RTL: Odido bewaarde gegevens van oud-klanten jaren langer dan het zelf beweert

In dit artikel:

RTL Nieuws ontdekte dat telecombedrijf Odido persoonlijke gegevens van tienduizenden voormalige klanten langer heeft bewaard dan het bedrijf zelf aangeeft. In de klantbestanden die criminelen onlangs openbaar maakten, zaten gegevens van mensen die al tot vijf jaar geleden zijn overgestapt. Veel ex-klanten kregen volgens RTL onvolledige of geen informatie over welke data precies waren gelekt.

Odido stelt op een informatiepagina dat het een bewaartermijn van twee jaar hanteert, te rekenen vanaf het moment dat alle wederzijdse verplichtingen (zoals openstaande rekeningen en servicevragen) zijn afgehandeld. Het bedrijf zegt verder dat het onderzoek naar de cyberaanval nog loopt en dat het tijd nodig heeft om dit zorgvuldig af te ronden; ook worden de processen rondom dataretentie bekeken.

Gerrit-Jan Zwenne (hoogleraar Recht en de Informatiemaatschappij, Universiteit Leiden) beoordeelt de situatie kritisch: "Er is geen enkele goede reden te bedenken waarom Odido die gegevens langer dan twee jaar zou bewaren. Misschien in een incidenteel geval een keertje, maar niet voor zulke grote aantallen. Dat is echt schokkend." De Autoriteit Persoonsgegevens heeft inmiddels meer dan vijfhonderd klachten en tips ontvangen, onder meer over mogelijk te lange opslag. Eind februari liet de toezichthouder weten dat er geen nieuwe meldingen over het datalek bij Odido hoeven te worden gedaan.