NOS Nieuws••Aangepast
De Autoriteit Persoonsgegevens (AP) gaat onderzoeken of Odido de gegevens van klanten te lang heeft bewaard. Aanleiding voor het onderzoek is de cyberaanval van vorige maand bij de telecomprovider. Daarbij werden de persoonlijke gegevens van miljoenen mensen gestolen.
Honderden mensen hadden zich bij de toezichthouder gemeld met de klacht dat hun gegevens waren gestolen terwijl ze al lange tijd geen klant meer waren bij Odido. Dergelijke informatie mag niet langer worden bewaard dan strikt noodzakelijk, aldus de AP. “Wat er niet is, kan ook niet worden gestolen.”
“Het datalek heeft veel losgemaakt in de samenleving”, zegt AP-vicevoorzitter Monique Verdier. “In de afgelopen tijd is er al informatie bij Odido opgevraagd over de bewaartermijnen van gegevens. De AP ziet aanleiding om tot formeel onderzoek over te gaan.”
Beveiliging klantsysteem
Los hiervan onderzoekt de AP samen met de Rijksinspectie Digitale Infrastructuur (RDI) of Odido de beveiliging van het klantsysteem op orde heeft.
De RDI kijkt vooral naar hoe de beveiliging technisch geregeld is. Kort nadat de cyberaanval bekend werd was de inspectie al begonnen “met het verzamelen van de feiten en omstandigheden waaronder dit incident heeft plaatsgevonden”.
ShinyHunters
De hackersgroep ShinyHunters zat achter de aanval op Odido. De groep maakte duidelijk een losgeldbedrag van Odido te willen, anders zou het de data publiceren. In eerste instantie ging het om een bedrag van circa een miljoen euro, later zakte dat naar 500.000 euro.
De telecomprovider weigerde dit bedrag te betalen. Uiteindelijk publiceerde de hackersgroep in meerdere stappen de gegevens van minstens 6,5 miljoen personen en 600.000 bedrijven.
