Klantgegevens jaren bewaard, privacywaakhond stelt vragen aan Odido

In dit artikel:

De Autoriteit Persoonsgegevens (AP) heeft Odido vragen gesteld, niet over de daadwerkelijke datadiefstal, maar over mogelijk te lange bewaartermijnen van klantgegevens. De toezichthouder maakte niet bekend wanneer Odido moet antwoorden of welke maatregelen daarna kunnen volgen. Volgens de AP staat in de AVG geen vaste termijn voor het bewaren van persoonsgegevens; organisaties moeten zelf bepalen hoe lang ze data bewaren, maar niet langer dan nodig.

De hack is toegeschreven aan de cybercriminele groep ShinyHunters; naar verluidt zijn miljoenen klantgegevens gestolen, waaronder namen, adressen, bankrekeningnummers, paspoortgegevens en burgerservicenummers (BSN). RTL Nieuws bracht de omvang van de buit naar buiten. Op het darkweb eisen de hackers meer dan een miljoen euro losgeld; Odido heeft besloten niet te betalen en niet met de afpersers te onderhandelen. Als reactie publiceerden de aanvallers al een deel van de gestolen data — meer releases worden niet uitgesloten.

Odido onderzoekt zelf of verouderde klantgegevens onterecht zijn bewaard. Het bedrijf kreeg meldingen van mensen die al jaren geen klant meer zijn maar toch een waarschuwing ontvingen dat hun gegevens mogelijk gelekt zijn.

De politie werkt actief om verdere verspreiding van de data te blokkeren. Teamchef Stan Duijf meldt dat meerdere servers die de hackers gebruikten offline zijn gehaald en dat een opsporingsteam van ruwweg dertig mensen aan de zaak werkt. Hoeveel van de gestolen gegevens al definitief in verkeerde handen zijn gekomen is nog onduidelijk. Odido heeft zelf aangifte gedaan; wanneer nieuwe informatie volgt, is niet te zeggen.