Toezichthouders onderzoeken beveiliging en bewaartermijnen van Odido

In dit artikel:

De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) zijn een onderzoek begonnen naar telecombedrijf Odido, nadat bij een recent datalek de gegevens van meer dan zes miljoen (oud-)klanten zijn buitgemaakt en online zijn gepubliceerd. De criminelen plaatsten de data nadat Odido geweigerd zou hebben losgeld te betalen.

Odido stuurde waarschuwingsberichten naar getroffenen, maar daarbij bleek een groot aantal van hen al jarenlang geen klant meer te zijn. RTL Nieuws meldde dat in de gelekte dataset gegevens voorkwamen van mensen die al tot vijf jaar geleden waren overgestapt, wat in strijd lijkt met Odido’s eigen opgave dat persoonsgegevens twee jaar na afronding van alle verplichtingen worden verwijderd. Odido zegt dat die tweejaarstermijn pas ingaat nadat openstaande rekeningen en servicevragen zijn afgehandeld.

De AP heeft honderden klachten ontvangen en noemt de signalen reden voor een formeel onderzoek naar bewaartermijnen en de wijze van gegevensbescherming. Samen met de RDI kijkt ze ook naar de technische beveiliging van Odido’s systemen; de RDI brengt daarbij specifiek telecomexpertise in. Volgens de NOS zou de diefstal het gevolg zijn van een telefonische phishingaanval, een methode waarvoor eerder al werd gewaarschuwd. Regulators willen nu helderheid over hoe lang gegevens bewaard werden en of passende beveiligingsmaatregelen zijn genomen.