Toezichthouders gaan formeel onderzoeken of Odido klantgegevens te lang bewaarde

De Autoriteit Persoonsgegevens (AP), die toezicht houdt op naleving van de privacywet, gaat onderzoeken of Odido klantgegevens te lang bewaarde. Aanleiding is de diefstal van heel veel klantgegevens afgelopen februari. Daar lijken ook veel gegevens bij te zitten die Odido al lang verwijderd had moeten hebben.

De privacywet heeft als uitgangspunt dat gegevens van mensen niet langer mogen worden bewaard dan strikt noodzakelijk. Want wat er niet is, kan ook niet worden gestolen. Dit principe heet dataminimalisatie.

De toezichthouder ontving honderden klachten van mensen die aangaven dat hun gegevens gelekt waren, terwijl ze al lange tijd geen klant meer waren bij Odido. Vicevoorzitter van de Autoriteit Persoonsgegevens Monique Verdier zegt in een persbericht: „In de afgelopen tijd heeft de AP al informatie bij Odido opgevraagd over de bewaartermijnen van gegevens. De AP ziet aanleiding om tot formeel onderzoek over te gaan.”

In samenwerking met de AP gaat ook de Rijksinspectie Digitale Infrastructuur (RDI) onderzoek doen. De inspectie gaat er meer technisch naar kijken: of Odido bij de beveiliging van de persoonsgegevens wel aan de wettelijke vereisten voor beveiliging voldeed.

De internationale hackersgroep ShinyHunters slaagde erin de persoonsgegevens van zeker 6,2 miljoen accounts bij Odido te stelen en eisten daar losgeld voor. Odido ging daar niet op in, waarna de hackers de data vrijgaven. Het ging onder meer om namen, adressen, mailadressen, telefoonnummers en bankrekeningnummers.

Lees ook

Hoe de hackers van Odido werken aan hun imago: ‘Wat wilt u precies weten? We helpen graag’

Liveblog Economieblog

Toezichthouders gaan formeel onderzoeken of Odido klantgegevens te lang bewaarde