Toezichthouder onderzoekt bewaartermijnen van klantgegevens Odido

De AP houdt toezicht op de naleving van de Algemene verordening gegevensbescherming (AVG). Volgens deze privacywet mogen persoonsgegevens niet langer worden bewaard dan strikt noodzakelijk, wat ook wel dataminimalisatie wordt genoemd. Dit principe is bedoeld om het risico op datalekken te verkleinen.

De AP meldt honderden klachten te hebben ontvangen van mensen waarvan gegevens zijn gelekt, terwijl zij al lange tijd geen klant meer waren bij het bedrijf. Monique Verdier: "Het datalek heeft veel losgemaakt in de samenleving. De AP neemt alle signalen serieus. In de afgelopen tijd heeft de AP al informatie bij Odido opgevraagd over de bewaartermijnen van gegevens. De AP ziet aanleiding om tot formeel onderzoek over te gaan."

Ook onderzoek naar beveiliging van data

Daarnaast onderzoekt de AP in samenwerking met de RDI de beveiliging van data bij de telecomprovider, op basis van de Telecommunicatiewet en de Regeling veiligheid en integriteit telecommunicatie. De RDI neemt daarbij het voortouw in het onderzoek naar de technische beveiliging van de data bij Odido. De AP richt zich specifiek op de beveiliging van persoonsgegevens binnen deze data. 

Uit eerder onderzoek van RTL Nieuws bleek dat Odido persoonsgegevens van minstens 44.000 voormalige klanten langer heeft bewaard dan in de eigen voorwaarden staat. Volgens het bedrijf worden gegevens van ex-klanten maximaal twee jaar bewaard, maar uit het onderzoek van RTL Nieuws bleek dat data van klanten die al vijf jaar geen dienst meer afnamen, nog steeds in de systemen aanwezig waren. Door het recente datalek zijn deze gegevens nu openbaar gekomen.