De Autoriteit Persoonsgegevens (AP) start een onderzoek naar de bewaartermijnen van klantgegevens bij telecombedrijf Odido. De aanleiding is het recente datalek, waarbij persoonlijke data van miljoenen klanten zijn geraakt. De Rijksinspectie Digitale Infrastructuur (RDI) gaat daarnaast, in samenwerking met de AP, onderzoeken of de beveiliging bij Odido aan de vereisten voldeed.
De AP is de toezichthouder op de naleving van de Algemene verordening gegevensbescherming (AVG). Het uitgangspunt van deze privacywet is dat gegevens van mensen niet langer mogen worden bewaard dan strikt noodzakelijk. Want wat er niet is, kan ook niet worden gestolen. Dit principe heet dataminimalisatie.
Het incident bij Odido heeft tot veel maatschappelijke discussie geleid. De AP ontving honderden klachten van mensen die aangaven dat hun gegevens gelekt waren, terwijl ze al lange tijd geen klant meer waren bij Odido. AP-vicevoorzitter Monique Verdier: ‘Het datalek heeft veel losgemaakt in de samenleving. De AP neemt alle signalen serieus. In de afgelopen tijd heeft de AP al informatie bij Odido opgevraagd over de bewaartermijnen van gegevens. De AP ziet aanleiding om tot formeel onderzoek over te gaan.’
De RDI doet onderzoek op grond van de Telecommunicatiewet en de Regeling veiligheid en integriteit telecommunicatie. Vanuit dit oogpunt neemt de RDI het voortouw in het onderzoek naar de technische beveiliging van data door Odido. De RDI beschikt over specifieke expertise van de telecomsector. De AP onderzoekt specifiek de beveiliging van persoonsgegevens binnen de data. Daarom werken de AP en de RDI samen in dit onderzoek.
