Odido bewaarde data van ex-klanten langer dan in voorwaarden staat

Bij de buitgemaakte data gaat het om namen en adressen van alle betrokkenen. Daarnaast zijn de IBAN-nummers van ruim 30.000 ex-klanten gestolen. Voor 2.225 voormalige klanten – die langer dan twee jaar geen contract meer hadden – zijn ook telefoonnummers, e-mailadressen, geboortedata en kopieën van paspoort-, rijbewijs- of ID-nummers gelekt. Deze gegevens zijn volgens het onderzoek op het dark web gepubliceerd.

Voormalige klanten niet of onvolledig geïnformeerd

Veel ex-klanten wisten niet dat hun gegevens nog in de systemen van Odido stonden, laat staan dat deze waren buitgemaakt. Sommigen ontdekten pas via extern onderzoek of een check op de politiewebsite dat hun data was gelekt. Anderen ontvingen wel een melding van Odido, maar deze bleek in bepaalde gevallen onjuist of onvolledig.

Volgens de Algemene verordening gegevensbescherming (AVG) mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk. Experts wijzen erop dat het langdurig bewaren van gegevens zonder duidelijke reden in strijd kan zijn met de privacywetgeving. Daarnaast is het niet of onvolledig informeren van betrokkenen opvallend, omdat dit een verplichting uit de AVG schendt.

Autoriteit Persoonsgegevens onderzoekt klachten

De Autoriteit Persoonsgegevens (AP) heeft naar aanleiding van het datalek ruim 500 klachten en tips ontvangen, waaronder over de beveiliging van klantdata en het mogelijk te lang bewaren van gegevens. Odido geeft aan in contact te blijven met de AP en dat klanten rechtstreeks zijn geïnformeerd waar dat nodig was. "We blijven in nauw contact met de Autoriteit Persoonsgegevens naarmate het onderzoek vordert", zegt een woordvoerder van Odido tegen RTL. "Waar we
vastgesteld hebben dat aanvullende meldingen nodig waren, hebben we de betreffende klanten hierover rechtstreeks geïnformeerd."