Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers

Het datalek bij reisplatform Interrail dat in januari bekend werd, blijkt meer dan 300.000 reizigers te raken. Het in Nederland gevestigde bedrijf informeert nu klanten van wie de gegevens zijn geopenbaard door de datadieven. Het gaat om slechts een subset van de gestolen gegevens.

Het bedrijf voor internationale treinreizen, dat ook onder de naam Eurail opereert, onthult dat namen en paspoortnummers van reizigers zijn gestolen. Dit blijkt uit datalekmeldingen die Interrail indient bij het Openbaar Ministerie in diverse Amerikaanse staten, schrijft SecurityWeek. In de melding bij de staat Oregon stelt het bedrijf dat het datalek 308.777 mensen raakt. Interrail stuurt brieven aan getroffen reizigers.

Miljoenen reizigers?

De totale omvang van het datalek is vooralsnog niet duidelijk. De hackers die bij Interrail binnenkwamen, claimden in februari dat ze de 1,3TB aan data in handen hadden. Dat omvatte naast broncode en back-ups van databases ook persoonlijke informatie van miljoenen reizigers. Begin maart bevestigde Interrail dat gestolen klantgegevens te koop werden aangeboden op het dark web en dat de datadieven als bewijs een deel van de gegevens openbaarden.

Interrail meldde het datalek in januari. Daarbij waren onder meer naw-gegevens, maar mogelijk ook paspoort- of ID-kaartinformatie gestolen. Het leek toen te gaan om voor- en achternamen, e-mailadressen, telefoonnummers, woonadressen en geboortedata. Mogelijk was ook informatie van paspoorten en ID-kaarten geraakt, plus IBAN-nummers en 'gezondheidsgegevens', waarschuwde de Europese Commissie. De EC werkt als onderdeel van het DiscoverEU-programma samen met Interrail.

Trein in Zweden. Bron: Interrail

Vorig nieuwsartikel Volgend nieuwsartikel

Door Jasper Bakker

Nieuwsredacteur

Feedback • 09-04-2026 14:07
136 • submitter: Anonymoussaurus

09-04-2026 • 14:07

Submitter: Anonymoussaurus

Lees meer

Rituals meldt datalek waarbij lidmaatschapsgegevens zijn gestolen

Rituals meldt datalek waarbij lidmaatschapsgegevens zijn gestolen Nieuws van 22 april 2026

Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl

Dieven stelen gebruikersgegevens bij Nederlandse paardenforumsite Bokt.nl Nieuws van 21 april 2026

Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update

Data van 200.000 Nederlanders ligt op straat na datalek bij Basic-Fit - update Nieuws van 13 april 2026

Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien

Booking.com waarschuwt voor datalek, boekingsgegevens klanten ingezien Nieuws van 13 april 2026

ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval

ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026

Gebruikers AI-vriendingenerator MyLovely AI zijn getroffen door datalek

Gebruikers AI-vriendingenerator MyLovely AI zijn getroffen door datalek Nieuws van 8 april 2026

NS stapt voor niet-kritieke ict over van KPN naar Amerikaans bedrijf - update

NS stapt voor niet-kritieke ict over van KPN naar Amerikaans bedrijf - update Nieuws van 10 februari 2026

ProRail plaatst 288 AI-camera’s langs het spoor en test autonome drones

ProRail plaatst 288 AI-camera’s langs het spoor en test autonome drones Nieuws van 1 februari 2026

Interrail meldt datalek waarbij mogelijk ID's en IBAN-nummers zijn gestolen

Interrail meldt datalek waarbij mogelijk ID's en IBAN-nummers zijn gestolen Nieuws van 12 januari 2026

Meer producten en artikelen

Politiek en recht Privacy Datalek Privacy schending Reizen Trein

IT-banen

Meer vacatures

Reacties (136)

136

133

67

10

0

53

Wijzig sortering

beany 9 april 2026 14:14

Ik denk dat we af moeten van het concept dat paspoortnummers, BSN's, bankrekeningnummers, adressen gevoelige gegevens zijn. We moeten, als maatschappij, opereren onder de aanname dat dit soort gegevens algemeen bekend zijn.

Dit bekend dus dat organisaties/winkels niet meer zomaar op dit soort data kunnen/mogen vertrouwen.

Ik heb zelf recentelijk te maken gehad met bestellingen die zijn gedaan met mijn adres als factuuradres. Blijkbaar kan dat bij veel webwinkels zomaar, zonder enige controle. Vervolgens krijg ik de incassobureau's omdat ik niet reageerde op herinneringen die per mail verstuurd waren (ze hadden dus niet mijn emailadres opgegeven, alleen mijn adres als factuuradres). Allemaal opgelost, maar het kost een hoop tijd en moeite.

We moeten dus op een andere manier te werk gaan als maatschappij, want dit werkt op deze manier niet meer. Wat de oplossing is weet ik niet, ik constateer alleen maar dat dit te veel problemen oplevert.

Orangelights23 @beany • 9 april 2026 15:16

Ik woon in Zweden en al dit soort gegevens zijn waardeloos, ook in combinatie met de rest. Een paspoortnummer is het meest gevoelige, maar verder kun je NAW, inkomen, auto’s, partner en Zweeds BSN van vrijwel ieder individu vinden. Het Zweedse DigiD is heilig en er wordt weinig fraude gepleegd.

The Realone @Orangelights23 • 9 april 2026 16:18

In Zweden heerst hetzelfde probleem als Nederland. Namelijk dat die gegevens eigenlijk enkel nuttig zijn voor phishing aanvallen. Dat zie je bij de het grote Odido datalek wel, al die criminelen starten direct grootschalige phishing campagnes met veel gegevens. Want, hoe accurate persoonsgegevens, hoe groter de kans is dat men erin trapt. Dat geldt in Zweden natuurlijk net zo als in Nederland.

Orangelights23 @The Realone • 9 april 2026 16:52

Dat zit wel anders.

Zoals je misschien hebt kunnen lezen, gebeurt alles via de Zweedse DigiD, BankID. Dat is geen systeem waar iemand misbruik van kan maken om bijvoorbeeld een fake panel te bouwen. Je logt overal in middels BankID en dat is een dermate robuust systeem dat het geen kwestie is van een neppe betalingspagina zoals bij Odido en vele andere phishingpogingen gebruikt wordt. Er is niets om in te trappen.

Al die persoonsgegevens die openbaar zijn, zijn dus waardeloos.

@Orangelights23 • 9 april 2026 17:06

Al die persoonsgegevens die openbaar zijn, zijn dus waardeloos.

Voor heel veel mensen is naw gegevens toch wel hele gevoelige informatie.

The Realone @Orangelights23 • 9 april 2026 17:32

Er komt nooit een bankmedewerker een bankpas halen, toch geven ouderen deze nog maar al te vaak af als er iemand aan de deur staat met een goed verhaal.

Er zal nooit een medewerker om je wachtwoord vragen, toch wordt dit maar al te vaak ingevuld of overgedragen.

Dit lijstje is lang, en net zo van toepassing op Nederlanders, als op Zweden, als op inwoners van waar dan ook ter wereld. De diensten waar dit toepasbaar is, zijn wellicht anders, maar ook in Zweden gebruikt men diensten waar je niet met BankID inlogt, al zijn dat er wellicht minder.

Beter? Ja. Waterdicht? Nee.

Orangelights23 @The Realone • 9 april 2026 17:43

Veel aannames, zonder te begrijpen hoe het daadwerkelijk werkt in Zweden.

The Realone @Orangelights23 • 10 april 2026 00:30

Goed verhaal, geweldige tegenargumenten ook. Denk dat het vrij aardig klopt.

RVervuurt @The Realone • 10 april 2026 09:33

Op elke belangrijke dienst (bank, post van de overheid, contracten bij dienstverleners, inloggen bij je mobiele aanbieder etc. etc.) moet je in Zweden (maar ook hier in Denemarken) inloggen met die extra laag DigID. Dus dat kan wel zijn dat je een wachtwoord afgeeft via een phishing-belletje, maar daar kan in principe niets mee, omdat die DigID-laag er nog tussen zit. Moet je natuurlijk niet die DigID-laag gaan lopen goedkeuren...

Zoals je zelf zegt is het niet waterdicht, maar het is wel echt bergen beter dan het niet hebben.

@Orangelights23 • 9 april 2026 17:04

NAW, inkomen, auto’s, partner en Zweeds BSN van vrijwel ieder individu vinden

Bijzonder, waar kan ik deze gegevens vinden of opvragen? Wel zo handig als ik iemand wil stalken, beroven, of even langs een bekende persoon wil langs gaan om door het raam te gaan gluren

Keypunchie @Orangelights23 • 9 april 2026 21:37

Hoezo waardeloos, het identificeert je uniek en daarmee is je privacy geschonden.

Als organisaties in plaats van het paspoortnummer een hash met eigen salt zouden opslaan, dan ben je tenminste niet over datalekken heen te traceren.

Rex @beany • 9 april 2026 15:53

In Spanje is het al zo dat je BSN als "onveilig" beschouwd wordt.

Sterker nog, het wordt OVERAL gebruikt. Mijn BSN is mijn rijbewijsnummer, me "social security"-nummer, belastingnummer. Zelfs privebedrijven gebruiken het, dus mijn "ID nummer" bij Vodafone is gewoon mijn BSN.

Het is heel handig omdat je maar één nummer hoeft te onthouden en dat is dan je nummer "for life".

Aan de andere kant is de nummer op zich NOOIT genoeg om je te identificeren. Mensen kunnen dus niks met mijn nummer.

Keypunchie @Rex • 9 april 2026 21:38

Aan de andere kant is de nummer op zich NOOIT genoeg om je te identificeren. Mensen kunnen dus niks met mijn nummer.

Zeker wel: weten dat jij het bent en je over verschillende datasets profileren.. Dat is mega-interessant, ook voor kwaadwillenden.

@beany • 9 april 2026 14:50

Ik denk dat we af moeten van het concept dat paspoortnummers, BSN's, bankrekeningnummers, adressen gevoelige gegevens zijn. We moeten, als maatschappij, opereren onder de aanname dat dit soort gegevens algemeen bekend zijn.

Ik denk andersom. We moeten af van het overal kopieren, opslaan en backupen van dit soort gegevens en een centrale kluis bieden, beheert door jezelf waarmee je toegang kan verlenen aan een afnemer om specifieke details uit te lezen. Met daarbij ook auditing zodat je kan zien wie en wanneer jouw gegevens ingezien worden.

De combinatie van adres, naam, bankrekeningsnummers, papoortnummers en bsn is de basis voor identiteitsfraude. Dit moet je dus niet openbaar willen maken.

Politiek en recht
Privacy

@david-v • 9 april 2026 15:12

Dat helpt niet echt tegen het feit dat je adres gewoon op een pakketje staat. een adres dat door iedereen gelezen kan worden, genoteerd word in emailtjes en notitie blokjes en wat al niet. Het word hoe dan ook overal gekopieerd. Die gegevens zijn gewoon functioneel en nodig. Jou kluisje heeft niemand wat aan.

De combinatie van adres, naam, bankrekeningsnummers, papoortnummers en bsn is de basis voor identiteitsfraude. Dit moet je dus niet openbaar willen maken.

Juist en dus moet je die basis wegnemen. Niet proberen die halfbakken onpraktische beschermverzinsels te geven met magische kluisjes.

@bzuidgeest • 9 april 2026 16:58

Dat helpt niet echt tegen het feit dat je adres gewoon op een pakketje staat. een adres dat door iedereen gelezen kan worden

Door iedereen is overdreven. Ik denk dat dat niet meer is dan 5 mensen. Een crimineel moet dan fysiek iets gaan doen om je pakketje te kunnen bekijken. Totaal niet te vergelijken met het kopen van een database door een crimineel met 6 miljoen gegevens.

Bovendien, gebruik je je echte naam bij het bezorgen van een pakket? Niet doen. Scheelt dat ook weer.

Bij een kluis zou alleen bij het printen van het adres toegang nodig zijn tot die gegevens. Die worden geprint en niet ergens opgeslagen. Dat was het. Technisch gezien kan het. Dat het niet makkelijk te realiseren is voor alle leveranciers, helemaal mee eens.

De gegevens zijn functioneel en nodig, en die heb je ook, in de kluis. Je hoeft/mag ze niet zelf opslaan ergens in een database. Het enige wat je in een database nodig hebt is welke kluis, welke data en het tijdstip. Heb je de gegevens weer nodig voor het nasturen van een pakket, dan haal je de gegevens weer op om het labeltje af te drukken. De ontvanger kan dan zien dat zijn gegevens opnieuw uitgelezen zijn.

[Reactie gewijzigd door david-v op 9 april 2026 21:08]

Politiek en recht
Privacy

@david-v • 9 april 2026 17:00

Ja mijn echte naam staat op de doos. Iets anders is pure paranoïde. Kan er niets anders van maken.

@bzuidgeest • 9 april 2026 17:09

Totdat je slachtoffer bent van een hack of identiteitsfraude. Dan ga je je wel afvragen hoe ze aan al die informatie komen ... Nou, zo dus...

Datalek
Privacy

@david-v • 9 april 2026 20:14

Door te stellen dat een groot datalek als bij interrail totaal niet vergelijkbaar is met een lek via een adreslabel is het niet zomaar even realistisch dat het verzenden een probleem is. De kans is dus ongelijk. En aangezien de kans bij een groot datalek al niet zomaar voor grote problemen zorgt is dar bij minder gegevens en lagere kans dus helemaal een stuk lager. Natuurlijk is de kans er last van te hebben alsonog niet 0, maar dat maakt het niet zomaar nuttig om een valse naam op te geven. 'totdat je slachtoffer bent' is daarmee te simpel.

@kodak • 9 april 2026 20:28

Eigenlijk bedoelde ik dat als je ergens iets besteld je niet je eigen naam hoeft te gebruiken omdat het bij een datalek dan gecombineerd kan worden met data uit andere lekken. Beetje verwarrend van mijn kant.

Niet je echte naam, email adres (catchall met eigen domein) en mobiele nummer niet opgeven scheelt al een hoop.

Van de Odido hack heb ik al twee emails binnen gekregen, beide gestuurd naar t-mobile@mijndomein.nl. de een was van het CJIB, de andere van DHL. Voor mij is het dan heel makkelijk te zien dat dit niet echt is omdat het gericht is naar het email adres die ik gebruik bij Odido.

Ik heb in het verleden al twee keer een probleem gehad met gegevens uit hacks, vandaar dat ik toch iets voorzichtiger ben met delen van mijn data.

Wat ik nu zou kunnen doen is bij Odido het email adres wijzigen van t-mobile naar Odido en een rule instellen om alles wat daarna binnenkomt op dat t-mobile email adres direct verwijderen, dan heb ik er helemaal geen last van. Dat is niet eenvoudig te regelen als je overal je echte gegevens achterlaat.

[Reactie gewijzigd door david-v op 9 april 2026 21:10]

Yalopa @david-v • 9 april 2026 16:57

je hebt 100% gelijk, ware het niet dat de realiteit is dat voor opnieuw 300000 mensen deze data al op straat ligt, waardoor dit voor hen niets meer helpt. samen met eerdere hacks zou het goed kunnen dat een groot deel van de populatie deze data niet meer geheim is, waardoor je oplossing niets meer bijdraagt.

@Yalopa • 9 april 2026 17:01

Het is ook meer een oplossing hoe voorkom je dat het weer opnieuw gebeurd, niet een oplossing voor de huidige lek die al bij criminelen belandt is. Ik verwacht geen massale identiteits fraude hiermee, maar wel die irritante "betaal nu" emails. Dat is makkelijk voor criminelen terwijl identiteits fraude toch wat minder opbrengt en veel meer moeite kost.

[Reactie gewijzigd door david-v op 9 april 2026 17:40]

@david-v • 9 april 2026 17:25

We moeten er dus juist vanaf dat dit als basis voor identiteitsfraude gebruikt kan worden.

@Commendatore • 9 april 2026 17:28

Klopt, de oplossing wordt hier over het algemeen als het begin van 1984 gezien. Namelijk een digitale identiteitsbewijs. De ewallet zeg maar. Nou, als je daar iets over zegt dan krijg je een hoop ellende over je heen helaas, terwijl dat juist dit probleem oplost. Alleen ziet iedereen het negatieve bij die oplossing.

rob12424 @david-v • 9 april 2026 18:23

Ligt eraan hoe als iedereen naast een paspoort ook een usb stick heeft die met zijn wacht woord en vingerafdruk ontgrendeld kan worden en daar bijvoorbeeld je EPD op staat. Heb je zelf de verantwoording over je eigen data.

@rob12424 • 9 april 2026 18:29

Dit gaat uiteraard over online identificeren. Offline heb je je paspoort of id kaart, daar wordt, als het goed is en je erop let, niet een kopie van gemaakt en ergens bewaard.

Triblade_8472 @beany • 9 april 2026 14:25

Je zou zeggen dat als bedrijven hier maar vaak genoeg last van krijgen, dat dit een prikkel is om de controles te verscherpen. Blijkbaar komt het nog te weinig voor...

SambalSamurai @beany • 9 april 2026 14:26

Mee eens, ik proef aan je flexibele houding een frisse invalshoek, midden in alle angstige houdingen van "als mijn gegevens maar niet gehackt worden".

Op dezelfde manier doorgedacht: als alle gegevens al eens, of meerdermaals gelekt zijn, is er dan nog sprake van een lek? Met andere woorden als alles toch al op straat ligt, wat is dan nog de waarde ervan? Volgt er dan eindelijk een nieuw tijdperk waarin gegevens Niets meer waard zijn?

Privacy kan op twee manieren beschermd worden:
- Door het te af te schermen (vergt enorme investering en dannog blijkt 1 zwakke schakel 6.5mln gegevens te kunnen lekken anno 2026)
- Door het Niets waard te maken (vergt systeemverandering waarin voorlichting kritische houding weerbaar maakt tegen hacks, het niet erin trappen)

Merik @SambalSamurai • 9 april 2026 18:09

Op dezelfde manier doorgedacht: als alle gegevens al eens, of meerdermaals gelekt zijn, is er dan nog sprake van een lek?

Het is de schuld van de bedrijven en het uitbesteden en niet geven om beschermen van deze data, maar dat dit nieuwe normaal met elke dag een ander lek voor lief wordt aangenomen is nogal krom (deels wat @batjes al zei)

vbmot @beany • 9 april 2026 15:14

Helemaal mee eens. En als een organisatie erop wil vertrouwen, dan moeten ze automatisch verantwoording dragen voor misbruik, zonder dat de consument er moeite in moet steken. Je zou incassobureaus moeten verbieden om zaken aan te nemen waarbij geen authenticatie is gedaan (via Digid, of met een id bewijs bij een balie).

Datalek
Privacy

@beany • 9 april 2026 14:57

Het feit dat bedrijven als van interrail enorm slordig met gevoelige gegevens om gaan is juist waarom er strenge eisen zijn. Niet om de belangen van slachtoffers dan maar minder waard te vinden en het criminele gedrag te belonen.

Politiek en recht
Privacy

@beany • 9 april 2026 15:09

absoluut mee eens. Zeker een bsn zou niet voldoende moeten zijn om ook maar iets te doen. Zelfde voor de rest. Je adres is zichtbaar op elk pakketje. Dus ook min of meer openbaar. etc etc....

Cyberpuppy @beany • 9 april 2026 20:59

Je hebt geluk. Je had ook op postcode 1234AB nummer 123 kunnen wonen.

batjes 9 april 2026 14:16

maar mogelijk ook paspoort- of ID-kaartinformatie gestolen

Godverdegedver. Waarom houden ze dit bij, er zijn maar een paar partijen die dit soort gegevens mogen opslaan en verwerken. Een random vervoersbedrijf valt daar zeker niet onder.

Hoog tijd dat er maar eens hoge boetes uitgedeeld worden als dit soort toko's zo kansloos met onze gegevens omgaan. Gehacked worden kan iedereen overkomen, maar niet iedereen maakt de keuze om verdorie nog aan toe paspoort/id/rijbewijzen op te slaan.

SirQuack @batjes • 9 april 2026 23:32

Als interrail gebruiker is de reden inderdaad vrij simpel: deze worden door de treinmaatschappijen gecontroleerd en zijn verplicht voor sommige treinen (zoals nightjet icm Interrail).

Het gaat hier trouwens om documentnummer, geldigheid en geboortedatum. Er wordt niet gevraagd (of de mogelijkheid geboden) om een scan of dergelijks te uploaden.

Menig ho(s)tel slaat documentnummer en geboortedatum op, soms ook vanuit lokale verordening (zoals in Polen). Gek, maar die documentnummers zijn toch al gelekt door bijv. Odido en kan je haast niet meer als geheim beschouwen.

cPT.cAPSLOCK @batjes • 9 april 2026 14:41

Een vervoersbedrijf dat internationale reizen aanbiedt moet die documentnummers wel degelijk verwerken.

batjes @cPT.cAPSLOCK • 9 april 2026 17:37

Verwerken tot zekere hoogte kan best zonder die gegevens op te slaan. De enige soort verwerking die plaats hoeft te vinden is "is paspoort/id geldig: ja/nee". Dat kan dus prima met een row has_valid_passport ipv ergens een kopie te dumpen.

Onderschat de impact niet van al deze gegevens die op straat komen te liggen.

Trein

@batjes • 9 april 2026 19:10

In dit geval kan dat niet, want het wordt gebruikt voor identificatie behorend bij het vervoersbewijs. Net als bij een vliegticket moet je ook het documentnummer van je paspoort/ID kaart opgeven zodat het treinpersoneel er zeker van is dat het ticket inderdaad door de juiste persoon gebruikt wordt.

Voor de papieren interrailpassen was het inderdaad voldoende om deze enkel op de pas te printen en daarna te verwijderen, maar tegenwoordig reist de overgrote meerderheid van de mensen met de digitale app, waardoor deze gegevens daarin beschikbaar moet zijn en dus ook digitaal opgeslagen moet blijven zolang als de pas geactiveerd en geldig is. Dat is een termijn van maximaal 14 maanden (je kan een pas maximaal 11 maanden na aankoop in laten gaan en de pas is daarna maximaal 3 maanden geldig).

Dit zijn overigens wettelijke verplichtingen. Zo moet bijvoorbeeld Eurostar tegenwoordig zelfs controleren of je wel een ETA voor de UK hebt voor je überhaupt alle kaart- en paspoortcontroles door mag gaan lopen.

[Reactie gewijzigd door EDIT op 9 april 2026 19:13]

Keypunchie @EDIT • 9 april 2026 21:34

Hiervoor hoeft men helemaal niet het paspoortnummer op te slaan: een hash voldoet. (De kans dat degene die gaat frauderen iemand vind met een hash collision lijkt me verwaarloosbaar)

Ja, dan heeft meneer de conducteur wel een apparaatje bij zich nodig dat een hash kan berekenen, maar dat kan zo simpel zijn als een smartphone waar hij het paspoortnummer invoert op een webpagina.

[Reactie gewijzigd door Keypunchie op 9 april 2026 21:36]

Trein

@Keypunchie • 10 april 2026 07:53

Hoewel ik het met je eens ben dat zoiets technisch zou kunnen, is daar voor treinpersoneel niet mee te werken.
Niet alleen zijn heel veel mensen niet technisch onderlegd en kost zoiets veel te veel tijd als men dat bij elke Interrailreiziger moet gaan doen, ook is het weer de zoveelste verdere uitzondering die mensen moeten kennen.

Als zoiets ingevoerd zou worden, zie ik (en dat schrijf ik als ex-ITer, nu treinmachinist) dat dit soort controles in de praktijk dan nooit meer gedaan gaan worden omdat het veel te veel tijd en moeite kost en ook nog eens foutgevoelig is.
Bij NS kunnen de conducteurs tegenwoordig paspoorten/ID kaarten scannen/foto van maken, waarna gegevens automatisch overgenomen worden (bij het uitschrijven van een uitstel van betaling/boete), maar dat werkt maar voor een beperkt aantal (Europese) identiteitsbewijzen. Als zoiets wereldwijd zou kunnen, dan zou ik mij zoiets kunnen voorstellen (scan het ticket en daarna het identiteitsbewijs, die automatisch vergeleken wordt met de opgeslagen hash op het ticket), maar zover zie ik het niet (in de nabije toekomst) komen.

Keypunchie @EDIT • 10 april 2026 09:29

Als zoiets ingevoerd zou worden, zie ik (en dat schrijf ik als ex-ITer, nu treinmachinist) dat dit soort controles in de praktijk dan nooit meer gedaan gaan worden omdat het veel te veel tijd en moeite kost en ook nog eens foutgevoelig is.

Hoe controleren ze nu dan het paspoortnummer? Neem toch aan dat ze geen uitgeprintte lijst bij zich hebben.

Trein

@Keypunchie • 10 april 2026 09:32

Die staat dus in de Interrail app (bij digitaal reizen) of op de pas zelf (bij een papieren Interrailpas), en je moet je legitimeren bij gebruik van de pas.
De conducteur kan deze dus gewoon visueel controleren of die gegevens overeenkomen.

[Reactie gewijzigd door EDIT op 10 april 2026 09:34]

Keypunchie @EDIT • 10 april 2026 09:35

Maar ze controleren niet de pas zelf op echtheid met een scanner oid? Want daar zou ik het onderdeel van maken.

[Reactie gewijzigd door Keypunchie op 10 april 2026 09:36]

Trein

@Keypunchie • 10 april 2026 09:40

De digitale pas wordt gescanned (die geeft een (dynamische) Aztec-achtige code weer), de papieren pas wordt afgedrukt op speciaal papier met echtheidskenmerken. Beiden worden dus op echtheid gecontroleerd, daarnaast dus ook legitimatie.

Keypunchie @EDIT • 10 april 2026 11:01

Nou, kwestie van de scanner dus een hash laten berekenen. (Als je een ticket kunt scannen, kun je ook ene paspoort/id-kaart scannen) Kun je nog meer controleren dan het paspoortnummer en hoef je niks gevoeligs op te slaan.

[Reactie gewijzigd door Keypunchie op 10 april 2026 11:02]

Trein

@Keypunchie • 10 april 2026 11:27

Dat is ook wat ik hierboven al aangaf: en hash op de pas zou niet zo'n probleem zijn, maar het vervolgens vergelijken gaat problemen geven. Dan moet er dus een standaard zijn over de hele wereld omdat dan elk paspoort of elke ID kaart op dezelfde code die gescanned kan worden, en dat zie ik niet gebeuren.

Keypunchie @EDIT • 10 april 2026 11:55

Je scant niet de hash. Je scant het paspoort, je scanner berekent een hash en vergelijkt die met de hash op het ticket.

Sterker nog, *jij* als organisatie bent de enige die weet hoe de hash berekent wordt, je gebruikt je eigen salt. Juist om te voorkomen dat als de data lekt, dat je alsnog een uniek nummer hebt, waarmee je iemand kunt checken tegen andere databases.

Het is juist de *bedoeling* dat een hotel, vliegmaatschappij en bank allemaal een *eigen* unieke hash hebben.

Zij kunnen wel altijd controleren of *jij* het bent, maar iemand anders die de gegevens heeft, kan dat *niet*.

Privacy.

Trein

@Keypunchie • 10 april 2026 12:15

Je lijkt de verkeerde kant op te denken.

Het probleem zit niet in de interrailpas of een eventuele hash die daar van het paspoortnummer wordt opgeslagen. Het probleem zit juist in het paspoort of ID kaart zelf.
Elk land heeft een eigen standaard voor de paspoorten en (on)mogelijkheden tot het scannen daarvan.
Het is op dit moment onmogelijk om voor alle landen alle vormen van IDs te scannen en daar gaat het mis.

Wat ik al in mijn eerdere posts duidelijk probeerde te maken is dat je niet kan gaan verlangen van elke conducteur dat deze handmatig een documentnummer in gaat zitten voeren. Daar hebben ze helemaal de tijd niet voor en het is ook nog eens foutgevoelig. Dus dat gaat gewoon niet gebeuren. En zo lang dat niet wereldwijd op dezelfde manier gescanned kan worden gaat een verandering als dit niet gebeuren.

PomPomPom @EDIT • 10 april 2026 12:42

Maar, even realistisch, het gaat dus om OCR, het scannen van een paspoortnummer toch? Is dat niet bij 98% van de reizigers te doen? En die 2%, die zouden dan op een ticket van een landgenoot kunnen reizen, of iemand anders met ook een moeilijk paspoort.

Laten we eerlijk zijn, het is eigenlijk al niet uit te leggen waarom een Interrail ticket persoonsgebonden moet zijn. Je betaalt voor x dagen. Dus waarom is het een probleem als er verschillende personen gebruik van maken?

Trein

@PomPomPom • 10 april 2026 12:55

Bij de meeste Europese paspoorten zal het redelijk goed gaan, maar zelfs daar zijn er al genoeg uitzonderingen die niet te scannen zijn, laat staan van alle mensen buiten de EU die reizen met een EURrailpas (Interrail is voor EU inwoners, EURail voor mensen van buiten de EU). 98% ga je op geen enkele manier redden, al helemaal niet op de populaire interrailroutes in de zomer.

Scannen doen we op dit moment in drie vormen als ik mij niet vergis: voor Nederlandse ID-bewijzen lezen we de chip of de QR code uit, en als dat niet werkt wordt er OCR toegepast, bijvoorbeeld bij oudere ID-bewijzen die nog geen chip of code hebben.

En wat ik al eerder aangaf: er is een verplichting voor internationale vervoersbewijzen om deze aan een persoon te koppelen, net zoals dat bij vliegtickets het geval is.
De enige uitzondering daarop is het CIV tarief die uit de kaartautomaat gehaald kan worden, maar dat is een vreemd soort grootvadersrecht, waarvan ik eigenlijk vermoed dat die er over niet al te lange tijd wel eens uit gehaald kan gaan worden (maar dat is uiteraard mijn eigen verwachting en is niet gestoeld op enige werkelijkheid).

Keypunchie @EDIT • 10 april 2026 12:59

Nee, paspoorten zijn helemaal niet verschillend, daar zijn juist Internationale en Europese standaarden voor (incl. de uitleesbare chip tegenwoordig!)

En ja, je kunt daar best eisen aan stellen. Voor Europese burgers heb je een verplichting, maar internationale Interrailers kun je gewoon paspoort eisen.

Geen problemen verzinnen die er niet zijn. Vooral het probleem, het opslaan van PII, oppakken.

[Reactie gewijzigd door Keypunchie op 10 april 2026 13:01]

Trein

@Keypunchie • 10 april 2026 13:00

Was het maar zo'n feest. In de praktijk zijn er genoeg issues met het uitlezen of herkennen van paspoorten.

Men zoekt trouwens nog technische mensen bij Interrail, dus ik zou zeggen: solliciteer en werp je in de wondere wereld van treinreizen, vervoersbewijzen en de zwaar achterlopende IT die daar komt kijken

https://www.eurail.com/careers

[Reactie gewijzigd door EDIT op 10 april 2026 13:04]

Keypunchie @EDIT • 10 april 2026 13:04

Vanuit het doel, fraudebestrijding, lijkt me stug dat problemen met een edge case, zoals een Zuid-Soedanees paspoort, hier roet in het eten gaat gooien.

Het is domweg handen in de lucht gooien en roepen "kan niet", terwijl het uit laten lekken van paspoortnummers blijkbaar iets is dat wel kan...

Serieus, als een conducteur het nummer kan lezen, kan een optische scanner hem scannen. Een app die dat 99,99% van de tijd goed doet kun je in een half uur vibe-coden

[Reactie gewijzigd door Keypunchie op 10 april 2026 13:07]

Trein

@Keypunchie • 10 april 2026 13:10

Het is uiteraard prima dat je daar anders over denkt. Toen ik vers vanuit de IT kwam zou ik daar waarschijnlijk zelfs op dezelfde manier over gedacht hebben, maar inmiddels heb ik teveel de praktijk meegemaakt.
Werkelijk elke vervoersmaatschappij heeft eigen apparatuur die mogelijkheid X of juist Y weer niet heeft. Sommige vervoersbedrijven vereisen punt Z, maar dat mag juist weer niet in land A.

Theoretisch zouden er standaarden moeten zijn, in de praktijk werkt het overal anders.

En tegen de tijd dat je zelfs de meest kribbige vervoerder over hebt gehaald om een standaard te implementeren is er alweer een nieuwe standaard en begint het liedje weer opnieuw.

En nog een edit op de edit: even snel "vibecoden" (de gruwel alleen al) gaat 'm sowieso al niet worden in Nederland.
Zowel de bank/betalingsverwerker (voor de pinfunctionaliteit die de apparatuur heeft) en de overheid (voor het lezen en verwerken van ID gegegevens) zullen daar een plasje over moeten doen, en dan hebben we het alleen nog maar over de NS, niet over alle andere vervoerders die we in Nederland (laat staan andere landen) hebben.

[Reactie gewijzigd door EDIT op 10 april 2026 13:19]

Keypunchie @EDIT • 10 april 2026 14:43

Hadden ze maar over het systeem geplast dat lek bleek...

djhartman @Keypunchie • 10 april 2026 09:51

Ja, dan heeft meneer de conducteur wel een apparaatje bij zich nodig dat een hash kan berekenen, maar dat kan zo simpel zijn als een smartphone waar hij het paspoortnummer invoert op een webpagina.

Dat klinkt heel simpel, maar 4 jaar geleden zat ik nog in een trein in Zuid oost europa met interrail, waar je zonder uitgeprint interrail kaartje gewoon pech had en er gedurende 80% van de treinreis ook geen 4G beschikbaar was.

Het Europese landschap lijkt nog altijd op veel plekken totaal niet op wat wij gewend zijn in west europa, Azië etc. onderschat het niet.

Keypunchie @djhartman • 10 april 2026 11:03

Lijkt me een prima besteding van EU gelden om daar eens wat aan te doen. Niet de handen in de lucht, aanpakken.

batjes @EDIT • 9 april 2026 19:38

Dat is bij de meeste reistoko's al zeker 10 jaar praktisch allemaal geautomatiseerd werk en legitimatie hoeft na dat de aanvraag is uitgevoerd niets van opgeslagen worden.

Wat er achter de schermen gebeurt is dat je een ticket boekt bij een reisbureau en het reisbureau niet direct daadwerkelijk boekt, maar ergens tussen jouw aanschaf en vertrek de markt bespeelt in een poging de marge te maximaliseren.

Hiervoor is het natuurlijk handig om die gegevens langer te bewaren dan eigenlijk noodzakelijk c.q. verwacht mag worden.
https://www.autoriteitper...or-vaststellen-identiteit

edit:
ik meende ook kopieen van legitimatie te hebben vernomen.

[Reactie gewijzigd door batjes op 9 april 2026 19:40]

Trein

@batjes • 9 april 2026 19:40

Bij Interrail wordt er helemaal geen kopie van het paspoort/ID kaart gevraagd of opgeslagen, enkel het documentnummer. En dat laatste is nu dus bij een groep klanten uitgelekt.

batjes @EDIT • 9 april 2026 19:42

Toepasselijke naam, ik had al geninja-edit

Trein

@batjes • 9 april 2026 19:47

Om dan te reageren op de edit: nee, er wordt dus echt niks met paspoorten of kopiëren daarvan gedaan.

Als je een interrailpas koopt/activeert, dan wordt er gevraagd naar de tenaamstelling (enkel voornaam/achternaam), geboortedatum (voor controle en de jongerenkorting), het land van herkomst (een interrailpas is niet geldig in eigen land om te voorkomen dat mensen het als goedkoop abonnement gaan gebruiken), en dus het documentnummer van je legitimatiebewijs.

Er hoeft verder geen kopie van een paspoort/ID kaart afgegeven te worden.

@batjes • 9 april 2026 17:11

Bij internationaal reizen, wat hier het geval is, moet je die gegevens verwerken (Let wel, verwerken, dat is iets anders dan vastleggen/opslaan met alle gevolgen van dien)

divvid 9 april 2026 14:13

wat moet een interrail met een paspoort nummer?

Marctraider @divvid • 9 april 2026 14:17

Geen idee. Voor internationale treinreizen is de verplichting om de naam op het vervoersbewijs overeen te laten komen met jouw ID/Paspoort.

Volgens mij is hier geen BSN voor nodig mbt. het koppelen.

[Reactie gewijzigd door Marctraider op 9 april 2026 14:21]

Arnoud Engelfriet @Marctraider • 9 april 2026 14:24

Paspoortnummer is wat anders dan bsn. Bij vaststellen of je iemands paspoort hebt gezien, is het gebruikelijk het nummer daarvan te noteren als bewijs.

@divvid • 9 april 2026 14:14

Internationale treinreis (de naam zeg t)? Douane dingen?
Waarschijnlijk niets, maar was t makkelijker om t op te slaan. Mag vooral hopen dat er geen kopieen van paspoorten bijzitten.

Royale de Luxe @divvid • 9 april 2026 14:18

Ik stelde me ook de vraag wat een vliegtuigmaatschappij met mijn paspoort moet als ik incheck.
Ik weet ook dat je bij Eurostar ook je papsoort dient aan te bieden als je naar de UK gaat.

Maar heb dan opgezocht dat ze je Paspoort gegevens nodig hebben omdat de landen waar je langskomt/uitstapt deze vereisen van de transport maatschappijen. Daar zijn een hele hoop regels die hen worden opgelegd. APIS is er een van.

divvid @Royale de Luxe • 9 april 2026 15:01

helder, maar dan nog. Data mag doorgaans niet langer dan 48 uur worden bewaard door douane etc, tenzij er een specifieke noodzaak is voor verder onderzoek. Blijkbaar is dat hier dus langer, en de data is nog niet eens versleuteld.

(in een recent project versleutelen persoons gegevens voordat het in de database gaat. Een ander systeem dan de DB heeft de key om het eventueel te decrypten. Dat maakt het al een stuk lastiger als de webservice gehacked zou worden.)

demianmonteverd @divvid • 9 april 2026 16:10

Het bewaren van wie de grens over is gegaan, wanneer, hoe en met wie helpt wel in deze tijden met spionnen en sabotage. Helaas hebben zoals wel vaker de goeden weer onder de kwaden te lijden.

Triblade_8472 @divvid • 9 april 2026 14:26

Step dat de trein crashed en alles verkoold is, dan heeft het bedrijf een lijst met wie er over de grens is gegaan.

Net als waarom vliegtuigmaatschappijen dit hebben dus.

Vindt er van wat je wil.

snellejelle99 9 april 2026 14:09

Deze berichten komen van de lopende band af de afgelopen tijd.
Straks kun je beter melden dat we een dag zonder datalek hebben.

Enjoyer @snellejelle99 • 9 april 2026 14:15

Des te duidelijker het wordt dat er echt wel iets moet gebeuren om de privacy te beschermen.

arbraxas @Enjoyer • 9 april 2026 14:21

Welke privacy?
Er is juist een enorme politieke druk om juist alle privacy te weren van internet en dat exact word vastgelegd wie, wat, waar en wanneer zegt en doet. Maak je aub geen illusies. Dit is al schering en inslag en word alleen maar erger. Het helpt ook niet dat je unieke wachtwoorden gebruikt bij dit soort hacks.

Het vervelende zit hem meer in de nasleep, een nieuw BSN nummer bijvoorbeeld krijg je niet. En als al je priveinfo gelekt is, kan dat echt hele vervelende gevolgen hebben. Maar daar lijkt onze overheid volledig blind voor te zijn.

@arbraxas • 9 april 2026 14:30

Er is juist een enorme politieke druk om juist alle privacy te weren van internet en dat exact word vastgelegd wie, wat, waar en wanneer zegt en doet.

Politieke druk is niet hetzelfde als beleid. Ik zie vooral beleid om privacy van EU burgers te beschermen. Ja, er zijn ook politieke partijen die encryptie, achterdeurtjes, scannen op kinderporno enz willen doordrukken, maar tot nu toe is dat gelukkig nog geen beleid. Wij kunnen nog steeds onze stem geven aan partijen die dit soort acties niet steunen.

arbraxas @david-v • 9 april 2026 14:35

Tja, daarom zijn hier de paspoortnummers ook ontvreemd.
Vast niet omdat de overheid verplicht heeft gesteld dat je deze gegevens moet opslaan.

@arbraxas • 9 april 2026 14:38

Bij internationale reizen is dat al heel lang verplicht, zelfs toen ik jong was (heeeeel lang geleden

) moest je dat al doen. Dit is niet iets van nu of om onze privacy af te nemen.

@david-v • 9 april 2026 17:29

Voor een normaal internationaal treinkaartje hoef ik geen paspoortnummer op te geven hoor.

@Commendatore • 9 april 2026 17:44

Hangt er maar net vanaf waar je heen reist. Naar het VK moet je dat als ik me niet vergis opgeven. Ik weet niet hoe elk land in de EU daar mee omgaat of welke regels ze hebben. Naar Duitsland is België zal dat misschien niet nodig zijn voorbeeld. Hangt er maar net vanaf waar je heen reist. Naar het VK moet je dat als ik me niet vergis opgeven. Ik weet niet hoe elk land in de EU daar mee omgaat of welke regels ze hebben. Naar Duitsland of België zal dat misschien niet nodig zijn voorbeeld.

[Reactie gewijzigd door david-v op 9 april 2026 18:17]

@david-v • 9 april 2026 17:52

In Duitsland kun je op bepaalde stations zelfs de OV-chipkaart gebruiken en veel Duitse regionale tickets zijn geldig tot een stukje in Nederland. Naar België is het niet veel complexer.

Dakdak @arbraxas • 9 april 2026 14:55

De overheid heeft te losse regels voor de opslag van die gegevens. Bedrijven besparen op de veiligheid. Er moeten gewoon grote boetes komen en verplichte audits, dan is het probleem in een paar jaar opgelost.

Politiek en recht
Privacy

@arbraxas • 9 april 2026 15:02

In de EU is meer druk dan waar dan ook om juist hele sterke privacy te hebben. Dit vloekt echter wel eens met de techno gehandicapte politici en hun wens om de wereld ook veilig te houden.

Persoonlijk vind ik het hoog tijd dat we het wilde westen van het internet een beetje aanpakken. Ik vind het niet meer dan normaal dat mensen op hun gedrag kunnen worden aangesproken en permanent gebanned kunnen worden als ze zich misdragen. En het is aan de verschillende community's om vast te stellen wat ze misdragen vinden. Dan is er voor iedereen wel ergens een plekje. Wat meer identificatie is dan gewoon nodig. Het maakt ook plekken zonder spam en bots mogelijk. Want iedereen weet meteen wie het doet en die kan gebanned worden.

En ja, met zero knowledge proof systemen kan dat geregeld worden zonder dat de verifiërende partij (de overheid in veel gevallen) weet waar jij die verificatie gebruikt. Beter nog een site hoeft je exacte leeftijd niet meer te krijgen. Alleen maar het token met ja 18+, dus dat verhoogt de privacy. De tokens kunnen ook per site zijn dus kan je niet tussen sites gevolgd worden.

De wet stelt gewoon dat je voor zekere dingen 18+ moet zijn. Daar tegen vechten offline of online is nutteloos. Dan moet je de wet op wat 18+ is veranderen en daar is geen grote groep mensen voor te vinden. Waar je voor moet vechten is de implementatie van identificatie systemen die de privacy in tact houden en volgen onmogelijk maken. Die zijn er gewoon. En dan kan bij een hack als deze je paspoort niet meer uitlekken.

[Reactie gewijzigd door bzuidgeest op 9 april 2026 15:04]

xxs @bzuidgeest • 9 april 2026 18:08

Een permanente ban? Dat is levenslang en dat terwijl je zonder internet niet eens meer deel kunt nemen aan deze maatschappij.

Ik snap je punt wel hoor.

Politiek en recht
Privacy

@xxs • 9 april 2026 21:40

Met permanent bedoel ik dat je niet eenvoudig kan terugkomen door een nieuwe account aan te maken. En het is geen ban van het internet, het is er een uit bepaalde communities.

Diezelfde communities zouden eens in de zoveel tijd de bans kunnen herevalueren. Of eerst een ban van een maand een progressief langere tijd als men in herhaling valt. Je kan best wel systemen verzinnen.

En de echt belangrijke sites die je moet kunnen bezoeken zoals die van de verschillende overheden in ons land. Die hebben geen community of sociale component dus daar is een ban niet van toepassing.

Het doel is dat een groep mensen zijn eigen omgeving veilig en schoon kan houden ook op het internet. Er is geen enkele reden dat een persoon op elke site moet kunnen komen.

Ik zie geen enkele reden dan een laten we zeggen interesse groep, niet kan beslissen om iemand die zich onwenselijk uit laat te bannen. Jij bepaald toch ook wie er wel of niet in je huis mag en wat die daar wel of niet mag? Waarom zou het internet anders zijn. De personen die over dat soort ideeën klagen zijn denk ik vaak ook de personen die weten dat ze er links en rechts vlug uit zouden liggen met hun gedrag. Maar het voordeel is dat die mensen dan ook hun eigen site kunnen starten met elkaar.

Hazalnootpuur @arbraxas • 9 april 2026 16:01

Maar je kunt ook blind zijn voor de negatieve gevolgen van de anonimiteit op sociale media. Van mij mogen ze die vandaag nog afschaffen. Want die anonimiteit maakt niet alleen internet ziek, maar de hele maatschappij.

@Hazalnootpuur • 9 april 2026 17:54

Het lijkt me wel belangrijk dat bijvoorbeeld een werkgever Reddit-posts niet naar individuele werknemers kan herleiden.

Strafrechtelijke onderzoeken zijn een ander verhaal.

[Reactie gewijzigd door Commendatore op 9 april 2026 17:55]

@Commendatore • 9 april 2026 19:18

Maar, mag Reddit dan wel eisen dat je je legitimeert zodat ze jouw gegevens wel hebben maar dat je vervolgens "anoniem" je verhaal kwijt kan in reddit?

Want de discussie is denk ik niet of je anoniem mag zijn voor de buitenwereld op social media, maar of je je echte identiteit moet vastleggen achter je alias zodat je bij een strafrechtelijke onderzoek gevonden kan worden.

Let wel, het mes snijdt wel aan twee kanten. In sommige landen wil je absoluut niet traceerbaar zijn ivm autoritaire regimes. Aan de andere kant heb je een potentieel miljarden publiek waar je anoniem van alles kan zeggen zonder consequenties.

Ik weet zelf ook niet wat wel en niet wenselijk is.

SirBlade @david-v • 9 april 2026 22:59

Een systeem om een mooie balans te maken tussen privacy en accountability.

Tweakers/reddit/facebook accounts krijgen een publieke en een niet-muteerbare geheime IDnummerr. Tijdens de procedure voor het aanmaken van een account gaat het geheime IDnummer naar een Europese trusted third party. Bij die TTP log je vervolgens ook in met digid/bank/etc, diensten die je BSN toch al geverifieerd hebben. de TTP maakt dan een koppelen tussen het IDnummer dat ze van de website hebben gekregen en een TTPnummer. Vervolgens stuurt de TTP het TTPnummer en de BSN naar de overheid. En na korte tijd verdwijnt het BSN uit de logs.

De overheid een lijst met alle TTPnummers van een inwoner, en bij ernstige zaken kunnen ze bij de rechter vragen om die om te laten zetten naar website IDnummers. Vervolgens kunnen ze de website benaderen met een gerechtelijk bevel om informatie over die IDnummers over te dragen. Maar nog de overheid, nog de TTP, nog de website kunnen de anonimiteit van een gebruiker opheffen zonder medewerking van de andere 2. Zolang jij andere email-adressen op de website gebruikt kan de website 2 of meer accounts niet linken. En het linken van accounts op verschillende sites is al helemaal moeilijk. In de DB van de TTP staan slechts 2 weinig zeggende nummers. En de overheid heeft alleen een reeks nietszeggende nummers gekoppeld aan een burger.

We laten de TTP monitoren door privacy organisaties zodat misbruik door de overheid erg lastig gaat worden. Je kan zelfs regelen dat een Nederlandse website zoals tweakers een Spaanse TTP gebruikt om de privacy verder te borgen.

@Knallmeister • 9 april 2026 17:42

Waarom zou je dat publieke op het Internet moeten zetten?

Controle / niet anoniem zijn, is niet hetzelfde als dit zomaar publieke je gegevens ergens neerzetten op een forum.

Thijs_Rallye @arbraxas • 10 april 2026 06:53

Maar daar lijkt onze overheid volledig blind voor te zijn.

Daar zijn ze heus niet blind voor, maar ze hebben gewoon schijt aan de burger. Men zou al het beleid eens wat meer vanuit die kant moeten bekijken, dan vallen er heel wat puzzlestukjes op de plaats imo.

Politiek en recht
Privacy

@Enjoyer • 9 april 2026 15:05

Gewoon een simpele wet dat een bedrijf iedereen die in een hack valt een verzekering tegen identiteit diefstal moeten geven voor x jaar. Die zijn duur en dan gaan ze dus beter opletten.

De_Daapse @snellejelle99 • 9 april 2026 14:33

Dit kan toch niet meer zo?

Nas T @snellejelle99 • 9 april 2026 15:16

Dat klopt, en dat gaat veel erger worden. We hebben alles te verbergen. Helaas hebben we de strijd al grotendeels verloren en plukken we er nog jarenlang de rotte vruchten van, maar we moeten naar een basis van zerosharing als het gaat om gegevens.

Helaas zijn we collectief incompetent en is er weinig tot geen aandacht voor in de politiek.

Miglow @snellejelle99 • 9 april 2026 17:24

Inmiddels is ieders data vast wel gelekt via eender welk bedrijf, dus keep calm and say hello.

darkdeathrip @snellejelle99 • 9 april 2026 14:17

Dit gebeurd eigenlijk al heel lang. Dat kun je ook zien op https://haveibeenpwned.com. Alleen werd er vroeger minder aandacht aan besteed in het nieuws.

FSJerra @xxs • 9 april 2026 14:30

En wie zegt dat die database illegaal is...?

xxs @FSJerra • 9 april 2026 14:34

Die data is afkomstig van diefstal, je kan dat dus zien als heling. Zie de ellelange discussie hierover op deze site over het beschikbaar stellen van de Odido data.

@xxs • 9 april 2026 14:39

Dan moet je toch wel iets meer lezen want vanuit journalistiek en een website zoals deze is dat "in het algemeen belang" en dan mag het wel.

xxs @david-v • 9 april 2026 15:36

We hebben het toch over HIBP en niet over Tweakers?

En pers en politie buiten beschouwing gelaten.

Het mag in Nederland niet maar wordt het kennelijk (soms) gedoogd. Los daarvan valt HIBP niet onder het Nederlands recht dat snap ik ook wel.

review: Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf

Ja ook ik heb de reactie van Arnoud gelezen over HIBP. Maar dan hoef ik het daar nog niet mee eens te zijn.

we zullen het pas weten als een rechter daarover uitspraak doet.

[Reactie gewijzigd door xxs op 9 april 2026 15:45]

@xxs • 9 april 2026 15:45

Ja, dat mag in Nederland wel. Ik quote even Engelfriet uit het artikel waar jij mogelijk naar refereert

Er is een uitzondering voor publicatie in het algemeen belang, waarmee de pers wordt beschermd. HIBP voldoet ook aan deze uitzondering gezien haar maatschappelijke positie, nog los van dat zij vanuit Australië opereert en dus buiten de Nederlandse rechtsmacht opereert.

Het heeft niks met gedogen te maken maar met de uitzonderingen die in de wet zijn opgenomen.

Ook de politie heeft de gegevens van de hack bij Odido bijvoorbeeld. Weer een uitzondering op diezelfde wet.

Dus zeggen dat HIBP een illegale website is klopt niet.

xxs @david-v • 9 april 2026 16:26

Even de zaak afpellen;

Uitzonderingen in de wet daargelaten, die kunnen immers niet illegaal zijn omdat de legaliteit al is vastgelegd in de wet.

Er wordt door zowel Arnoud als politie gewezen op het feit dat je maar beter weg kunt blijven van die data, ook al heb je de beste bedoelingen.

Quote:

"Het overnemen van niet-openbare gegevens is strafbaar als je weet of redelijkerwijs kon vermoeden dat ze uit misdrijf verkregen zijn."

Stel dat HIBP onder het Nederlands recht zou vallen zouden ze dan strafbaar zijn is de vraag?

Arnoud geeft aan dat HIBP een maatschappelijk doel dient en daarmee een uitzonderingspositie verkregen heeft. Stel dat HIBP in Nederland begonnen zou zijn en in Nederland opereerd hoe hebben ze die maatschappelijke positie dan verkregen? De database was immers nog leeg.

HIBP moet in zo'n geval begonnen zijn met illegale data waar ze geen toegang tot zouden moeten hebben. Dat ze later een uitzonderingspositie verkregen zouden hebben is m.i. niet relevant, de data is illegaal verkregen en van diefstal afkomstig.

Wellicht heb jij er een andere visie op maar hoe ga je in Nederland ooit een HIBP 2.0 LEGAAL beginnen?

@xxs • 9 april 2026 17:25

Wellicht heb jij er een andere visie op maar hoe ga je in Nederland ooit een HIBP 2.0 LEGAAL beginnen?

Hangt er van af wie dat begint. Pietje om de hoek zal hier een zware taak aan hebben, maar als tweakers, nrc, security.nl een dergelijke tool bouwt dan zal dat eerder door een rechter gezien worden als maatschappelijk belang.

Je kan dus niet zomaar stellen dat het illegaal is. Daar moet echt een uitspraak van een rechter komen die dan bepaald is het wel of niet het maatschappelijk belang dient.

xxs @david-v • 9 april 2026 17:50

Je leest of snap me niet.

Tweakers, NRC, security.nl zijn pers, die hebben al een legale uitzonderingspositie.

Troy Hunt is Security Expert, een onbeschermde titel die iedereen kan aannemen. Dus Troy is gewoon een Pietje om de hoek.

Ik heb jaren geleden al eens contact met hem hierover gehad en hij schreef, ik werk samen met internationale overheden dus het zal wel goed zijn. Of woorden van gelijke strekking. Hij wist het zelf ook niet eens. Samenwerken met overheden maakt het nog niet legaal.

[Reactie gewijzigd door xxs op 9 april 2026 18:02]

@xxs • 9 april 2026 18:16

Troy Hunt is niet Pietje om de hoek. Nogmaals, maatschappelijk belang is hier het sleutelwoord. Een rechter kan aangeven of het hier aan voldoet of niet. Wat jij nu doet is voor rechter spelen en zeggen dat het illegaal is. Dat klopt niet, tenzij een rechter heeft gezegd dat het niet mag.

Ja, er is een grijs gebied, wanneer dien je het gemeenschappelijk belang en wanneer niet. Bij Troy Hunt zou je kunnen stellen dat hij daaronder valt gezien zijn maatschappelijke positie. Wil je zekerheid? Ga naar de rechter. Roepen dat het illegaal is en dat je een dergelijke link niet mag posten op Tweakers, gaat mij dan te ver.

Bovendien had je met een beetje rondkijken wel kunnen inschatten dat het niet illegaal is als zelfs de Nederlandse politie ernaar verwijst, maar goed.

xxs @david-v • 9 april 2026 18:29

Je ontwijkt zorgvuldig een aantal argumenten.

Wie was Troy toen hij zijn aller eerste email adres uit een gehackte database opnam in zijn database?

De Nederlandse politie gebruikt ook webcam beelden van permanent op de straat gerichte webcams die in particulier bezit zijn.

Dat maakt ze gelukkig niet legaal.

@xxs • 9 april 2026 18:46

Volgens mij ben jij nu van alles erbij aan het halen terwijl ik reageer op je eerste post: "waarom verwijzen naar een illegale database". Dat klopt niet.

Waar je het nu over wil hebben is wanneer iemand dat wel mag doen en valt onder het gemeenschappelijk belang. Dat is een andere discussie. Zoals ik al zei, als je niet direct valt onder de duidelijke uitzonderingen zoals journalisten, dan heb je een grijs gebied te pakken. Wil je dit graag als Pietje om de hoek doen, dan zal je toch wel moeten bedenken hoe je dit wil aanpakken om te voorkomen dat je voor de rechter komt.

Wat betreft de deurbel cameras, je gaat er wederom vanuit dat ze allemaal illegaal zijn, terwijl dat niet zo is. Daar zijn ook allerlei regels en uitzonderingen voor. Gebruikt de politie beelden van cameras die niet legaal zijn in dat opzicht? Dat zou best kunnen. Misschien zijn daar ook regels voor bij de politie wat wel en niet gebruikt mag worden. Ik weet daar helaas te weinig van.

RVervuurt @xxs • 9 april 2026 14:57

Zij stellen niets beschikbaar, ze maken een dataset zoekbaar en het enige wat je krijgt is "ja" of "nee".

xxs @RVervuurt • 9 april 2026 15:48

Voor HIBP klopt dat niet, ik kan een willekeurig email adres ingeven en weet via welke hack dat gelekt is. Krijg gewoon te zien of jij* in de Pornhub en Youporn hack zit.

*Jij (een willekeurig email adres)

RVervuurt @xxs • 9 april 2026 22:02

Precies, dan krijg je een ja of een nee, meer eigenlijk niet. Wat zou je met die info willen doen?

xxs @RVervuurt • 9 april 2026 22:37

Nee, je krijg geen ja of nee. Je krijgt te zien of jouw email adres gelekt is via de site animalsex.whatever. Nou lekker als ik rvervuurt@whatever.doeeenswat invoer en die reply komt dat jouw data gelekt is via youporn.com. pornhub.com en animalsex.whatever. Zit je daar op te wachten?

Pak eens david@eengrotenewyorksekrant en kijk waar zijn data gelekt is. Dat geeft veel info over de persoon.

@xxs • 9 april 2026 14:31

illegale database? sinds wanneer is haveibeenpowned illegaal?

@xxs • 9 april 2026 14:42

Naar mijn weten is haveibeenpwned geen illegale database?

Politiek en recht
Privacy

@xxs • 9 april 2026 15:07

De database bevat informatie of je in een hack zit. Net als de politie ook een site heeft. Ik zou niet weten wat daar illegaal aan is.

this @xxs • 9 april 2026 15:51

Lees even dit artikel review: Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf , Have I Been Pwned is niet illegaal.

darkdeathrip @xxs • 10 april 2026 12:14

Nu voelt het wellicht een beetje hypocriet dat een aanbieder van Have I Been Pwned of de Nederlandse politie wél data mag downloaden en indirect delen. Engelfriet legt uit: "Er is een uitzondering voor publicatie in het algemeen belang, waarmee de pers wordt beschermd. HIBP voldoet ook aan deze uitzondering gezien haar maatschappelijke positie, nog los van dat zij vanuit Australië opereert en dus buiten de Nederlandse rechtsmacht opereert.

review: Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf

xxs @darkdeathrip • 10 april 2026 18:47

Wat was de maatschappelijke positie van Troy Hunt toen hij begon met de eerste data opnemen in zijn database?

darkdeathrip @xxs • 14 april 2026 11:35

Niet mijn positie om dat te beantwoorden, ik ben immers geen: Arnoud Engelfriet

browser666 9 april 2026 14:12

Is dit het nieuwe normaal?

bgrr 9 april 2026 14:17

Password managers kunnen we binnenkort ook mee stoppen :-)
Hoeven alleen nog maar even internet te raadplegen wat een wachtwoord is

sdziscool 9 april 2026 14:20

Gelukkig heeft Odido ze al voor me gelekt, geen schade dus!

wvdburgt 9 april 2026 14:37

Kunnen we niet beter de conclusie trekken dat centrale systemen kwetsbaar blijven en het beter is dat ze niet zo massaal verzamelt worden? Daar hoor je in de politiek natuurlijk niets over.

demianmonteverd @wvdburgt • 9 april 2026 16:12

Er zijn hier mensen die wonen en werken in Spanje en Zweden die hun ervaringen hebben gepost hier. Daar zijn veel meer gegevens gewoon openbaar en is het lekken daarom geen/minder groot probleem.

core-dumped 9 april 2026 15:04

Je kan als systeem ontwikkelaar er ook voor zorgen dat zeer gevoelige gegevens in een aparte database worden opgeslagen, met strictere toegang en specifieke encryptie en salt en liefst in een aparte omgeving.
En vervolgens een verificatie service introduceren die een ingevoerd nummer verifieerd aan datgene wat is opgeslagen.
Er wordt over het algemeen nog steeds te gemakkelijk hiermee omgegaan, ook door developers.
Het is een kwestie van barierres opwerpen, vervelend als developer maar helaas nodig, zoals blijkt.

[Reactie gewijzigd door core-dumped op 9 april 2026 15:13]

aquinox 9 april 2026 16:41

Zero Knowledge identificatie. Weg met dit oude systeem waarbij al die databases al onze gegevens vasthouden.

Om te kunnen reageren moet je ingelogd zijn