Onderzoek naar bewaartermijn klantgegevens Odido na hack

In dit artikel:

De Autoriteit Persoonsgegevens (AP) start een formeel onderzoek naar telecomaanbieder Odido omdat klantengegevens mogelijk te lang zijn bewaard na de cyberaanval van vorige maand, waarbij persoonlijke informatie van miljoenen mensen werd buitgemaakt. Honderden voormalige klanten dienden klachten in omdat hun data gestolen bleek terwijl ze al langere tijd geen klant meer waren; volgens de AP mag dergelijke informatie niet langer worden bewaard dan strikt noodzakelijk.

AP-vicevoorzitter Monique Verdier zegt dat het datalek veel losmaakte en dat de toezichthouder eerder al informatie opvroeg over bewaartermijnen voordat besloten werd tot een officieel onderzoek. Tegelijkertijd onderzoekt de AP samen met de Rijksinspectie Digitale Infrastructuur (RDI) of Odido de technische beveiliging van het klantsysteem goed heeft geregeld; de RDI was kort na het bekend worden van de aanval al begonnen met het verzamelen van feiten en omstandigheden.

De zaak raakt aan basisregels van de AVG/GDPR: persoonsgegevens mogen niet onnodig lang worden bewaard en moeten adequaat worden beveiligd.