Hack bij Interrail raakt namen en paspoortnummers van zeker 300.000 reizigers

Het datalek bij reisplatform Interrail dat in januari bekend werd, blijkt meer dan 300.000 reizigers te raken. Het in Nederland gevestigde bedrijf informeert nu klanten van wie de gegevens zijn geopenbaard door de datadieven. Het gaat om slechts een subset van de gestolen gegevens.

Het bedrijf voor internationale treinreizen, dat ook onder de naam Eurail opereert, onthult dat namen en paspoortnummers van reizigers zijn gestolen. Dit blijkt uit datalekmeldingen die Interrail indient bij het Openbaar Ministerie in diverse Amerikaanse staten, schrijft SecurityWeek. In de melding bij de staat Oregon stelt het bedrijf dat het datalek 308.777 mensen raakt. Interrail stuurt brieven aan getroffen reizigers.

Miljoenen reizigers?

De totale omvang van het datalek is vooralsnog niet duidelijk. De hackers die bij Interrail binnenkwamen, claimden in februari dat ze de 1,3TB aan data in handen hadden. Dat omvatte naast broncode en back-ups van databases ook persoonlijke informatie van miljoenen reizigers. Begin maart bevestigde Interrail dat gestolen klantgegevens te koop werden aangeboden op het dark web en dat de datadieven als bewijs een deel van de gegevens openbaarden.

Interrail meldde het datalek in januari. Daarbij waren onder meer naw-gegevens, maar mogelijk ook paspoort- of ID-kaartinformatie gestolen. Het leek toen te gaan om voor- en achternamen, e-mailadressen, telefoonnummers, woonadressen en geboortedata. Mogelijk was ook informatie van paspoorten en ID-kaarten geraakt, plus IBAN-nummers en 'gezondheidsgegevens', waarschuwde de Europese Commissie. De EC werkt als onderdeel van het DiscoverEU-programma samen met Interrail.

Trein in Zweden. Bron: Interrail
Trein in Zweden. Bron: Interrail

Door Jasper Bakker

Nieuwsredacteur

Feedback • 09-04-2026 14:07
98 • submitter: Anonymoussaurus

09-04-2026 • 14:07

98

Submitter: Anonymoussaurus

Lees meer

ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval
ChipSoft haalt systemen offline en vervangt sleutels na ransomwareaanval Nieuws van 9 april 2026
Gebruikers AI-vriendingenerator MyLovely AI zijn getroffen door datalek
Gebruikers AI-vriendingenerator MyLovely AI zijn getroffen door datalek Nieuws van 8 april 2026
NS stapt voor niet-kritieke ict over van KPN naar Amerikaans bedrijf - update
NS stapt voor niet-kritieke ict over van KPN naar Amerikaans bedrijf - update Nieuws van 10 februari 2026
ProRail plaatst 288 AI-camera’s langs het spoor en test autonome drones
ProRail plaatst 288 AI-camera’s langs het spoor en test autonome drones Nieuws van 1 februari 2026
Interrail meldt datalek waarbij mogelijk ID's en IBAN-nummers zijn gestolen
Interrail meldt datalek waarbij mogelijk ID's en IBAN-nummers zijn gestolen Nieuws van 12 januari 2026
Meer producten en artikelen
Politiek en recht Privacy Datalek Privacy schending Reizen Trein

Reacties (98)

-Moderatie-faq
98
97
49
8
1
38
Wijzig sortering

Sorteer op:

Weergave:
batjes 9 april 2026 14:16
maar mogelijk ook paspoort- of ID-kaartinformatie gestolen
Godverdegedver. Waarom houden ze dit bij, er zijn maar een paar partijen die dit soort gegevens mogen opslaan en verwerken. Een random vervoersbedrijf valt daar zeker niet onder.

Hoog tijd dat er maar eens hoge boetes uitgedeeld worden als dit soort toko's zo kansloos met onze gegevens omgaan. Gehacked worden kan iedereen overkomen, maar niet iedereen maakt de keuze om verdorie nog aan toe paspoort/id/rijbewijzen op te slaan.
Reageer
cPT.cAPSLOCK @batjes9 april 2026 14:41
Een vervoersbedrijf dat internationale reizen aanbiedt moet die documentnummers wel degelijk verwerken.
Reageer
batjes @cPT.cAPSLOCK9 april 2026 17:37
Verwerken tot zekere hoogte kan best zonder die gegevens op te slaan. De enige soort verwerking die plaats hoeft te vinden is "is paspoort/id geldig: ja/nee". Dat kan dus prima met een row has_valid_passport ipv ergens een kopie te dumpen.

Onderschat de impact niet van al deze gegevens die op straat komen te liggen.
Reageer
EDIT
@batjes9 april 2026 19:10
In dit geval kan dat niet, want het wordt gebruikt voor identificatie behorend bij het vervoersbewijs. Net als bij een vliegticket moet je ook het documentnummer van je paspoort/ID kaart opgeven zodat het treinpersoneel er zeker van is dat het ticket inderdaad door de juiste persoon gebruikt wordt.

Voor de papieren interrailpassen was het inderdaad voldoende om deze enkel op de pas te printen en daarna te verwijderen, maar tegenwoordig reist de overgrote meerderheid van de mensen met de digitale app, waardoor deze gegevens daarin beschikbaar moet zijn en dus ook digitaal opgeslagen moet blijven zolang als de pas geactiveerd en geldig is. Dat is een termijn van maximaal 14 maanden (je kan een pas maximaal 11 maanden na aankoop in laten gaan en de pas is daarna maximaal 3 maanden geldig).

Dit zijn overigens wettelijke verplichtingen. Zo moet bijvoorbeeld Eurostar tegenwoordig zelfs controleren of je wel een ETA voor de UK hebt voor je überhaupt alle kaart- en paspoortcontroles door mag gaan lopen.

[Reactie gewijzigd door EDIT op 9 april 2026 19:13]

Reageer
batjes @EDIT9 april 2026 19:38
Dat is bij de meeste reistoko's al zeker 10 jaar praktisch allemaal geautomatiseerd werk en legitimatie hoeft na dat de aanvraag is uitgevoerd niets van opgeslagen worden.

Wat er achter de schermen gebeurt is dat je een ticket boekt bij een reisbureau en het reisbureau niet direct daadwerkelijk boekt, maar ergens tussen jouw aanschaf en vertrek de markt bespeelt in een poging de marge te maximaliseren.

Hiervoor is het natuurlijk handig om die gegevens langer te bewaren dan eigenlijk noodzakelijk c.q. verwacht mag worden.
https://www.autoriteitper...or-vaststellen-identiteit
edit:
ik meende ook kopieen van legitimatie te hebben vernomen.

[Reactie gewijzigd door batjes op 9 april 2026 19:40]

Reageer
EDIT
@batjes9 april 2026 19:40
Bij Interrail wordt er helemaal geen kopie van het paspoort/ID kaart gevraagd of opgeslagen, enkel het documentnummer. En dat laatste is nu dus bij een groep klanten uitgelekt.
Reageer
batjes @EDIT9 april 2026 19:42
Toepasselijke naam, ik had al geninja-edit }:O
Reageer
david-v @batjes9 april 2026 17:11
Bij internationaal reizen, wat hier het geval is, moet je die gegevens verwerken (Let wel, verwerken, dat is iets anders dan vastleggen/opslaan met alle gevolgen van dien)
Reageer
beany 9 april 2026 14:14
Ik denk dat we af moeten van het concept dat paspoortnummers, BSN's, bankrekeningnummers, adressen gevoelige gegevens zijn. We moeten, als maatschappij, opereren onder de aanname dat dit soort gegevens algemeen bekend zijn.

Dit bekend dus dat organisaties/winkels niet meer zomaar op dit soort data kunnen/mogen vertrouwen.

Ik heb zelf recentelijk te maken gehad met bestellingen die zijn gedaan met mijn adres als factuuradres. Blijkbaar kan dat bij veel webwinkels zomaar, zonder enige controle. Vervolgens krijg ik de incassobureau's omdat ik niet reageerde op herinneringen die per mail verstuurd waren (ze hadden dus niet mijn emailadres opgegeven, alleen mijn adres als factuuradres). Allemaal opgelost, maar het kost een hoop tijd en moeite.

We moeten dus op een andere manier te werk gaan als maatschappij, want dit werkt op deze manier niet meer. Wat de oplossing is weet ik niet, ik constateer alleen maar dat dit te veel problemen oplevert.
Reageer
Orangelights23 @beany9 april 2026 15:16
Ik woon in Zweden en al dit soort gegevens zijn waardeloos, ook in combinatie met de rest. Een paspoortnummer is het meest gevoelige, maar verder kun je NAW, inkomen, auto’s, partner en Zweeds BSN van vrijwel ieder individu vinden. Het Zweedse DigiD is heilig en er wordt weinig fraude gepleegd.
Reageer
The Realone @Orangelights239 april 2026 16:18
In Zweden heerst hetzelfde probleem als Nederland. Namelijk dat die gegevens eigenlijk enkel nuttig zijn voor phishing aanvallen. Dat zie je bij de het grote Odido datalek wel, al die criminelen starten direct grootschalige phishing campagnes met veel gegevens. Want, hoe accurate persoonsgegevens, hoe groter de kans is dat men erin trapt. Dat geldt in Zweden natuurlijk net zo als in Nederland.
Reageer
Orangelights23 @The Realone9 april 2026 16:52
Dat zit wel anders.

Zoals je misschien hebt kunnen lezen, gebeurt alles via de Zweedse DigiD, BankID. Dat is geen systeem waar iemand misbruik van kan maken om bijvoorbeeld een fake panel te bouwen. Je logt overal in middels BankID en dat is een dermate robuust systeem dat het geen kwestie is van een neppe betalingspagina zoals bij Odido en vele andere phishingpogingen gebruikt wordt. Er is niets om in te trappen.

Al die persoonsgegevens die openbaar zijn, zijn dus waardeloos.
Reageer
david-v @Orangelights239 april 2026 17:06
Al die persoonsgegevens die openbaar zijn, zijn dus waardeloos.
Voor heel veel mensen is naw gegevens toch wel hele gevoelige informatie.
Reageer
The Realone @Orangelights239 april 2026 17:32
Er komt nooit een bankmedewerker een bankpas halen, toch geven ouderen deze nog maar al te vaak af als er iemand aan de deur staat met een goed verhaal.

Er zal nooit een medewerker om je wachtwoord vragen, toch wordt dit maar al te vaak ingevuld of overgedragen.

Dit lijstje is lang, en net zo van toepassing op Nederlanders, als op Zweden, als op inwoners van waar dan ook ter wereld. De diensten waar dit toepasbaar is, zijn wellicht anders, maar ook in Zweden gebruikt men diensten waar je niet met BankID inlogt, al zijn dat er wellicht minder.

Beter? Ja. Waterdicht? Nee.
Reageer
Orangelights23 @The Realone9 april 2026 17:43
Veel aannames, zonder te begrijpen hoe het daadwerkelijk werkt in Zweden.
Reageer
david-v @Orangelights239 april 2026 17:04
NAW, inkomen, auto’s, partner en Zweeds BSN van vrijwel ieder individu vinden
Bijzonder, waar kan ik deze gegevens vinden of opvragen? Wel zo handig als ik iemand wil stalken, beroven, of even langs een bekende persoon wil langs gaan om door het raam te gaan gluren
Reageer
Rex @beany9 april 2026 15:53
In Spanje is het al zo dat je BSN als "onveilig" beschouwd wordt.

Sterker nog, het wordt OVERAL gebruikt. Mijn BSN is mijn rijbewijsnummer, me "social security"-nummer, belastingnummer. Zelfs privebedrijven gebruiken het, dus mijn "ID nummer" bij Vodafone is gewoon mijn BSN.

Het is heel handig omdat je maar één nummer hoeft te onthouden en dat is dan je nummer "for life".

Aan de andere kant is de nummer op zich NOOIT genoeg om je te identificeren. Mensen kunnen dus niks met mijn nummer.
Reageer
david-v @beany9 april 2026 14:50
Ik denk dat we af moeten van het concept dat paspoortnummers, BSN's, bankrekeningnummers, adressen gevoelige gegevens zijn. We moeten, als maatschappij, opereren onder de aanname dat dit soort gegevens algemeen bekend zijn.
Ik denk andersom. We moeten af van het overal kopieren, opslaan en backupen van dit soort gegevens en een centrale kluis bieden, beheert door jezelf waarmee je toegang kan verlenen aan een afnemer om specifieke details uit te lezen. Met daarbij ook auditing zodat je kan zien wie en wanneer jouw gegevens ingezien worden.

De combinatie van adres, naam, bankrekeningsnummers, papoortnummers en bsn is de basis voor identiteitsfraude. Dit moet je dus niet openbaar willen maken.
Reageer
bzuidgeest
@david-v9 april 2026 15:12
Dat helpt niet echt tegen het feit dat je adres gewoon op een pakketje staat. een adres dat door iedereen gelezen kan worden, genoteerd word in emailtjes en notitie blokjes en wat al niet. Het word hoe dan ook overal gekopieerd. Die gegevens zijn gewoon functioneel en nodig. Jou kluisje heeft niemand wat aan.
De combinatie van adres, naam, bankrekeningsnummers, papoortnummers en bsn is de basis voor identiteitsfraude. Dit moet je dus niet openbaar willen maken.
Juist en dus moet je die basis wegnemen. Niet proberen die halfbakken onpraktische beschermverzinsels te geven met magische kluisjes.
Reageer
david-v @bzuidgeest9 april 2026 16:58
Dat helpt niet echt tegen het feit dat je adres gewoon op een pakketje staat. een adres dat door iedereen gelezen kan worden
Door iedereen is overdreven. Ik denk dat dat niet meer is dan 5 mensen. Een crimineel moet dan fysiek iets gaan doen om je pakketje te kunnen bekijken. Totaal niet te vergelijken met het kopen van een database die een crimineel met 6 miljoen gegevens.

Bovendien, gebruik je je echte naam bij het bezorgen van een pakket? Niet doen. Scheelt dat ook weer.

Bij een kluis zou alleen bij het printen van het adres toegang nodig zijn tot die gegevens. Die worden geprint en niet ergens opgeslagen. Dat was het. Technisch gezien kan het. Dat het niet makkelijk te realiseren is voor alle leveranciers, helemaal mee eens.


De gegevens zijn functioneel en nodig, en die heb je ook, in de kluis. Je hoeft/mag ze niet zelf opslaan ergens in een database. Het enige wat je in een database nodig hebt is welke kluis, welke data en het tijdstip. Heb je de gegevens weer nodig voor het nasturen van een pakket, dan haal je de gegevens weer op om het labeltje af te drukken. De ontvanger kan dan zien dat zijn gegevens opnieuw uitgelezen zijn.
Reageer
bzuidgeest
@david-v9 april 2026 17:00
Ja mijn echte naam staat op de doos. Iets anders is pure paranoïde. Kan er niets anders van maken.
Reageer
david-v @bzuidgeest9 april 2026 17:09
Totdat je slachtoffer bent van een hack of identiteitsfraude. Dan ga je je wel afvragen hoe ze aan al die informatie komen ... Nou, zo dus...
Reageer
Yalopa @david-v9 april 2026 16:57
je hebt 100% gelijk, ware het niet dat de realiteit is dat voor opnieuw 300000 mensen deze data al op straat ligt, waardoor dit voor hen niets meer helpt. samen met eerdere hacks zou het goed kunnen dat een groot deel van de populatie deze data niet meer geheim is, waardoor je oplossing niets meer bijdraagt.
Reageer
david-v @Yalopa9 april 2026 17:01
Het is ook meer een oplossing hoe voorkom je dat het weer opnieuw gebeurd, niet een oplossing voor de huidige lek die al bij criminelen belandt is. Ik verwacht geen massale identiteits fraude hiermee, maar wel die irritante "betaal nu" emails. Dat is makkelijk voor criminelen terwijl identiteits fraude toch wat minder opbrengt en veel meer moeite kost.

[Reactie gewijzigd door david-v op 9 april 2026 17:40]

Reageer
Commendatore @david-v9 april 2026 17:25
We moeten er dus juist vanaf dat dit als basis voor identiteitsfraude gebruikt kan worden.
Reageer
david-v @Commendatore9 april 2026 17:28
Klopt, de oplossing wordt hier over het algemeen als het begin van 1984 gezien. Namelijk een digitale identiteitsbewijs. De ewallet zeg maar. Nou, als je daar iets over zegt dan krijg je een hoop ellende over je heen helaas, terwijl dat juist dit probleem oplost. Alleen ziet iedereen het negatieve bij die oplossing.
Reageer
rob12424 @david-v9 april 2026 18:23
Ligt eraan hoe als iedereen naast een paspoort ook een usb stick heeft die met zijn wacht woord en vingerafdruk ontgrendeld kan worden en daar bijvoorbeeld je EPD op staat. Heb je zelf de verantwoording over je eigen data.
Reageer
david-v @rob124249 april 2026 18:29
Dit gaat uiteraard over online identificeren. Offline heb je je paspoort of id kaart, daar wordt, als het goed is en je erop let, niet een kopie van gemaakt en ergens bewaard.
Reageer
Triblade_8472 @beany9 april 2026 14:25
Je zou zeggen dat als bedrijven hier maar vaak genoeg last van krijgen, dat dit een prikkel is om de controles te verscherpen. Blijkbaar komt het nog te weinig voor...
Reageer
SambalSamurai @beany9 april 2026 14:26
Mee eens, ik proef aan je flexibele houding een frisse invalshoek, midden in alle angstige houdingen van "als mijn gegevens maar niet gehackt worden".

Op dezelfde manier doorgedacht: als alle gegevens al eens, of meerdermaals gelekt zijn, is er dan nog sprake van een lek? Met andere woorden als alles toch al op straat ligt, wat is dan nog de waarde ervan? Volgt er dan eindelijk een nieuw tijdperk waarin gegevens Niets meer waard zijn?

Privacy kan op twee manieren beschermd worden:
- Door het te af te schermen (vergt enorme investering en dannog blijkt 1 zwakke schakel 6.5mln gegevens te kunnen lekken anno 2026)
- Door het Niets waard te maken (vergt systeemverandering waarin voorlichting kritische houding weerbaar maakt tegen hacks, het niet erin trappen)
Reageer
Merik @SambalSamurai9 april 2026 18:09
Op dezelfde manier doorgedacht: als alle gegevens al eens, of meerdermaals gelekt zijn, is er dan nog sprake van een lek?
Het is de schuld van de bedrijven en het uitbesteden en niet geven om beschermen van deze data, maar dat dit nieuwe normaal met elke dag een ander lek voor lief wordt aangenomen is nogal krom (deels wat @batjes al zei)
Reageer
vbmot @beany9 april 2026 15:14
Helemaal mee eens. En als een organisatie erop wil vertrouwen, dan moeten ze automatisch verantwoording dragen voor misbruik, zonder dat de consument er moeite in moet steken. Je zou incassobureaus moeten verbieden om zaken aan te nemen waarbij geen authenticatie is gedaan (via Digid, of met een id bewijs bij een balie).
Reageer
kodak
@beany9 april 2026 14:57
Het feit dat bedrijven als van interrail enorm slordig met gevoelige gegevens om gaan is juist waarom er strenge eisen zijn. Niet om de belangen van slachtoffers dan maar minder waard te vinden en het criminele gedrag te belonen.
Reageer
bzuidgeest
@beany9 april 2026 15:09
absoluut mee eens. Zeker een bsn zou niet voldoende moeten zijn om ook maar iets te doen. Zelfde voor de rest. Je adres is zichtbaar op elk pakketje. Dus ook min of meer openbaar. etc etc....
Reageer
snellejelle99 9 april 2026 14:09
Deze berichten komen van de lopende band af de afgelopen tijd.
Straks kun je beter melden dat we een dag zonder datalek hebben.
Reageer
Enjoyer @snellejelle999 april 2026 14:15
Des te duidelijker het wordt dat er echt wel iets moet gebeuren om de privacy te beschermen.
Reageer
arbraxas @Enjoyer9 april 2026 14:21
Welke privacy?
Er is juist een enorme politieke druk om juist alle privacy te weren van internet en dat exact word vastgelegd wie, wat, waar en wanneer zegt en doet. Maak je aub geen illusies. Dit is al schering en inslag en word alleen maar erger. Het helpt ook niet dat je unieke wachtwoorden gebruikt bij dit soort hacks.

Het vervelende zit hem meer in de nasleep, een nieuw BSN nummer bijvoorbeeld krijg je niet. En als al je priveinfo gelekt is, kan dat echt hele vervelende gevolgen hebben. Maar daar lijkt onze overheid volledig blind voor te zijn.
Reageer
bzuidgeest
@arbraxas9 april 2026 15:02
In de EU is meer druk dan waar dan ook om juist hele sterke privacy te hebben. Dit vloekt echter wel eens met de techno gehandicapte politici en hun wens om de wereld ook veilig te houden.

Persoonlijk vind ik het hoog tijd dat we het wilde westen van het internet een beetje aanpakken. Ik vind het niet meer dan normaal dat mensen op hun gedrag kunnen worden aangesproken en permanent gebanned kunnen worden als ze zich misdragen. En het is aan de verschillende community's om vast te stellen wat ze misdragen vinden. Dan is er voor iedereen wel ergens een plekje. Wat meer identificatie is dan gewoon nodig. Het maakt ook plekken zonder spam en bots mogelijk. Want iedereen weet meteen wie het doet en die kan gebanned worden.

En ja, met zero knowledge proof systemen kan dat geregeld worden zonder dat de verifiërende partij (de overheid in veel gevallen) weet waar jij die verificatie gebruikt. Beter nog een site hoeft je exacte leeftijd niet meer te krijgen. Alleen maar het token met ja 18+, dus dat verhoogt de privacy. De tokens kunnen ook per site zijn dus kan je niet tussen sites gevolgd worden.

De wet stelt gewoon dat je voor zekere dingen 18+ moet zijn. Daar tegen vechten offline of online is nutteloos. Dan moet je de wet op wat 18+ is veranderen en daar is geen grote groep mensen voor te vinden. Waar je voor moet vechten is de implementatie van identificatie systemen die de privacy in tact houden en volgen onmogelijk maken. Die zijn er gewoon. En dan kan bij een hack als deze je paspoort niet meer uitlekken.

[Reactie gewijzigd door bzuidgeest op 9 april 2026 15:04]

Reageer
xxs @bzuidgeest9 april 2026 18:08
Een permanente ban? Dat is levenslang en dat terwijl je zonder internet niet eens meer deel kunt nemen aan deze maatschappij.

Ik snap je punt wel hoor.
Reageer
david-v @arbraxas9 april 2026 14:30
Er is juist een enorme politieke druk om juist alle privacy te weren van internet en dat exact word vastgelegd wie, wat, waar en wanneer zegt en doet.
Politieke druk is niet hetzelfde als beleid. Ik zie vooral beleid om privacy van EU burgers te beschermen. Ja, er zijn ook politieke partijen die encryptie, achterdeurtjes, scannen op kinderporno enz willen doordrukken, maar tot nu toe is dat gelukkig nog geen beleid. Wij kunnen nog steeds onze stem geven aan partijen die dit soort acties niet steunen.
Reageer
arbraxas @david-v9 april 2026 14:35
Tja, daarom zijn hier de paspoortnummers ook ontvreemd.
Vast niet omdat de overheid verplicht heeft gesteld dat je deze gegevens moet opslaan.
Reageer
david-v @arbraxas9 april 2026 14:38
Bij internationale reizen is dat al heel lang verplicht, zelfs toen ik jong was (heeeeel lang geleden ;) ) moest je dat al doen. Dit is niet iets van nu of om onze privacy af te nemen.
Reageer
Commendatore @david-v9 april 2026 17:29
Voor een normaal internationaal treinkaartje hoef ik geen paspoortnummer op te geven hoor.
Reageer
david-v @Commendatore9 april 2026 17:44
Hangt er maar net vanaf waar je heen reist. Naar het VK moet je dat als ik me niet vergis opgeven. Ik weet niet hoe elk land in de EU daar mee omgaat of welke regels ze hebben. Naar Duitsland is België zal dat misschien niet nodig zijn voorbeeld. Hangt er maar net vanaf waar je heen reist. Naar het VK moet je dat als ik me niet vergis opgeven. Ik weet niet hoe elk land in de EU daar mee omgaat of welke regels ze hebben. Naar Duitsland of België zal dat misschien niet nodig zijn voorbeeld.

[Reactie gewijzigd door david-v op 9 april 2026 18:17]

Reageer
Commendatore @david-v9 april 2026 17:52
In Duitsland kun je op bepaalde stations zelfs de OV-chipkaart gebruiken en veel Duitse regionale tickets zijn geldig tot een stukje in Nederland. Naar België is het niet veel complexer.
Reageer
Dakdak @arbraxas9 april 2026 14:55
De overheid heeft te losse regels voor de opslag van die gegevens. Bedrijven besparen op de veiligheid. Er moeten gewoon grote boetes komen en verplichte audits, dan is het probleem in een paar jaar opgelost.
Reageer
Hazalnootpuur @arbraxas9 april 2026 16:01
Maar je kunt ook blind zijn voor de negatieve gevolgen van de anonimiteit op sociale media. Van mij mogen ze die vandaag nog afschaffen. Want die anonimiteit maakt niet alleen internet ziek, maar de hele maatschappij.
Reageer
Knallmeister @Hazalnootpuur9 april 2026 16:12
Want die anonimiteit maakt niet alleen internet ziek, maar de hele maatschappij.
Geef het goede voorbeeld alhier en kom met je echte en verifieerbare NAW gegevens.
Reageer
Rolfie @Knallmeister9 april 2026 17:42
Waarom zou je dat publieke op het Internet moeten zetten?

Controle / niet anoniem zijn, is niet hetzelfde als dit zomaar publieke je gegevens ergens neerzetten op een forum.
Reageer
Commendatore @Hazalnootpuur9 april 2026 17:54
Het lijkt me wel belangrijk dat bijvoorbeeld een werkgever Reddit-posts niet naar individuele werknemers kan herleiden.

Strafrechtelijke onderzoeken zijn een ander verhaal.

[Reactie gewijzigd door Commendatore op 9 april 2026 17:55]

Reageer
david-v @Commendatore9 april 2026 19:18
Maar, mag Reddit dan wel eisen dat je je legitimeert zodat ze jouw gegevens wel hebben maar dat je vervolgens "anoniem" je verhaal kwijt kan in reddit?

Want de discussie is denk ik niet of je anoniem mag zijn voor de buitenwereld op social media, maar of je je echte identiteit moet vastleggen achter je alias zodat je bij een strafrechtelijke onderzoek gevonden kan worden.

Let wel, het mes snijdt wel aan twee kanten. In sommige landen wil je absoluut niet traceerbaar zijn ivm autoritaire regimes. Aan de andere kant heb je een potentieel miljarden publiek waar je anoniem van alles kan zeggen zonder consequenties.

Ik weet zelf ook niet wat wel en niet wenselijk is.
Reageer
bzuidgeest
@Enjoyer9 april 2026 15:05
Gewoon een simpele wet dat een bedrijf iedereen die in een hack valt een verzekering tegen identiteit diefstal moeten geven voor x jaar. Die zijn duur en dan gaan ze dus beter opletten.
Reageer
De_Daapse @snellejelle999 april 2026 14:33
Dit kan toch niet meer zo?
Reageer
Nas T @snellejelle999 april 2026 15:16
Dat klopt, en dat gaat veel erger worden. We hebben alles te verbergen. Helaas hebben we de strijd al grotendeels verloren en plukken we er nog jarenlang de rotte vruchten van, maar we moeten naar een basis van zerosharing als het gaat om gegevens.

Helaas zijn we collectief incompetent en is er weinig tot geen aandacht voor in de politiek.
Reageer
Miglow @snellejelle999 april 2026 17:24
Inmiddels is ieders data vast wel gelekt via eender welk bedrijf, dus keep calm and say hello.
Reageer
darkdeathrip @snellejelle999 april 2026 14:17
Dit gebeurd eigenlijk al heel lang. Dat kun je ook zien op https://haveibeenpwned.com. Alleen werd er vroeger minder aandacht aan besteed in het nieuws.
Reageer
FSJerra @xxs9 april 2026 14:30
En wie zegt dat die database illegaal is...?
Reageer
xxs @FSJerra9 april 2026 14:34
Die data is afkomstig van diefstal, je kan dat dus zien als heling. Zie de ellelange discussie hierover op deze site over het beschikbaar stellen van de Odido data.
Reageer
david-v @xxs9 april 2026 14:39
Dan moet je toch wel iets meer lezen want vanuit journalistiek en een website zoals deze is dat "in het algemeen belang" en dan mag het wel.
Reageer
xxs @david-v9 april 2026 15:36
We hebben het toch over HIBP en niet over Tweakers?

En pers en politie buiten beschouwing gelaten.

Het mag in Nederland niet maar wordt het kennelijk (soms) gedoogd. Los daarvan valt HIBP niet onder het Nederlands recht dat snap ik ook wel.

review: Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf

Ja ook ik heb de reactie van Arnoud gelezen over HIBP. Maar dan hoef ik het daar nog niet mee eens te zijn.

we zullen het pas weten als een rechter daarover uitspraak doet.

[Reactie gewijzigd door xxs op 9 april 2026 15:45]

Reageer
david-v @xxs9 april 2026 15:45
Ja, dat mag in Nederland wel. Ik quote even Engelfriet uit het artikel waar jij mogelijk naar refereert
Er is een uitzondering voor publicatie in het algemeen belang, waarmee de pers wordt beschermd. HIBP voldoet ook aan deze uitzondering gezien haar maatschappelijke positie, nog los van dat zij vanuit Australië opereert en dus buiten de Nederlandse rechtsmacht opereert.
Het heeft niks met gedogen te maken maar met de uitzonderingen die in de wet zijn opgenomen.

Ook de politie heeft de gegevens van de hack bij Odido bijvoorbeeld. Weer een uitzondering op diezelfde wet.

Dus zeggen dat HIBP een illegale website is klopt niet.
Reageer
xxs @david-v9 april 2026 16:26
Even de zaak afpellen;

Uitzonderingen in de wet daargelaten, die kunnen immers niet illegaal zijn omdat de legaliteit al is vastgelegd in de wet.

Er wordt door zowel Arnoud als politie gewezen op het feit dat je maar beter weg kunt blijven van die data, ook al heb je de beste bedoelingen.

Quote:

"Het overnemen van niet-openbare gegevens is strafbaar als je weet of redelijkerwijs kon vermoeden dat ze uit misdrijf verkregen zijn."

Stel dat HIBP onder het Nederlands recht zou vallen zouden ze dan strafbaar zijn is de vraag?

Arnoud geeft aan dat HIBP een maatschappelijk doel dient en daarmee een uitzonderingspositie verkregen heeft. Stel dat HIBP in Nederland begonnen zou zijn en in Nederland opereerd hoe hebben ze die maatschappelijke positie dan verkregen? De database was immers nog leeg.

HIBP moet in zo'n geval begonnen zijn met illegale data waar ze geen toegang tot zouden moeten hebben. Dat ze later een uitzonderingspositie verkregen zouden hebben is m.i. niet relevant, de data is illegaal verkregen en van diefstal afkomstig.

Wellicht heb jij er een andere visie op maar hoe ga je in Nederland ooit een HIBP 2.0 LEGAAL beginnen?
Reageer
david-v @xxs9 april 2026 17:25
Wellicht heb jij er een andere visie op maar hoe ga je in Nederland ooit een HIBP 2.0 LEGAAL beginnen?
Hangt er van af wie dat begint. Pietje om de hoek zal hier een zware taak aan hebben, maar als tweakers, nrc, security.nl een dergelijke tool bouwt dan zal dat eerder door een rechter gezien worden als maatschappelijk belang.

Je kan dus niet zomaar stellen dat het illegaal is. Daar moet echt een uitspraak van een rechter komen die dan bepaald is het wel of niet het maatschappelijk belang dient.
Reageer
xxs @david-v9 april 2026 17:50
Je leest of snap me niet.

Tweakers, NRC, security.nl zijn pers, die hebben al een legale uitzonderingspositie.

Troy Hunt is Security Expert, een onbeschermde titel die iedereen kan aannemen. Dus Troy is gewoon een Pietje om de hoek.

Ik heb jaren geleden al eens contact met hem hierover gehad en hij schreef, ik werk samen met internationale overheden dus het zal wel goed zijn. Of woorden van gelijke strekking. Hij wist het zelf ook niet eens. Samenwerken met overheden maakt het nog niet legaal.

[Reactie gewijzigd door xxs op 9 april 2026 18:02]

Reageer
david-v @xxs9 april 2026 18:16
Troy Hunt is niet Pietje om de hoek. Nogmaals, maatschappelijk belang is hier het sleutelwoord. Een rechter kan aangeven of het hier aan voldoet of niet. Wat jij nu doet is voor rechter spelen en zeggen dat het illegaal is. Dat klopt niet, tenzij een rechter heeft gezegd dat het niet mag.

Ja, er is een grijs gebied, wanneer dien je het gemeenschappelijk belang en wanneer niet. Bij Troy Hunt zou je kunnen stellen dat hij daaronder valt gezien zijn maatschappelijke positie. Wil je zekerheid? Ga naar de rechter. Roepen dat het illegaal is en dat je een dergelijke link niet mag posten op Tweakers, gaat mij dan te ver.

Bovendien had je met een beetje rondkijken wel kunnen inschatten dat het niet illegaal is als zelfs de Nederlandse politie ernaar verwijst, maar goed.
Reageer
xxs @david-v9 april 2026 18:29
Je ontwijkt zorgvuldig een aantal argumenten.

Wie was Troy toen hij zijn aller eerste email adres uit een gehackte database opnam in zijn database?

De Nederlandse politie gebruikt ook webcam beelden van permanent op de straat gerichte webcams die in particulier bezit zijn.

Dat maakt ze gelukkig niet legaal.
Reageer
david-v @xxs9 april 2026 18:46
Volgens mij ben jij nu van alles erbij aan het halen terwijl ik reageer op je eerste post: "waarom verwijzen naar een illegale database". Dat klopt niet.

Waar je het nu over wil hebben is wanneer iemand dat wel mag doen en valt onder het gemeenschappelijk belang. Dat is een andere discussie. Zoals ik al zei, als je niet direct valt onder de duidelijke uitzonderingen zoals journalisten, dan heb je een grijs gebied te pakken. Wil je dit graag als Pietje om de hoek doen, dan zal je toch wel moeten bedenken hoe je dit wil aanpakken om te voorkomen dat je voor de rechter komt.

Wat betreft de deurbel cameras, je gaat er wederom vanuit dat ze allemaal illegaal zijn, terwijl dat niet zo is. Daar zijn ook allerlei regels en uitzonderingen voor. Gebruikt de politie beelden van cameras die niet legaal zijn in dat opzicht? Dat zou best kunnen. Misschien zijn daar ook regels voor bij de politie wat wel en niet gebruikt mag worden. Ik weet daar helaas te weinig van.
Reageer
RVervuurt @xxs9 april 2026 14:57
Zij stellen niets beschikbaar, ze maken een dataset zoekbaar en het enige wat je krijgt is "ja" of "nee".
Reageer
xxs @RVervuurt9 april 2026 15:48
Voor HIBP klopt dat niet, ik kan een willekeurig email adres ingeven en weet via welke hack dat gelekt is. Krijg gewoon te zien of jij* in de Pornhub en Youporn hack zit.

*Jij (een willekeurig email adres)
Reageer
david-v @xxs9 april 2026 14:31
illegale database? sinds wanneer is haveibeenpowned illegaal?
Reageer
hottestbrain @xxs9 april 2026 14:42
Naar mijn weten is haveibeenpwned geen illegale database?
Reageer
bzuidgeest
@xxs9 april 2026 15:07
De database bevat informatie of je in een hack zit. Net als de politie ook een site heeft. Ik zou niet weten wat daar illegaal aan is.
Reageer
this @xxs9 april 2026 15:51
Lees even dit artikel review: Nee, je mag de gestolen Odido-gegevens niet downloaden, ook niet voor jezelf , Have I Been Pwned is niet illegaal.
Reageer
browser666 9 april 2026 14:12
Is dit het nieuwe normaal?
Reageer
bgrr 9 april 2026 14:17
Password managers kunnen we binnenkort ook mee stoppen :-)
Hoeven alleen nog maar even internet te raadplegen wat een wachtwoord is
Reageer
sdziscool 9 april 2026 14:20
Gelukkig heeft Odido ze al voor me gelekt, geen schade dus!
Reageer
wvdburgt 9 april 2026 14:37
Kunnen we niet beter de conclusie trekken dat centrale systemen kwetsbaar blijven en het beter is dat ze niet zo massaal verzamelt worden? Daar hoor je in de politiek natuurlijk niets over.
Reageer
demianmonteverd @wvdburgt9 april 2026 16:12
Er zijn hier mensen die wonen en werken in Spanje en Zweden die hun ervaringen hebben gepost hier. Daar zijn veel meer gegevens gewoon openbaar en is het lekken daarom geen/minder groot probleem.
Reageer
core-dumped 9 april 2026 15:04
Je kan als systeem ontwikkelaar er ook voor zorgen dat zeer gevoelige gegevens in een aparte database worden opgeslagen, met strictere toegang en specifieke encryptie en salt en liefst in een aparte omgeving.
En vervolgens een verificatie service introduceren die een ingevoerd nummer verifieerd aan datgene wat is opgeslagen.
Er wordt over het algemeen nog steeds te gemakkelijk hiermee omgegaan, ook door developers.
Het is een kwestie van barierres opwerpen, vervelend als developer maar helaas nodig, zoals blijkt.

[Reactie gewijzigd door core-dumped op 9 april 2026 15:13]

Reageer
aquinox 9 april 2026 16:41
Zero Knowledge identificatie. Weg met dit oude systeem waarbij al die databases al onze gegevens vasthouden.
Reageer
divvid 9 april 2026 14:13
wat moet een interrail met een paspoort nummer?
Reageer
- peter - @divvid9 april 2026 14:14
Internationale treinreis (de naam zeg t)? Douane dingen?
Waarschijnlijk niets, maar was t makkelijker om t op te slaan. Mag vooral hopen dat er geen kopieen van paspoorten bijzitten.
Reageer
Royale de Luxe @divvid9 april 2026 14:18
Ik stelde me ook de vraag wat een vliegtuigmaatschappij met mijn paspoort moet als ik incheck.
Ik weet ook dat je bij Eurostar ook je papsoort dient aan te bieden als je naar de UK gaat.

Maar heb dan opgezocht dat ze je Paspoort gegevens nodig hebben omdat de landen waar je langskomt/uitstapt deze vereisen van de transport maatschappijen. Daar zijn een hele hoop regels die hen worden opgelegd. APIS is er een van.
Reageer
divvid @Royale de Luxe9 april 2026 15:01
helder, maar dan nog. Data mag doorgaans niet langer dan 48 uur worden bewaard door douane etc, tenzij er een specifieke noodzaak is voor verder onderzoek. Blijkbaar is dat hier dus langer, en de data is nog niet eens versleuteld.

(in een recent project versleutelen persoons gegevens voordat het in de database gaat. Een ander systeem dan de DB heeft de key om het eventueel te decrypten. Dat maakt het al een stuk lastiger als de webservice gehacked zou worden.)
Reageer
demianmonteverd @divvid9 april 2026 16:10
Het bewaren van wie de grens over is gegaan, wanneer, hoe en met wie helpt wel in deze tijden met spionnen en sabotage. Helaas hebben zoals wel vaker de goeden weer onder de kwaden te lijden.
Reageer
Triblade_8472 @divvid9 april 2026 14:26
Step dat de trein crashed en alles verkoold is, dan heeft het bedrijf een lijst met wie er over de grens is gegaan.

Net als waarom vliegtuigmaatschappijen dit hebben dus.

Vindt er van wat je wil. :)
Reageer
Marctraider @divvid9 april 2026 14:17
Geen idee. Voor internationale treinreizen is de verplichting om de naam op het vervoersbewijs overeen te laten komen met jouw ID/Paspoort.

Volgens mij is hier geen BSN voor nodig mbt. het koppelen.

[Reactie gewijzigd door Marctraider op 9 april 2026 14:21]

Reageer
Arnoud Engelfriet @Marctraider9 april 2026 14:24
Paspoortnummer is wat anders dan bsn. Bij vaststellen of je iemands paspoort hebt gezien, is het gebruikelijk het nummer daarvan te noteren als bewijs.
Reageer

Om te kunnen reageren moet je ingelogd zijn