De Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) doen onderzoek naar hoelang Odido gegevens van klanten bewaarde en of het bedrijf gegevens wel goed beveiligde. Aanleiding is het recente datalek waarbij de gegevens van ruim zes miljoen klanten werden gestolen. De verantwoordelijke criminelen publiceerden de data op internet nadat Odido weigerde het gevraagde losgeld te betalen.

Odido waarschuwde slachtoffers van het datalek. Meerdere gewaarschuwde personen bleken al jaren geen klant meer van het bedrijf te zijn. Onlangs meldde RTL Nieuws dat Odido gegevens van oud-klanten jaren langer bewaarde dan het zelf beweert. In de online gepubliceerde dataset werden gegevens gevonden van mensen die al vijf jaar geen klant meer zijn.

"Odido hanteert in het systeem een termijn van twee jaar nadat alle wederzijdse verplichtingen zijn afgehandeld. Had je na je overstap nog openstaande rekeningen, servicevragen die nog niet afgehandeld waren, dan is de twee jaar gestart op het moment dat rekeningen betaald zijn en vragen afgehandeld waren", zo laat Odido op de eigen informatiepagina weten op de vraag waarom klanten die meer dan twee jaar geleden zijn overgestapt toch zijn ingelicht dat hun gegevens zijn buitgemaakt.

De Autoriteit Persoonsgegevens ontving honderden klachten van mensen die aangaven dat hun gegevens gelekt waren, terwijl ze al lange tijd geen klant meer waren bij Odido. "Het datalek heeft veel losgemaakt in de samenleving. De AP neemt alle signalen serieus. In de afgelopen tijd heeft de AP al informatie bij Odido opgevraagd over de bewaartermijnen van gegevens. De AP ziet aanleiding om tot formeel onderzoek over te gaan", zegt AP-vicevoorzitter Monique Verdier:

De RDI en Autoriteit Persoonsgegevens doen daarnaast samen onderzoek naar de technische beveiliging van gegevens door Odido. Hierbij neemt de Rijksinspectie Digitale Infrastructuur het voortouw. Volgens berichtgeving van de NOS zou de datadiefstal door middel van een telefonische phishingaanval hebben plaatsgevonden. Een aanvalsmethode waarvoor meerdere partijen eerder al hadden gewaarschuwd. In het onderzoek richt de AP zich op de beveiliging van persoonsgegevens binnen de data en beschikt de RDI over specifieke kennis van de telecomsector. Dat is volgens de toezichthouders de reden dat er wordt samengewerkt.