Innova Energie waarschuwt voor datalek door medewerker die klantgegevens stal

Innova Energie bevestigt aan Tweakers dat het een datalek heeft. Een medewerker van Innova's label Gewoon Energie bemachtigde 'onrechtmatig' klantgegevens. De medewerker is niet langer in dienst. Innova doet aangifte, meldt het datalek bij de AP en e-mailt getroffen klanten.

Diverse tweakers melden aan de redactie en in forumposts dat zij bericht krijgen van Innova. "U ontvangt deze e-mail omdat wij u uit voorzorg willen waarschuwen voor mogelijke risico's als gevolg van een beveiligingsincident", begint de e-mail. Sommige ontvangers zijn klant van Gewoon Energie, maar anderen zijn klant van Innova Energie.

Het bedrijf meldt dat 'een medewerker van Innova Energie uw klantgegevens onrechtmatig heeft bemachtigd'. Vragen van Tweakers over de omvang en aard van het datalek blijven onbeantwoord. In de e-mail aan klanten geeft Innova aan dat namen, geboortedatums, telefoonnummers, e-mailadressen, woonadressen en bankrekeningnummers zijn uitgelekt.

Innova waarschuwt klanten nu voor mogelijk misbruik en raadt aan om alert te zijn 'op eventuele ongebruikelijke activiteiten'. Klanten moeten letten op 'onverwachte berichten via e-mail, post, sms'jes, appjes of telefoontjes die namens Innova Energie lijken te komen'. Bij dergelijke berichten kunnen klanten contact opnemen met de energieleverancier.

Uitgelekt klantenbestand in 2025

Innova meldt in de e-mail aan klanten dat het 'onmiddellijk maatregelen' heeft genomen 'om het incident te onderzoeken en de beveiliging verder te verscherpen'. De medewerker is 'niet langer werkzaam' voor Innova Energie. "Wij hebben aangifte gedaan bij het Openbaar Ministerie en dit incident gemeld bij de Autoriteit Persoonsgegevens."

In september vorig jaar verloor Innova een kort geding over misleidende benadering van klanten. Daarbij stelde het bedrijf dat zijn klantenbestand op niet-legale wijze in handen van een derde partij was gekomen. Het is niet duidelijk of deze zaak gerelateerd is aan het nu bekendgemaakte datalek.

Datalek. Bron: Sarayut Thaneerat/Moment/Getty Images
Datalek. Bron: Sarayut Thaneerat/Moment/Getty Images

Door Jasper Bakker

Nieuwsredacteur

Feedback • 19-03-2026 11:06
90 • submitter: engineercoding1

19-03-2026 • 11:06

90

Submitter: engineercoding1

Lees meer

Bugbountyplatform HackerOne waarschuwt personeel voor datalek na hack bij Navia
Bugbountyplatform HackerOne waarschuwt personeel voor datalek na hack bij Navia Nieuws van 24 maart 2026
Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura
Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura Nieuws van 18 maart 2026
Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt
Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt Nieuws van 13 maart 2026
App tegen pornoverslaving lekte masturbatiedata en makers logen daarover
App tegen pornoverslaving lekte masturbatiedata en makers logen daarover Nieuws van 10 maart 2026
Politietop zegt sorry na beschuldiging dat 1700 agenten gluurden in Lisa-dossier
Politietop zegt sorry na beschuldiging dat 1700 agenten gluurden in Lisa-dossier Nieuws van 10 maart 2026
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online
Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026
Meer producten en artikelen
Bedrijfsnieuws Politiek en recht Privacy Datalek Energie Energiebedrijven Energiebesparing Energieleverancier Klantenservice Privacy schending

Reacties (90)

-Moderatie-faq
90
90
44
3
0
40
Wijzig sortering

Sorteer op:

Weergave:
spokje 19 maart 2026 11:41
Kreeg gister mailtje van ze. Paar weken geleden Odido en nu deze :z

Ook al jaren geen klant meer bij Innova. Waarom worden gegevens niet gewoon verwijderd...
Reageer
Scriptkid @spokje19 maart 2026 12:05
Omdat je dan een data governance framework Moet hebben en. Dat staat bij heel veel bedrijven in de kinder schoenen/ low prio of Totaal nooit gedaan.
Reageer
lighting_ @Scriptkid19 maart 2026 13:39
data governance is niet heilig.
Lekken kunnen overal vandaan komen.
Stel je hebt data analisten die toegang tot de data hebben.
Reageer
The Realone @lighting_19 maart 2026 14:01
Dat heeft weinig te maken met het verwijderen van oude data. Laat dat nou net een relatief eenvoudige taak zijn in de meeste omgevingen.
Reageer
lighting_ @The Realone19 maart 2026 18:01
nee dat is niet waar.
Je mag klant data ook niet na 1 jaar verwijderen. Die moeten nog 7 jaar te traceren zijn.
Waarom denk jij dat het zo makkelijk is? heb je ervaring mee bij grote tokos die bijv SAP gebruiken?
Reageer
The Realone @lighting_19 maart 2026 18:30
Bewaren is niet hetzelfde als toegankelijk moeten zijn. Als jij klantgegevens na 2 jaar moet "verwijderen" en dat strookt niet met een eventuele bewaarplicht, dan zorg je er voor dat die niet meer toegankelijk zijn. Voor niemand, behalve een zeer select groepje mensen, met voldoende auditing en een vier-ogen principe. Dat mag geen data zijn waar jaren later nog Jan-en-alleman bij kan. En zeker bij systemen als SAP is dit mogelijk, gezien die modulair genoeg zijn. Maar dan moet je dat wel willen implementeren.
Reageer
lighting_ @The Realone19 maart 2026 20:25
je weet niet wat de functie is van deze medewerker?
Moest hij/zij klant data analyseren?
Reageer
The Realone @lighting_19 maart 2026 20:33
Dat klopt, dat weet je in specifieke gevallen niet. Maar door de meet genomen raak je data die je enkel nog hebt omdat je aan een wettelijke bewaarplicht moet voldoen nooit meer aan. In ieder zeker niet zonder dat voldoende te waarborgen. Het zou best kunnen dat we hier over een randgevalletje spreken, maar laten we eerlijk zijn, in veruit de meeste gevallen ontbreekt het aan die waarborgen.
Reageer
RiDo78 @lighting_20 maart 2026 13:40
Bij veel producten kun je prima dataretentie toepassen. Elk zichzelf-respecterend product zal daar wel een oplossing voor hebben. Alles ouder dan X maanden wordt dan automatisch gewist Eventueel nadat het gearchiveerd is

Heb je voor wettelijke doeleinden een bewaarplicht dan zorg je ervoor dat je backups goed bewaard blijven. Eventueel leg je er speciaal een backupset voor aan. Backups naar tape schrijven en in de kluis leggen. Knappe hacker die er dan nog bij kan. Krijg je dan bijvoorbeeld een verzoek van de fiscus? Dan lees je de (read only) tapes in en extract je de data die nodig is. Krijg je een audit? Dan heb je veelal genoeg aan de backuplogs en het bewijs dat de tapes met de juiste nummers daadwerkelijk in de kluis liggen.

Maar de theorie is fantastisch. In de praktijk heb je vaak te maken met managers die andere belangen hebben. Die bijvoorbeeld niet willen investeren in degelijke oplossingen en dan mogen de engineers kunstgrepen proberen toepassen om alles alsnog voor elkaar te boxen. Als ze daar tenminste de tijd voor krijgen…
Reageer
lighting_ @RiDo7820 maart 2026 18:22
Je kan klanten niet zomaar wissen of anonimiseren als daar finance boekingen aan hangen.
Reageer
RiDo78 @lighting_20 maart 2026 21:07
Er zijn meer wegen die naar Rome leiden. Waar we het over hebben is data van ex-klanten die al lang weg had moeten zijn. Dus een klant stopt zijn abonnement en krijgt uiteindelijk een eindafrekening. Zodra die afgehandeld is (dus het eindsaldo van de debiteur is 0) dan kan die klant het archief in. Natuurlijk kun (en mag) je er voor kiezen om de data nog wat langer te bewaren, bijvoorbeeld voor het geval de ex-klant nog opbelt met vragen over een factuur. Dat los je dan op in je algemene voorwaarden en/of privacyverklaring. Technisch is er geen enkele horde om die data te archiveren. Elk zichzelf respecterend product wat is toegespitst op de Nederlandse markt zal dat kunnen.
Reageer
lighting_ @RiDo7821 maart 2026 09:18
Aan een factuur hangt een debiteur. Anonimiseren? dat kan wel. Maar na eindfactuur?
Heb het vermoeden dat hier gesproken wordt zonder kennis en/of ervaring vanaf de zijlijn.
10 steden? het kan wel. Zoiets.
Reageer
RiDo78 @lighting_21 maart 2026 11:49
Ook daar is genoeg ip te vinden. Je kunt een factuur maken in een pdf en die bewaren. De data die in de database staat om de factuur te genereren hoef je niet bij te houden. Dus zolang de klant nog klant is dan kun je de facturen opnieuw genereren met de data in de database. Maar zodra de eindfactuur is betaald kun je de data in de database archiveren. De PDF’s van de facturen kun je -zeg- nog 2 jaar lang bijhouden. De kans dat je volledige set met bijlagen gescraped wordt lijkt me een stuk kleiner dan het downloaden van een data-dump.

En platte files als PDF hebben doorgaans metadata in het filesystem of CMS met de creatiedatum waarop je weer heel gemakkelijk archivering of verwijdering kunt instellen.

Maar wat anderen in al in de reacties al hebben aangegeven, het is vaak gemakkelijker en goedkoper om alles in het administratiepakket te laten zitten. En dat strookt ook met mijn ervaring. Data moet geld opleveren en mag niet teveel kosten. Dus als een manager voor zijn budget de keuze moet maken tussen het inrichten en implementeren van een goed retentiebeleid of het verrijken van data voor marketingdoeleinden dan wint die laatste doorgaans. Maar dat is mijn ervaring.
Reageer
lighting_ @RiDo7821 maart 2026 12:03
luister naar jezelf
PDF bewaren. Wat is dat voor oplossing?
Blijkbaar weet jij het beter dan iedereen
Ga maar eens proberen met een complex ERP pakket als SAP.....succes
Reageer
RiDo78 @lighting_21 maart 2026 12:41
Ik heb al verschillende oplossingen aangegeven en die zullen niet altijd op elk pakket passen.

Wel weet ik uit de tijd dat ik SAP-basis engineer was dat je SAP enorm kunt customizen én dat ze kant en klare modules hebben die specifiek voor bepaalde landen en rechtgebieden gelden met daarin cusomizations om aan de lokaal geldende wet- en regelgeving te voldoen.

Dus als jij als bedrijf je dataretentie in SAP niet in orde hebt dan heb je je huiswerk echt niet goed gedaan. Bovendien, als er een land in deze regio is wat helemaal verknocht is aan (bureaucratische) regeltjes dan is het Duitland wel.
Reageer
lighting_ @RiDo7821 maart 2026 12:50
SAP kant en klare modules Tuurlijk
Geen enkel toko met SAP verwijdert actief hun master data. Dat is een project op zich met enorme potentiele gevolgen. Jij kent SAP niet.
Reageer
Fireshade @lighting_19 maart 2026 14:04
Data governance is niet heilig, maar zou hier wellicht hebben geholpen. Bijv. dat accounts die al een jaar geen klant meer zijn, automatisch verwijderen. Eventueel voor analyse van deze ex-klanten hun data anonimiseren. Die analisten kunnen daar prima mee verder - let wel: betreffende data van ex-klanten.
Voor bestaande klanten is er uiteraard gerechtvaardigd belang om meer exacte gegevens te hebben.

Vaak is de echte reden: geen tijd en mensen voor willen vrijmaken.

[Reactie gewijzigd door Fireshade op 19 maart 2026 14:05]

Reageer
phonixor @Fireshade19 maart 2026 15:56
en je moet een hoop van die gegevens 7 jaar bewaren

https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/administratie_bijhouden/administratie_bewaren/
doorklikken
https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/administratie_bijhouden/wat_administreert_u_voor_de_btw/uitgaande_facturen_administreren
Reageer
lighting_ @Fireshade19 maart 2026 18:02
"Vaak is de echte reden: geen tijd en mensen voor willen vrijmaken."

Spreek je uit ervaring?
En al eerder gezegd. Fiscale bewaartermijn is 7 jaar.
Reageer
Scriptkid @lighting_19 maart 2026 16:20
Je weet dat data governance niks met techniek te maken heeft maar met het beheren van waar je data vandaan komt en waar het heen gaat en hoe het zich gedraagt tijdens de journey en hoe mensen en processen met de data interacten ?
Reageer
HenkEisDS @spokje19 maart 2026 12:35
Omdat bedrijven panisch vast blijven houden aan de 7 of 10 jaar bewaartermijn van de belastingdienst. Dat die gegevens dan al lang uit CRM mogen willen ze liever niet horen, want dat is extra werk.
Reageer
lighting_ @HenkEisDS19 maart 2026 13:17
Het is niet alleen je CRM maar ook al je back end systemen. Denk aan administratie.
Burgers denken daar te licht over. Het is geen druk op een knop en poef je bent geanonimiseerd.

Daarbij weten we niet wat de functie van de medewerker was. Had hij/zij vanuit de functie toegang tot de data?
Reageer
richardk0 @lighting_19 maart 2026 14:53
burgers denken daar niet te licht over, de verantwoordelijken die zich binnen de bedrijven aan de wet dienen te houden, denken hier te licht over
Reageer
lighting_ @richardk019 maart 2026 18:03
Het wordt meestal niet gedaan omdat het moeilijke processen zijn.
Kritiek geven vanaf de zijlijn is makkelijk.

De overheid is zelf schuldig aan deze chaos.
Voorbeeld; Een opdracht broker moet jouw ID checken
Check betekent je NAW en BSN. Puur vanwege wet keten aansprakelijkheid waar in de
bouw branche werd gefraudeerd. Zelfs als je een werknemer bent willen ze alsnog je gegevens.
Reageer
William_H @lighting_25 maart 2026 23:33
Maar de vraag is, als je dat gecheckt hebt (weet, een kopie-paspoort/ID is wettelijk gezien geen echte identificatie), waarom moet je dan jaren die kopie bewaren. Je hebt het gecheckt, je kunt dat vastleggen, desnoods encrypten, en door. Maar gemak... En ook heel vaak onterechte angst (hoor ik veel bij AVG "Ik mag van de AVG niet...").
Reageer
lighting_ @William_H26 maart 2026 14:29
voor bewijs om achteraf niet opeens de kosten te ontvangen
Reageer
janchtw @spokje19 maart 2026 11:49
Hier hetzelfde. Ook geen klant meer bij Innova maar kreeg gisteren ook hun mailtje dat mijn gegevens zijn gelekt.
Reageer
Kalief 19 maart 2026 11:44
In september vorig jaar verloor Innova een kort geding over misleidende benadering van klanten.
Niet omdat ze ongelijk kregen van de rechter maar omdat een kort geding niet de juiste procedure was voor de zaak: "Om de gegrondheid van de stellingen van eiseres te kunnen vaststellen is nadere bewijslevering noodzakelijk. Daarvoor leent een kort geding zich niet."
Reageer
gaskabouter @Kalief19 maart 2026 12:24
Om helemaal precies te zijn hebben ze een vordering ingediend en die vordering is afgewezen. Als een vordering wordt toegekend heet het ook wel "winnen" dus is dit "verliezen".

Om te kunnen "winnen" moeten ze met meer bewijs komen en daarvoor leent een kort geding zich niet
Reageer
MikeyMan 19 maart 2026 11:13
Het gaat lekker met al die datalekken...

Misschien moeten we het eens anders aan gaan pakken. Flood the zone; verspreid maar fake data over jezelf, waardoor de echte data niet makkelijk terug te vinden is.
Reageer
Mavamaarten @MikeyMan19 maart 2026 11:18
Dat doe ik al heel lang. Voor een simpele webshop-bestelling zijn initialen of een halve achternaam genoeg. En als telefoonnummer werkt +32 123 456 789 ook heel goed naar mijn ervaring. En mijn geboortedatum, 1 januari 1970 O-) vindt iedereen ook wel prima, zo blijkt.

We zijn het heel gewoon dat bedrijven altijd hele bergen aan informatie vragen, en we vullen maar al te graag alles in, zonder erbij stil te staan dat men die gegevens eigenlijk totaal niet nodig heeft.
Reageer
wiseger
@Mavamaarten19 maart 2026 11:23
Het gaat hier om de leverancier van energie. Het is dan echt af te raden om valse of onvolledige gegevens te gebruiken. Stel dat er iets misgaat en uw zit met een flinke schade, hoe gaat u die schade verhalen op uw leverancier als het contract op een valse naam staat?
Reageer
kozue @wiseger19 maart 2026 11:44
Soms heb je inderdaad echte gegevens nodig, dus je komt er niet altijd onderuit, maar wat Mavamaarten aangeeft is vaak wel relevant. De meeste plekken die om gegevens vragen hebben die niet nodig. Een webshop hoeft niet te weten hoe ik heet. Dat weet een fysieke winkel ook niet als ik iets aan de kassa af kom rekenen. Ze hebben wel een adres nodig om het product heen te sturen, een manier om het geld te ontvangen, en een email adres voor communicatie bij problemen, maar een telefoonnummer is over het algemeen al heel overbodig, en een naam al helemaal. Waarom moeten ze weten hoe ik heet? Om het bovenaan een bevestigingsmail te plaatsen? "Beste klant" is ook goed genoeg.
Reageer
wiseger
@kozue19 maart 2026 11:54
ALs u ergens iets koopt, dan sluit u een koopovereenkomst. Dat is een contract tussen de verkoper en de koper. Dat contract geeft de koper ook rechten zoals het recht op een deugdelijk product. Als u twee jaar later met een defect product komt te zitten en een non-conformiteit claim bij de verkoper in wil dienen, dan heeft u een probleem als u niet de koper op de verkoop overeenkomst bent.

Als u ergens in een fysieke winkel een televisie koopt, zal er ook een koopovereenkomst op naam opgesteld worden. Haalt u een tros bananen bij de buurt super, dan zal men het bij een eenvoudige kassabon houden.
Reageer
haam @wiseger19 maart 2026 13:08
een koopovereenkomst op naam opgesteld worden
Zeer zeker niet. Garantierechten worden niet op naam uitgegeven, maar op basis van het bonnetje/de factuur.

Een van de redenen waarom ik bij een Coolblue winkel koop. Dan komt er anonymous anonymous als naam op de factuur te staan.
Reageer
wiseger
@haam19 maart 2026 13:15
Een factuur moet voldoen aan de eisen van de belastingdienst. Zie https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/administratie_bijhouden/facturen_maken/factuureisen/factuureisen

Er zijn uitzonderingen voor bedragen onder de 100 euro.

Bestellen & pre-order
In een aantal gevallen hebben we gegevens van je nodig. Bijvoorbeeld als je online of in één van onze winkels een product koopt, zodat we je aankoop kunnen verwerken in onze administratie. Of als we je een factuur willen sturen, je een pre-order plaatst of gewoon op de hoogte wilt blijven van onze voorraad. Dit laatste doen we natuurlijk pas nadat jij aangeeft dat we je op de hoogte mogen houden.

Wat willen we van je weten?
  • Aanhef, voor- en achternaam
Wij zijn Coolblue, en hoe heet jij? Dan zorgen wij dat je naam op je factuur prijkt.
  • Adres en woonplaats
We zetten je adres en woonplaats ook op de factuur. Dit gebruiken we ook als afleveradres. Je factuur kun je achteraf niet meer aanpassen
Reageer
Thekilldevilhil @wiseger19 maart 2026 14:16
Dat stuk wat jij quote komt hier vandaan:

https://www.belastingdienst.nl/wps/wcm/connect/nl/btw/btw

"Btw (omzetbelasting)"

Dus nu nog even de consumentenkant opzoeken. Wat jij linkt lijkt me vrij duidelijk business to business. Voor consumenten gelden andere regels.

Consuwijzer zegt dit over wettelijk:

https://www.acm.nl/nl/verkoop-aan-consumenten/klantenservice/garantie#wettelijke-garantie

Consuwijzer zegt dit over aanvullend:

https://www.acm.nl/nl/verkoop-aan-consumenten/klantenservice/garantie#commerciele-garantie

Hier staat nergens in dat de naam en adres van de consument er op moet, alleen van de verkoper.
Reageer
haam @Thekilldevilhil19 maart 2026 14:34
Thanks, je hebt al ingevuld wat ik in mijn reactie wilde zetten, maar dan nog aanzienlijk uitgebreider.
Reageer
Thekilldevilhil @wiseger19 maart 2026 14:05
[quote]Als u ergens in een fysieke winkel een televisie koopt, zal er ook een koopovereenkomst op naam opgesteld worden."[/quote]

Nou dit is sowieso niet per definitie waar aangezien ik dit jaar nog een TV heb gekocht zonder die op naam te zetten. Achteraf niet eens bij stil gestaan of dit een ding is. De bon is naar mijn email verzonden die niet mijn naam bevat) en meer niet.

Maar ik kan werkelijk nergens vinden dat je verplicht bent je echte naam op te geven als je retourrecht garantie wilt claimen. Wat ik wel kan vinden is dat jij moet kunnen aantonen dat jij de persoon bent die het product hebt gekocht. Een naam is dan wel heel handig, maar kan natuurlijk ook op andere manieren. Het feit dat ik de fysieke TV heb met het product nummer op de bon en de eigenaar van de betreffende email ben is op zich ook redelijk lijkt me.

Maar goed, mijn Googlefu is ook maar beperkt. Dus willicht handig om even te vermeldingen waar dit exact staat, ook handig voor de mensen, zoals ik, die dit dus niet weten/wisten.
Reageer
kozue @wiseger19 maart 2026 15:05
ALs u ergens iets koopt, dan sluit u een koopovereenkomst. Dat is een contract tussen de verkoper en de koper.
Onzin natuurlijk. Als je een winkel binnenloopt, een product afrekent en ermee weer naar buiten loopt, heb je nergens een contract getekend of je gegevens achter gelaten. En toch heb je recht op garantie als het product niet deugt. Daar is het bonnetje voor, en daar hoeft geen naam op te staan en al helemaal geen telefoonnummer.

En behalve dat, komt de garantie met het product mee. Die is niet aan jou gebonden. Als jij een telefoon koopt, en na een maand heb je genoeg van dat ding en je verkoopt m aan iemand anders, heeft die nieuwe eigenaar gewoon nog 1 jaar en 11 maanden recht op garantie. Mits je uiteraard het bonnetje erbij hebt geleverd ;)

[Reactie gewijzigd door kozue op 19 maart 2026 15:07]

Reageer
wiseger
@kozue19 maart 2026 15:37
Het is gewoon de wet, de koopovereenkomst komt tot stand op het moment dat je het product accepteert en de verkoper de betaling accepteert.

Bij een garantie claim moet u kunnen aantonen dat u het product bij de winkel hebt gekocht. Na een aantal jaar kan dat best lastig worden, zeker als het bonnetje zoek is of vervaagt is. Maar als de aankoop op naam door de winkel geregistreerd is, is het ineens een stuk eenvoudiger.

[Reactie gewijzigd door wiseger op 19 maart 2026 15:45]

Reageer
kozue @wiseger19 maart 2026 16:01
Je moet geen poep praten over jouw idee van de "wet", wanneer de praktijk duidelijk anders is. Als iets gekocht zit daar garantie op, volgens de wet. Of jij dat was of iemand anders (bv een cadeau die je aan iemand geeft), doet daar niet toe. Een naam is nooit nodig, en voegt niks toe. Er is geen enkele fysieke winkel die je naam vraagt bij aankopen, en dat is online ook niet nodig.
Reageer
wiseger
@kozue19 maart 2026 16:35
Volgens de Autoriteit Consument & Markt (ACM) en het Nederlands recht komt een koopovereenkomst tot stand door aanbod en aanvaarding
Lijkt me duidelijk toch?

Wat betreft garantie claims. Zie https://www.consuwijzer.nl/garantie-reparatie-geld-terug/garantie
Soms krijgt of koopt u ook garantie van de verkoper of fabrikant. Daarmee belooft die dat het product een bepaalde tijd goed werkt. Vaak maar iets van 2 jaar. Want de verkoper of fabrikant kiest zelf de voorwaarden en duur van die garantie. Maar daarnaast hebt u dus altijd wettelijke garantie. Die is meestal veel langer. Op dure apparaten zoals een televisie, koelkast of wasmachine kan die soms wel 6, 8 of zelfs 10 jaar zijn.
Wat betreft het bonnetje, ik legde het je al uit maar kennelijk leest je erover heen. Als je na zes jaar wettelijke garantie wilt claimen op een aangekocht product wegens non-conformiteit, dan moet je kunnen aantonen dat je het product bij die winkel hebt gekocht. Dus een leesbaar bonnetje is dan het minimale vereiste. Tenzij het product geleverd is met een factuur op naam. Dan heeft de winkel deze gewoon in haar administratie staan.
Reageer
William_H @wiseger25 maart 2026 23:39
Maar nergens staat of wordt toch beweerd dat je die op naam moet hebben staan. Als ik mij de MediaMarkt een televisie koop en er de deur mee uitloop na betaald te hebben, dan staat mijn naam ook niet op de factuur. Heb ik gewoon recht op die 6 jaar garantie. Naam of geen naam op de factuur. Die factuur scan je gewoon in. Staat het serienummer op en dan goeie medewerker die dat kan weigeren.
Reageer
RiDo78 @wiseger20 maart 2026 13:58
Wat een bende stierenontlasting zeg.

Ik kan bij de Ikea prima voor duizenden euro’s aan inboedel kopen en afrekenen zonder dat er een naam gevraagd wordt. Al is het volgens mij tegenwoordig niet meer toegestaan om bedragen van 3000 euro of hoger contant af te rekenen. Maar als je pint weet de winkel alsnog niet wie je bent.

Nu heb je bij Ikea natuurlijk de family-kaart die je optioneel kunt gebruiken en waarmee je je (valse) identiteit prijs geeft. Maar dat doe je vrijwillig. En je kunt overal de afweging maken om een klantenkaart te nemen en wanneer je die toont. In mijn geval gebruik ik de Ikea kaart voor grotere aankopen, zodat als ik garantie moet claimen ik niet op zoek hoef te gaan naar de kassabon. Maar koop ik een setje batterijen dan blijft die pas netjes in de tas.

Dus in de meeste gevallen sluit ik koopovereenkomsten compleet anoniem. Of ik kies er bewust voor om mijn identiteit kenbaar te maken. Maar dat is zelden nodig. Het enige waar ik zo 1-2-3 aan denk is bij de aankoop van een auto of huis om die bij respectievelijk de RDW of het kadaster op naam te zetten…
Reageer
haam @kozue19 maart 2026 13:12
Achternaam vaak wel als je gebruik maakt van een afhaalpunt (zoals ik eigenlijk altijd doe, dan hoef ik de deur nooit open te doen voor colportage of pakketjes van de buren), omdat ze een ID check doen.
Reageer
William_H @haam25 maart 2026 23:41
Dat hoeft dus ook niet. Als ik de pakketjes van mijn vriendin ophaal, komt de naam ook niet overeen. Het enige wat ze willen weten is wie het gehaald heeft. Dus soms wordt paspoortnummer genoteerd. Maar verder niks. Je identificeerd je dus niet, maar wordt alleen (meestal bij dure pakketjes) geregistreerd.
Bij de apotheek hetzelfde verhaal.
Reageer
Sissors
@kozue19 maart 2026 14:35
Het probleem wat ik daarmee heb, zijn de mensen die dat doen, bij een afhaalpunt staan en het niet mee krijgen, en dan hier of op Reddit verteld gaat worden dat ondanks de nep informatie die je hebt ingevoerd de webshop verantwoordelijk is voor verzending en dus alle kosten moet dragen, ook al heb je zelf doelbewust valse informatie ingevoerd.

Prima als je het doet, maar dan wel zelf accepteren dat het je eigen probleem is als je tegen de gevolgen aanloopt. (Overigens aantal webshops waar een telefoonnummer verplicht is, is echt heel klein).

Overigens vind ik het daarnaast niet zo heel spannend dat het zou uitlekken waar ik woon, vroeger had je gewoon de telefoongids waar je dat allemaal zo kon opzoeken.
Reageer
kozue @Sissors19 maart 2026 16:31
Overigens vind ik het daarnaast niet zo heel spannend dat het zou uitlekken waar ik woon, vroeger had je gewoon de telefoongids waar je dat allemaal zo kon opzoeken.
Het is niet voor niks dat die niet meer bestaat...

Vroeger had je ook geen computers die een lijst van de complete bevolking binnen no-time kunnen verwerken voor de meest uiteenlopende zaken (inclusief criminele activiteiten). Probeer dat maar eens met een telefoonboek in de jaren 90.
Reageer
Ablaze @wiseger19 maart 2026 13:26
Sowiese had dat deel nooit geprivatiseerd moeten worden, energie is een levensbehoefte en daar hoort het betalen van energie en afhandelen van persoonsgegevens ook bij.
Reageer
wiseger
@Ablaze19 maart 2026 13:32
Daar kan ik je helemaal in vinden. Nuts voorzieningen hadden wat mij betreft nimmer geprivatiseerd moeten worden.
Reageer
lighting_ @wiseger19 maart 2026 13:43
Het netbeheer ligt in publieke handen maar niet leverancier.
GasUnie, Stedin, TenneT, Enexis, Alliander etc
Reageer
wiseger
@lighting_19 maart 2026 15:47
Dat klopt maar met de energie bedrijven is ook de stroomopwekking geprivatiseerd. En daarmee ook de keuze wat er met die stroom gebeurt. Zo kan de stroom van een Nederlands windmolenpark gewoon aan data centers in België geleverd worden.

Voorheen was de stroomopwekking ook gewoon in publieke handen en daarmee onder controle van de politiek.
Reageer
m.z @Mavamaarten19 maart 2026 12:14
Dit dus. Ik snap er ook (deels) geen snars van dat deze data nodig is om een bestelling te doen. Dus er zijn argumenten tegen, snap ik, maar waarom moet ik mijn telefoonnummer blijven opgeven en in die 1000x, maar een keer nodig was voor telefonisch afspraak te maken met de leverancier/bezorger. Net als leeftijd, kan ook op een andere manier door “is volwassen ja/nee”.

Het is zo normaliseert dat de mensen akkoord gaan met ongelezen voorwaardes en dat at verstrekken bij “ver van je bed show” bedrijven.

Dit is beetje gevalletje, “goedkope” producten gebruiken, waarvan “onbewust” fysiek of digitaal onveilig zijn, maar kritisch zijn naar het product of prijs als dit product “duurder” en lokaal/internationaal of binnen de eu geproduceerd is.

Dus: gemakzucht is de boeman hier, goedkope en gratis producten en diensten afnemen is het probleem. Totdat bekend wordt hoe er met gegevens wordt omgegaan en/of de dienst prijzen blijven opschroeven.
Reageer
Stukfruit @MikeyMan19 maart 2026 11:26
Om eerlijk te zijn denk ik dat het afgelopen moet zijn met het weggeven van dit soort data aan zulke partijen. Zelfs een rekeningnummer is niet meer nodig omdat zulke zaken tegenwoordig toch worden uitbesteed aan partijen zoals Stripe, Mollie en ga zo maar door.

Dan zit het daar nog, maar dan zit er in ieder geval een partij op waarvoor het een core business is. Nog beter zou het zijn om het mensen zelf op te laten slaan en toegang te laten geven tot zulke data wanneer nodig. Met (onafhankelijk) hosted voor mensen die het zelf niet willen of kunnen regelen.

Tijd om dat allemaal eens van elkaar te scheiden. Ze kunnen er duidelijk niet mee omgaan. De doorgifte van energie zal vast ook niet op naam of geboortedatum gekoppeld zijn, dus dat lijkt me ook geen probleem.
Reageer
wiseger
@Stukfruit19 maart 2026 11:32
Een energie contract is wel degelijk gebonden aan een rechtspersoon en daarmee aan naam / geboortedatum / geboorte plaats van de afnemer.
Reageer
Stukfruit @wiseger19 maart 2026 13:25
Een contract is gebonden. De techniek daarachter niet. Er komt niet iemand langs om jouw naam en geboortedatum op de kabel te schrijven.

Dat eerste is prima aan te passen. Kwestie van willen ipv kunnen.
Reageer
wiseger
@Stukfruit19 maart 2026 13:31
Hoe dan? Als je een huis huurt en je betaald de energie rekening niet, hoe kan de leverancier dan een incasso procedure opstarten? Of in het ergste geval, de vordering zeker te stellen door de klant voor het kanton gerecht te dagen?

De grondslag voor de betalingsverplichting van de klant is het overeengekomen contract met de klant.
Reageer
Stukfruit @wiseger19 maart 2026 13:58
Ik weet niet hoe vorderingen hier relevant zijn. Als je betalingen loskoppelt dan zit dat er ook achter.

Het gaat er trouwens niet om dat je er niet achter kunt komen wat waar naartoe moet. Het gaat erom dat de buitenwereld er niet makkelijk bij kan komen. Zelfs na het lekken van gegevens.

Denk aan hetzelfde idee als dat je zelf een emailadres aanmaakt via een alias dat niets betekent, maar wel alles doorstuurt naar een normaal adres.
Reageer
wiseger
@Stukfruit19 maart 2026 14:09
Innova Energie sluit een leveringsovereenkomst met een klant. Uit die overeenkomst volgt de leveringsverplichting voor Innova Energie en de betalingsverplichting van de klant.

Als Innova geen contract op naam afsluit met de klant, wie heeft er dan een betalingsverplichting voor de geleverde energie?

Wanneer Innova Energie met haar klant wil communiceren of de klant met Innova energie, dan hebben ze de NAW gegevens nodig, al was het maar om een eenvoudige brief te versturen.
Reageer
SinergyX @Stukfruit19 maart 2026 11:37
En hoe wil je een contract opzeggen/veranderen, zonder vast te kunnen stellen dat jij de persoon bent die daar woont/dit mag doen? Energie zit aan een meter, meter zit aan een huis, maar huis heeft nog altijd een eigenaar.

Stripe en mollie zijn tussenoplossingen, verschuiving van het probleem waar vervolgens veel meer praktische problemen aan hangen dan enkel aspect veiligheid (buiten kosten). Misschien dat straks Wero daar een betere rol in kan spelen, maar machtigingen afgeven gaat nu op basis van incassant (enkel bedrijf), daar zit vervolgens best wat fraude potentie als dit een machtiging naar mollie/stripe zal worden.

Data wordt opgeslagen, data kan worden gestolen, de wereld is daarin vrij simpel.
nieuws: Shinyhunters steelt data van 900.000 mensen bij hack van securitybedr...
Immers zelfs 'core bedrijven' zijn niet veilig.
Reageer
Stukfruit @SinergyX19 maart 2026 13:27
En hoe wil je een contract opzeggen/veranderen, zonder vast te kunnen stellen dat jij de persoon bent die daar woont/dit mag doen? Energie zit aan een meter, meter zit aan een huis, maar huis heeft nog altijd een eigenaar.
En op die meter staat dus niet je naam.
Stripe en mollie zijn tussenoplossingen, verschuiving van het probleem waar vervolgens veel meer praktische problemen aan hangen dan enkel aspect veiligheid (buiten kosten). Misschien dat straks Wero daar een betere rol in kan spelen, maar machtigingen afgeven gaat nu op basis van incassant (enkel bedrijf), daar zit vervolgens best wat fraude potentie als dit een machtiging naar mollie/stripe zal worden.
Wie weet. Punt is vooral dat het allemaal ontkoppeld zou moeten worden. Het slaat niet echt ergens op dat iedere willekeurige partij zomaar al jouw privegegevens moet opslaan terwijl dit voor de uitvoering van de dienst in kwestie heel vaak niet of maar deels nodig is.
Immers zelfs 'core bedrijven' zijn niet veilig.
Aura zou ik niet echt een partij willen noemen waarbij dit het geval is. Lijkt meer een soort Norton / Symantec. Producten zoals deze waardoor het makkelijker wordt om meer over iemand te weten te komen terwijl de klant weinig aan die dashboardjes en andere nonsens heeft.
Reageer
Robbierut4 @MikeyMan19 maart 2026 11:17
Helaas is dat niet altijd een optie, gezien je voor je energie wel je echte adres moet opgeven. Anders wordt het bij de buren geleverd.
Je naam is ook nodig voor een legaal contract. En je moet betalen, dus hebt ook echte betaalgegevens nodig.
Reageer
MikeyMan @Robbierut419 maart 2026 11:20
Je hebt het over de gegevens bij de daadwerkelijke aanbieders.

ik heb het over de verspreiding van stapels met fake data ;)
Reageer
TSchrijver @MikeyMan19 maart 2026 12:03
Klinkt interessant, heb je misschien een idee hoe zoiets praktisch uit te voeren zou zijn?

Ik beeld het in als het aanmaken van een account op een shady website waarvan je weet dat de data wordt voorverkocht, met dan je echte naam o.i.d (omdat de nepdata wel aan jou gekoppeld moet zijn) en dan garbage data in alle andere velden
Reageer
S-1-5-7 @MikeyMan19 maart 2026 12:04
Klinkt mooi, maar het lijkt mij niet haalbaar.

Ergens een 'fake' dataset uploaden en hopen dat criminelen die downloaden/opnemen in hun bestaande set is niet hoe het werkt. Dit soort sets worden over het algemeen op diverse fora aangeboden, en daar zal het heel snel duidelijk zijn dat dit geen 'echte' data is.

En wat is 'fake' data? Niet bestaande adressen en telefoonnummers (zal vrij snel ondekt worden), of willekeurige telefoonnummers en adressen? ALS de dataset al wordt opgenomen, worden de (actieve) telefoonnummers alsnog lastig gevallen..
Reageer
watercoolertje @MikeyMan19 maart 2026 13:05
Wat voorkomt dat dan precies? Want de data van Innova is niet ineens niet meer te lezen omdat er op internet allemaal fakedata staat...
Reageer
MikeyMan @watercoolertje19 maart 2026 13:08
Hoe is dat een vraag? Als aan jouw persoon 15 verschillende telefoonnummers en mailadressen rond zwerven, hoe moet iemand dan weten wat de echte is?

Uitvoerbaarheid is een volgende, maar de logica lijkt me solide.

[Reactie gewijzigd door MikeyMan op 19 maart 2026 13:09]

Reageer
Robbierut4 @MikeyMan19 maart 2026 15:39
Als aan jouw persoon 15 verschillende telefoonnummers en mailadressen rond zwerven, hoe moet iemand dan weten wat de echte is?
Die van de meest betrouwbare bron. Iedereen snapt dat de gegevens bij je internet provider of energieleverancier veel betrouwbaarder zijn dan wat je op tweakers.net invult of waar dan ook.

Al die extra gegevens worden dus gewoonweg genegeerd.
Reageer
wildhagen
@MikeyMan19 maart 2026 11:20
Het gaat lekker met al die datalekken...

Misschien moeten we het eens anders aan gaan pakken. Flood the zone; verspreid maar fake data over jezelf, waardoor de echte data niet makkelijk terug te vinden is.
Hoe wil je een energie contract (het gaat immers om een energieleverancier hier) afsluiten zonder je eigen gegevens te geven? Daar wordt toch op gecontroleerd?

Hier kunnen ze immers anders de incasso uitvoeren als je een fake rekeningnummer op zou kunnen geven?
Reageer
MikeyMan @wildhagen19 maart 2026 11:52
Ik heb het niet over fake data aan de leverancier geven. Ik heb het over datasets verspreiden met verkeerde informatie.
Reageer
Verwijderd 19 maart 2026 11:23
Alweer, lekker dan. Wanneer pakt politiek zulke dingen een beetje op en worden we serieus met cyber security.
Reageer
Triblade_8472 @Verwijderd19 maart 2026 11:33
Wat hierin zou verbeterd moeten worden, als ik het vragen mag?

Er zitten meerdere grote verschillen tussen dit datalek en die van Odido.
Reageer
kozue @Triblade_847219 maart 2026 11:40
Nou, misschien beginnen bij het vraagstuk "hoe komt een simpele medewerker aan toegang om alle klantgegevens te exporteren?". Sommige functies moet je gewoon afschermen of misschien helemaal niet ondersteunen. Maar het probleem is, dit is voor ieder bedrijf weer een apart issue. Er is niet iets dat we als maatschappij kunnen doen om dit overal te voorkomen. Een hoop bedrijven prutsen maar wat met hun IT. "Ons marketingteam heeft alle klantgegevens nodig voor een reclamemailing, kunnen jullie daar een export voor bouwen?", en je hebt je datalek-in-wording al klaarstaan.
Reageer
tormentor1985 @kozue19 maart 2026 11:58
Ach ja, wellicht gewoon een engineer die verantwoordelijk is voor database backups en/of migraties.

Het is in vele functies vrij normaal om te rechten te hebben dit soort data te exporteren. Het is echter wel van belang dat je mensen verteld hoe ze hier mee om moeten gaan.

Daarnaast kom ik ook ontzettend vaak met persoonsgegevens in aanraking omdat bijvoorbeeld een klant besluit deze plain tekst weg te schrijven naar een log bestand waar ik toevallig ook in kijk omdat ze een probleem hebben. En dit zijn pas echt gegevens waar men zich zorgen om moet maken gezien dat niet enkel persoonsgegevens zijn maar bijvoorbeeld "Piet Janssen lijkt het opwindend om toe te kijken hoe zijn vrouw iets met Jan Pieterse doet".
Reageer
Triblade_8472 @kozue19 maart 2026 12:19
Waar lees jij dat ze een export hebben gemaakt? En waar lees je dat het om alle klantgegevens gaat?

Ik lees een hoop aannames bij je die ik niet in het artikel terug kan lezen.
Reageer
Verwijderd @Triblade_847219 maart 2026 11:48
Wat Kozue zei, handhaving maar ook gewoon bedrijven afdwingen bepaalde systematiek hanteren. Dat bijvoorbeeld gelimiteerde medewerkers toegang hebben tot bepaalde data, etc.
Reageer
Seal64 @Verwijderd19 maart 2026 11:58
Maar dat komt ook weer terug op handhaving - da's immers de enige manier om af te dwingen. Boetes werken daar niet voor - da's altijd achteraf. Je moet letterlijk boots on the ground hebben, mensen die bij die bedrijven gaan auditten om te zien of ze aan de geldende wetgeving voldoen. Daar heb je handjes voor nodig, en die zijn allemaal weg bezuinigd.
Reageer
Triblade_8472 @Verwijderd19 maart 2026 12:25
Mijn punt was eigenlijk dat het artikel hier geen duidelijkheid in geeft en mensen nu vanuit hun onderbuik gaan reageren.
Reageer
Ruben279 @Triblade_847219 maart 2026 12:16
De manier waarop het lek is ontstaan is niet van belang.

Het gaat er om dat bedrijven over veel te grote hoeveelheden (gevoelige) data beschikken waar ze duidelijk niet mee om kunnen gaan. Want hoe is het nou mogelijk dat bij de Odido hack zó veel records geexporteerd konden worden, dat had op alle mogelijke manieren geblokkeerd moeten worden natuurlijk.

En hetzelfde voor dit datalek bij Innova, je zou als medewerker toch never nooit een export mogen kunnen maken? En je mag ook hopen dat er bij het openen van een dossier een verplichte vraag gesteld wordt waarom je deze opent zodat er een sluitende audit logging is.

En met heel veel gegevens hebben ze ook helemaal niet verplicht nodig, maar helaas hebben bedrijven allemaal een enorme prikkel om maar zo veel mogelijk data van iemand op te slaan. Voor zaken zoals identificatie verificatie zou je een centrale oplossing willen hebben die laatste tijd vaak voorbij komt, die de check doet en dan naar de dienst alleen terugkoppelt "akkoord" of "niet akkoord".
Reageer
Triblade_8472 @Ruben27919 maart 2026 12:18
De manier waarom is òòk van belang.

Maar de info zeker ook. Maar de genoemde gegevens lijken mij redelijk voor hun business, toch?

Dus wat is hierin het probleem nu?
Reageer
Ruben279 @Triblade_847219 maart 2026 12:26
In het geval van Innova zullen ze iig het adres moeten hebben, maar waarom moet daar je geboortedatum ook bij? Ik kan mij niet bedenken waarom ze die nodig zouden hebben.

Voor een BKR-check of een autoverzekering is het logisch, maar voor een registratie heb je die helemaal niet nodig. Volgens mij gebruiken ze het vaak voor verificatie wanneer je belt, maar daar kan je ook andere oplossingen voor bedenken dan een persoonsgegeven.

(al werden die verificatiecodes ook gelekt bij de Odidio hack, dus wat dat betreft.... :P )
Reageer
SuperDre @Verwijderd19 maart 2026 11:53
Probleem is gewoon dat het echt heel moeilijk is om dit soort zaken te voorkomen EN een systeem te behouden dat nog enigzins beetje gebruiksvriendelijk is. Sowieso moet de data ergens opgeslagen worden EN doorzoekbaar zijn. Er is altijd wel een account die bij data kan ongeacht hoeveel beveiliging je daarop zet.
Reageer
locke960 19 maart 2026 12:18
Lekker vaag allemaal. Die mail is zo inhoud en contextloos, daar kun je helemaal niets mee.

Echt een "verplicht nummer" e-mailtje.
Reageer
ShadowWorrier 19 maart 2026 12:41
Het zoveelste incident met een datalek en ik weer zie ik alle pijlen richting de bedrijven gaan waar fouten zijn gemaakt.

Klopt maar is dat ook niet Victim blaming? Waarom gaat er niet meer focus richting het kunnen opsporen en straffen van de daders?

Het antwoord kan ik wel raden, omdat die mensen niet te pakken zijn.

100% security bestaat niet. Ja het kan allemaal beter maar het zal nooit genoeg zijn zolang er zon lage pakkans voor de criminelen is.

De beveiliging van een kluis in een bank is ook niet onfeilbaar maar er is een behoorlijke pakkans als je daar binnenloopt met je snijbrander om hem leeg te trekken.

Het is tijd dat we die pakkans ook in de digitale wereld krijgen.
Complex? Zeker. Onmogelijk? Hopelijk niet maar wel nodig als we het tij willen keren.
Reageer
nutty 19 maart 2026 12:52
Begin eens met het doorlichten van (helpdesk) personeel. Je gaat mij niet vertellen dat deze medewerker een brandschoon verleden heeft.
Reageer
HansHier 19 maart 2026 12:06
Wordt het niet de hoogste tijd dat het geklungel ophoudt en dat organisaties fors worden aangepakt? Om het even of het bedrijven als Odido of dit bedrijf betreft, om het even of het hacks of dit soort diefstal betreft. Men draagt verantwoordelijkheid m.b.t. persoonlijke gegevens en als dat keer op keer niet lukt toont men aan niet volwassen genoeg te zijn voor digitale verwerking. Voor hen dan maar een kaartenbak, punt.
Reageer
Hansie9999 19 maart 2026 12:19
namen, geboortedatums, telefoonnummers, e-mailadressen, woonadressen en bankrekeningnummers zijn uitgelekt.
Mooi, voor phishing en identity theft hebben we niet veel meer nodig, spijtig dat het rijksregisternummer er ook niet bij zit !!!!!
Reageer
Tosti55 19 maart 2026 13:03
Het lijkt wel alsof je gegevens nergens meer veilig zijn Anno 2026, dit moet toch anders kunnen?
Reageer

Om te kunnen reageren moet je ingelogd zijn