DPD zet net als PostNL e-mailadres ontvanger in barcode op pakketten

DPD verwerkt het e-mailadres van ontvangers waar mogelijk in de 2d-barcode op pakketten. Onlangs ontdekte een Tweakers-gebruiker dat PostNL in sommige gevallen hetzelfde doet. Volgens critici zorgt dit voor een onnodig privacyrisico.

DPD laat aan Tweakers weten dat de vermelding van het e-mailadres nodig is voor het 'logistieke proces': "Het pakketlabel, inclusief de barcode, wordt alleen gebruikt binnen een gesloten operationeel proces voor sortering en bezorging. De gegevens op het label gebruiken we alleen voor de uitvoering van de levering en de bijbehorende communicatie met de ontvanger, en niet voor andere doeleinden."

Volgens de van oorsprong Duitse pakketbezorgdienst staat het e-mailadres niet standaard in 2d-barcodes, omdat er in veel gevallen geen e-mailadres van de ontvanger bekend is. DPD zou liever vaker het e-mailadres van ontvangers ontvangen, omdat dit de communicatie over een levering verbetert.

PostNL licht 2d-barcode verder toe

Onlangs ontdekte een tweaker dat PostNL onversleuteld onder meer het e-mailadres van de ontvanger in de 2d-barcode van pakketten verwerkt. In het oorspronkelijke bericht werd deze barcode de 2d-matrixcode genoemd. Het pakketbedrijf zegt dat dit niet klopt. Het gaat om een andere QR-codeachtige barcode op pakketten.

PostNL benadrukt dat de 'overgrote meerderheid' van de pakketten geen 2d-barcodes met een vermelding van het e-mailadres van de ontvanger heeft. Ook DPD bevestigt aan Tweakers dat er soms een e-mailadres in de 2d-barcode wordt verwerkt.

De postdienst stelt dat alle pakketten een 3S-streepjescode hebben. Alleen 'bij bepaalde diensten' wordt een 2d-barcode aan het pakket toegevoegd. PostNL wil niet zeggen welke extra diensten dat zijn, maar benadrukt dat het gaat om diensten naast het bezorgen van pakketten.

PostNL 2d-barcode matrix — Ter illustratie is hier een afbeelding te zien van een andere 2d-barcode van PostNL, de matrixcode voor partijpost.

Gevolgen voor klanten

Op het forum was veel discussie over de gevolgen van het verwerken van het e-mailadres van de ontvanger door postbedrijven. Volgens critici is het onnodig dat dit op het pakket staat, of in elk geval onversleuteld uit te lezen is. Dit zou phishingrisico’s met zich meebrengen. Volgens PostNL is de antiphishingcode een van de maatregelen tegen dit risico.

Anderen stellen dat het voor kwaadwillenden niet werkbaar is om op grote schaal gegevens uit pakketlabels te verzamelen, omdat deze in principe niet openbaar beschikbaar zijn. In het verlengde daarvan spreekt DPD over zijn 'gesloten operationele proces'. Verder staan veel gegevens, waaronder het bezorgadres en de naam, standaard al op labels.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Yannick Spinner

Redacteur

Feedback • 26-02-2026 12:36 44

26-02-2026 • 12:36

Lees meer

Tweaker ontdekt e-mailadres in 2d-barcode pakketjes, PostNL start onderzoek

Tweaker ontdekt e-mailadres in 2d-barcode pakketjes, PostNL start onderzoek Nieuws van 16 februari 2026

PostNL werkt aan landelijk netwerk van openbare laadpleinen voor vrachtwagens

PostNL werkt aan landelijk netwerk van openbare laadpleinen voor vrachtwagens Nieuws van 30 december 2025

PostNL test advertenties in app onder kleine groep gebruikers

PostNL test advertenties in app onder kleine groep gebruikers Nieuws van 19 juni 2024

PostNL introduceert antiphishingcode voor e-mails

PostNL introduceert antiphishingcode voor e-mails Nieuws van 4 juni 2024

Meer producten en artikelen

Economie en maatschappij Privacy PostNL Qr-code

IT-banen

Meer vacatures

Reacties (44)

44

44

15

1

0

23

Wijzig sortering

jadjong 26 februari 2026 12:47

Vooralsnog kunnen beide bedrijven niet aangeven waarom er een emailadres op het fysieke pakket nodig is?

System @jadjong • 26 februari 2026 12:51

Mijn inziens simpel nochtans.
Als uw zending overgedragen wordt aan een ander leverbedrijf zit alle data in die bar code en kan de nieuwe leverancier melding sturen naar de geadresseerde.
Want track en trace is bedrijfsgebonden en niet overdraagbaar.

Dit heeft simpelweg een heel praktische reden.

thomas_n @System • 26 februari 2026 12:56

Dat andere leverbedrijf zou die melding ook gewoon aan DPD/PostNL kunnen sturen, zodat het oorspronkelijke bedrijf je track/trace updates kan blijven sturen. Dan heb je als klant maar met één bedrijf te maken en hoeft je e-mailadres niet aan onnodig veel partijen gegeven te worden. Dat lijkt me eenvoudig genoeg en beperkt het risico op lekken van persoonsgegevens.

[Reactie gewijzigd door thomas_n op 26 februari 2026 12:56]

@thomas_n • 26 februari 2026 13:10

Dat lijkt mij heel onhandig. Dan zit je continue te communiceren met de buitenlandse leverancier. Hoe wil je dan bv de bezorgdatum/Tijd verzetten, een pakketpunt selecteren, etc?

BLACKfm @SunnieNL • 26 februari 2026 13:22

Hoezo onhandig en voor wie? Binnen de post zijn dit gewoon allemaal automatische processen. De postbode heeft meestal het tuinhekje nog niet achter zich dichtgetrokken of ik heb al een mailtje binnen uit China dat mijn pakket is bezorgd. Daar is echt helemaal niemand druk mee.

vrow @BLACKfm • 26 februari 2026 13:36

Ja, in bepaalde gevallen is het allemaal gekoppeld maar ik kan me ook voorstellen dat niet alle aanbieders zijn aangesloten op datzelfde computersysteem en daarom soms toch het mailadres in de code moet.

Ik bedoel, het zal ergens voor nodig zijn anders deden ze het niet.

BLACKfm @vrow • 26 februari 2026 14:46

Moeten? Als je die gegevens niet hebt heb je ze ook niet nodig. Elk pakketje komt aan met enkel een postcode en een huisnummer, meer informatie hebben ze niet nodig.

Er is geen enkele partij in het transportprocess die baat heeft bij de e-mail van de verzender of ontvanger.

Een webshop kan gewoon een referentiecode gebruiken welke werkt binnen de systemen van de verzendbedrijfen en alle informatie die daar aan gekoppeld is kan daar aan gekoppeld worden. De webshop kan op deze manier de klant informeren, de partij waar je in eerste instantie akkoord bent gegaan.

Koop je een digitaal verzendlabel dan kan het zijn dat die informatie bij postnl is, maar als die het dan weer uitbesteden zie ik geen enkele noodzaak dat een derde partij hierin óók dat e-mail adres nodig heeft.

Ik kan 0 scenario's bedenken waarom dit noodzakelijk is. Genoeg die handig zijn, maar niet noodzakelijk.

Postnl, of welke initiële verzender ook, kan ipv 'gebruiker@domein.nl' ook een uniek ID gebruiken. Als je als derde partij wilt samenwerken met PostNL (e.d.) dan moet je gewoon voldoen aan hun administratieve systeem.
Voldoe je niet? Dan moet niet PostNL gaan verzinnen 'Oh, dan plaatsen wij die informatie wel in een QR code zodat iedere partij die informatie ook heeft'.

Ik ben niet zo argwanend, maar als ik via de communicatiekanalen van tweakers.net of marktplaats communiceer zit ik er niet op te wachten dat de andere partij dan via een label op mijn pakketje er via PostNL achter komt wat mijn privé e-mail adres is of wellicht zelfs het retouradres (huisadres).

En hoe datalekken tegenwoordig de media inkomen zie ik onder-onder-onderaanemer-de-zzper-postbezorger nou niet bepaald een hele beveiligde infrastructuur optuigen zodat de database aan verzamelde e-mail adressen en mogelijk gekoppelde naam en adresgegevens straks niet weer op het darkweb zijn te vinden.

thomas_n @vrow • 26 februari 2026 14:49

Ja, in bepaalde gevallen is het allemaal gekoppeld maar ik kan me ook voorstellen dat niet alle aanbieders zijn aangesloten op datzelfde computersysteem en daarom soms toch het mailadres in de code moet.

Ik bedoel, het zal ergens voor nodig zijn anders deden ze het niet.

Het zal vooral de goedkoopste oplossing zijn, maar als dat extra privacyrisico's met zich meebrengt is het waarschijnlijk niet de beste oplossing en mogelijk zelfs niet wettelijk toegestaan.

Antiloop @SunnieNL • 26 februari 2026 13:12

Inderdaad als je iets vanuit NL naar DE stuurt met PostNL dan wordt deze in Duitsland door een 3e partij afgeleverd

Het zou dan gek zijn voor de Duitse ontvanger dat deze communicatie voo aflevering vanuit PostNL krijgt, wat voor hun waarschijnlijk onbekend is en als spam wordt aangezien

William_H @Antiloop • 26 februari 2026 13:31

Natuurlijk krijgt die Duitse klant een mail van de Duitse post..

Wat is er moeilijk aan API's die met elkaar praten. Is toch niks nieuws.

Antiloop @William_H • 26 februari 2026 13:42

dat zal vooraf al gecommuniceerd zijn denk/hoop ik

bij ons staat het duitse track en trace nummer al direct op het PostNL label namelijk

dus de API's zullen prima werken, mijn bericht ging om de opmerking over track&trace informatie an sich vanuit de originele partij

beeldbuijs @William_H • 26 februari 2026 14:28

De realiteit kennende zijn het knelpunt zijn, dat postbedrijven nou eenmaal fanatieke concurrenten van elkaar zijn en daarom vooral niet gaan samenwerken, al was het alleen al om die concurrent niet van jouw handel te laten profiteren.

Ik snap dat ook wel, want stel dat je concurrent op een dag een falende server heeft of zelfs bewust de api eenzijdig aanpast, dan werkt jouw bezorgdienst ook niet meer. Bedrijven zijn hier terecht beuzig van.

Z80 @System • 26 februari 2026 13:23

En waarom zou een sub vervoerder de melding moeten versturen? Zij kunnen een status melding doen aan de opdrachtgever. En via die weg ook een melding richting verzender/ontvanger.

Het is weer een extra punt om data te verzamelen. Een echte naam en bestaand adres aan een e-mail adres koppelen.

@System • 26 februari 2026 13:28

eh, ik ken geen zendingen waar het ene leverbedrijf het pakje overdraagt aan een ander, je hebt post.nl gekozen en je pakje wordt geleverd door DHL ... wat? uitterst verwarrend en een recept voor fouten. Dit lijkt mij geen casus.

Thijn41 @tw_gotcha • 26 februari 2026 13:39

Dan heb je blijkbaar nog nooit iets in het buitenland besteld, bijvoorbeeld uit China. De eerste stap tot in Nederland wordt door het postbedrijf in China gedaan. Vervolgens wordt dat pakket overgedragen aan PostNL, en die stuurt je vervolgens een mail wanneer ze voor de deur staan.

Raymond Deen @Thijn41 • 26 februari 2026 13:56

De verzender van het pakje krijgt ook status updates, die dan via de originele verzendpartij bij ze terecht komen. Dan heeft de uiteindelijke vervoerder toch geen e-mail op het pakje zelf nodig om te communiceren met de ontvanger?

Dit is gewoon luiheid!

Amorac @tw_gotcha • 26 februari 2026 13:45

Vanuit het buitenland kan het wel zo gaan.

bijv als je iets besteld hebt uit China of America etc kan je het volgen via een transport bedrijf in land van herkomst en als het in Europa/Nederland aankomt kan je verder volgen met PostNL.

En heb al een keer meegemaakt dat een pakket uit Duitsland daar met DHL vervoerd werd en in Nederland met PostNL. (Al kan dat ook DPD of een andere dienst zijn geweest, is al een tijd geleden).

beeldbuijs @tw_gotcha • 26 februari 2026 14:32

Ooit was ik abonnee van MacAddict, een Amerikaanse uitgave. Dit maandblad kwam via Oostenrijk de EU binnen, ging dan naar Deutsche Post en viel uiteindelijk via TPG op de mat in Nederland.

phoenix2149 @System • 26 februari 2026 13:51

Daarvoor hoeft het nog steeds niet op een barcode te staan waaruit het gemakkelijk uitgelezen kan worden. Dit moet beter, anoniem en meer gesloten/versleuteld kunnen.

drdelta @System • 26 februari 2026 14:18

Waarom printen ze het dan ook niet op het label, als we dan toch praktisch gaan lopen doen?

The_Woesh @jadjong • 26 februari 2026 14:24

Om eerlijk te zeggen heb ik liever dat mijn email adres op het pakketlabel staat en niet in een digitale database van tnt/dpd. Zo kunnen ze mijn een update sturen als het pakket gescand word zonder dat ze het hoeven op te slaan.

Polydeukes 26 februari 2026 12:47

Tja, je postadres staat er gewoon plain text op, en ik heb nog nooit gehoord dat daar massaal misbruik van is gemaakt.

Jermak @Polydeukes • 26 februari 2026 12:51

Met je postadres kan je niet inloggen

, of een mail naartoe sturen

[Reactie gewijzigd door Jermak op 26 februari 2026 12:52]

Polydeukes @Jermak • 26 februari 2026 12:56

Een postadres is ook een persoonsgegeven waar misbruik van kan worden gemaakt. Mijn punt is dat ik niet eerder heb gehoord dat adressen op post of pakketten misbruikt zijn. Dus waarom zouden in een barcode verstopte e-mailadressen dit risico wel lopen?

thomas_n @Polydeukes • 26 februari 2026 13:00

Risicos met persoonsgegevens worden snel groter naarmate je meer persoonsgegevens over dezelfde personen kan combineren. Naam, adres, emailadres, geboortedatum, etc. zijn allemaal individueel niet erg risicovol, maar in combinatie wordt het risico op misbruik erg groot. Precies daarom zouden bedrijven altijd alleen die persoonsgegevens moeten verwerken, bewaren of delen die strict noodzakelijk zijn.

Mathi159 @Jermak • 26 februari 2026 12:56

Het telefoonnummer biedt dan weer wel mogelijkheden

Mijzelf @Jermak • 26 februari 2026 12:57

Waarom zou je geen post naar een postadres kunnen sturen?

Jermak @Mijzelf • 26 februari 2026 14:17

Probeer maar

Broud @Polydeukes • 26 februari 2026 12:52

Je postadres is noodzakelijk voor het bezorgen van pakketjes, een e-mailadres niet. Vrijwel alle persoonsgegevens, ook je fyiske en e-mailadres, zijn gevoelig voor identiteitsfraude. Zeker in combinatie met andere gegevens.

JP1980 @Broud • 26 februari 2026 13:14

Er valt prima een systeem te bedenken waarbij zelf adresgegevens overbodig zijn op een pakket. Een uniek nummer is alles wat je nodig hebt om de rest uit een database te trekken.

Ja dat heeft praktische consequenties vooral voor de bezorger. Ik vermoed dat in de rest van het logistieke proces niet eens gebruik gemaakt wordt van het adres op het pakket.

Je zou ook alleen het huisnummer op het pakket kunnen zetten. Bij aflevering scant de bezorger het pakket en als hij op de verkeerde straat zit maar wel bij het juiste huisnummer kan de app van de bezorger waarschuwen dat dit pakket niet bij dat huis hoort.

William_H @JP1980 • 26 februari 2026 13:34

Sterker nog. Postcode en huisnummer is in principe genoeg. Alleen niet handig voor de postbode.

moonlander 26 februari 2026 12:49

Ga naar een random pakketpunt, en je ziet daar pakketten liggen met naam en adres gegevens + afzender. Soms liggen die pakketten gewoon in winkels onder tafels waar iedereen gewoon ook bij kan. Dit vind ik erger dan een mailadres in een barcode.

Of dat op een pakketlabel duidelijk te zien is dat het pakket verzekerd verstuurd is. Waarom? Dat nodigt alleen maar uit om dit pakket te "verliezen".

[Reactie gewijzigd door moonlander op 26 februari 2026 12:52]

Rnej 26 februari 2026 12:49

Dat het voor kwaadwillenden niet werkbaar is om op grote schaal die gegevens te achterhalen is niet relevant lijkt me. De gegevens van 1 pakket dat er als iets duurs uit ziet kan al de moeite zijn.

Zo heb ik wel eens bij een pakketpunt gevraagd of het handig was om mijn volledige naam op een pakket te schrijven dat na een bezorgpoging daar was afgeleverd, en dus zonder ID afgehaald kon worden. Ze zagen niet in waarom dat een probleem was.

ICM gelekte gegevens van... Ik noem maar wat, de Odido hack , kunnen kwaadwillenden ook vast iets met maar 1 e-mail adres....

Franckey 26 februari 2026 12:55

Ze kunnen natuurlijk ook het e-mailadres tijdelijk opslaan in hun systeem en het daaruit ophalen op basis van de 3S-barcode, dus deze extra info op het pakket is volgens mij nooit echt nodig.

Freeaqingme 26 februari 2026 13:03

Vanaf heden publiceert het forum van Tweakers.net de emailadressen van de gebruikers in hun signature.

Tweakers laat aan Tweakers weten dat de vermelding van het e-mailadres nodig is voor het 'logistieke proces': "De forumpost, inclusief de signature, wordt alleen gebruikt binnen een gesloten operationeel proces voor moderatie en publicatie. De gegevens in de signature gebruiken we alleen voor de uitvoering van de publicatie en de bijbehorende communicatie met de lezer, en niet voor andere doeleinden."

Slaat dus nergens op. Het feit dat je zo'n barcode op een pakketje zet (die bij je buren terecht komt, pakketpunt, etc), maakt dat het geen gesloten proces meer is.

aidanl 26 februari 2026 13:08

Ik snap beide kanten van de discussie over de potentielle invloed van een mailadres in de bar/qr code. Ik snap alleen vanuit PostNL (en DPD) de redenatie niet. Technisch valt het allemaal af te dekken (notificaties aan ontvangers, inter-leverancier communicatie etc.) dat het achter de schermen gebeurt op basis van een pakket identificatie nummer en zou er (ongeacht hoe je tegen het gebruik van het mailadres op een poststuk) geen noodzaak zijn dit op te nemen in de bar/qr code.

De reactie dat het bijna niet gebruikt wordt, of dat het om een "gesloten operationele proces" gaat zijn naar mijn mening beide reacties die er omheen draaien en dus geen daadwerkelijk antwoord geven op de vraag: waarom wordt er, al dan wel soms, een emailadres in de code opgenomen?

Zebby 26 februari 2026 13:09

Je kan toch eenvoudig met API koppelingen de data ophalen als het echt nodig is voor bepaalde processen? Die scanners zijn allemaal verbonden met het internet. Lijkt me een onnodig gegeven anno 2026.

Dancing_Animal 26 februari 2026 13:15

Bedoelen ze met het gesloten proces het proces waarbij ze het pakket bij de buren brengen of in de centrale hal leggen?

thomas_n 26 februari 2026 12:51

"Het pakketlabel, inclusief de barcode, wordt alleen gebruikt binnen een gesloten operationeel proces voor sortering en bezorging. De gegevens op het label gebruiken we alleen voor de uitvoering van de levering en de bijbehorende communicatie met de ontvanger, en niet voor andere doeleinden."

In hoeverre is bezorging echt een "gesloten operationeel proces"? Voordat een pakket in handen van de ontvanger is kan het door heel erg veel mensen gezien of gefotografeerd worden, die echt niet allemaal DPD-medewerker zijn.

Om te kunnen reageren moet je ingelogd zijn