Bunq lijkt Odido-slachtoffers gericht te benaderen met antifraudemails

Bunq benadert klanten die een abonnement op Odido hebben met tips over hoe ze veilig kunnen blijven na het datalek van vorige maand. Het is niet duidelijk op basis van welke gegevens de bank dat doet, maar het lijkt erop dat de bank weet wie klant is bij Odido of Ben.

bunq waarschuwing klantDat blijkt uit tips die Tweakers heeft ontvangen van users. Ook op het Tweakers-forum staan zulke berichten. Bunq stuurde in februari een e-mail naar klanten, toen bleek dat provider Odido gehackt werd. Bij die hack werden ook IBAN-gegevens buitgemaakt, die inmiddels ook door de aanvallers online zijn gezet.

Bunq stuurt de klanten nu een algemene waarschuwing. Die gaat niet specifiek over hun rekeningen of eventuele gestolen gegevens. "Je account is veilig", schrijft bunq. De bank waarschuwt dat oplichters gerichte phishingaanvallen kunnen uitvoeren door zich als bunq-werknemers voor te doen. De bank geeft het standaardadvies dat klanten moeten opletten en dat de bank nooit telefonisch vraagt om persoonlijke informatie of om betalingen uit te voeren.

Het is niet duidelijk op basis van welke informatie bunq de waarschuwing stuurt, maar het lijkt erop dat de bank dat gericht doet naar Odido- en Ben-klanten en de kans is daarmee groot dat dat gebeurt op basis van transactiegegevens. Het is ook niet bekend wie de waarschuwing allemaal heeft gekregen; sommige bunq-klanten zeggen helemaal niets te hebben ontvangen.

De bank wil niet zeggen op basis waarvan het de mails verstuurt en houdt het bij een algemene verklaring. "Voor bunq staat veiligheid voorop. We communiceren daarom altijd in geval van potentieel gevaar om mensen te informeren en ze te laten weten hoe ze veilig blijven", zegt een woordvoerder van bunq tegen Tweakers.

Andere Nederlandse banken zeggen expliciet dat ze klanten niet benaderen op basis van hun transactiegegevens. Woordvoerders van ING, ABN AMRO en de Rabobank zeggen dat die banken dat niet doen.

Tip de redactie

Dit nieuws is geschreven op basis van berichten op het forum. Er gebeurt veel op GoT dat we nooit allemaal zelf kunnen spotten. Zie jij ook nieuwswaardige berichten op het forum? Tip het ons dan!

Lees hier meer over hoe Tweakers omgaat met tips van lezers.

bunq

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 05-03-2026 11:56
226 • submitter: riico

05-03-2026 • 11:56

226

Submitter: riico

Lees meer

Bugbountyplatform HackerOne waarschuwt personeel voor datalek na hack bij Navia
Bugbountyplatform HackerOne waarschuwt personeel voor datalek na hack bij Navia Nieuws van 24 maart 2026
RTL-onderzoek bevestigt vermoedens: Odido bewaarde data langer dan beloofd
RTL-onderzoek bevestigt vermoedens: Odido bewaarde data langer dan beloofd Nieuws van 13 maart 2026
Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt
Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt Nieuws van 13 maart 2026
Odido-router stuurde analyticsdata naar Turks AI-bedrijf - update
Odido-router stuurde analyticsdata naar Turks AI-bedrijf - update Nieuws van 11 maart 2026
Bunq moet van rechter 315.000 euro betalen voor deblokkeren van failliete klant
Bunq moet van rechter 315.000 euro betalen voor deblokkeren van failliete klant Nieuws van 1 maart 2026
Nederlandse bank bunq vraagt vergunning aan voor uitbreiding naar VS
Nederlandse bank bunq vraagt vergunning aan voor uitbreiding naar VS Nieuws van 7 januari 2026
Bunq-app toont aandelen- en cryptovalutatransacties aan alle telefooncontacten
Bunq-app toont aandelen- en cryptovalutatransacties aan alle telefooncontacten Nieuws van 8 december 2025
Bunq blijkt toch te dreigen met juridische stappen na Reddit-post ex-werknemer
Bunq blijkt toch te dreigen met juridische stappen na Reddit-post ex-werknemer Nieuws van 23 oktober 2025
Bunq ontkent juridisch dreigen tegen Reddit na post ex-werknemer - update 2
Bunq ontkent juridisch dreigen tegen Reddit na post ex-werknemer - update 2 Nieuws van 22 oktober 2025
Criminelen konden via Mastercard geld van tweakers stelen door kwetsbaarheid
Criminelen konden via Mastercard geld van tweakers stelen door kwetsbaarheid Nieuws van 20 augustus 2025
Bunq neemt maatregelen tegen ongeautoriseerde afschrijvingen via PayPal - update
Bunq neemt maatregelen tegen ongeautoriseerde afschrijvingen via PayPal - update Nieuws van 19 augustus 2025
Meer producten en artikelen
Privacy Bunq Nederland

Reacties (226)

-Moderatie-faq
226
223
103
13
0
98
Wijzig sortering

Sorteer op:

Weergave:
joostboot 5 maart 2026 12:19
De ophef rond bunq is vaak terecht, maar in dit geval snap ik hem niet helemaal.

Het lijkt mij ergens toch wel logisch dat een bank onderzoekt of de integriteit van de rekening van haar klanten gewaarborgd is? Ik zou het zelfs als de verantwoordelijkheid van een bank omschrijven. En als je dat doet, dan is het toch ook logisch om daarover te communiceren?
Reageer
RobbieT @joostboot5 maart 2026 14:08
Als ze deze informatie uit transactiedata halen dan is dat wel degelijk kwalijk.

Transactiedata zijn privé, en privacygevoelig.

Als ze dus mails versturen omdat ze weten dat je een relatie met Odido hebt, dan verworden ze daarmee tot een soort Meta of Google van de bankenwereld.

Nu is dit misschien iets om mensen te helpen.

Maar wat is het volgende?

Je reclame voor condooms sturen als ze een betaling bij een bepaalde datingsite of club op de Wallen tussen je betalingen zien?

Is vast ook goed bedoeld.

Het gaat er niet om dat ze controleren op illegale transacties, maar dat ze je transactiedata mogelijk gebruiken voor commerciële aanbiedingen.

Wat dan dus de overeenkomst zou zijn met het gedrag van Google / Meta.

Wil jij Google of Meta als je bank hebben? Vast niet.

[Reactie gewijzigd door RobbieT op 5 maart 2026 14:52]

Reageer
Deguchi @RobbieT5 maart 2026 14:23
Eerlijk is eerlijk, ik ben geen klant van Bunq, dus kan het niet met zekerheid zeggen.
Wat betreft de belgische bank KBC staat er alvast in hun overeenkomst dat ze jouw transactiedata mogen gebruiken voor de verbetering van diensten (er staat niet bij persoonlijke diensten, enkel algemene verbetering).
Verder mag KBC deze data zelf anonymiseren om marktanalyses te maken.

Maw: het lijkt me gewoon common practice om met je data aan de slag te gaan. Hoe meer geld een bank kan verdienen, hoe beter voor hun. En data is denk ik bijna evenveel waard dan het geld zelf dat ze hebben... Dit zal voor Bunq niet anders zijn.
Reageer
BRAINLESS01 @RobbieT5 maart 2026 14:46
Ik zit bij ABN Amro, die gebruiken ook je transactiedata om een overzicht te genereren van je inkomsten en uitgaven. Het wordt vaak niet helemaal correct uitgesplitst, maar als je gaat pinnen bij Albert Heijn komt het onder het kopje "Boodschappen". Tijdens de verbouwing was dat overzicht best handig, zo kon ik mijn inkomsten en uitgaven een beetje in de gaten houden zonder dat het tijd kostte. Dat transactiedata privé is betekent niet dat een bank er helemaal geen gebruik van kan maken, het betekent dat je als bank moet zorgen dat de privacy gewaarborgd blijft. Transactiedata wordt ook gebruikt om criminaliteit op te sporen, dat zijn banken zelfs verplicht. Als de mails geautomatiseerd verstuurd zijn en standaard medewerkers geen toegang hebben tot deze gegevens is er niets aan de hand.
Reageer
sanscorp @RobbieT5 maart 2026 14:47
Iedere bank ziet zomaar wat jij doet. Bij de SNS heb ik een rekening moeten openen omdat ik bij de losstaande hypotheek minimaal 10 transacties per maand op een SNS rekening moet hebben. Dat mogen geen automatische pingpong bedragen zijn.

Wanneer ik niet aan die voorwaarde voldoe wordt ik geflagged en gaat er iemand naar al mijn transacties kijken. Ik ben gebeld n.a.v. het niet voldoen aan die voorwaarde omdat ik er te weinig gebruik van maakte, degene die belde kon letterlijk zien al wat ik in de app zie.

Ik heb nergens getekend dat ze mijn rekening in mogen zien, wel dat de voorwaarde is dat ik 10 transacties per maand heb.

Ze kunnen het dus sowieso al bekijken.

[Reactie gewijzigd door sanscorp op 5 maart 2026 14:48]

Reageer
Jerie @RobbieT5 maart 2026 17:20
Wil jij Google of Meta als je bank hebben? Vast niet.
Google Pay / Apple Pay is default voor NFC bij alle grote Nederlandse banken. V.z.i.w. zelfs alle banken.

Daarnaast gebruiken alle banken MC of Visa voor betalingen.

Dat laatste kunnen we met Wero omheen werken. Maar het eerste zie ik geen enkele beweging om van af te stappen.

Sterker nog, allerlei banken (waaronder Bunq) hebben afgelopen decennium hun native implementatie vervangen met die van Google en/of Apple!!
Reageer
mexicanburribo @RobbieT5 maart 2026 14:15
Ik heb zelf geen rekening bij Bunq, maar ik zie dat anders. Jij betaalt bunq voor je rekening en het veilig houden daarvan. Ze gebruiken (wellicht) transactie data, maar om te zorgen dat jij niet in phishing trapt. Niet om geld aan te verdienen (in dit geval althans. Indien ze dat wel doen, is dat uiteraard wel kwalijk. Meta en Google verdienen gewoon geld aan jou want jij bent het product
Reageer
loki504 @mexicanburribo5 maart 2026 15:47
Maar waarom alleen Odido klanten? waarom niet alle klanten? je wilt ze toch allemaal veilig hebben?
Reageer
ApexAlpha @loki5045 maart 2026 18:17
Omdat van Odido klanten alle gegevens gelekt zijn en ze dus extra vatbaar zijn voor phishing nu?

Even buiten het morele aspect van transacties (geautomatiseerd) uitlezen dit lijkt me dan weer logisch.
Reageer
loki504 @ApexAlpha5 maart 2026 19:04
Niet alle gegevens zijn gelekt van alle klanten. En je kan toch aangevens in de mail hoe je kan zien of je slachtoffer bent en wat je moet doen en voor veder vragen kan je ze bellen? Dan ben je pro actief bezig. Kunnen ze direct zien of ze ergens anders gelekt zijn en wat ze het best kunnen doen.

En in mijn ogen zijn mensen nu juist niet extra vatbaar. Omdat er zoveel in de media staat. Geef het een jaar en mensen zijn minder alert en je hebt feest.
Reageer
goosehunt @ApexAlpha6 maart 2026 20:18
Maar dat weet bunq toch helemaal niet?

Wie precies extra vatbaar is en wie niet. Want misschien ben ik wel odido klant maar wordt de factuur van een andere rekening voldaan.

En ja; dan kun je zeggen dat ze je dan wellicht niet benaderen als "Bunq klant" bij een phishing mail. Maar dat is in mijn ogen nog geen argument om mensen zonder "bewezen" relatie met Odido maar buiten een waarschuwings campagne te laten.
Reageer
scribly3 @RobbieT5 maart 2026 14:47
Banken kijken altijd naar je transactie geschiedenis.

Als je bijvoorbeeld met de ING een betaling doet naar een buitenlands address waar je voorheen nooit geld naartoe hebt gestuurd word je account meteen geblokkeerd en mag je ze gaan bellen om je account te deblokkeren. Maar daarna laten ze het wel toe.

[Reactie gewijzigd door scribly3 op 5 maart 2026 14:48]

Reageer
911GT2 @scribly36 maart 2026 11:59
Grootste onzin.

Ik betaal regelmatig naar buitenlandse adressen en heb nog nooit een blokkering ontvangen of ook maar een hiccup ervaren.
Reageer
MSalters @RobbieT5 maart 2026 15:00
Kul. Bunq heeft een wettelijke taak tot fraudepreventie. Dat gaat boven een generieke AVG regel. Maar die condoomgebruik die jij suggereert? Dat zijn speciale gegevens volgens de AVG.

Het zijn dus twee compleet verschillende categorieën, niet eens aangrenzend. Gewone betalingsgegevens zitten er nog tussen.
Reageer
Willem_54 @RobbieT15 maart 2026 00:03
Stel: Je koopt iedere week bij Gall en Gall een fles sterke drank en dan worden die bankgegevens aan de commerciële ziektekostenverzekeraars verkocht door de banken.

Vervolgens wil je een aanvullende zorgverzekering afsluiten en dan wordt je overal afgewezen wegens een te groot risico. Die consequenties heeft het commercialiseren van banktransacties.
Reageer
bytemaster460 @joostboot5 maart 2026 14:00
Ja, maar als het specifiek Odido-klanten blijken te zijn riekt het ernaar dat ze de gestolen data gedownload en gebruikt hebben, wat een overtreding van de wet is.
Reageer
smartsys @bytemaster4605 maart 2026 14:09
Bunq kan toch zien dat je maandelijkse overboekingen doet naar rekeningen van Odido of Ben. Het is voor hun dus heel simpel. Als geld van Bunq rekening naar rekeningen van Odido of Ben, dan stuur brief met template 123 naar eigenaar Bunq rekening.
Reageer
killercow @smartsys5 maart 2026 14:13
Maar is dat dan wel in de haak? Mag jouw bank besluiten dat je transacties voor hen aanleiding zijn om je te mailen over een waarschuwing, of een aanbieding, of wellicht een overstap aanbod van de concurrent?
Reageer
NLxAROSA @killercow5 maart 2026 14:41
Er zit nogal een verschil tussen reclame of een waarschuwing na het grootste datalek in de NL geschiedenis ooit. In het eerste geval is het not done, het tweede is het te verdedigen, aangezien mensen hun IBANs, IDs en nog veel meer zijn gelekt.

Maar goed, ik denk dat dit gewoon een generieke mail is geweest, zo aan de tekst te lezen.
Reageer
smartsys @killercow5 maart 2026 15:01
Geen idee dat is aan de juristen die bij de bank werken.:-) Een bank mag niet profileren, dus mag het "categoriseren" van klanten op basis van hun transactiegegevens ook niet. Hier zijn wel uitzonderingen op, maar die zijn juridisch heel "lastig".
Reageer
AuteurTijsZonderH Nieuwscoördinator @bytemaster4605 maart 2026 14:03
Het gaat niet over de gestolen dataset, dat staat niet in het artikel.
Reageer
bytemaster460 @TijsZonderH5 maart 2026 14:37
Klopt, daarom schreef ik: "het riekt naar..", of is er een andere legale manier voor een bank om te weten te komen waar een klant een abonnement heeft?
Reageer
Curapica @bytemaster4605 maart 2026 14:43
Naar haveibeenpwned gaan en de email adressen die je hebt (BUNQ dus) er doorheen halen. Door een stagair of gewoon via een API koppeling zou dit mogelijk moeten zijn.

Dan kun je dat "legaal" maar niet geheel ethisch doen.
Reageer
magnifor @bytemaster4605 maart 2026 14:44
Odido heeft een rekeningnummer, Bunq verwerkt transacties met dat rekeningnummer. Het is een simpele query voor ze om alle bunq rekeningen te koppelen aan het rekeningnummer van odido. Of het gewenst is en of dat zomaar mag geen idee maar het is iig makkelijk voor een bank.
Reageer
bytemaster460 @magnifor5 maart 2026 15:02
Dat mag dus niet. Dan overtreedt Bunq net zo goped de AVG als er geen toestemming is gegeven om transacties met doel te analyseren.
Reageer
knakworst @bytemaster4605 maart 2026 16:33
In de privacy policy staat dat ze transactiegegevens verzamelen voor het goed uitvoeren van bankdiensten.

Mits ze zorgvuldig gehandeld hebben om deze mailing te doen, denk ik dat ze best goed kunnen betogen dat deze mailing noodzakelijk was om relevante klanten alert te maken goed op te letten op onbekende transacties.
Reageer
AuteurTijsZonderH Nieuwscoördinator @bytemaster4605 maart 2026 14:53
Transactiegegevens. Ze stuurden deze mails begin februari al, ver voor de data op straat lag.
Reageer
bytemaster460 @TijsZonderH5 maart 2026 15:06
OK, dat verandert de zaak. Jammer dat dat niet zo expliciet in het artikel staat.
Reageer
len.moret @joostboot14 maart 2026 15:06
Ik begrijp de ophef ook niet. Een selectie maken obv de aangetroffen IBANs van Bunq is toch niet zo spannend? De emails van hun klanten samenvoegen met die aangetroffen nummers ten einde te waarschuwen is toch juist erg klantgericht?
Reageer
bas-r 5 maart 2026 12:02
Wat is nou de suggestie die hier gewekt wordt? Dat Bunq de gegevens van zijn klanten misbruikt om ze te waarschuwen voor hacks, als marketinguiting?
@TijsZonderH Misschien goed om hier explicieter over te zijn wat je wel weet en wat niet? Waarom'lijkt het er op dat de bank transactiegegevens gebruikt' voor deze mailing?

@TijsZonderH Dank voor de opheldering!

[Reactie gewijzigd door bas-r op 5 maart 2026 14:00]

Reageer
AuteurTijsZonderH Nieuwscoördinator @bas-r5 maart 2026 12:19
Laat ik het zo zeggen: ik heb die hypothese voorgelegd aan bunq omdat ik niet wist wat een alternatief zou kunnen zijn. Ik wilde weten: klopt dit, en als dit niet klopt, wat is dan wél hoe het zit? De verklaring die ze on the record gaven staat in het artikel.
Reageer
DjoeC @TijsZonderH5 maart 2026 12:51
Ik zou denken dat ze de dataset hebben binnengehaald en de IBAN nummers en/of emailadressen en/of telefoonnummers hebben vergeleken. Dan heb je de transactiegegevens niet nodig.
Reageer
fre0n @DjoeC5 maart 2026 12:54
Dat is strafbaar, het is te hopen dat ze dit niet gedaan hebben
Reageer
david-v @fre0n5 maart 2026 13:03
Dat hangt er maar net van af. Er is nog zoiets als algemeen belang. Hier staat het een en ander uitgekegd Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf - Achtergrond - Tweakers
edit:
Ter verduidelijking, ik wil met mijn bericht niet aangeven dat bunq niet strafbaar is als ze de gegevens daadwerkelijk hebben gedownload. Het ging meer om de strafbaarheid van het downloaden an sich

[Reactie gewijzigd door david-v op 5 maart 2026 21:33]

Reageer
loki504 @david-v5 maart 2026 13:22
Maar Bunq hoeft mensen niet actief te benaderen voor hun dienstverlening. En mocht dat wel zo zijn dan zouden ze eerst naar andere manieren moeten kijken. Dus is er 0 reden voor Bunq om die gegevens te verwerken van miljoenen mensen.
Reageer
Jerie @loki5045 maart 2026 17:13
Bunq heeft er belang bij dat klanten niet worden opgelicht.

Odido communiceert bijzonder weinig; dus goed dat een bedrijf als Bunq wel acteert. Temeer omdat sommige klanten van Odido wel in de dataset staan maar niet gecontacteerd zijn.

Ik ben overigens klant bij Bunq (en behoorlijk kritisch op hun gedrag waar je in media over hebt kunnen lezen), maar heb deze email niet ontvangen. Ben het wel eens met hun gedrag in deze specifieke kwestie. Liever 1x teveel notificatie, dan 1x te weinig.
Reageer
loki504 @Jerie5 maart 2026 17:54
Maar volgens de AVG moet je dan wel de minst erge vorm kiezen. en dan kom je al snel op of data inzien van je eigen klanten die ze hebben gegeven. Of die van 6 miljoen mensen mensen nog veel meer extra data die je niet nodig hebt en een Groot percentage die helemaal geen klant bij je zijn. Dan gaat een rechter echt niet zeggen prima dat die gelekt data heeft gedownload...

En dan vraag ik mij af waarom alleen die troffen zijn door Odido? en niet die door vele andere lekken zijn getroffen?
Reageer
Jerie @loki5045 maart 2026 19:55
De minst erge vorm is de dataset (die al openbaar is middels HTTP link) downloaden, de Bunq IBAN parsen, en de rest van de data vernietigen. Op een beetje dev machine heb je dat zo gedaan. Een beetje dev kan ook omgaan met jq (JSON immers standaard, gebruikt Bunq zelf ook voor hun API).

Omdat het Odido-lek omvangrijk is (100% Nederland gerelateerde gebruikers), recent nieuw is, en Bunq last heeft gehad van phishing campagnes, en er ook al actieve phishing bekend is, is er ook een gerechtvaardigd belang.

Een alternatief kan zijn alle 06-nummers van klanten parsen vua de website van ACM. Dan heb je iedereen die bij Odido staat inclusief datum portering.

Dat het puur en alleen marketing is (terwijl Odido niet eens concurrent is van Bunq) vind ik nogal vergezocht.

Pro-actief phishing tegengaan doet Odido nauwelijks (F-Secure gratis aanbieden zou je onder de noemer kunnen scharen; doet KPN al jaren gratis aanbieden). Dus halen anderen de kastanjes voor ze uit het vuur.
Reageer
loki504 @Jerie5 maart 2026 22:23
Maar je hebt alle data toch al in-house? Of je stuurt gewoon iedereen een mail... is er helemaal geen privacy schending... maar die data inzien als bedrijf is in mijn ogen echt een no go. Ook al doe je daarna alle noet relevanten personen verwijderen.
Reageer
jaquesparblue @Jerie5 maart 2026 23:25
Het gaat (wmb) niet om de notificatie, het gaat om het gebruik van transactiegegevens (er vanuit gaande dat ze niks illegaals hebben gedaan en de dataset niet gebruikt hebt - dit dient geen algemeen belang, ze hadden de mail ook gewoon naar iedereen kunnen sturen daar iedereen vatbaar is voor phising) om specifieke klanten te benaderen. Ik weet niet wat de privacy statement zegt, daar ik geen klant ben bij Bunq, maar het is wel bijzonder als dat zomaar mag. Wellicht heb je daar in het verleden ooit toestemming voor gegeven?

Ik zit bij de ING, zij geven ook informatie ivm de hack maar dat staat openbaar op de website. Maar ik heb daar ook niks persoonlijks over ontvangen ook al ben ik Odido klant (anders dan een bullit in de maandelijkse nieuwsbrief). Volgens de privacy statement van ING is gebruik van transactiegegevens voor specifieke communicatie een expliciete opt-in die op elk moment weer uit te zetten is (en ik niet aan heb staan).
Reageer
david-v @loki5045 maart 2026 13:24
Ik zeg niet dat bunq iets gedaan heeft of niet, maar of het downloaden van deze gegevens strafbaar is of niet.
Reageer
loki504 @david-v5 maart 2026 13:32
Maar dat artikel gaat uit van een eventueel slachtoffers. Niet om een bedrijf die hebben weer hele andere regels. Een zeer strange AVG. Want voor een bank is dit echt een no go. Voor slachtoffers is het een beetje een grijs gebied en pers gaat vrijuit.
Reageer
kodak
@david-v5 maart 2026 13:27
Als commercieel bedrijf heb je er niet zomaar een algemeen belang bij om ongevraagd miljoenen persoonsgegevens, laat staan die crimineel zijn verkregen, te verwerken. Hier gaat nog extra bij op dat er niet spontaan een belang na een lek kan zijn. Een bank weet als geen ander dat er al ruim een kwart eeuw dagelijks veel persoonlijke gegevens illegaal verwerkt met het doel op phishing. Als er voor een te verwachten extra of groot datalek dan geen behoefte is om van klanten te weten bij welk bedrijf ze nog meer klant zijn dan kan die er ook niet zomaar over een enorme mix van bekende en onbekende personen zijn als dat zich wel voor doet. Dat is opportunistisch een excuus zoeken om de wettelijke bescherming willekeurige personen niet te respecteren.
Reageer
Triblade_8472 @david-v5 maart 2026 14:55
Dat is niet algemeen belang, maar duidelijk commercieel belang. Dus illegaal.
Reageer
Ozzy @david-v5 maart 2026 15:19
Als dat zo is, dan moeten ze een (pre-)DPIA kunnen overhandigen aan de AP, omdat dit een overduidelijk nieuwe verwerking van gegevens betreft voor een ander doel en daarmee dus ook om een andere grondslag vraagt. Als inderdaad de koppeling is gelegd tussen de Odido dataset / transactiegegevens en Bunq-Ibans om die mail te versturen, dan is het ook de vraag of de Bunq-klant daar toestemming voor gegeven heeft.

Donkergrijs gebied naar mijn idee.

[Reactie gewijzigd door Ozzy op 5 maart 2026 17:27]

Reageer
Super_Fred @Ozzy5 maart 2026 23:06
Ze hebben de gegevens uit de hack helemaal niet nodig. Alle Bunq-klanten die een SEPA-machtiging aan Odido hebben afgegeven voor automatische incasso zijn dus klant van Odido.
Reageer
Fathier @david-v5 maart 2026 19:10
Wat Bunq doet heeft niets met het algemeen belang te maken. Als Bunq in de Odido-affaire aanleiding ziet hun klanten ergens over te informeren dan dient het dat in algemene vorm te doen aan al hun klanten. Nu ontstaat minimaal de verdenking dat Bunq de gegevens van Odido-klanten uit de gelekte database heeft gekregen (want hoe kunnen ze anders de combo Bunqklant - Odidoklant uitfilteren?). En dat is strafbaar.
Reageer
stijnhommes @david-v5 maart 2026 21:31
Dat hoeft niet. Ze kunnen bij een site zoals haveibeenpwned.com die leaks registreert de mailadressen van hun klanten invoeren en kijken of het Odido lek opduikt en vervolgens die klanten waarschuwen.
Reageer
SPee @fre0n5 maart 2026 13:22
Dit begeeft zich op een grijs gebied. Want een bank is wel verplicht om hun klanten te beschermen en krijgt problemen als ze dat niet doen. Hierdoor zou de bank kunnen beargumenteren dat die dataset hiervoor gebruiken, nodig is.
Reageer
YGDRASSIL @SPee5 maart 2026 15:36
Illegale dingen doen om je klanten te beschermen is natuurlijk geen grijs gebied. Waar leg je dan de grens wat ze moeten doen? Waar is het zo illegaal dat het echt niet meer mag...
Reageer
bzuidgeest
@YGDRASSIL5 maart 2026 15:50
Gelukkig hoeven ze het niet illegaal te doen. Ze kunnen gewoon je transactie data gebruiken. Dus ik denk niet dat bunq of een andere bank zo een set download.
Reageer
Tc99m @bzuidgeest5 maart 2026 16:00
Een bank mag je transactiegegevens niet zomaar gebruiken om je te mailen, inzage in en verwerking van transactiegegevens is aan strenge richtlijnen verbonden. De niet-Bunq banken geven daarom ook expliciet aan dat ze dit niet doen.

Er is ook geen reden dat Bunq niet gewoon álle rekeninghouders had kunnen mailen om ze te waarschuwen om alert te zijn, dat je geen Odido-klant bent (geweest) sluit je niet uit als doelwit voor oplichters.
Reageer
bzuidgeest
@Tc99m5 maart 2026 16:04
niet zomaar. Maar ik vind dit wel buiten alle vormen van "zomaar". Duidelijk gerechtvaardigd. Ze hoeven ook nauwelijks naar je gegevens te kijken. Alleen of er een enkel statement is in de laatste 90 dagen dat odido in te titel bevat. Ze hebben geen bedrag nodig, geen reden voor het bedrag, geen tijd of plaats. Helemaal niets, buiten is er minstens 1 zo een transactie. Niet eens exact hoeveel van die transacties. Een simpele sql select die voor elke klant een ja of een nee teruggeeft. Dat is zo minimaal en de situatie zo uitzonderlijk dat ik er geen bezwaar tegen zou hebben. En ik denk een authoriteit ook niet.
Reageer
Tc99m @bzuidgeest5 maart 2026 16:23
Duidelijk gerechtvaardigd.
Kun je dit onderbouwen?

De simpelste manier is gewoon álle klanten mailen namelijk, waarbij je geen transactiegegevens (persoonsgegevens) hoeft te verwerken. Vanuit de AVG volgt toch echt dat als er een manier is om hetzelfde doel te bereiken door waarbij je minder of geen persoonsgegevens verwerkt, je daar voor moet kiezen. Dat gaat staat dan nog los aan de aanvullende (strengere) richtlijnen die voor banken gelden.

'Acute dreiging' etc. telt niet als argument; de klanten zijn al door Odido geïnformeerd en het datalek was/is ook uitgebreid in de media geweest. Daarnaast geldt ook in dit geval dat er geen reden is om rekeninghouders zonder Odido-transacties niet te waarschuwen.
Dat is zo minimaal en de situatie zo uitzonderlijk dat ik er geen bezwaar tegen zou hebben.
Dat zal technisch zeker mogelijk zijn, de vraag is ook of het op die manier is gegaan. Aangezien uit eerdere berichtgeving over Bunq bleek dat vrijwel iedere medewerker toegang heeft tot transactiegegevens van rekeninghouders, betwijfel ik of ze hier wel voor de meest minimale verwerking hebben gekozen.

Dat is dan even los van het feit dat regelgeving dit verbiedt en dat je kunt twisten over het feit dat het uitzonderlijk is. En fijn dat jij er geen bezwaar tegen hebt, maar dan is het wel netjes als Bunq vooraf vraagt of ze jouw transactiegeschiedenis hiervoor mogen gebruiken. Ik ben geen Bunq-klant, maar ik had dat bezwaar bijvoorbeeld wél gehad.
Reageer
bzuidgeest
@Tc99m5 maart 2026 16:38
Kun je dit onderbouwen?
Dat heb ik net gedaan denk ik. Een enorm lek aan persoonsgegevens, hoeveel meer gerechtvaardigd belang wil je hebben.

Alle klanten mailen kan onnodige paniek veroorzaken bij mensen die niets met odido te maken hebben, zeker zwakkere groepen zoals ouderen die toch al digibeet zijn. Odido's communicatie is ook nog eens uiterst summier weet ik als odido klant.

Wat ik hier duidelijk neerzet is hoe IK er over denk. Jij mag een andere mening hebben. Ik vertel je ook waarom ik er zo over denk. Vind je het niets, jammer dan. Maar persoonlijk vind ik perspectief uitwisselen een van de meer waardevolle functies van de comments.

For the record. Ik denk niet dat de wet dit zou verbieden. Ik heb gerechtvaardigd belang in het nieuws de laatste jaren en in de praktijk zo breed uitgelegd zien worden dat het zo goed als betekend: "alles waar we als bedrijf wat aan hebben" Het is een loophole en een wassen neus.
Reageer
loki504 @YGDRASSIL5 maart 2026 15:55
Klopt is gewoon een no go:P ook niet een klein beetje. je kan klanten ook gewoon een algemeen mailtje sturen. met hey mogelijk ben ook jij slachtoffers van de Odido hack. zet y k en X aan om nog veiliger te zijn. geheel legaal en werkt ook nog eens bij niet gelekte klanten:P
Reageer
loki504 @SPee5 maart 2026 13:36
En wat doet die dataset dan voorkomen? Helemaal niets. En je moet altijd waakzaam zijn niet alleen bij odido slachtoffers. En dan zou je volgens de AVG de minst ingrijpende vorm moeten gebruiken. Dus zou in iemand transactie geschiedenis kijken of Odido/ben daar in voor komt een minder ingrijpende manier zijn. Bunq heeft helemaal niets te zoeken in deze Data....
Reageer
bzuidgeest
@loki5045 maart 2026 13:44
Banken bieden vaak allerlei extra functies die lang niet elke gebruiker aan heeft staan. Spaar sloten, opname limieten, restrictie op uit welk land iets mag komen of naartoe gaan.

Dus ja die mail gaat mogelijk een hoop problemen voorkomen omdat gebruikers de noodzaak tot configureren dan harder voelen.

En ingrijpend? Het is een simpele query voor een specifiek doel. Stel je niet aan. Ik zou het complimenteren als ze het voor dit doel proactief deden.
Reageer
loki504 @bzuidgeest5 maart 2026 13:53
dus jij complimenteert een bank die 6+ miljoenen gegevens download uit een lek om een mailtje te sturen?

dan kan je beter dit moment aangrijpen om al je klanten extra alert te maken en niet alleen (ex)odido klanten.
Reageer
bzuidgeest
@loki5045 maart 2026 15:30
Ik complimenteer een bank die op zijn eigen betaaldata een select doet die alle email adressen geeft van alle klanten die recente een betaling aan odido hebben gedaan zonder te kijken naar de reden daarvoor. Ze hoeven echt geen gestolen data daarvoor te downloaden. En ze hoeven niet te kijken naar wat je relatie met odido is. Alleen het feit dat je er een hebt is voldoende en dan is proactief waarschuwen zeker een belangrijke en wenselijke stap in het kader van zo een enorm datalek.

De klanten alert houden doen ze al regelmatig, alle banken waar ik mee werk doen dat. Een keer extra bij een enorm incident kan geen kwaad.
Reageer
loki504 @bzuidgeest5 maart 2026 15:41
Maar dat is niet waar DjoeC het over had... die had het over het downloaden van gestolen data. vervolgens komt Freon dat het strafbaar is. en Spee trekt dat in twijfel omdat het een grijsgebied is. En daarop reageer ik dat het geen grijs gebied is. Dat heeft niets met proactief waarschuwen en intern dingen opzoeken en regelen. BunQ heeft helemaal niets te zoeken in die gelekte data. dat ze op eigen houtje andere manieren bedenken is prima.(geef ik zelfs ook aan) dus waarom je op dan op mij reageert begrijp ik niet helemaal. Dan had je beter direct op DjoeC kunnen reageren.
Reageer
bzuidgeest
@loki5045 maart 2026 15:49
Ok, ik heb even teruggelezen en ik zie wat je bedoelt, er werd ook gesproken over het niet nodig hebben van de "transactiegegevens" en ik ging er van uit dat het probleem daarop zou worden gezien als privacyschending. En aangezien er een bank geen illegale gegevens nodig heeft om een waarschuwing naar odido klanten uit te doen ben ik er op die route ingesprongen. Dat ze de transactiegegevens van mij mogen gebruiken voor zoiets.

Het probleem is ontstaan doordat wel allebei eigenlijk reageren op een andere segment van dezelfde reactie.

For the record, bunq (of een andere bank) heeft niets te zoeken met de gelekte data, dat ben ik met je eens. Ik vind het prima dat een bank transactie gegevens gebruikt om proactief te waarschuwen. Ik kreeg ook melding dat er de gegevens die gestolen waren bij de bank weinig gedaan kon worden, behalve mogelijk via een malafide bedrijf automatische incasso's opzetten. Dus de vraag om daar op te letten en als je ze ziet het te melden. Dan konden ze het terugdraaien en hoe meer meldingen hoe vlugger ze dat bank breed konden doen. Weet niet meer welke bank dat mailde, maar ik vond het een prima mail.
Reageer
loki504 @bzuidgeest5 maart 2026 15:53
Duidelijk. dan staan we er het zelfde in. al hoorde ik ook iemand zeggen dat het deze mail kreeg al voor de eerste batch was gelekt. dus lijkt mij ook niet dat ze die hebben gedownload. Die gaan zich daar echt niet aan branden(hoop ik).
Reageer
rko4u @bzuidgeest5 maart 2026 17:02
Ze hoeven inderdaad niets meer te doen dan een query draaien wie van hun klanten in de laatste maand een betaling hebben gedaan naar de klantenrekening van Odido of Ben. Die rekeningnummers zitten dus met een hele hoge waarschijnlijkheid in de dataset.

Dus ik ben het met je eens dat ze daar de dataset niet voor nodig hebben.
Reageer
Ryunoru @SPee5 maart 2026 17:49
Bunq kan net zo goed naar al hun klanten een algemene mail sturen, in plaats van dit gericht te doen. Daarmee heb je een veel groter bereik. En mocht Bunq toch om een of andere reden specifiek Odido-klanten willen benaderen, kan Bunq prima in hun databanken een zoekopdracht naar betalingen richting Odido in de afgelopen jaren uitvoeren, daaruit een lijst van emailadressen opstellen en daar de mail aan koppelen, zonder ook maar iets te zien van de personalia. Er is dus geen enkele reden om de dataset hiervoor te gebruiken en het is dan ook zeer onwenselijk als ze dit wel gedaan hebben.
Reageer
DjoeC @fre0n5 maart 2026 12:57
Ik ben heel erg benieuwd hoeveel strafzaken hierover succesvol voor de rechter gebracht gaan worden Mijn vermoeden is dat dit de NUL gaat benaderen.
Reageer
bzuidgeest
@fre0n5 maart 2026 13:41
Als er ergens iets in algemeen belang is dan zou het wel dit zijn. Proactief hun klanten aanspreken bij een massaal lek bij een ander vind ik gewoon een enorme plus. De abnamro mijn bank stuurt regelmatig ook algemene mails met adviezen over veiligheid en nieuwe veiligheid functies. Als ze dat een keer extra doen omdat ik naar odido overmaak vind ik gewoon gerechtvaardigd.
Reageer
Aldy @fre0n5 maart 2026 13:50
Ik neem het hele artikel met een flinke schep zout, aangezien ik helemaal niet benaderd ben, niet in februari en ook niet in maart.
Reageer
rob12424 @fre0n5 maart 2026 17:51
Volgens de wet is er ook anti-witwas wetgeving waar dat deels ook moet. (En ja dit is ook in strijd met de AVG eigenlijk)

Daarnaast staat het soms ook in de voorwaarden of ze het mogen doen al is dat soms dubieus.
Reageer
Trackerfire @DjoeC5 maart 2026 13:11
Ik ben al klant bij bunq sinds het begin en heb (nog) niet deze mail gehad. Dus lijkt meer écht algemeen dan specifiek toegespitst op degenen waarvan de gegevens gelekt zijn. En ja, ook mijn gegevens zijn gelekt.
Reageer
Heedless @Trackerfire5 maart 2026 13:27
Maar is ook je Bunq rekeningnummer gelekt? Dat is hier misschien de vraag.
Reageer
YGDRASSIL @Trackerfire5 maart 2026 16:20
En betaalde je odido vanaf je bunq rekening? Anders kunnen ze natuurlijk de link niet leggen op basis van hun eigen transactiegegevens en zou het kloppen dat je geen email hebt gehad.
Reageer
adje123 @DjoeC5 maart 2026 13:40
Of ze hebben gekeken bij wie voor Odido of. En afgeschreven wordt. Dat is ook niet echt lekker
Reageer
BiLLY_daKid @adje1235 maart 2026 16:01
Waarom niet? Als incassant x dan rekeninghouders y tot z een bericht sturen. Kan je zelfs nog een tellertje opzetten voor de statistieken.
Reageer
swhnld @DjoeC5 maart 2026 13:10
Je kunt ook het telecom register gebruiken, welke 06 reeksen bij welke provider horen.
Reageer
White Feather @swhnld5 maart 2026 13:15
Ooit van nummerbehoud gehoord?

Aan het telefoonnummer kun je dus eventueel alleen zien welke provider het heeft uitgegeven, that’s it.
Reageer
MSalters @White Feather5 maart 2026 14:49
En de nummerbehoud database koppelt dat weer aan de huidige provider. Bunq heeft de 06 nummers en kan die dus opzoeken. (Gerechtvaardigd belang, fraudepreventie)
Reageer
asing @DjoeC5 maart 2026 13:26
Sommigen in die dataset waren al jaren geen klant meer. Als je de dataset en de transactie gegevens niet kunt, wilt of mag gebruiken dan is er nog altijd het lijstje met incassos waaraan je kan zien wie odido klant is.
Reageer
iAR @DjoeC5 maart 2026 13:55
Ze kunnen op basis van de transactie natuurlijk ook gericht sturen. Het Odido rekeningnummer is bekent, en ook staat er Odido in de mededeling.

Als klant zou ik dit super frustrerend vinden: hoezo weet mijn Bank dit. Maar als je nog bij Bunq zit, zijn dit soort acties vast geen uitzondering. Het blijft toch een beetje kut bunq.
Reageer
RielN @iAR5 maart 2026 17:10
Hoezo weet je bank dat? Omdat je dat je bank mededeelt?
Reageer
iAR @RielN5 maart 2026 17:47
Eh?
Reageer
kdekker @DjoeC5 maart 2026 14:10
Ik denk dat een bank, zonder de gestolen gegevens, al op basis van hun eigen transacties kunnen zien of iemand geld overmaakt naar Odido. Maar mag dat?

Eerder wilde ING reclame sturen op basis van die info, maar de verontwaardiging was zo groot, dat dit gedaan is. Mag je dan concluderen dat een bank wel iets mag doen met die transactie gegevens? Fraudebestrijding en anti-witwas zaken gebeurt ook op basis van die gegevens. Hou je de vraag over of een bank een niet-commercieel advies mag geven op basis van de gegevens die ze hebben en actualiteit?

Reclame op basis van AVG info lijkt me verwerpelijk, maar ik weet niet of dat weer verboden is.
Reageer
RielN @kdekker5 maart 2026 17:10
Je zou dit een stukje zorgplicht kunnen noemen. Dat ze een query doen op ODIDO vind ik niet zo zorgelijk voor deze usecase.
Reageer
kdekker @RielN5 maart 2026 19:50
Als het mag, dan kun je het het idd zorgplich/service noemen. Als het niet mag, dan heet het toch ongeoorloofd gebruik van AVG gegevens. Al zal daar bij de voorwaarden van de bank vast iets over staan (een verwerkingsgrond).
Reageer
Keypunchie
@DjoeC5 maart 2026 15:18
Waarom zo moeilijk doen met illegale data, als ze gewoon kunnen zien wie in de afgelopen maanden een afschrijving van Odido heeft gehad?
De bank wil niet zeggen op basis waarvan het de mails verstuurt en houdt het bij een algemene verklaring. "Voor bunq staat veiligheid voorop. We communiceren daarom altijd in geval van potentieel gevaar om mensen te informeren en ze te laten weten hoe ze veilig blijven", zegt een woordvoerder van bunq tegen Tweakers.
Wat mij betreft is dit gewoon een bekentenis. Als het niet zo is, dan zouden ze dat namelijk gewoon gezegd hebben.

Goed doorgevraagd @TijsZonderH .
Reageer
R1chardTM @DjoeC5 maart 2026 15:42
Ik heb de mail ontvangen op 12 februari, volgens mij dus voordat de dataset online is gezet. Dus dan kan het niet uit het lek komen.

Het is ook veel makkelijker om dit op basis van gebruikers die betalingen naar de rekening van Odido/Ben te doen.
Reageer
alexkok @DjoeC5 maart 2026 15:42
Ik zou willen dat Odido dat ook deed. Ik en mijn vrouw wachten nog steeds op communicatie. Wij zaten in de eerste dataset die gelekt is en had het wel fijn gevonden als Odidio die dataset had gewogen met hun eigen dataset met wie ze gecommuniceerd hadden en ook deze (oud) klanten kunnen wijzen op de risico's. Zeker oud klanten die geen weet hebben dat hun data gelekt is kun je op deze manier alsnog bereiken.
Reageer
JustRob @DjoeC5 maart 2026 16:36
Of ze kijken gewoon naar afschriften van Odido of Ben. Dat is namelijk veel makkelijker en waarschijnlijker. Je hoeft namelijk maar 1 match uit te voeren ipv iedere klant tegen een illegale DB te leggen.

Ik heb namelijk alleen een spaarrekening bij Bunq (en dus geen transacties met/naar Odido), maar zat wel in de breach. en ik heb geen mail van Bunq ontvangen.
Reageer
xahmol @DjoeC5 maart 2026 18:38
Lijkt me stukken aannemelijker dat ze domweg data analyse doen op transactie data van betalingen via Bunq rekeningen. Domweg query wie maandelijks abonnementsgeld van een Bunq rekening betaald aan Odido.

Daar heb je echt die Shiny Hunters dump voor nodig als Bunq, alles wat in die dump staat heeft Bunq zelf ook al op klanten die zowel Odido en Bunq klant zijn.
Reageer
Biggg @TijsZonderH5 maart 2026 13:02
Welk telefoonnummer bij welke provider zit kan je wat mij betreft beschouwen als openbare informatie. Daar hoef je iig echt niet de gestolen dataset van Odido op het darkweb voor te downloaden.

Telco's wisselen dit ook onderling uit via de infrastructuur van COIN.

Op de website van de ACM kan je van ieder nummer opzoeken bij welke telco deze zit.

https://www.acm.nl/nl/telefoonnummers-zoeken

Dus als Bunq de telefoonnummers van hun klanten weet, dan weten ze in principe ook bij welke provider ze zitten. Of het netjes is, dat is een tweede, maar illegaal lijkt me dat niet.
Reageer
AuteurTijsZonderH Nieuwscoördinator @Biggg5 maart 2026 13:05
Niemand zei iets over de gestolen dataset.
Reageer
HenkEisDS @TijsZonderH5 maart 2026 12:40
In Azure ACS kun je gewoon een lookup doen op een telefoonnummer. Kost je 5 cent geloof ik, maar dan krijg je gewoon de provider terug. Dus het hoeft niet vanuit de dataset te komen. Verder kunnen ze natuurlijk gewoon de IP adressen koppelen/resolven naar een provider.
Reageer
aschja @TijsZonderH5 maart 2026 14:50
En off the record?
Reageer
AuteurTijsZonderH Nieuwscoördinator @aschja5 maart 2026 15:01
Dat mag ik niet opschrijven want off the record. Deze reactie is het maximaal aantal hint-hint-wink-wink dat ik kan doen zonder letterlijk te zeggen wat ik wil zeggen.
Reageer
knakworst @TijsZonderH5 maart 2026 12:59
Bunq mag toch een filtertje maken van alle klanten waarbij recent geld is gestuurd naar Odido, en dan een mailtje sturen met een active waarschuwing? Kan me niet voorstellen dat dat tegen de privacy richtlijn is.

Edit:

Beetje bijgeleerd met AI.

Als het:
- een gerechtvaardigd veiligheidsdoel dient
- noodzakelijk en proportioneel is
- waarschuwing concreet en klantgericht is

Dan mag het.

Dit staat ook nog eens specifiek in het privacy statement van Bunq vermeld.

[Reactie gewijzigd door knakworst op 5 maart 2026 13:06]

Reageer
MSalters @knakworst5 maart 2026 14:54
Correct.

+Er is een veiligheidsdoel (door Odido)

+ Er is geen andere betere manier om te communiceren

+ De hack is recent, dus het risico is nu concreet.

+ Het gaat specifiek naar klanten die risico lopen, niet naar alle klanten.

Dus ja. Dan mag en moet het.
Reageer
wooha @MSalters5 maart 2026 15:32
Het alternatief is om alle Bunq klanten te mailen met een waarschuwing over phishing en wat ze van Bunq kunnen verwachten. Ook voor niet Odido klanten is dat nuttige informatie. Daarbij kan Bunq de Odido hack eventueel als voorbeeld nemen, al dan niet met naam. Bunq concurreert niet met Odido en zo goed als iedereen zal de casus kennen, dus ik zie er weinig kwaads in als ze de naam noemen.

[Reactie gewijzigd door wooha op 5 maart 2026 15:35]

Reageer
Tc99m @MSalters5 maart 2026 15:53
+ Er is een veiligheidsdoel (door Odido)
Dus Odido moet de klant informeren, wat ook gebeurd is (en er is daarnaast veel media-aandacht geweest). Daarmee is de urgentie voor een bank om die specifieke groep rekeninghouders ook te informeren lager.
+ Er is geen andere betere manier om te communiceren
Los van dat die verantwoordelijkheid bij Odido ligt, is die manier waar je minder persoonsgegevens bij verwerkt er wel, namelijk alle klanten mailen.
+ De hack is recent, dus het risico is nu concreet.
Klopt, maar nog steeds hoef je daarvoor geen transactiegegevens te gebruiken
+ Het gaat specifiek naar klanten die risico lopen, niet naar alle klanten.
Het kan nooit kwaad om een bredere groep te informeren over de risico's van oplichting. Ook niet-Odido klanten kunnen doelwit worden van cybercriminelen.
Reageer
Tc99m @knakworst5 maart 2026 15:45
Bunq mag toch een filtertje maken van alle klanten waarbij recent geld is gestuurd naar Odido, en dan een mailtje sturen met een active waarschuwing? Kan me niet voorstellen dat dat tegen de privacy richtlijn is.
Er zijn strenge richtlijnen onder welke voorwaarden banken de transactiegegevens van rekeninghouders mogen inzien en waar ze ze vervolgens voor mogen gebruiken.

Bunq mag natuurlijk een bericht naar de rekeninghouders sturen om ze te waarschuwen voor phishing/verdachte transacties. De vraag is of je dat op basis van transactiegegevens naar een selecte groep mag doen, en ik denk eerlijk gezegd dat het antwoord daarop nee is (en dat dat ook de reden is dat de andere banken het niet doen). Het doel dat Bunq voor ogen heeft kunnen ze namelijk ook gewoon bereiken door álle klanten te mailen - en als er een simpele manier is om hetzelfde doel te bereiken zonder het verwerken van gevoelige persoonsgegevens (en dat zijn bankoverschrijvingen), moet je voor de simpelere werkwijze gaan.

Je kunt ook niet het argument maken dat waarschuwingen voor phishing of verdachte transacties voor andere klanten niet relevant is. Ook al zijn zij geen slachtoffer van het Odido-datalek, dan zijn algemene veiligheidsmaatregelen nog steeds relevant. Er is dus geen noodzaak om alleen op de Odido-klanten te filteren. Los daarvan zijn de slachtoffers van het datalek ook al door Odido zelf geïnformeerd, en is er uitgebreid aandacht in de media geweest. Je kunt dus ook niet het argument maken dat je die groep klanten over iets nieuws of urgents informeert wat volledig nieuw voor ze is.

[Reactie gewijzigd door Tc99m op 5 maart 2026 15:54]

Reageer
knakworst @Tc99m5 maart 2026 16:07
En weten wij hoe de juridische afdeling en IT deze mailing met vrijwel zero knowledge hebben georganiseerd? Ik heb geen aanwijzingen dat dit niet zorgvuldig is gegaan. Het kan letterlijk een AI bot zijn met als betaling Odido afgelopen 30 dagen dan stuur deze mail. Als de spreadsheet op straat lag of iedereen stond in de TO: is het een ander verhaal.

Ik heb een pertinente afkeer van alles wat met Bunq en Niknam te maken heeft. Maar om nu te stijgeren als bunq klant, ik heb een net waarschuwingsmailtje gehad om mij te attenderen dat ik moet opletten, gaat me een beetje ver. Vind het eigenlijk gewoon top dat ze dit gedaan hebben.
Reageer
Tc99m @knakworst5 maart 2026 16:13
Dat jij het persoonlijk oké vindt, wil niet zeggen dat het ook mag. Er kunnen ook mensen zijn die er juist niet blij mee zijn (dat zou voor mij in ieder geval zo zijn). Het is niet het einde van de wereld, maar het bevestigt wel dat men bij Bunq het allemaal niet zo nauw neemt met de regels (die er wel met een reden zijn).

En nogmaals: Bunq had ook gewoon iedereen kunnen mailen, in plaats van alleen de rekeninghouders die Odido-transacties in hun betaalgeschiedenis hadden staan.
Reageer
knakworst @Tc99m5 maart 2026 16:39
Ik mis waarom je redeneert dat Bunq niet zo nauw neemt met de regels. Ik kan zelfs beredeneren dat ze moeten mailen vanuit de zorgplicht in de WFT. In de privacy policy staat ook dat ze transactiegegevens verzamelen voor het leveren van bankdiensten. Dus voor AML kan ik je garanderen dat ze ook ELKE transactie scannen. Als ze het maar zorgvuldig doen.

En op dit moment heb ik geen aanwijzingen dat ze deze mailing onzorgvuldig gedaan hebben.
Reageer
ccnl @TijsZonderH5 maart 2026 17:33
Jouw hypothese is echt clickbait. In de bankafschrift staat Odido, in de incasso machtiging staat Odido. Waar moet een bank nog zoeken om te weten dat zijn klanten ook klanten van Odido zijn.
Reageer
AuteurTijsZonderH Nieuwscoördinator @ccnl5 maart 2026 17:37
Mijn hypothese is dat het om transactiegegevens gaat en jij vindt dat clickbait omdat ...

*Checks notes*

... Bunq dit zou doen op basis van transactiegegevens?
Reageer
ccnl @TijsZonderH5 maart 2026 17:40
Het is niet duidelijk op basis van welke gegevens de bank dat doet
Dit in vette schrift gelijk onder de titel, dat is heel duidelijk een poging om een onwetende lezer verder te laten lezen. Dat is per definitie clickbait.
Reageer
request123 @TijsZonderH5 maart 2026 20:51
Er zijn volgens mij twee opties:
1. De waarschuwing wordt aan alle klanten gestuurd en daar zullen best veel ODIDO-klanten tussen zitten
2. Bunq stuurt alle klanten die geld overmaken aan ODIDO een waarschuwing. Daarvoor moet Bunq dan in de banktransacties kijken.

Aan een derde optie moeten we maar niet denken.
Reageer
hiostu @bas-r5 maart 2026 12:04
Nee, de suggestie is dat Bunq de gelekte data van Odido heeft gebruikt om te kijken welke van de klanten met een Bunq account in die set zitten en dus ook klant waren bij Odido/Ben. Om specifiek deze mensen aan te schrijven in een communicatie.
Reageer
thomas1907 @hiostu5 maart 2026 12:08
Waar? Tweakers schijft dat het lijkt dat bunq transactiegegevens gebruikt
maar het lijkt erop dat de bank dat gericht doet naar Odido- en Ben-klanten en de kans is daarmee groot dat dat gebeurt op basis van transactiegegevens
Reageer
GerritGekke @thomas19075 maart 2026 12:11
Misschien hebben ze wel alle adressen door de haveibeenpowned tool gehaald.
Reageer
StefandeGroot @GerritGekke5 maart 2026 12:42
Nee, uitgesloten. Ik kreeg al mail van Bunq voordat de batch met gegevens waren vrij gegeven.

Bovendien zou Bunq dan gaan grasduinen door illegaal verkregen gegevens en zijn ze dus strafbaar.
Reageer
GerritGekke @StefandeGroot5 maart 2026 13:32
Dan kan het denk ik niet anders dan dat ze je rekening uitlezen en daarop gehandeld hebben.

Ik ben verder een leek op banken-gebied. Ze mogen vast ivm Wwft je rekening continu monitoren. Maar vallen dit soort acties daar ook onder?
Reageer
torretje2012 @GerritGekke5 maart 2026 12:15
gezien ze dan hun eigen emaildatabase uitlekken naar haveibeenpwned lijkt mij dat heel onwaarschijnlijk :)
Reageer
Blizz @torretje20125 maart 2026 12:39
Als je gelooft dat alles gehasht wordt en de e-mail niet gelekt wordt, dan is dat dit niet het geval.

Het kan prima zijn dat ze intern dit soort checks runnen, al kan het nu ook op incidentele basis zijn ingezet.

Maar dat ze zoiets niet hebben toegeven, gecombineerd met hun barre imago als klantonvriendelijk bedrijf, doet wel vermoeden dat het allereerst niet een regelmatige check is en dat ze misschien het lek hebben gedownload. Maar goed, dat is helemaal niet nodig en HIBP heeft alles al toegevoegd, dus dat zou onnodig zijn.

[Reactie gewijzigd door Blizz op 5 maart 2026 12:42]

Reageer
gitaarwerk @GerritGekke5 maart 2026 12:18
Apple doet hetzelfde met dat de aangemelde gebruiker bekend is in 'het register'. Je kan dit overigens heel netjes doen, of heel niet netjes. Je kan zonder metingen of logging prima dit heel secuur/privacy minded oppakken, zoals jij stelt hier. De vraag is of ze dit natuurlijk doen. Ik weet niet of ik het zelf erg zou vinden. Omdat er al zoveel bekend is, ben ik soms zelf het overzicht kwijt.
Reageer
locke960 @thomas19075 maart 2026 12:25
Beide is niet nodig. Ik ga er vanuit dat banken, en dus Bunq ook, alle sessies van klanten loggen, inclusief het IP adres van de klant. Althans, dat is wat ik zou doen.

IP adressen kun je vrij eenvoudig aan een ISP koppelen.

Het lijkt me een goed idee voor beveiliging en fraude preventie (waarom deed deze klant 10 minuten geleden een transactie vanuit Odido NL en nu vanuit China?) en forensische analyse later, bij disputen en fraude gevallen.
Reageer
TheMak @locke9605 maart 2026 12:36
Dat kan natuurlijk technisch gezien. Je moet dan wel opgeschreven hebben dat je dit doet en waarom. Dat waarom deel moet voldoende generiek cq vaag om een hack bij een ander bedrijf daaronder te laten vallen.
Reageer
ZwolschBalletje @thomas19075 maart 2026 12:39
In 2019 is de PSD2 betaalrichtlijn ingegaan, waarmee externe partijen (en dus niet alleen de bank zelf) inzicht kunnen krijgen in de transacties van een klant. Het artikel op Tweakers daarover gaf aan dat dit nieuwe diensten mogelijk moet maken die de banken nu nog niet bieden:
Ook kunnen ze bestedingspatronen analyseren en op basis daarvan inzichten en adviezen geven.
Als externe partijen dat (met jouw toestemming) mogen doen, dan zou het best logisch zijn dat banken dat als onderdeel van hun overeenkomst met jou ook al mogen/moeten doen. Ook ik krijg aan het eind van het jaar van mijn bank een jaaroverzicht waarin staat hoeveel ik heb uitgeven aan comfort food op het station, en dat weten ze echt alleen doordat ze mijn transacties hebben geanalyseerd.

Dus nee, dit lijkt me geen schimmig gebied maar een invulling van Bunq van haar zorgplicht, hooguit op basis van een bevoegdheid waarvan we niet allemaal scherp hadden dat banken die hebben.
Reageer
bas-r @hiostu5 maart 2026 12:08
Volgens mij is dat niet wat er staat. Er wordt expliciet de indruk gewekt dat Bunq zijn eigen transactiegegevens van klanten zou misbruiken voor deze mailing. Maar zonder bewijs is dit toch een knap staaltje geroddel.
Het is niet duidelijk op basis van welke informatie bunq de waarschuwing stuurt, maar het lijkt erop dat de bank dat gericht doet naar Odido- en Ben-klanten en de kans is daarmee groot dat dat gebeurt op basis van transactiegegevens.
Reageer
Sanderluc @hiostu5 maart 2026 12:08
Ik heb de e-mail waar dit over gaat al op 12 februari ontvangen, dus het lijkt mij niet logisch dat Bunq de gelekte data van Odido heeft kunnen gebruiken hiervoor...
Reageer
J1ngleJ4ngle @hiostu5 maart 2026 12:21
Hoeft toch niet eens. Bunq kan zien dat iemand transacties heeft naar Odido en dus een abonnement.
Reageer
dasiro @hiostu5 maart 2026 12:25
beide zijn kwalijk te noemen:
  • het gebruiken van betaalgegevens is legaal en iets wat payment-providers (dus ook banken) zichzelf vaak toelaten via het aanbieden van "slimme" features zoals insights.
  • het gebruik van data uit het lek is illegaal
Reageer
latka @hiostu5 maart 2026 12:08
Terwijl bunq ook gewoon kan zien welke afschijvingen er naar odido/ben gaan vanuit bunq backend. Beide is overigens discutabel.
Reageer
Mathijs Kok @latka5 maart 2026 13:48
Terwijl bunq ook gewoon kan zien welke afschijvingen er naar odido/ben gaan vanuit bunq backend. Beide is overigens discutabel.
Dus een bank mag niet weten waar een betaling heen gaat? Hoe betaal jij je rekeningen dan?
Reageer
killercow @Mathijs Kok5 maart 2026 14:25
Het doel van de verwerking is leidend hier, ze mogen weten waarheen om het geld over te maken, maar das wat anders dan het voor andere doelen gebruiken. Dat moet volgens een van de andere verwerkingsgronden da wel mogen.
Reageer
MSalters @killercow5 maart 2026 14:56
Fraudepreventie is zo'n ander doel. Geen mening, wettelijke verplichting zelfs.
Reageer
WhatsappHack
@MSalters5 maart 2026 18:54
Ben ik wel benieuwd wat de reikwijdte is van “fraude” in deze context en hoe ver dat strekt. De klant gaat geen fraude plegen of witwassen ofzo. De klant wordt opgelicht. Valt dat onder de scope van de wwft? Ik snap dat dit multi-interpretabel is hoor, ben gewoon benieuwd. :)
Reageer
latka @Mathijs Kok5 maart 2026 19:42
Meer het inzetten voor gerichte marketing. Maar vanuit fraude preventie wel recht te praten (alhoewel dat in mijn opinie erg hard afglijdt maar de "privacy is optioneel want kinderporno" argumentatie).
Reageer
Menesis @bas-r5 maart 2026 12:04
Dat haal ik er uit ja. Maar zonder bewijs zijn dit hooguit rumours..
Reageer
AuteurTijsZonderH Nieuwscoördinator @Menesis5 maart 2026 12:59
Als het al rumours zouden zijn, heeft bunq die in ieder geval niet ontkracht terwijl ze daar wel echt de kans voor hadden.
Reageer
Mathijs Kok @TijsZonderH5 maart 2026 13:53
Maar Tijs, als er tweakers zijn die mails ontvangen hebben VOOR de dataset beschikbaar was, lijkt de zaak vrij duidelijk. Ik kreeg al een message van Bunq vlak na de eerste dataset (waar ik mezelf niet in kon vinden). Ik denk echt dat jullie hier de verkeerde boom in het blaffen zijn.
Reageer
AuteurTijsZonderH Nieuwscoördinator @Mathijs Kok5 maart 2026 13:55
Niemand heeft het hier over de gestolen dataset.
Reageer
Menesis @TijsZonderH5 maart 2026 15:10
Ja klopt op zich. Tja wat noemen we het dan. In elk geval iets om verder te onderzoeken, en zeker nieuwswaardig als meerdere Tweakers hier mee kwamen op het forum. Maar belangrijk om het (mogelijke) nieuws op de juiste manier te brengen.


Ik heb verder geen zin en tijd om me er in te verdiepen, maar ik neem aan dat Bunq klanten zonder Odido dan uitdrukkelijk geen e-mail hebben ontvangen?

[Reactie gewijzigd door Menesis op 5 maart 2026 15:12]

Reageer
Andros @bas-r5 maart 2026 12:06
Zoiets lees ik er ook in. Dit is nogal een privacy mijnenveld en iets zegt me dat dit een AVG probleempje op kan leveren. Al jaren zijn er ideeën om mensen aan te manen gezonden te leven als ze frequent geld uitgeven in de McDonald's en zien we mogelijkheden om die gegevens weer met je zorgverzekeraar te delen. Nu gaat een bank zich bemoeien met uitgaven van een klant, dit voelt heel erg niet goed.
Reageer
Thepriest1750 @Andros5 maart 2026 14:35
Geeft wellicht al een "blik" in de toekomst dat naast de bank zich gaat bemoeien met de uitgaven en wellicht ook de overheid als je tegen die tijd alles digitaal aan het doen bent, het lijkt erop dat men steeds meer naar digitaal alles wil en het liefst ook elke maand laten betalen voor alles omdat het niet meer "betaalbaar" zal zijn in de toekomst ( let op mijn woorden ) en dat men dan ook graag een "abbo" heeft op alles waarbij je dan elke maand mag gaan betalen (zoals een huis of auto ) want straks is er alleen nog rijk of arm en helaas geen middenklasse meer.

Men geeft wel aan steeds over "gezonder" leven maar ze laten wel de BTW op de gezonde zaken zitten en alles wat ongezond is wordt steeds duurder mar wel de gezonde dingen met BTW laten wat ik niet kan begrijpen.
Reageer
koboy @bas-r5 maart 2026 12:10
Ik zie het iets anders: Bunq "waarschuwt" Odido en Ben klanten zodat als een klant opgelicht wordt ze kunnen roepen: "we hebben gewaarschuwd, eigen schuld!" In plaats van echte anti-fraude maatregelen te implementeren en zaken op een volwassen manier af te handelen zoals andere banken dat wel doen.
Reageer
SirQuack @koboy5 maart 2026 17:35
En daarbij schenden ze de privacy van het financiele handelen van hun klanten om maar die disclaimer te sturen.

Leuk, zo'n fintech bank die reviewers opjaagt, failliete directeurs toegang geeft tot bevroren tegoeden en waarvan de medewerkers spitten om hun date alvast vooraf te keuren. En da's enkel wat even bleef plakken over dit gedrocht.
Reageer
beerse @bas-r5 maart 2026 12:24
Mijn eerste gedachte was ook dat bunq de gelekte data gebruikt zou hebben. Maar bunq heeft dat niet nodig als je betalingen aan odido via bunq loopt. Bunq ziet wie aan odido betaalt en kan daarbij gericht informeren en/of waarschuwen. Of ze dat mogen op basis van bank en/of avg regelgeving weet ik niet.

Naar mijn idee is het vanuit de avg niet gewenst dat bunq dit zou doen. Maar als bank zou bunq wel bepaalde informatie plicht hebben naar haar eigen klanten. Nu ik er over nadenk is het wel te verdedigen dat bunq deze rechtstreekse benadering pleegt. Laat de juristen en zo er maar een oordeel over vellen.
Reageer
AuteurTijsZonderH Nieuwscoördinator @PredCaliber25 maart 2026 12:49
Ik ga het zo zeggen: ik publiceer niet zomaar zonder dit te weten. Dat bunq het niet on the record bevestigt mag je oppakken zoals je wil.
Reageer
TechSupreme 5 maart 2026 11:59
Ik ben klant bij zowel Bunq als Odido, ik heb die mail of melding niet gehad... Ben ik te min?
Reageer
Croga @TechSupreme5 maart 2026 12:38
Ik ben klant bij Bunq en niet bij Odido. Mijn EMail adres staat ook niet in de Odido files. Ik heb deze mails wel gehad.

Ergo; de combinatie van ons beider ervaringen zegt dat de verdachtmaking in dit artikel nergens op slaat.
Reageer
TechSupreme @Croga6 maart 2026 01:11
Bunq, net zoals elke andere bank, stuurt regelmatig mails waarmee het klanten wil informeren over scams en phishing. Van de ABN en ING krijg ik regelmatig dat soort mails en ik kan ze bij beide banken niet uitzetten. Bij Bunq heb ik die mails uitgezet, geen behoefte. Het is gewoon een (ongelukkige) keuze van de auteur waar "journalisten" van Tweakers op voortborduren.

Het artikel begint al met de zin: "Dat blijkt uit tips die Tweakers heeft ontvangen van users". Zo'n standaard truukje. Nee het is niet Tweakers die dat zegt, het zijn de tipgevers. Maar goed, het is wel de "redactie" van Tweakers die ervoor kiest om halve informatie te publiceren, zonder dat er enige vorm van bewijs of wat dan ook is.

In de titel, inleiding en eerste paragraaf staan dikke beschuldigingen. Ik zou er persoonlijk geen moeite mee hebben dat een bank zoiets doet als een stukje service naar zijn klanten, maar goed, het downloaden en gebruiken van de data is problematisch. Dus Tweakers beschuldigd Bunq van dat het data heeft wat het niet mag hebben.

Om vervolgens in de paragrafen erna eigenlijk heel weinig te zeggen en het met een sisser af te laten lopen. Wat denk je dat zo'n woordvoerder gaat toegeven dat ze die data hebben?

Ik weet niet wat het probleem is van Tweakers met Bunq, Tweakers is wel vaker gigantisch negatief over Bunq terwijl er eigenlijk niks aan de hand is. Ik begin onderhand te denken dat iemand bij Tweakers slachtoffer is van helpdeskfraude ofzo.

Dat Bunq zijn toch maar een stelletje boeven, als ik lees wat Tweakers allemaal over ze schrijft. Oooooooh wat erruuuuuuuuug allemaal. Ooooooooooh een gefrustreerde oud-medewerker van Bunq zegt van alles over Bunq, dat moet wel de waarheid zijn, of ja we gaan het zo schrijven dat het lijkt alsof het de waarheid is. Wat had die ex-medewerker ook alweer gezegd? Dat Bunq elk moment een boete kon krijgen of zelfs zijn vergunning kwijt kon raken? Waar dan?

Kan iemand me uitleggen: wat heeft dit artikel met tech te maken? Dat het FD of NRC zoiets publiceert, ok. Ook al is Bunq FinTech, wat heeft dit met FinTech te maken?
nieuws: Bunq moet van rechter 315.000 euro betalen voor deblokkeren van faill...

Waarom schrijft Tweakers niets over het falen van andere banken?
https://www.ftm.nl/artike...-falend-anti-witwasbeleid
https://www.afm.nl/nl-nl/sector/actueel/20
https://www.dnb.nl/algeme...s-overtreden-bonusverbod/

Als het om Bunq gaat dan heeft Tweakers gigantisch de neiging om van een mug een olifant te maken.

[Reactie gewijzigd door TechSupreme op 6 maart 2026 05:54]

Reageer
MrDrako @Croga5 maart 2026 12:41
De titel is iets te veel click bait, in het artikel is het een stuk genuanceerder. Het zou tweakers sieren als ze dat bij de titel ook zouden doen.
Reageer
Croga @MrDrako5 maart 2026 13:07
Ik zie helemaal niets genuanceerds aan:
[quote]Bunq benadert klanten die een abonnement op Odido hebben met tips over hoe ze veilig kunnen blijven na het datalek van vorige maand. Het is niet duidelijk op basis van welke gegevens de bank dat doet, maar het lijkt erop dat de bank weet wie klant is bij Odido of Ben.[/quote]
Reageer
S-1-5-7 @Croga5 maart 2026 13:28
Precies die laatste zin lijkt sensatie zoeken die er waarschijnlijk niet is. Het zou Tweakers sieren wanneeer zij op voorhand zaken uitzoeken voordat zij dit soort berichten de wereld in slingeren.

Dat berichtje op het forum van swiebert waarnaartoe wordt gelinkt wekt namelijk in mijn ogen ook niet echt de suggestie dat Bunq iets doet met de Odido dataset.
Reageer
Alcmaria @Croga5 maart 2026 13:31
Neuh.. de kans dat je bij Bunq en Odido zit is best groot aangezien er 6 miljoen records zijn geklauwd bij die hack. Dus tja.. ze leggen connecties die er niet zijn gok ik
Reageer
tomuitrotterdam @TechSupreme5 maart 2026 12:43
Wellicht doe je de Odido betaling niet vanaf je Bunq rekening, dus geen transactie voor hun te zien?
Reageer
noskill @TechSupreme5 maart 2026 12:39
Niemand wil jou gegevens :+
Reageer
dutchnltweaker 5 maart 2026 12:03
De bank wil niet zeggen op basis waarvan het de mails verstuurt en houdt het bij een algemene verklaring. "Voor bunq staat veiligheid voorop. We communiceren daarom altijd in geval van potentieel gevaar om mensen te informeren en ze te laten weten hoe ze veilig blijven", zegt een woordvoerder van bunq tegen Tweakers.
Uh dat betekend dat de bank dus de transactie gegevens analyseert? Mooi gebaar, maar heel eerlijk zit ik niet te wachten op een bank die mijn transactie gegevens voor elk doeleinde kan gebruiken. Ik blijf het toch een enge bank vinden: nieuws: Bunq blijkt toch te dreigen met juridische stappen na Reddit-post ex-werknemer nieuws: FD: Bunq spoort klant achter anoniem Wikipedia-account op na kritiek - update
Reageer
Jay-v @dutchnltweaker5 maart 2026 12:22
Dat doen alle banken, dat zijn ze zelfs verplicht om witwassen tegen te gaan. Het gaat er mijn inziens meer om voor welke doeleinden ze dat doen.

Mij zal je niet meer zien bij Bunq maar opzich vindt ik deze (uitzonderlijke) actie wel netjes.
Reageer
Tielenaar @Jay-v5 maart 2026 12:37
Ik niet. Dat ze je bankgegevens gebruiken om criminaliteit tegen te gaan is nodig vanuit de wet. Dit is gewoon ergens mee bemoeien waar ze niet voor zijn. Ik zou het zeer onprettig vinden als mijn bank dat doet. What's next? Reclame sturen op basis van je bankgegevens? Doe maar gewoon niet.
Reageer
knakworst @Tielenaar5 maart 2026 13:24
Op basis van de WFT heeft de bank ook een zorgplicht tegenover haar klanten. Dat betekent dat Bunq moet waarschuwen bij concrete signalen en zich niet kan verschuilen achter “eigen verantwoordelijkheid klant” als risico’s evident zijn. Dus ja, ze kunnen passief afwachten. Maar als ze niets doen, er dan later fraude wordt gepleegd, klanten controleren te laat afschriften, kan bunq alle schade uitbetalen, want dan hebben ze niet voldaan aan hun inspanningsverplichting. Nu wel.
Reageer
wooha @knakworst5 maart 2026 15:47
Een alternatief is toch om alle Bunq klanten te mailen met een waarschuwing over phishing en wat ze van Bunq kunnen verwachten. Ook die klanten hebben er voordeel van om dat te weten.

Daarbij kunnen ze inhaken op de actualiteit en de Odido hack als voorbeeld nemen, al dan niet met naam. Bunq concurreert niet met Odido en zo goed als iedereen zal de casus kennen, dus ik zie er weinig kwaads in als ze de naam noemen.
Reageer
arjankoole @dutchnltweaker5 maart 2026 12:23
Dat doen ze sowieso, en zijn ze verplicht ivm fraude / witwas / etc
Reageer
jpfx @arjankoole5 maart 2026 13:02
Fraude, witwas, etc. Ja wettelijk.

Om die data op een andere wijze te gebruiken lijkt mij niet wenselijk. Ze hebben helemaal niets te maken met bij wij ik een telecom abbo heb, bij welke supermarkt ik winkel, of bij bol.com bestel, etc.

Daarmee overschrijden ze wat ze wettelijk dienen te doen, en schuurt het tegen privacy aan.

En mochten ze het doen door de dataset te downloaden en de gegevens daarvan tegen hun bestand te vergelijken (dat kan bijv. op basis van IBAN) zou op zich ook opmerkelijk zijn. Ze geven daarbij eigenlijk criminelen alleen maar MEER mogelijkheden om misbruik te maken, immers, een mail over het onderwerp kan dan OF van de bank zijn, OF van een crimineel zijn met het doel om nog meer info te achterhalen.

Juist door niet transparant te zijn over het hoe en waarom maakt mij zenuwachtig over of er wel op een toegestane wijze wordt gewerkt.
Reageer
arjankoole @jpfx5 maart 2026 14:52
Je kan in dit hele specifieke geval hard maken dat het hun mandaat raakt omdat:
1) het IBAN er bij zit
2) al je NAW en mogelijk legitimatie gegevens er in zit

en daardoor een mogelijke fraude vector ontstaan richting de bank in kwestie. Een mail richting mogelijk getroffen klanten (hoewel niet iedereen die getroffen was en klant is bij bunq die mail kreeg) is dan fraude preventie.
Reageer
jpfx @arjankoole5 maart 2026 21:29
Ja, samen met de gelijkluidende mail die van de crimineel komt. Door alle gegevens die ze hebben is het lastig het onderscheid te maken.
Reageer
MSalters @jpfx5 maart 2026 15:08
"Wat jij wenselijk acht" is voor Bunq ondergeschikt aan wat de DNB wenselijk acht. Het eerste kost niet eens een klant want alle banken hebben dezelfde verplichtingen.
Reageer
jpfx @MSalters5 maart 2026 21:28
Andere wijze dan wettelijk verplicht is wat ik zeg. Lezen lijkt moeilijk.
Reageer
eli_r 5 maart 2026 12:09
Ik ben klant bij zowel Odido, Ben als Bunq en heb deze mail niet ontvangen. Ik gebruikt m'n Bunq bankrekening gewoon voor de betalingen aan deze twee partijen.
Reageer
ProxyDaily @eli_r5 maart 2026 12:21
Gebruik je een ander emailadres voor Bunq dan voor Odido? Dat zou namelijk een indicatie zijn dat het dus niet op basis van transactiegegevens is gedaan maar op basis van gegevens in het lek (ofwel direct ofwel doormiddel van een derde partij als HaveIBeenPwned).
Reageer
eli_r @ProxyDaily5 maart 2026 13:34
Nee, ik gebruik overal dezelfde gegevens, wel andere wachtwoorden natuurlijk. Misschien niet slim maar ik ben (helaas) ook lui.
Reageer
Aldy @eli_r5 maart 2026 15:13
Nee, ik gebruik overal dezelfde gegevens, wel andere wachtwoorden natuurlijk. Misschien niet slim maar ik ben (helaas) ook lui.
Waarom lui? Als er om een mailadres wordt gevraagd, zullen de meesten altijd hetzelfde mailadres gebruiken. Natuurlijk wel i.c.m. een uniek wachtwoord. Ik zou niet weten waarom jij denkt dat je handelen niet slim is.
Reageer
Mog 5 maart 2026 12:03
Ik heb een Bunq account en mijn gegevens zijn buit gemaakt bij de Odido hack, maar ik heb niets ontvangen van Bunq. Wel een mail van Knab een dag na de Odido hack:
Beste [...],

Je leest het regelmatig in het nieuws: grote organisaties die te maken krijgen met een datalek. Daarbij kunnen persoonsgegevens in verkeerde handen terechtkomen.

Criminelen gebruiken zulke informatie soms om zich geloofwaardig voor te doen als een bank of andere vertrouwde partij. Daarom delen we graag een paar belangrijke aandachtspunten om je bankzaken veilig te houden.

[..]

Samen zorgen we ervoor dat bankieren veilig blijft.
Reageer
Warri @Mog5 maart 2026 12:22
Ik ben KNAB klant en mijn gegevens zitten ook in de ODIDO hack, maar ik heb geen e-mail gehad van KNAB.
Reageer
RoyReyn 5 maart 2026 13:03
BUNQ kan gewoon inzien welke bij- en afschriften je krijgt. Op basis hiervan kan een selectie gemaakt worden van gebruikers die dus klant zijn bij Odido en zo een e-mail uitsturen. Ik ben zelf bijvoorbeeld klan tgeweest bij Odido en mijn gegevens zijn gelekt. Maar ik heb niet deze mail ontvangen omdat ik niet bij BUNQ Odido heb laten afschrijven.
Reageer
Kale Kiwi @RoyReyn5 maart 2026 13:20
Ik ben geen klant bij Odido, ook nooit geweest, de hack komt bij haveibeenpwned ook niet naar voren en ik heb de mail wel gehad.

Oftewel de aantijging in dit artikel is ongegrond.
Reageer
MSalters @Kale Kiwi5 maart 2026 15:04
Odido was vroeger T Mobile, en de database bevatte ook informatie over VMNO klanten.

Op dit punt geloof ik het artikel meer dan jouw claim. Als jij ooit betaald hebt met bunq aan een VMMO die met Tmobile zaken deed, dan is de mail redelijk.
Reageer
Aldy @MSalters5 maart 2026 15:09
Op dit punt geloof ik het artikel meer dan jouw claim
Ik heb anders met T-mobile en met Odido zaken gedaan en geen mail van Bunq gekregen, dus geloof ik op dit punt mijn eigen ervaring meer dan het artikel.
Reageer
bytemaster460 @RoyReyn5 maart 2026 15:08
Dat dat technisch kan betekent niet dat het legaal is. Als je geen toestemming hebt gegeven aan Bunq om je transacties te laten analyseren mag Bunq er niets mee doen.
Reageer
Tweakwondo 5 maart 2026 12:01
beetje dubbel gevoel hierbij want wanneer er problemen zijn met de bank ivm oplichting e.d dan laten ze van zichzelf niets weten maar wanneer er een chaos is rondom een ander partij weten ze ineens wel in actie te komen.
plus ik zou het absoluut niet fijn vinden als een bank mij gericht mails gaat sturen. nou weet ik ook wel dat elke bank transacties scant etc maar dit vind ik ook weer een beetje overkomen als wij kijken even mee wie odido heeft en gaan onze klanten een mail sturen.
de bank wil niet zeggen op basis waarvan het de mails verstuurt en houdt het bij een algemene verklaring. "Voor bunq staat veiligheid voorop.
hier krijg ik dus de kriebels van wanneer bunq fout is geven ze niet van thuis
Reageer
S-1-5-7 5 maart 2026 12:02
Het is niet duidelijk op basis van welke informatie bunq de waarschuwing stuurt, maar het lijkt erop dat de bank dat gericht doet naar Odido- en Ben-klanten
Waarom lijkt dit er op? Wat zijn de aanwijzingen?

Ik kreeg overigens een soortgelijke mail van Toto een tijdje terug. Ik had zelf niet per se het vermoeden dat dit bericht gericht was verstuurd naar enkel de klanten waarvan hun gegevens bij Odido zijn gelekt
Reageer
blk 5 maart 2026 12:14
Ik ben op de hoogte van andere banken die ook uitgezocht hebben welke klanten maandelijks geld overmaken naar Odido en voor deze klanten achter de schermen extra fraude detectie doen. Dit vind ik zelf een verstandige actie.

Het actief benaderen van klanten vind ik daarentegen weer wat twijfelachtig... simpelweg omdat er bij klanten vragen kunnen gaan ontstaan hoe bunq aan de gegevens komt (wel of niet uit de dataset, of puur op basis van transactiegedrag).

[Reactie gewijzigd door blk op 5 maart 2026 12:15]

Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq