Ik hoop dat OdidO flink nat gaat. Het is een techbedrijf en zeker een provider als OdidO zou nooit op deze manier ten prooi mogen vallen aan dit soort criminelen. Als je zo slecht omgaat met de gegevens van je klanten en ex-klanten dan verdien je een flinke claim.

Erg triest dat zo'n initiatief nodig is - daar hebben we toch AP voor!?!
Maar nee... AP is overheid en die heeft sch**t aan burgers.
De rechterlijke macht trouwens ook. Dus dit zal helaas wel nergens eindigen.

Techbedrijven mogen niet ten prooi vallen aan criminelen...? Volgens mij zijn ChipSoft en Booking.com ook techbedrijven. En er zullen nog vele volgen ben ik bang.

Gehackt worden is momenteel van alledag. Het is veelal niet de beveiligingstechniek die niet op orde is, maar de mens/medewerker die de zwakste schakel vormt en ongemerkt een 'backdoor' opent.

Uiteraard is het schandalig (lees: strafbaar) dat het bedrijf veel meer informatie bewaarde en deze langer bewaarde dan afgesproken cq. noodzakelijk. Dan neem je als bedrijf bewust een risico en zul je op de blaren moeten zitten als dat uitkomt.

De Autoriteit Persoonsgegevens heeft op dit moment grote capaciteitsproblemen.
Volgens Aleid Wolfsen is er meer budget nodig om de enorme werkdruk te verlichten.

Nee het is een flauwekul club
Nog nooit enige invloed gehad alleen maar blabla bla
De kern trekt aan de touwtjes
Dat is allang aangetoont.

We zijn hier symptomen aan het bestrijden. Criminelen lopen vrij rond, terwijl bedrijven en burgers vastzitten in jarenlange claims en procedures.

De AP lijkt weinig slagkracht te hebben en massaclaims lossen dat niet op. Als we niet oppassen, schuiven we richting een Amerikaanse claimcultuur zonder dat de echte problemen worden aangepakt.

Nog even en we zien het zelf in, smeken we er zelfs om: "Beter voor ons allen".

Orkestje op de Titanic speelt wel door hoor, met die ministersploeg en senaat en parlement daar in Den Haag. O, waterschappen, provincie en gemeente, dat hebben we ook nog als treiterinstanties waar van alles mis gaat. Het zal niet meevallen de generatie die nu in de kansrijke postities zit, die van een jaar of 35, te heropvoeden, want ze weten niet beter, en dat komt door het onderwijs dat ze genoten hebben.

Ligt eraan of dit in hun straatje valt. Ik heb voornamelijk meegedaan met de claim omdat ik vindt dat als Odido zegt 2 jaar data te bewaren, en zij dit niet doen, dat zij aansprakelijk zijn voor enige schade die mij is toegedaan vloeiende uit deze te lang bewaarde data. Natuurlijk is het voor mij taak te bewijzen dat schade is geleden, maar gezien de grootte van het lek denk ik niet dat dit al te moeilijk is. Natuurlijk mag van mij de AP ook boetes opleggen, maar als ik Odido kan straffen als (soon-to-be-ex) klant via deze weg, is dat ook goed. De pijn van zo'n lek moet wel gevoeld worden.

Zoekende of de AP hierop mag handelen vond ik het volgende:

"Ja, de Autoriteit Persoonsgegevens (AP) mag hoge boetes opleggen als organisaties persoonsgegevens te lang bewaren. Volgens de Algemene Verordening Gegevensbescherming (AVG) is het verboden gegevens langer te bewaren dan noodzakelijk voor het doel van de verwerking." Bron: Google AI overview.

Ik heb even niet paraat wat het 'doel van de verwerking' is in het geval van Odido, maar zal waarschijnlijk hun dienstverlening als provider zijn (duh-uh). Al in al: AP kan en mag wat doen, of ze het doen is vraag 2 natuurlijk.

Dit is niet wat er gezegd wordt.. Je slaat in jouw reactie het meest cruciale stukje over: "op deze manier".
Odido mag ten prooi aan een hack... dat gebeurt nou eenmaal maar dat mag niet op deze knullige wijze.
Een reguliere medewerker met teveel rechten waardoor hele sets gedownload konden worden en schijnbaar de monitoring dusdanig slecht is ingericht dat er geen enkel systeem eigenlijk vrijwel melding maakte van ongebruikelijk veel netwerkverkeer.
Dan kom je vervolgens op een punt dat je dit allemaal achter de rug hebt en dan blijkt ook nog eens dat Odido zijn data extreem te lang bewaard waardoor mensen bij een datalek zitten die daar niet bij hadden hoeven zitten.
Dit alles is dan ook slecht gesegmenteerd waardoor je normale persoonsgegevens en bijzondere gegevens uit 1 set kan halen.

Met andere woorden, Odido zal en moet dit echt gaan voelen door middel van torenhoge boetes, schadevergoedingen en strenge audits in de toekomst.
En misschien zelfs wel ontslagen in de top die dit of niet geweten heeft (zich niet juist heeft laten informeren) of dit bewust als risico heeft geaccepteerd.

Ha, lekker idioten uitmelken.

Wat zou het kosten , 350.000 * 25 euro inschrijfgeld ? , advocaten schrijven zich rijk, en mocht een schadevergoeding vallen gaat die ook eerst voor het grootste deel naar de advocaten.

Om je als gedupeerde aan te melden moet je wel erg veel actuele persoonlijke gegevens invullen - ja, ik weet het, die persoonsdata zijn inmiddels (al grotendeels) bekend bij het criminele gilde op darkweb en elders.

Maar toch, voor een bedrag van hooguit 500 euro over pakweg 5 jaar loont, voor mij althans, de moeite niet.
Heb inmiddels ook nog eens al jaren een ander (nog) niet gelekt e-mailadres, nieuw mobiel nummer en een andere mobiele provider op een niet-Odido netwerk.

Wel netjes van Odido dat het de lekkage (verplicht) heeft gemeld. Daardoor ben ik me als een bezetene in gaan lezen in relevante privacy en security issues (op security.nl, fraudehelpdesk.nl, privacyguides.org, proton.me/blog/privacyguides en vpngids.nl) en heb m'n resterende slechte internet-gewoonten vervolgens radicaal en permanent aangepast.

Al met al een besparing van een veelvoud van 500 euro...

Op basis van de AVG gaat dit niet slagen. De AVG biedt geen hypothetische schadevergoeding, alleen aantoonbaar daadwerkelijk geleden schade kam worden geclaimd.

Dus zal dit op basis van een andere wet moeten, lijkt mij. En dan heeft het al gauw niets met de AP te maken.

Ik heb 18 jaar ervaring in de ICT en ken enigssinds de AVG wetgeving. Versleuteling op user niveau had de reputatieschade die nu ontstaan is waarschijnlijk grotendeels voorkomen, gecombineerd met juiste monitoring. Dus een "secret" per user, waarmee de data "at rest" versleuteld is. Ookal was de data plain inzichtelijk via bijv een web-interface, dan was er met de juiste instellingen (monitoring en audits) te zien geweest dat er onwijs veel data op 1 moment onsleuteld werd (en kon er worden ingegrepen softwarematig of eventueel handmatig). Het punt is het gaat niet om een systeem van Odido, maar van Salesforce. Mijn inschatting is dat dit een legacy systeem is, waarbij ze dachten, laten we die maar niet teveel willen veranderen, want dat is meestal zoals het gaat bij een legacy systeem. Onder de streep is versleuteling niet verplicht volgens AVG. Dit betekend dat er inderdaad eerst een rechter moet oordelen. Het lijkt erop dat ze inderdaad niet aan data minimalisatie hebben gedaan. Maar ook met data minimalisatie, was er nu een lek van miljoenen records ontstaan. Het zal ontmonden in een vingerwijs spelletje tussen Odido, Salesforce en wat de AVG wet nu echt zegt. Maar ik begrijp de emotie van jou reactie, maar het is nog maar afwachten wat een rechter ervan vindt. De AVG is wat het is (encryption at rest= niet verplicht). Daardoor is data potentieel sneller te "lekken" omdat er een ontsleutel actie onbreekt en is er dus minder tijd om in te grijpen (met een juiste versleuteling en setup, duurt een data lek van die omvang dan dagen, geen minuten en dan kun je ingrijpen via monitoring en audits). In geval van een directe database hack was de data nagenoeg onbruikbaar geweest. Zolang er onderzoeken lopen zullen we niet exact weten wat er is gebeurd.

Ze verzamelen overigens ook onversleutelde SMSjes, telefonie transcripties en contactgegevens, en celltower trackingmetadata, gelukkig is dat niet gelekt, alleen naar de AIVD.