Nu de gehackte Odido-gegevens volledig zijn uitgelekt, staan data van ruim zes miljoen Nederlanders op het darkweb. De gestolen data blijken inmiddels op sociale media en het internet te worden gebruikt. Zo worden statistieken uit de data gedeeld op X en zijn er websites gemaakt waarop bezoekers zelf kunnen checken of hun gegevens zijn gelekt.
De dataset die de hackers hebben gepubliceerd bevat gevoelige informatie zoals adressen, paspoortnummers en bankgegevens. "Door erin te grasduinen vergroot je de schade voor mensen die al slachtoffer zijn van de hack", zegt een woordvoerder van het Openbaar Ministerie.
"Er is ook een groot risico dat data verder worden gedeeld en dat gegevens op veel meer plekken terechtkomen." Dat leidt weer tot een grotere kans op identiteitsfraude of doxing, het openbaar maken van persoonsgegevens om iemand te intimideren.
Het downloaden, gebruiken en verspreiden van gestolen data is strafbaar, al hangt het er wel vanaf welk doel iemand heeft.
"De data zijn natuurlijk door een misdrijf verkregen", zegt IT-jurist Arnoud Engelfriet. "In principe is bij het verspreiden van illegaal verkregen data sprake van heling." Toch is er een uitzondering op de wet: gestolen gegevens gebruiken mag als je te goeder trouw handelt in het algemeen belang.
Ethisch gebruik
Met dit in gedachte maakte ict'er Joost Schuttelaar zelf een website over de gelekte Odido-klantgegevens. Daar kunnen klanten checken of hun gegevens gelekt zijn. "Veel mensen willen dat weten, ik hoop er met deze tool aan bij te dragen dat mensen niet zelf op zoek gaan naar de gelekte data."
Schuttelaar probeert het op een ethische en legale manier te doen door de data te versleutelen, zegt hij. "De tool bevat niet een emailadres of telefoonnummer maar een versleutelde variant daarvan. De site bevat daardoor geen kopie van de onderliggende persoonsgegevens, maar mensen kunnen wel veilig hun privégegevens checken." Op deze manier wordt het gevaar van verdere verspreiding beperkt, denkt Schuttelaar.
Volgens IT-jurist Engelfriet lijkt de site veilig met de gegevens om te gaan. "Maar ook als ik een gestolen fiets helemaal veilig maak, blijft het een gestolen fiets." Of deze tool echt het maatschappelijk belang dient, kan alleen door de rechter worden vastgesteld, zegt Engelfriet.
Inmiddels heeft de politie ook zelf een pagina online gezet waar je kunt controleren of je in de Odido-dataset voorkomt.
Ongefundeerde statistieken
De gegevens worden ook op sociale media gebruikt. Zo gaan er op X statistieken rond die gebaseerd zouden zijn op de Odido-gegevens. Volgens deze berichten zijn met hulp van een AI-model achternamen geanalyseerd om de relatie tussen etniciteit, fraude en wanbetaling te leggen. De conclusies die vervolgens worden getrokken leiden tot racistische reacties.
Doordat de gegevens met een AI-programma zijn geanalyseerd, worden de data aan dat AI-bedrijf gegeven, waarschuwt IT-jurist Engelfriet. Daardoor kun je volgens hem moeilijk spreken van een zorgvuldige behandeling van de gestolen gegevens.
Engelfriet vraagt zich af of het verwerken van gestolen gegevens niet sowieso beter overgelaten kan worden aan journalisten of onderzoekers. "Dit is een beetje zoals asbest en giftige grond", zegt hij. "Dat kun je zelf gaan afgraven, maar je hebt niet voor niks allemaal gecertificeerde mensen." Het is niet altijd makkelijk voor een leek om de regels te doorgronden, aldus de IT-jurist.
Mogelijke gevangenisstraf
De kans dat het gebruik van de Odido-gegevens leidt tot strafvervolging, lijkt overigens niet groot. Het Openbaar Ministerie laat weten zich te focussen op de criminelen die verantwoordelijk zijn voor de hack bij Odido.
Toch sluit het OM het aanpakken van mensen die de gegevens gebruiken voor eigen doeleinden niet uit: "Het mag duidelijk zijn dat gebruik en zeker misbruik van die gegevens in bepaalde vormen strafbaar kan zijn. In voorkomende gevallen wordt daartegen opgetreden." De straf kan variëren van een geldboete tot een maximale gevangenisstraf van een jaar.