Odido heeft privégegevens van tienduizenden oud‑klanten veel langer bewaard dan de maximaal twee jaar die het bedrijf zelf in zijn voorwaarden noemt. Door de grote hack bij de telecomprovider liggen gegevens van minstens 44.000 voormalige klanten die al meer dan twee jaar geleden vertrokken nu op straat, blijkt uit onderzoek van RTL Nieuws. Privacyexperts noemen de gang van zaken schokkend en kwalijk en waarschuwen dat Odido vermoedelijk de wet overtreedt.
In de gelekte dataset staan klanten die al vijf jaar geen abonnement meer hebben bij Odido of voorgangers T-Mobile en Tele2. Van alle getroffen oud‑klanten zijn in elk geval namen en adressen buitgemaakt, bij ruim 30.000 van hen ook het IBAN-nummer. Voor 2225 ex‑klanten die al langer dan twee jaar weg zijn, gaat het om nog gevoeliger informatie: naast contact- en betaalgegevens zijn ook paspoort-, rijbewijs- of ID-nummers gestolen en inmiddels op het dark web gepubliceerd.
Meerdere ex‑klanten zeggen tegen RTL Nieuws dat zij nooit door Odido zijn geïnformeerd dat hun gegevens zijn gelekt, en dat ze dit pas ontdekten via de politie of na contact met de redactie. Anderen kregen wel een melding, maar daar bleek informatie in te ontbreken of onjuist te zijn. Zo meldde Odido in sommige e-mails ten onrechte dat identificatiedocumenten niet waren geraakt, terwijl die volgens het onderzoek wél zijn gelekt.
Voormalige klanten reageren boos en bezorgd nu blijkt dat hun data jaren na het beëindigen van het contract nog in de systemen stonden. "Ik voel me behoorlijk genaaid, ik wist niet eens dat Tele2 nu Odido heet. Hoe kan dit zijn gebeurd, ik ben al zes jaar weg", zegt Richard uit Best, van wie onder meer zijn privégegevens zijn buitgemaakt. Verschillende betrokkenen overwegen juridische stappen en hopen op een eventuele massaclaim.
Volgens de Algemene verordening gegevensbescherming mogen persoonsgegevens niet langer worden bewaard dan nodig is voor het doel waarvoor ze zijn verzameld. Hoogleraar Gerrit‑Jan Zwenne (Universiteit Leiden) ziet "geen enkele goede reden" waarom Odido gegevens van zoveel ex‑klanten langer dan twee jaar zou bewaren en noemt dat "echt schokkend". Hoogleraar Anna Berlee (Open Universiteit) spreekt van een zorgelijke situatie, juist omdat ook mensen die al meer dan vijf jaar weg zijn nog door dit datalek worden getroffen.
De Autoriteit Persoonsgegevens heeft na de hack en het daaropvolgende datalek al ruim 500 klachten en tips ontvangen, onder meer over de beveiliging en het mogelijk te lang bewaren van klantgegevens. De toezichthouder heeft Odido hierover om opheldering gevraagd en kan bij overtredingen van de privacywet een boete opleggen tot 20 miljoen euro of 4 procent van de jaaromzet. Odido zegt dat het interne onderzoek nog loopt, "in nauw contact" te blijven met de AP, en processen rond dataretentie onder de loep te nemen; waar extra meldingen nodig bleken, zouden betrokken klanten volgens het bedrijf inmiddels rechtstreeks zijn geïnformeerd.
Afbeelding: Grok AI / FOK.nl
Source: Fok frontpage