image

ACM doet onderzoek naar manier waarop Odido klantgegevens beveiligt

maandag 13 juli 2026, 14:11 door Redactie, 4 reacties

De Autoriteit Consument & Markt (ACM) doet onderzoek naar de maatregelen waarmee Odido persoonsgegevens van klanten beschermt. Aanleiding is het datalek bij de provider waarbij criminelen de gegevens van meer dan zes miljoen mensen konden stelen en, nadat het bedrijf weigerde losgeld te betalen, op internet publiceerden. Bij het onderzoek werkt de ACM samen met de Rijksinspectie Digitale Infrastructuur (RDI) en de Autoriteit Persoonsgegevens (AP), die eerder al onderzoeken naar het telecombedrijf aankondigden.

De RDI onderzoekt of de beveiliging van de systemen bij Odido aan de vereisten voldeed en de AP voert parallel een onderzoek uit naar de bewaartermijnen van de klantgegevens. In het onderzoek van de ACM staat de zorgplicht van telecomproviders om klantgegevens adequaat te beschermen centraal. Als toezichthouder controleert de Autoriteit Consument & Markt of telecomproviders deze zorgplicht nakomen. Wanneer het onderzoek van de ACM is afgerond is niet bekendgemaakt.

Reacties (4)
Vandaag, 14:56 door Anoniem
De RDI onderzoekt of de beveiliging van de systemen bij Odido aan de vereisten voldeed en de AP voert parallel een onderzoek uit naar de bewaartermijnen van de klantgegevens. In het onderzoek van de ACM staat de zorgplicht van telecomproviders om klantgegevens adequaat te beschermen centraal. Als toezichthouder controleert de Autoriteit Consument & Markt of telecomproviders deze zorgplicht nakomen.

Waarom zijn er drie toezichthouders nodig om één onderzoek naar gegevensverwerking te doen? Waarom zijn er drie "parallelle" onderzoeken nodig? Dit zou de AP helemaal zelf moeten kunnen doen.

Beveiliging van klantgegevens, bewaartermijnen van klantegegevens, bescherming klantgegevens valt allemaal onder de AVG, waarop de AP toezicht houdt, of althans zou moeten houden.

Is hier sprake van inefficiënte bezigheidstherapie voor twee van de drie "autoriteiten", nadat ze eerst alle drie het kalf in de put hebben laten verdrinken?
Vandaag, 15:31 door Anoniem
simpel: niet beveiligd.

Als een enkele medewerker van de klantenservice in een of ander vaag buitenland blijkbaar toegang had tot ALLE klantdata (ook datapunten die ze niet voor hun werk nodig hebben, zoals ID-kaart nummers) tot LANGE TIJD TERUG (ook mensen die al lang geen klant meer zijn). En vervolgens kun je ook nog ongezien al die data uit het systeem trekken geautomatiseerd.

Dan behoor je achter de tralies, want dan heb je dus precies 0 beveiliging en ben je schuldig aan al die ellende.

Nog afgezien van het feit dat dat vuile bedrijf uberhaupt zoveel onnodige klantgegevens wil hebben voor het bieden van een internetverbinding.

Daar zouden ze in principe niks meer voor nodig hebben dan een aansluitnummer en een betaalmethode.
Door Anoniem:
De RDI onderzoekt of de beveiliging van de systemen bij Odido aan de vereisten voldeed en de AP voert parallel een onderzoek uit naar de bewaartermijnen van de klantgegevens. In het onderzoek van de ACM staat de zorgplicht van telecomproviders om klantgegevens adequaat te beschermen centraal. Als toezichthouder controleert de Autoriteit Consument & Markt of telecomproviders deze zorgplicht nakomen.

Waarom zijn er drie toezichthouders nodig om één onderzoek naar gegevensverwerking te doen? Waarom zijn er drie "parallelle" onderzoeken nodig? Dit zou de AP helemaal zelf moeten kunnen doen.

Beveiliging van klantgegevens, bewaartermijnen van klantegegevens, bescherming klantgegevens valt allemaal onder de AVG, waarop de AP toezicht houdt, of althans zou moeten houden.

Is hier sprake van inefficiënte bezigheidstherapie voor twee van de drie "autoriteiten", nadat ze eerst alle drie het kalf in de put hebben laten verdrinken?
Bewaartermijn is AP. Beveiliging is dat maar ten dele (art. 32).
Daarnaast speelt ook nog de Wet Bescherming Netwerken en Informatiesystemen (WBNI, NIS richtlijn) waar het RDI toezichthouder is.
Ik vermoed dat het ACM dit doet vanuit de telecommunicatiewet.
Overigens denk ik dat het RDI en eventueel het ACM beter zijn in het onderzoeken van de beveiliging dan het AP. Juristen en informatiebeveiliging gaan nu meestal niet lekker samen ;)
Door Anoniem: simpel: niet beveiligd.

Als een enkele medewerker van de klantenservice in een of ander vaag buitenland blijkbaar toegang had tot ALLE klantdata (ook datapunten die ze niet voor hun werk nodig hebben, zoals ID-kaart nummers) tot LANGE TIJD TERUG (ook mensen die al lang geen klant meer zijn). En vervolgens kun je ook nog ongezien al die data uit het systeem trekken geautomatiseerd.

Dan behoor je achter de tralies, want dan heb je dus precies 0 beveiliging en ben je schuldig aan al die ellende.

Nog afgezien van het feit dat dat vuile bedrijf uberhaupt zoveel onnodige klantgegevens wil hebben voor het bieden van een internetverbinding.

Daar zouden ze in principe niks meer voor nodig hebben dan een aansluitnummer en een betaalmethode.
Dat is wel erg kort door de bocht.
En welke gegevens ze nodig hebben voor een aanlsuiting is aan het bedrijf, niet aan jou als klant.

Dat ze de spullen te lang bewaard hebben, 100 punten.
Dat er geen detectie was als iemand binnen een uur alles weet leeg te trekken, 100 punten.
Maar of een medewerker van een helpdesk wel of niet bij ID kaart gegevens mag komen, is een ander vraagstuk en is niet zomaar te beantwoorden zonder te weten wat de rol was van diegenen waar het account van gehackt is. Daar kan namelijk een goede reden voor zijn.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.