Odido onder vuur: AP onderzoekt te lang bewaren van klantdata

In dit artikel:

De Autoriteit Persoonsgegevens (AP) start een formeel onderzoek naar Odido omdat het telecombedrijf mogelijk klantgegevens te lang heeft bewaard. De AP had kort na de hack door hackersgroep ShinyHunters al informatie opgevraagd over bewaartermijnen, nadat bleek dat persoonlijke data van miljoenen (ook voormalige) klanten waren buitgemaakt. Volgens Odido’s privacyverklaring worden gegevens tot twee jaar na beëindiging van een abonnement bewaard, maar ook mensen die al veel langer geen klant meer zijn, kregen bericht dat hun data bij het lek betrokken was—wat vragen oproept gezien de AVG-eis van 'niet langer dan noodzakelijk' bewaren.

Het datalek leidde tot honderden klachten bij de AP, en naast het onderzoek naar bewaartermijnen wordt ook de beveiliging van Odido onderzocht. De Rijksinspectie Digitale Infrastructuur (RDI) neemt het voortouw in een technisch onderzoek naar de beveiligingsmaatregelen op basis van de Telecommunicatiewet en de Regeling veiligheid en integriteit telecommunicatie. De AP focust specifiek op de bescherming van persoonsgegevens binnen de gelekte data.

Daarnaast loopt er een strafrechtelijk onderzoek van het Openbaar Ministerie. Veiligheidsdeskundigen melden dat de indringers via phishing toegang zouden hebben gekregen tot een crm-systeem, waardoor ook de basisbeveiliging en identiteitscontroles van Odido onder de vergrootglas komen te liggen.

Kortom: toezichthouders onderzoeken zowel mogelijke schending van bewaartermijnen als de technische en organisatorische beveiliging bij Odido, na een omvangrijk datalek waarbij ook oud-klanten zijn getroffen. Mocht blijken dat wet- en regelgeving is overtreden, kunnen daar bestuurlijke of strafrechtelijke consequenties uit voortvloeien.