Odido bewaarde privégegevens tienduizenden oud-klanten veel langer dan twee jaar

In dit artikel:

Telecomaanbieder Odido is in opspraak omdat in gelekte, gehackte klantgegevens ook informatie van oud-klanten staat die al veel langer dan de in de eigen voorwaarden genoemde bewaartermijn van twee jaar geen klant meer zijn. RTL Nieuws vond in de dataset duizenden voormalige klanten die al tot vijf jaar geleden zijn gestopt. Door de hack zijn namen en adressen openbaar; bij ruim 30.000 ex-klanten is bovendien het IBAN gelekt. Voor 2.225 voormalige klanten zijn nog gevoeliger gegevens gelekt: naast contactgegevens ook paspoort-, rijbewijs- of ID-nummers, geboortedata en telefoonnummers, die criminelen op het dark web publiceerden.

Meerdere oud-klanten vertellen RTL Nieuws dat zij nooit of onvolledig zijn geïnformeerd over welke gegevens buitgemaakt zijn. Sommigen ontdekten het pas via de berichtgeving of door zelf te controleren op sites van politie; anderen zeggen door Odido onjuist te zijn geïnformeerd dat identificatienummers niet gelekt zouden zijn. Een voormalig abonnee uit Brabant, die sinds 2020 niet meer bij Tele2/Odido klant is, sprak van een gevoel van bedrogen zijn: hij wist niet eens dat Tele2 nu Odido heet en is ‘al zes jaar weg’.

Privacyexperts noemen het behoud van zulke oude gegevens en het niet correct informeren van betrokkenen zorgelijk. Gerrit-Jan Zwenne (Universiteit Leiden) stelt dat het moeilijk is een legitieme reden te bedenken om zulke aantallen data langer dan twee jaar te bewaren en noemt het ‘schokkend’. Anna Berlee (Open Universiteit) wijst erop dat het onaanvaardbaar is dat mensen die al jaren geen klant zijn toch door dit lek worden geraakt. Volgens de Nederlandse privacywet (AVG) mogen persoonsgegevens niet langer bewaard worden dan noodzakelijk; een overtreding kan leiden tot een boete tot 20 miljoen euro of 4% van de jaaromzet.

RTL Nieuws analyseerde de gehackte bestanden en filterde daarop accounts die in het systeem als inactief stonden vóór 1 februari 2024, waarna steekproeven bij gedupeerden en controles met een voormalige medewerker de bevindingen ondersteunden. In de gelekte data zijn ten minste 44.000 oud-klanten als inactief te herkennen; bij nog eens 124.000 personen of bedrijven is duidelijk dat zij geen klant meer zijn maar blijft onduidelijk of dat langer dan twee jaar het geval is of dat er later een nieuw account is aangemaakt.

De Autoriteit Persoonsgegevens ontving ruim 500 klachten en tips over de hack, met vragen over zowel de beveiliging als mogelijke overtreding van bewaartermijnen; de toezichthouder heeft Odido om opheldering gevraagd. Odido zegt dat het onderzoek naar de hack nog loopt en dat het zorgvuldig tijd kost, dat het kijkt naar dataretentieprocessen en dat waar nodig aanvullende meldingen aan klanten zijn gedaan. RTL Nieuws zal de gelekte data verwijderen zodra hun onderzoek is afgerond.

Voor getroffen ex-klanten blijft het risico op identiteitsfraude en financieel misbruik hoog, en er wordt gesuggereerd dat zij mogelijk juridische stappen of een groepsclaim kunnen overwegen als vaststaat dat regels zijn overtreden.