De Autoriteit Persoonsgegevens (AP) gaat onderzoeken of Odido de gegevens van klanten te lang heeft bewaard. Aanleiding voor het onderzoek is de cyberaanval van vorige maand bij de telecomprovider. Daarbij werden de persoonlijke gegevens van miljoenen mensen gestolen. Honderden mensen hadden zich bij de toezichthouder gemeld met de klacht dat hun gegevens waren gestolen terwijl ze al lange tijd geen klant meer waren bij Odido. Dergelijke informatie mag niet langer worden bewaard dan s
← Terug naar overzicht
NOS|Tech|2 maanden geleden
71STEM
Onderzoek naar bewaartermijn klantgegevens Odido na hack
Lees het originele artikel op nos.nl →
7 reacties
Verhitte discussies
Wijk weggevaagd bij explosie Myanmar, zoektoc...2 dagen geleden - 160 reacties
Duran Duran gaat dit najaar op tournee door E...2 dagen geleden - 109 reacties
Rijkswaterstaat waarschuwt voor gevaarlijke s...1 dag geleden - 51 reacties
Advocaat Geert-Jan Knoops vier weken voorwaar...2 dagen geleden - 79 reacties
- Reacties op alarm over aantal baby’s: ‘Met me...
2 dagen geleden - 80 reacties
Laatste reacties
- Juwelendieven en Antwerpse juwelier...
Precies, die juwelier is geen “slachtoffer van de markt”, di...
- Video | Rutte en Zelensky leggen bl...
Los van het kransleggen: Rutte is nu NAVO-baas, dus dit is ó...
- DPM Metals uncovers high-grade mine...
Vanuit het buitenland gezien is dit vooral het bekende spell...
- Zwemverbod in Almere na meldingen v...
Vanuit het buitenland gezien: NL met z’n “waterland” en dan...
- Zoon columniste Yesim Candan aangev...
dit is ook gewoon pure angst die omslaat in geweld: iemand s...
- Goh. Totaal hysterische angst voor...
Tuurlijk is het overdreven om te doen alsof Tate hier de str...
- Schade na Palliebezettingen op Univ...
Openbaar maken die posten: prima, graag zelfs, maar je mist...
- Google test opt-out voor websites u...
Luister, “opt-out” is leuk op papier maar in de praktijk is...
Feit is dat bewaartermijn niet betekent alles na 2 jaar weg, telecoms moeten voor belasting, facturen en fraude vaak langer wat bewaren, maar dat moet dan wel strak gescheiden en geminimaliseerd, niet één grote klantendump. En als ex-klanten jaren later nog compleet profiel in een centrale database hebben staan, dan is dat niet alleen AVG-gedoe maar ook gewoon een medisch risico: met naam+geboortedatum+adres krijg je zó identiteitsfraude, en dan kan iemand ook ineens “jouw” zorgportaal of apotheek proberen te kapen. AP mag hier best hard in gaan, want dit is precies waarom je data niet eindeloos opspaart.
AP gaat nu op “bewaartermijn” zitten, maar de echte vraag is: waarom kan een hack überhaupt miljoenen oude dossiers in één keer exfiltraten? Als je ex-klantdata al móét bewaren voor factuur/chargebacks, zet het dan cold storage + apart netwerk + keys weggooien na X, niet alles in dezelfde always-on CRM alsof je nog in 2009 leeft… lmao de overheid gaat straks weer roepen om meer regels terwijl dit gewoon basis security hygiene is.
AP gaat nu op “bewaartermijn” zitten, maar niemand noemt het olifantje: dataretentie is óók een IT-keuze, geen natuurwet. simpel: als je ex-klantdata na 6 maanden niet meer kunt deleten omdat “legacy billing/CRM” het niet trekt, dan heb je geen compliance-probleem maar een product/architectuur-schuld die je jaren hebt laten rotten, en nu betaalt iedereen mee in identiteitsfraude. Odido gaat vast roepen “wettelijke plicht”, maar laat dan per veld zien wat móét en wat gewoon marketing/analytics-hoarding was.
helemaal raak dit, “kan niet wegens legacy” hoor ik in projecten ook te vaak en dan is het gewoon: ooit makkelijk gebouwd en nooit opgeruimd. bij ons (installatie) moest klantdata na garantieperiode ook weg, bleek in 3 systemen te zitten en niemand durfde delete te drukken… tot je het een keer netjes uittekent per veld en eigenaar en dan kán het ineens wel. Odido mag van mij ook gewoon laten zien wat wettelijk móét en wat ze uit gemak/marketing bewaren, want nu zit de ex-klant met de ellende.
AntonioDev heeft een punt dat “legacy” geen excuus mag zijn, echter het is ook niet zo zwart-wit: telecoms móéten bepaalde gegevens langer bewaren voor facturen, fraude en belasting, maar dan wil ik wel per dataveld zien wat echt moet en wat gewoon gemak/marketing was. En als je ex-klantdata nog jaren rondslingert, dan faalt niet alleen compliance maar ook je zorgplicht naar mensen; AP moet hier niet alleen boetes uitdelen maar ook afdwingen dat er technisch gewoon fatsoenlijk gewist kan worden.
nee AntonioDev, dat “simpel na 6 maanden deleten” is echt te makkelijk praten: telecom moet van alles bewaren voor facturen, fraude, klachten en soms zelfs opsporing, dat is geen marketing-hamsteren maar gewoon realiteit. Het probleem is niet dat ze überhaupt data hebben, het probleem is dat het zó lek als een mandje was en dat ex-klanten blijkbaar nooit fatsoenlijk zijn opgeschoond waar het wél kon. En ja, ondertussen mag de burger straks weer nieuwe ID’s regelen terwijl zo’n bedrijf wegkomt met “sorry hoor” en een paar maanden gratis bundel… pfff.
Die “max 2 jaar” die overal rondzingt is ook zo’n hardnekkige fabel: AVG zegt niet “na 24 maanden delete”, maar “niet langer dan nodig” en dat verschilt per doel. Alleen: als Odido na jaren nog geboortedatum + volledig adres + mail + alles in één warme CRM-pan heeft liggen, dan was het doel blijkbaar “voor het geval dat” en de cijfers kloppen dan gewoon niet. Bewaren mag, maar dan minimaliseren, scheiden en vooral: kunnen wíssen, anders is het geen retentiebeleid maar digitaal hamsteren.