Autoriteit Persoonsgegevens start officieel onderzoek naar Odido-lek

Dat melden de instanties in een persbericht. Daarbij wordt er specifiek onderzocht of Odido aan de vereisten qua bewaartermijnen van klantgegevens voldoet. Ook wordt bekeken of het bedrijf afdoende beveiligd was.

Eerder dit jaar zat de hackersgroep ShinyHuntersachter de cyberaanval op de website van telecombedrijf Odido. Daarbij publiceerden ze de gegevens van miljoenen klanten online nadat het bedrijf weigerde om een geldbedrag te betalen. Daar zat voor zover bekend ook data bij van mensen die al jarenlang geen klant meer van Odido zijn.

De RDI doet onderzoek op grond van de Telecommunicatiewet en de Regeling veiligheid en integriteit telecommunicatie. Hierbij wordt gekeken naar de technische beveiliging van data door Odido. De AP onderzoekt daarbij specifiek de beveiliging van persoonsgegevens, en de bewaartermijn van deze gegevens. Ododi gaf zelf eerder aan gegevens van klanten na twee jaar te verwijderen - dit zou haaks staan op de gelekte klantendata.

AP-vicevoorzitter Monique Verdier: "Het datalek heeft veel losgemaakt in de samenleving. De AP neemt alle signalen serieus. In de afgelopen tijd heeft de AP al informatie bij Odido opgevraagd over de bewaartermijnen van gegevens. De AP ziet aanleiding om tot formeel onderzoek over te gaan."

Aangezien het onderzoek net gestart is, zijn de bevindingen nog niet duidelijk. Mogelijk gaat er een boete voor Odido volgen indien men dan nodig acht. De boete zou niet automatisch betekenen dat klanten een schadevergoeding krijgen. Het is niet bekend wanneer het onderzoek wordt afgerond.