laat het gewoon naar een pakketpunt komen dan?
Reageer
Jerie @ApexAlpha16 februari 2026 17:40
Het gaat niet om jou of mij. Ik persoonlijk maak mij geen zorgen om mijn NAW gegevens. Omdat ik allang heb geaccepteerd dat deze gelekt zijn, en dat is vanaf de eerste keer dat ik begon met via internet pakketjes (in eind jaren '90, via eBay). Ook zijn we niet allen even goed ter been (mijn vrouw besteld pakketjes en boodschappen die ik niet anders dan bezorgd wil hebben), en pakketpunten hebben zo nadelen. Zo zijn ze niet altijd even veilig. Die kastjes hier bij het station schijnen makkelijk open te gaan. Volgens mij sluiten ze soms niet eens goed. Ik zou ze best willen proberen te kraken (gewoon voor de uitdaging), maar tegenwoordig durf ik dat soort dingen niet meer omdat ik bang ben voor represailles. Helaas voelen mensen met slechte bedoelingen die angst minder tot niet.

[Reactie gewijzigd door Jerie op 16 februari 2026 17:40]

Reageer
ApexAlpha @Jerie16 februari 2026 17:53
Ik snap dat pakketpunten nadelen hebben maar om nou te zeggen dat iemand iets naar je huis moet brengen maar niet mag weten waar het is is wel erg overdreven.

Vroeger stond dit allemaal in een groot boek.
Reageer
Jerie @ApexAlpha16 februari 2026 21:13
Huh? Iemand niet mag weten? Jawel, degenen die het moeten weten, mogen het weten. Anderen niet. Henk die bij sorteerbedrijf werkt of een tussenbedrijf hoeft het niet te weten. Sjaak die de trein rijdt, ook niet.

Laten we maar niet over vroeger beginnen. Ik loop al even mee. Vroeger had ik een geheim nummer. Volgens mij moest je zelfs betalen om in de gouden gids te staan. In ieder geval stonden wij niet in het telefoonboek, na een stalking incident.

Ook zet ik met regelmaat een nep telefoonnummer erin, maar nep email dat doe ik niet. Want ik wil best gecontacteerd worden per email over de bezorging. Niet per telefoon of SMS. Mijn tandarts heeft mij de afgelopen weken leuk gespamd of ik misschien eerder naar de mondhygienist wil...

Mijn moeder wooonde vijf jaar geleden nog in een huis en krijgt nog steeds scam calls voor haar oude huis om zonnenpanelen te nemen, terwijl ze nu in een gehuurd apartement woont.
Reageer
flaskk @Jerie16 februari 2026 17:17
En moet de postbezorger alle pakketen gaan scannen om de juiste te vinden? En als deze bij PostNL punt ligt?
Reageer
Jerie @flaskk16 februari 2026 17:31
Scanner van zo'n code is zo gedaan. De medewerker kan de barcodes naar NAW converteren. Bonus: je hebt logging welke medewerker deze lookups doet.
Reageer
flaskk @Jerie16 februari 2026 18:07
Ik heb ooit pakketen gereden, en lijkt mij bijna onuitvoerbaar iets, beetje drukke dag kreeg ik 180 stops met ongeveer 300 pakketen deze moet je dan zelf op straatvolgorde zetten.. Dan ga je niet elk pakket even rustig converteren met wat er op staat.


Daarnaast moet elk pakket toch bij afgifte gescand worden, dus je weet al welke medewerker het als laatste in handen heeft gehad.
Reageer
Jerie @flaskk16 februari 2026 19:36
Je hoeft het niet rustig te converteren. Je smartphone laat het in een overlay zien. Zelfs AR glasses (met HUD) kunnen het.

Wat betreft bezorging. Daar betalen we dan ook te weinig voor. Al is dat vooral omdat het snel geleverd moet worden, voor te weinig geld. Homerr laat zien dat met wat hogere latency en een endpoint in de buurt, de prijs flink omlaag kan. Je ziet nu ook al dat pakketpunt endpoint goedkoper is dan bezorging aan deur (en terecht).
Reageer
indigo79 @Jerie16 februari 2026 20:05
En dan moet die bezorger al die pakketjes scannen tot hij het juiste adres gevonden heeft waar hij het volgende pakketje moet afleveren. Want die weet wel ongeveer waar dat in zijn busje ligt, maar ook niet heel precies.
Reageer
TV_NERD 16 februari 2026 16:49
Haal dat emailadres eruit en de barcode bevat weer dezelfde data als de voor mensen leesbare sticker. Die stickers zijn niet op grote schaal te downloaden. Goed dat het aangekaart wordt maar hoop heisa om weinig imho.
Reageer
davince72 @TV_NERD16 februari 2026 17:30
Ik merk dat privacy mensen weinig meer doet. Het is gewoon niet normaal dat email adres op je pakket staat. Het is ook een AVG gegeven.
Dat postnl dacht ermee weg te komen doordat het in 2d code erop staat, maakt het niet ok. Diegene die dit bedacht heeft is geloof nalatig en heeft lak aan het beschermen van jouw gegevens.
Het gebeurd feitelijk stiekem, totdat ze betrapt worden.
Reageer
sdziscool @davince7216 februari 2026 18:02
ik meen me te herrineren dat de emails samen met naam, adres en paspoortnummer van zo'n 6 miljoen nederlanders op straat liggen op het moment, natuurlijk ook kut dat menig pakketbezorger mijn email kan inzien en daar misbruik van kan maken maar kan me ook voorstellen dat veel mensen hier wat minder om geven.
Reageer
wou5er @sdziscool16 februari 2026 18:10
dit is niet een kwestie om "om te geven", maar een kwestie uit principieel belang! Namelijk jou en onze privacy... als je beseft dat het anno 2026 een verdienmodel is!
Reageer
mvn23 @sdziscool16 februari 2026 18:18
Dit is natuurlijk een kul-argument. "Er zijn bosbranden in de Amazone dus dat er nu brand is in mijn keuken is even niet zo erg..."
Reageer
JDM33 16 februari 2026 16:50
Oeps dat lijkt me niet helemaal de bedoeling idd .

Gewoon uit interesse waarom zou die 2d-barcode niet gewoon naar een url verwijzen die deze info heeft? Dat lijkt mij toch makkelijker om deze informatie te beschermen (Qua authenticatie encryptie etc.)? Of is dit te kort door de bocht?
Reageer
youri_ajax @JDM3316 februari 2026 16:55
Een uniek id, waar de PostNL alleen iets mee weet te doen. Ik snap niet dat zulke problemen deze dagen nog aan het daglicht komen.
Reageer
Room42 @youri_ajax16 februari 2026 17:09
Dat is juist het probleem; Zelden werken er PostNL-medewerkers aan pakketjes. Dat zijn allemaal onderaannemers die voor PostNL rijden. Die steeds toegang tot de systemen geven zal waarschijnlijk meer gedoe opleveren.
Reageer
bzuidgeest
@JDM3316 februari 2026 16:59
Mogelijk voor routes met slecht mobiel bereik of zo? Plekken waar de postbode het anders niet kan krijgen die gegevens?
Reageer
rene_fb @JDM3316 februari 2026 17:03
waarom zou die 2d-barcode niet gewoon naar een url verwijzen die deze info heeft?
Omdat je je dan weer afhankelijk maakt van nog een systeem met weer een delay. Dit werkt mooi offline en is feite niet meer dan wat toch al op het paket staat, maar dan machineleesbaar. Op dat email adres na dan...
KISS...
Reageer
JayWheel 16 februari 2026 17:06
“De informatie blijkt met het base64-codeerformaat gecomprimeerd, maar niet versleuteld.”

Ehm, volgens mij is er bij base64 helemaal geen sprake van comprimering, alleen codering. Het neemt juist meer ruimte in (33%)dan de ongecodeerde text
Base64 is daarnaast altijd te decoderen zonder sleutel.

Verder niet een heel spannend iets lijkt me, maar info die niet strikt noodzakelijk moet je weglaten.

[Reactie gewijzigd door JayWheel op 16 februari 2026 17:08]

Reageer
Piemol @JayWheel16 februari 2026 18:26
Ik vind zelf dat er wel wat achtergrond informatie genoemd mag worden over het coderen. Maar zoals het er nu staat lees ik inderdaad ook wat foutiefs betreffende het comprimeren.
Reageer
Exception @JayWheel16 februari 2026 20:47
Als je tekst versleutelt en vervolgens naar base64 omzet, is het na terugzetten nog steeds versleuteld natuurlijk. Dat is wat er wordt bedoeld.

Je kunt een versleutelde string prima omzetten naar base64 en weer terug.

[Reactie gewijzigd door Exception op 16 februari 2026 20:51]

Reageer
Rainbow @JayWheel16 februari 2026 21:09
Dit blijkt wat verwarring te zijn over hoe het oorspronkelijke forumbericht is geïnterpreteerd. Als je die erbij pakt kun je zien dat de data in de barcode eerst is gecomprimeerd (met zlib) en daarna gecodeerd met base64 (om van de binary data tekst te maken).

Ik heb dit ook eventjes in het foutjes topic op het forum genoemd: Rainbow in "Meld hier spel- en tikfoutjes - en dus *geen* andere foutjes" e.v.
Reageer
MontyMole 16 februari 2026 17:24
Dus PostNL verwerkt het email adres in hun barcode en gaan nu onderzoeken waarom het email adres in hun barcode staat?
Reageer
Yippie 16 februari 2026 17:30
Het is al raar dat PostNL dit krijgt van de opdrachtgever. NAW is voldoende, en PostNL moet geen persoonlijke data opslaan die niet vereist is om de dienst te leveren tenzij je hier akkoord mee gaat om via de app je aankomende pakket en post te zien.

Vraag is dus hoe ze aan die informatie komen want mogelijk is naast PostNL ook de opdrachtgever (lees webshop) fout om dat te verstrekken.
Reageer
Robbierut4 @Yippie16 februari 2026 18:18
Dit inderdaad.


Ik had laatst iets op Aliexpress besteld. Dat wordt tegenwoordig bezorgd met GOFO (wat een kut bedrijf overigens). En daar belt de bezorger je voordat die in de buurt is, om te melden dat ie eraan komt.
Ik dacht echt wtf, hoezo belt iemand mij.
Reageer
Piemol @Yippie16 februari 2026 19:28
Ik krijg al enkele jaren statusupdates over mn pakketjes van Postnl.
Dat komt zeer waarschijnlijk omdat de verzender gewoon het systeem van Postnl gebruikt om geautomatiseerd verzendlabels aan te maken. Ze zullen dan wellicht, naast mailadres, ook het tel. nr. doorgeven. Niet per see omdat ze dat graag willen, "maar het werkt zo makkelijk" voor alle partijen.
Reageer
markg85 16 februari 2026 19:12
Lang leven security paranoia.

Normaal (of in andere gevallen) staan NAW gegevens ook gewoon op een pakje. Maar daar kan wat beschadigen wat het voor scanners onleesbaar maakt. En zo krijg je de barcode/qr/matrix/... die minder foutgevoelig is (er zit error correction in) en automatiseren makkelijk(er) maakt. En er dan wat extra gegevens inzetten kan om veel redenen (voor postnl zelf, niet voor jou als klant) dan best handig zijn.

In dit geval zou ik zeggen: haal dat email adres eruit en door met die code. Houd het makkelijk en simpel.

Alles waar gebruiker @Componix dan ook om zeurt in zijn "WAAROM IS DIT EEN PROBLEEM?" onderdeel van de post is dan ook op zijn minst overdreven sensatie. Encryptie/versleuteling, pff. Je heb geen idee hoe groot je barcode dan wordt. Direct versleutelen kan niet, er zal metadata omheen moeten die iets vertelt over de encryptie (zoals welke AES, HMAC, ...). Dus nee, alsjeblieft niet, houd het simpel!

Wat mij irriteert aan dit is het kleinst mogelijk niet helemaal juist verwerkte persoonsgegeven opblazen met zware termen als AVG en encryptie. Wat is het volgende, schermen met een rechtszaak omdat je de AVG aan jouw kant heb?
Reageer
flaskk 16 februari 2026 16:51
Ik denk dat dit ook beetje vergezocht is. Moet je als kwaadwillende bij de lokale Primera barcodes gaan fotograferen.
Reageer
Marve79 @flaskk16 februari 2026 16:53
Ver gezocht idd. Er zijn wel snellere, betere manieren voor hackers om aan email adressen te komen.
Reageer
Sleepkever @Marve7916 februari 2026 17:27
Email adressen, sure, daar zijn echt wel betere manieren voor.
Email adressen in combinatie met een (volledige) naam en woonadres voor bijvoorbeeld gepersonaliseerde phishing? Die zijn over het algemeen iets lastiger te vinden.
Reageer
sverzijl @Marve7916 februari 2026 17:02
Inderdaad, gewoon even bij Odido inloggen.
Reageer
Marve79 @sverzijl16 februari 2026 17:07
Haha idd ik dacht het jij zegt het.
Reageer
kodak
@flaskk16 februari 2026 18:32
Als we jou redenatie volgen is het ver gezocht dat er genoeg mensen zijn die interesse hebben in het onrechtmatig verkrijgen van persoonsgegevens. Maar voor je redenatie geef je geen enkele onderbouwing. Je negeert zelfs dat er niet voor niets wetgeving is die het verbied om andermans gegevens zonder behoorlijke grondslag te verwerken en zonder behoorlijke organisatorische en technische maatregelen te verwerken. Juist omdat het al te vaak is mis gegaan.
Reageer
flaskk @kodak16 februari 2026 18:49
Tja, in heb er een andere kijk op AVG. Liever dat op de doos mijn 06 en email staat dan niet. Want mocht pakket kwijt raken heb ik meer kans dat deze terug komt, of als de bezorger voordeur niet kan vinden.


Wat is het volgende een hond met een chip in zijn nek waar bepaalde gegevens opstaan? Moeten we dat ook niet aanpakken? Want dan zou iemand met een chip reader elke hond kunnen uitlezen en achterhalen welk mail adres zijn baasje heeft!
Reageer
kodak
@flaskk16 februari 2026 18:58
Dat is geen andere kijk op de avg. Dat is de basis en de eisen van de AVG negeren om persoonsgegevens te kunnen verwerken voor andere belangen zoals hoop op (tijds)winst. Belangen die niet bij wet vast liggen als een recht, laat staan belangrijker recht dan de plichten uit de avg.

Wettelijk is het mogelijk om andermans persoonsgegevens in de publieke ruimte te verwerken, maar dan is er uitdrukkelijke toestemming van de eigenaar nodig. Postnl controleert daar zo te lezen niet op. Postnl lijkt zelfs niet te controleren of de persoon of bedrijf dat de extra gegevens aanlevert daar wel toe gerechtigd is. En men is ook zo ontransparant dat ze zelf niet eens lijken te weten dat ze een persoonsgegeven publiek in die code verwerken, laat staan dat ze de eigenaar van het gegeven daarover geinformeerd hebben.

[Reactie gewijzigd door kodak op 16 februari 2026 18:59]

Reageer
CriticalHit_NL 16 februari 2026 16:50
Volgens mij heb ik ook wel eens pakketjes ontvangen, wellicht vanuit het buitenland, waar het E-mail adres gewoon plaintext erbij stond, maar dat ligt dan weer niet aan de postdienst zelf lijkt me.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq