De Autoriteit Persoonsgegevens (AP) gaat onderzoeken of Odido klantgegevens te lang heeft bewaard. De privacywaakhond had al eerder informatie bij het telecombedrijf opgevraagd over de bewaartermijnen van gegevens. De AP deed dit kort na de hack door ShinyHunters. Die hackersgroep wist persoonlijke data van miljoenen klanten te kapen.
Dat de AP aanleiding ziet om tot formeel onderzoek over te gaan, zou kunnen duiden op eventuele misstanden. Volgens het eigen privacy-statement bewaart Odido klantgegevens tot twee jaar na afloop van een abonnement. Toch ontvingen ook voormalige klanten die al veel langer geleden hadden opgezegd, een e‑mail met de melding dat hun gegevens betrokken waren bij het datalek. En dat terwijl de privacywet AVG voorschrijft dat gegevens van mensen niet langer mogen worden bewaard dan strikt noodzakelijk.
Het incident bij Odido heeft tot veel maatschappelijke discussie geleid. De AP ontving honderden klachten van mensen die aangaven dat hun gegevens gelekt waren, terwijl ze al lange tijd geen klant meer waren bij Odido.
Onderzoek beveiliging persoonsgegevens
Ook de beveiliging bij Odido wordt tegen het licht gehouden. De Rijksinspectie Digitale Infrastructuur (RDI) gaat, in samenwerking met de AP, onderzoeken of de beveiliging bij Odido aan de vereisten voldeed. De RDI doet onderzoek op grond van de Telecommunicatiewet en de Regeling veiligheid en integriteit telecommunicatie. Vanuit dit oogpunt neemt de RDI het voortouw in het onderzoek naar de technische beveiliging van data door Odido. De AP onderzoekt specifiek de beveiliging van persoonsgegevens binnen de data.
De geplaagde telecomprovider hangt na de grote cyberaanval ook nog een strafrechtelijk onderzoek boven het hoofd. Het Openbaar Ministerie heeft dat eerder aangekondigd.
De hackers kregen volgens veiligheidsdeskundigen toegang tot een crm-systeem via phishing. De vraag is of Odido wel de juiste basismaatregelen had genomen. Met name de identiteitscontrole zal onder de loep worden genomen.
De boetes die worden uitgedeeld zijn niet zwaar genoeg om voor een gedragsverandering te zorgen.
De wetten die beperking van toegang tot persoonlijke data reguleren zijn al vele jaren van kracht maar Odido had daar gewoon schijt aan. Ze betalen de paar ton boete zo dadelijk schouderophalend en gaan weer over tot de orde van de dag. Misschien dat ze nu wat data weggooien maar dat is natuurlijk mosterd na de maaltijd.
Veel interessanter wordt natuurlijk of Odido überhaupt gaat overleven na dit akkefietje.