Innova Energie waarschuwt voor datalek door medewerker die klantgegevens stal

Innova Energie bevestigt aan Tweakers dat het een datalek heeft. Een medewerker van Innova's label Gewoon Energie bemachtigde 'onrechtmatig' klantgegevens. De medewerker is niet langer in dienst. Innova doet aangifte, meldt het datalek bij de AP en e-mailt getroffen klanten.

Diverse tweakers melden aan de redactie en in forumposts dat zij bericht krijgen van Innova. "U ontvangt deze e-mail omdat wij u uit voorzorg willen waarschuwen voor mogelijke risico's als gevolg van een beveiligingsincident", begint de e-mail. Sommige ontvangers zijn klant van Gewoon Energie, maar anderen zijn klant van Innova Energie.

Het bedrijf meldt dat 'een medewerker van Innova Energie uw klantgegevens onrechtmatig heeft bemachtigd'. Vragen van Tweakers over de omvang en aard van het datalek blijven onbeantwoord. In de e-mail aan klanten geeft Innova aan dat namen, geboortedatums, telefoonnummers, e-mailadressen, woonadressen en bankrekeningnummers zijn uitgelekt.

Innova waarschuwt klanten nu voor mogelijk misbruik en raadt aan om alert te zijn 'op eventuele ongebruikelijke activiteiten'. Klanten moeten letten op 'onverwachte berichten via e-mail, post, sms'jes, appjes of telefoontjes die namens Innova Energie lijken te komen'. Bij dergelijke berichten kunnen klanten contact opnemen met de energieleverancier.

Uitgelekt klantenbestand in 2025

Innova meldt in de e-mail aan klanten dat het 'onmiddellijk maatregelen' heeft genomen 'om het incident te onderzoeken en de beveiliging verder te verscherpen'. De medewerker is 'niet langer werkzaam' voor Innova Energie. "Wij hebben aangifte gedaan bij het Openbaar Ministerie en dit incident gemeld bij de Autoriteit Persoonsgegevens."

In september vorig jaar verloor Innova een kort geding over misleidende benadering van klanten. Daarbij stelde het bedrijf dat zijn klantenbestand op niet-legale wijze in handen van een derde partij was gekomen. Het is niet duidelijk of deze zaak gerelateerd is aan het nu bekendgemaakte datalek.

Datalek. Bron: Sarayut Thaneerat/Moment/Getty Images

Vorig nieuwsartikel Volgend nieuwsartikel

Door Jasper Bakker

Nieuwsredacteur

Feedback • 19-03-2026 11:06
37 • submitter: engineercoding1

19-03-2026 • 11:06

Submitter: engineercoding1

Lees meer

Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura

Shinyhunters steelt data van 900.000 mensen bij hack van securitybedrijf Aura Nieuws van 18 maart 2026

Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt

Odido bericht individuele slachtoffers voor het eerst dat hun data is uitgelekt Nieuws van 13 maart 2026

App tegen pornoverslaving lekte masturbatiedata en makers logen daarover

App tegen pornoverslaving lekte masturbatiedata en makers logen daarover Nieuws van 10 maart 2026

Politietop zegt sorry na beschuldiging dat 1700 agenten gluurden in Lisa-dossier

Politietop zegt sorry na beschuldiging dat 1700 agenten gluurden in Lisa-dossier Nieuws van 10 maart 2026

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online

Gestolen gegevens van alle 6,5 miljoen Odido-klanten staan nu online Nieuws van 1 maart 2026

Meer producten en artikelen

Bedrijfsnieuws Politiek en recht Privacy Datalek Energie Energiebedrijven Energiebesparing Energieleverancier Klantenservice privacy schending

IT-banen

Meer vacatures

Reacties (37)

37

37

18

2

0

17

Wijzig sortering

spokje 19 maart 2026 11:41

Kreeg gister mailtje van ze. Paar weken geleden Odido en nu deze

Ook al jaren geen klant meer bij Innova. Waarom worden gegevens niet gewoon verwijderd...

janchtw @spokje • 19 maart 2026 11:49

Hier hetzelfde. Ook geen klant meer bij Innova maar kreeg gisteren ook hun mailtje dat mijn gegevens zijn gelekt.

Scriptkid @spokje • 19 maart 2026 12:05

Omdat je dan een data governance framework Moet hebben en. Dat staat bij heel veel bedrijven in de kinder schoenen/ low prio of Totaal nooit gedaan.

HenkEisDS @spokje • 19 maart 2026 12:35

Omdat bedrijven panisch vast blijven houden aan de 7 of 10 jaar bewaartermijn van de belastingdienst. Dat die gegevens dan al lang uit CRM mogen willen ze liever niet horen, want dat is extra werk.

Kalief 19 maart 2026 11:44

In september vorig jaar verloor Innova een kort geding over misleidende benadering van klanten.

Niet omdat ze ongelijk kregen van de rechter maar omdat een kort geding niet de juiste procedure was voor de zaak: "Om de gegrondheid van de stellingen van eiseres te kunnen vaststellen is nadere bewijslevering noodzakelijk. Daarvoor leent een kort geding zich niet."

gaskabouter @Kalief • 19 maart 2026 12:24

Om helemaal precies te zijn hebben ze een vordering ingediend en die vordering is afgewezen. Als een vordering wordt toegekend heet het ook wel "winnen" dus is dit "verliezen".

Om te kunnen "winnen" moeten ze met meer bewijs komen en daarvoor leent een kort geding zich niet

MikeyMan 19 maart 2026 11:13

Het gaat lekker met al die datalekken...

Misschien moeten we het eens anders aan gaan pakken. Flood the zone; verspreid maar fake data over jezelf, waardoor de echte data niet makkelijk terug te vinden is.

Robbierut4 @MikeyMan • 19 maart 2026 11:17

Helaas is dat niet altijd een optie, gezien je voor je energie wel je echte adres moet opgeven. Anders wordt het bij de buren geleverd.
Je naam is ook nodig voor een legaal contract. En je moet betalen, dus hebt ook echte betaalgegevens nodig.

MikeyMan @Robbierut4 • 19 maart 2026 11:20

Je hebt het over de gegevens bij de daadwerkelijke aanbieders.

ik heb het over de verspreiding van stapels met fake data

S-1-5-7 @MikeyMan • 19 maart 2026 12:04

Klinkt mooi, maar het lijkt mij niet haalbaar.

Ergens een 'fake' dataset uploaden en hopen dat criminelen die downloaden/opnemen in hun bestaande set is niet hoe het werkt. Dit soort sets worden over het algemeen op diverse fora aangeboden, en daar zal het heel snel duidelijk zijn dat dit geen 'echte' data is.

En wat is 'fake' data? Niet bestaande adressen en telefoonnummers (zal vrij snel ondekt worden), of willekeurige telefoonnummers en adressen? ALS de dataset al wordt opgenomen, worden de (actieve) telefoonnummers alsnog lastig gevallen..

TSchrijver @MikeyMan • 19 maart 2026 12:03

Klinkt interessant, heb je misschien een idee hoe zoiets praktisch uit te voeren zou zijn?

Ik beeld het in als het aanmaken van een account op een shady website waarvan je weet dat de data wordt voorverkocht, met dan je echte naam o.i.d (omdat de nepdata wel aan jou gekoppeld moet zijn) en dan garbage data in alle andere velden

Mavamaarten @MikeyMan • 19 maart 2026 11:18

Dat doe ik al heel lang. Voor een simpele webshop-bestelling zijn initialen of een halve achternaam genoeg. En als telefoonnummer werkt +32 123 456 789 ook heel goed naar mijn ervaring. En mijn geboortedatum, 1 januari 1970

vindt iedereen ook wel prima, zo blijkt.

We zijn het heel gewoon dat bedrijven altijd hele bergen aan informatie vragen, en we vullen maar al te graag alles in, zonder erbij stil te staan dat men die gegevens eigenlijk totaal niet nodig heeft.

Politiek en recht
Bedrijfsnieuws

@Mavamaarten • 19 maart 2026 11:23

Het gaat hier om de leverancier van energie. Het is dan echt af te raden om valse of onvolledige gegevens te gebruiken. Stel dat er iets misgaat en uw zit met een flinke schade, hoe gaat u die schade verhalen op uw leverancier als het contract op een valse naam staat?

kozue @wiseger • 19 maart 2026 11:44

Soms heb je inderdaad echte gegevens nodig, dus je komt er niet altijd onderuit, maar wat Mavamaarten aangeeft is vaak wel relevant. De meeste plekken die om gegevens vragen hebben die niet nodig. Een webshop hoeft niet te weten hoe ik heet. Dat weet een fysieke winkel ook niet als ik iets aan de kassa af kom rekenen. Ze hebben wel een adres nodig om het product heen te sturen, een manier om het geld te ontvangen, en een email adres voor communicatie bij problemen, maar een telefoonnummer is over het algemeen al heel overbodig, en een naam al helemaal. Waarom moeten ze weten hoe ik heet? Om het bovenaan een bevestigingsmail te plaatsen? "Beste klant" is ook goed genoeg.

Politiek en recht
Bedrijfsnieuws

@kozue • 19 maart 2026 11:54

ALs u ergens iets koopt, dan sluit u een koopovereenkomst. Dat is een contract tussen de verkoper en de koper. Dat contract geeft de koper ook rechten zoals het recht op een deugdelijk product. Als u twee jaar later met een defect product komt te zitten en een non-conformiteit claim bij de verkoper in wil dienen, dan heeft u een probleem als u niet de koper op de verkoop overeenkomst bent.

Als u ergens in een fysieke winkel een televisie koopt, zal er ook een koopovereenkomst op naam opgesteld worden. Haalt u een tros bananen bij de buurt super, dan zal men het bij een eenvoudige kassabon houden.

m.z @Mavamaarten • 19 maart 2026 12:14

Dit dus. Ik snap er ook (deels) geen snars van dat deze data nodig is om een bestelling te doen. Dus er zijn argumenten tegen, snap ik, maar waarom moet ik mijn telefoonnummer blijven opgeven en in die 1000x, maar een keer nodig was voor telefonisch afspraak te maken met de leverancier/bezorger. Net als leeftijd, kan ook op een andere manier door “is volwassen ja/nee”.

Het is zo normaliseert dat de mensen akkoord gaan met ongelezen voorwaardes en dat at verstrekken bij “ver van je bed show” bedrijven.

Dit is beetje gevalletje, “goedkope” producten gebruiken, waarvan “onbewust” fysiek of digitaal onveilig zijn, maar kritisch zijn naar het product of prijs als dit product “duurder” en lokaal/internationaal of binnen de eu geproduceerd is.

Dus: gemakzucht is de boeman hier, goedkope en gratis producten en diensten afnemen is het probleem. Totdat bekend wordt hoe er met gegevens wordt omgegaan en/of de dienst prijzen blijven opschroeven.

Politiek en recht
Bedrijfsnieuws
Privacy
Datalek

@MikeyMan • 19 maart 2026 11:20

Het gaat lekker met al die datalekken...

Misschien moeten we het eens anders aan gaan pakken. Flood the zone; verspreid maar fake data over jezelf, waardoor de echte data niet makkelijk terug te vinden is.

Hoe wil je een energie contract (het gaat immers om een energieleverancier hier) afsluiten zonder je eigen gegevens te geven? Daar wordt toch op gecontroleerd?

Hier kunnen ze immers anders de incasso uitvoeren als je een fake rekeningnummer op zou kunnen geven?

MikeyMan @wildhagen • 19 maart 2026 11:52

Ik heb het niet over fake data aan de leverancier geven. Ik heb het over datasets verspreiden met verkeerde informatie.

Stukfruit @MikeyMan • 19 maart 2026 11:26

Om eerlijk te zijn denk ik dat het afgelopen moet zijn met het weggeven van dit soort data aan zulke partijen. Zelfs een rekeningnummer is niet meer nodig omdat zulke zaken tegenwoordig toch worden uitbesteed aan partijen zoals Stripe, Mollie en ga zo maar door.

Dan zit het daar nog, maar dan zit er in ieder geval een partij op waarvoor het een core business is. Nog beter zou het zijn om het mensen zelf op te laten slaan en toegang te laten geven tot zulke data wanneer nodig. Met (onafhankelijk) hosted voor mensen die het zelf niet willen of kunnen regelen.

Tijd om dat allemaal eens van elkaar te scheiden. Ze kunnen er duidelijk niet mee omgaan. De doorgifte van energie zal vast ook niet op naam of geboortedatum gekoppeld zijn, dus dat lijkt me ook geen probleem.

Politiek en recht
Bedrijfsnieuws

@Stukfruit • 19 maart 2026 11:32

Een energie contract is wel degelijk gebonden aan een rechtspersoon en daarmee aan naam / geboortedatum / geboorte plaats van de afnemer.

SinergyX @Stukfruit • 19 maart 2026 11:37

En hoe wil je een contract opzeggen/veranderen, zonder vast te kunnen stellen dat jij de persoon bent die daar woont/dit mag doen? Energie zit aan een meter, meter zit aan een huis, maar huis heeft nog altijd een eigenaar.

Stripe en mollie zijn tussenoplossingen, verschuiving van het probleem waar vervolgens veel meer praktische problemen aan hangen dan enkel aspect veiligheid (buiten kosten). Misschien dat straks Wero daar een betere rol in kan spelen, maar machtigingen afgeven gaat nu op basis van incassant (enkel bedrijf), daar zit vervolgens best wat fraude potentie als dit een machtiging naar mollie/stripe zal worden.

Data wordt opgeslagen, data kan worden gestolen, de wereld is daarin vrij simpel.
nieuws: Shinyhunters steelt data van 900.000 mensen bij hack van securitybedr...
Immers zelfs 'core bedrijven' zijn niet veilig.

Hexxagon 19 maart 2026 11:23

Alweer, lekker dan. Wanneer pakt politiek zulke dingen een beetje op en worden we serieus met cyber security.

Triblade_8472 @Hexxagon • 19 maart 2026 11:33

Wat hierin zou verbeterd moeten worden, als ik het vragen mag?

Er zitten meerdere grote verschillen tussen dit datalek en die van Odido.

kozue @Triblade_8472 • 19 maart 2026 11:40

Nou, misschien beginnen bij het vraagstuk "hoe komt een simpele medewerker aan toegang om alle klantgegevens te exporteren?". Sommige functies moet je gewoon afschermen of misschien helemaal niet ondersteunen. Maar het probleem is, dit is voor ieder bedrijf weer een apart issue. Er is niet iets dat we als maatschappij kunnen doen om dit overal te voorkomen. Een hoop bedrijven prutsen maar wat met hun IT. "Ons marketingteam heeft alle klantgegevens nodig voor een reclamemailing, kunnen jullie daar een export voor bouwen?", en je hebt je datalek-in-wording al klaarstaan.

tormentor1985 @kozue • 19 maart 2026 11:58

Ach ja, wellicht gewoon een engineer die verantwoordelijk is voor database backups en/of migraties.

Het is in vele functies vrij normaal om te rechten te hebben dit soort data te exporteren. Het is echter wel van belang dat je mensen verteld hoe ze hier mee om moeten gaan.

Daarnaast kom ik ook ontzettend vaak met persoonsgegevens in aanraking omdat bijvoorbeeld een klant besluit deze plain tekst weg te schrijven naar een log bestand waar ik toevallig ook in kijk omdat ze een probleem hebben. En dit zijn pas echt gegevens waar men zich zorgen om moet maken gezien dat niet enkel persoonsgegevens zijn maar bijvoorbeeld "Piet Janssen lijkt het opwindend om toe te kijken hoe zijn vrouw iets met Jan Pieterse doet".

Triblade_8472 @kozue • 19 maart 2026 12:19

Waar lees jij dat ze een export hebben gemaakt? En waar lees je dat het om alle klantgegevens gaat?

Ik lees een hoop aannames bij je die ik niet in het artikel terug kan lezen.

Hexxagon @Triblade_8472 • 19 maart 2026 11:48

Wat Kozue zei, handhaving maar ook gewoon bedrijven afdwingen bepaalde systematiek hanteren. Dat bijvoorbeeld gelimiteerde medewerkers toegang hebben tot bepaalde data, etc.

Seal64 @Hexxagon • 19 maart 2026 11:58

Maar dat komt ook weer terug op handhaving - da's immers de enige manier om af te dwingen. Boetes werken daar niet voor - da's altijd achteraf. Je moet letterlijk boots on the ground hebben, mensen die bij die bedrijven gaan auditten om te zien of ze aan de geldende wetgeving voldoen. Daar heb je handjes voor nodig, en die zijn allemaal weg bezuinigd.

Triblade_8472 @Hexxagon • 19 maart 2026 12:25

Mijn punt was eigenlijk dat het artikel hier geen duidelijkheid in geeft en mensen nu vanuit hun onderbuik gaan reageren.

Ruben279 @Triblade_8472 • 19 maart 2026 12:16

De manier waarop het lek is ontstaan is niet van belang.

Het gaat er om dat bedrijven over veel te grote hoeveelheden (gevoelige) data beschikken waar ze duidelijk niet mee om kunnen gaan. Want hoe is het nou mogelijk dat bij de Odido hack zó veel records geexporteerd konden worden, dat had op alle mogelijke manieren geblokkeerd moeten worden natuurlijk.

En hetzelfde voor dit datalek bij Innova, je zou als medewerker toch never nooit een export mogen kunnen maken? En je mag ook hopen dat er bij het openen van een dossier een verplichte vraag gesteld wordt waarom je deze opent zodat er een sluitende audit logging is.

En met heel veel gegevens hebben ze ook helemaal niet verplicht nodig, maar helaas hebben bedrijven allemaal een enorme prikkel om maar zo veel mogelijk data van iemand op te slaan. Voor zaken zoals identificatie verificatie zou je een centrale oplossing willen hebben die laatste tijd vaak voorbij komt, die de check doet en dan naar de dienst alleen terugkoppelt "akkoord" of "niet akkoord".

Triblade_8472 @Ruben279 • 19 maart 2026 12:18

De manier waarom is òòk van belang.

Maar de info zeker ook. Maar de genoemde gegevens lijken mij redelijk voor hun business, toch?

Dus wat is hierin het probleem nu?

Ruben279 @Triblade_8472 • 19 maart 2026 12:26

In het geval van Innova zullen ze iig het adres moeten hebben, maar waarom moet daar je geboortedatum ook bij? Ik kan mij niet bedenken waarom ze die nodig zouden hebben.

Voor een BKR-check of een autoverzekering is het logisch, maar voor een registratie heb je die helemaal niet nodig. Volgens mij gebruiken ze het vaak voor verificatie wanneer je belt, maar daar kan je ook andere oplossingen voor bedenken dan een persoonsgegeven.

(al werden die verificatiecodes ook gelekt bij de Odidio hack, dus wat dat betreft.... )

SuperDre @Hexxagon • 19 maart 2026 11:53

Probleem is gewoon dat het echt heel moeilijk is om dit soort zaken te voorkomen EN een systeem te behouden dat nog enigzins beetje gebruiksvriendelijk is. Sowieso moet de data ergens opgeslagen worden EN doorzoekbaar zijn. Er is altijd wel een account die bij data kan ongeacht hoeveel beveiliging je daarop zet.

ShadowWorrier 19 maart 2026 12:41

Het zoveelste incident met een datalek en ik weer zie ik alle pijlen richting de bedrijven gaan waar fouten zijn gemaakt.

Klopt maar is dat ook niet Victim blaming? Waarom gaat er niet meer focus richting het kunnen opsporen en straffen van de daders?

Het antwoord kan ik wel raden, omdat die mensen niet te pakken zijn.

100% security bestaat niet. Ja het kan allemaal beter maar het zal nooit genoeg zijn zolang er zon lage pakkans voor de criminelen is.

De beveiliging van een kluis in een bank is ook niet onfeilbaar maar er is een behoorlijke pakkans als je daar binnenloopt met je snijbrander om hem leeg te trekken.

Het is tijd dat we die pakkans ook in de digitale wereld krijgen.
Complex? Zeker. Onmogelijk? Hopelijk niet maar wel nodig als we het tij willen keren.

HansHier 19 maart 2026 12:06

Wordt het niet de hoogste tijd dat het geklungel ophoudt en dat organisaties fors worden aangepakt? Om het even of het bedrijven als Odido of dit bedrijf betreft, om het even of het hacks of dit soort diefstal betreft. Men draagt verantwoordelijkheid m.b.t. persoonlijke gegevens en als dat keer op keer niet lukt toont men aan niet volwassen genoeg te zijn voor digitale verwerking. Voor hen dan maar een kaartenbak, punt.

locke960 19 maart 2026 12:18

Lekker vaag allemaal. Die mail is zo inhoud en contextloos, daar kun je helemaal niets mee.

Echt een "verplicht nummer" e-mailtje.

Hansie9999 19 maart 2026 12:19

namen, geboortedatums, telefoonnummers, e-mailadressen, woonadressen en bankrekeningnummers zijn uitgelekt.

Mooi, voor phishing en identity theft hebben we niet veel meer nodig, spijtig dat het rijksregisternummer er ook niet bij zit !!!!!

Om te kunnen reageren moet je ingelogd zijn