De Autoriteit Persoonsgegevens (AP) en de Nationale Inspectie voor de Digitale Infrastructuur (RDI) onderzoeken of aanbieder Odido klantgegevens te lang bewaart, meldt AD. Tijdens de recente gegevensdiefstal bij het bedrijf stalen hackers gegevens van mensen die al jaren geen Odido-klant waren.
De Europese privacyregels stellen dat de gegevens van mensen “niet langer mogen worden bewaard dan strikt noodzakelijk, want wat niet bestaat, kan niet worden gestolen”, aldus de AP. De privacywaakhond had Odido vorige maand al om uitleg gevraagd.
De AP gaat onderzoeken of Odido de privacyregels heeft nageleefd. Zowel de RDI als de AP gaan onderzoeken of de aanbieder de technische beveiliging van zijn klantgegevens goed heeft geregeld.
Het is belangrijk om digitaal weerbaar te zijn, zegt inspecteur-generaal Angeline van Dijk, hoofd van de RDI. “Als samenleving moeten we kunnen vertrouwen op de veilige werking van onze vitale diensten.”
Hackergroep ShinyHunters brak in februari in de systemen van Odido en stal de persoonlijke gegevens van 6,2 miljoen huidige en voormalige klanten, en publiceerde de gegevens uiteindelijk toen Odido weigerde losgeld te betalen. De gegevens omvatten onder meer namen, adressen, e-mailadressen, telefoonnummers en bankrekeningnummers.
Uit de hack bleek dat het bedrijf klantgegevens veel langer bewaart dan beweerd. In de privacyverklaring van Odido staat dat zij gegevens tot twee jaar na het einde van het contract bewaart. Maar voormalige klanten die tien jaar geleden van provider waren veranderd, ontvingen e-mails waarin hen werd geïnformeerd dat hun gegevens tijdens de hack waren aangetast.
