Odido bewaart data oud-klanten jaren te lang na mega-hack

In dit artikel:

Odido heeft persoonsgegevens van tienduizenden voormalige klanten veel langer bewaard dan het eigen maximum van twee jaar, waardoor die gegevens zijn meegelift in de recente grote hack op de telecomprovider. RTL Nieuws ontdekte dat in de gelekte dataset minstens 44.000 ex‑klanten voorkomen die al langer dan twee jaar — soms tot vijf jaar — geen abonnement meer hadden bij Odido of de voorgangers T‑Mobile en Tele2.

Onder de buitgemaakte informatie staan voor alle getroffen oud‑klanten in elk geval namen en adressen; bij ruim 30.000 zijn ook IBAN‑nummers gelekt. Voor 2.225 ex‑klanten bevat de publicatie op het dark web nog gevoeliger identificatiedocumenten, zoals paspoort‑, rijbewijs‑ of ID‑nummers. Veel betrokkenen kregen geen directe waarschuwing van Odido en ontdekten de inbreuk via politie of journalisten; sommige meldingen van het bedrijf bleken onvolledig of onjuist over welke gegevens geraakt waren.

Privacyexperts noemen het bewaren van zulke data zonder afdoende reden zorgelijk en wijzen op mogelijke schending van de AVG. De Autoriteit Persoonsgegevens ontving ruim 500 klachten en eisen en heeft Odido om opheldering gevraagd; bij overtreding kan een boete tot 20 miljoen euro of 4% van de jaaromzet volgen. Odido zegt onderzoek te doen, samen te werken met de toezichthouder en zijn bewaarbeleid te herzien, en waar nodig extra meldingen aan klanten te sturen.

Voor ex‑klanten betekent dit verhoogde kans op fraude en identiteitsmisbruik; wie getroffen is doet er goed aan bankpassen te controleren, verdachte transacties te melden en bij twijfel aangifte te doen of contact op te nemen met de bank.