Onderzoek naar beveiliging en bewaartermijn Odido: 'Hack heeft veel losgemaakt'

In dit artikel:

Het datalek bij telecombedrijf Odido heeft geleid tot honderden klachten bij de Autoriteit Persoonsgegevens (AP) van mensen die al lange tijd geen klant meer zijn, en heeft brede maatschappelijke onrust veroorzaakt. Eind februari vroeg de AP al om opheldering over hoe lang Odido persoonsgegevens bewaart; op basis van de nieuwe informatie start de AP nu een formeel onderzoek naar naleving van de AVG en de bewaartermijnen.

Journalistiek onderzoek van RTL Nieuws ontdekte eerder dat gegevens van voormalige klanten veel langer bewaard werden dan Odido in haar eigen voorwaarden stelt. Waar Odido zegt data maximaal twee jaar te bewaren, zaten in de gelekte bestanden namen van personen die al vijf jaar geen klant meer waren. Ook blijkt dat ex-klanten slecht of niet geïnformeerd zijn over welke gegevens zijn buitgemaakt.

Parallel daaraan begint de RDI — de toezichthouder op de beschikbaarheid, continuïteit en betrouwbaarheid van digitale infrastructuur — een technisch onderzoek naar de beveiliging bij Odido. De RDI neemt het voortouw vanwege haar sector-specifieke expertise en verzamelt de feiten rond de cyberaanval. Inspecteur-generaal Angeline van Dijk benadrukt dat zulke incidenten laten zien waarom stevige technische en organisatorische maatregelen nodig zijn om vitale diensten veilig te houden.

Wat de uitkomst voor Odido betekent, is nog onduidelijk; een gebeurtenis van deze omvang is in Nederland nieuw. De AP kan bij overtreding van de AVG boetes opleggen tot maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.