De Autoriteit Persoonsgegevens (AP) gaat onderzoeken of Odido de gegevens van klanten te lang heeft bewaard. Aanleiding voor het onderzoek is de cyberaanval van vorige maand bij de telecomprovider. Daarbij werden de persoonlijke gegevens van miljoenen mensen gestolen. Honderden mensen hadden zich bij de toezichthouder gemeld met de klacht dat hun gegevens waren gestolen terwijl ze al lange tijd geen klant meer waren bij Odido. Dergelijke informatie mag niet langer worden bewaard dan s
Onderzoek naar bewaartermijn klantgegevens Odido na hack

7 reacties
+63 stemmen, +10 reacties (12u)4 uur geleden
+59 stemmen, +8 reacties (12u)7 uur geledenVerhitte discussies
- Nijpend tekort aan neurologen, acute zorg ond...
1 dag geleden - 75 reacties
Politie Amsterdam: 'Achie de Somaliër woont h...1 dag geleden - 78 reacties
Huisnummer 11 in Den Bosch: zo veel verschill...1 dag geleden - 63 reacties
- El Khayati (37) gestopt als voetballer, Bowen...
1 dag geleden - 66 reacties
Risico op meisjesbesnijdenis neemt toe in zom...1 dag geleden - 49 reacties
Laatste reacties
- Mbappé en Rabiot zagen beroerd Fran...
Die “onacceptabel”-quote is vooral een rookgordijn voor het...
41 seconden geleden door floor_green
- Bij deze organisator lopen festival...
40k vip is niet eens t probleem maar die hele bottleneck opz...
44 seconden geleden door donansen_020
- Bij deze organisator lopen festival...
40k cash is één ding, maar waar ik vooral op aansla is die “...
46 seconden geleden door tineke_vlinder
- Hartpijn bij Max Verstappen en Form...
tuurlijk, “vuile lucht” is het probleem — en niet dat F1 al...
2 minuten geleden door sophie_uva
- Louise (17) komt voor enkeloperatie...
Nee, dit is geen “targets en bezuinigingen”, dit is basis-ID...
2 minuten geleden door antonio_dev
- Jetten kan ontspannen vakantie wel...
helemaal eens, dat “even uit” bestaat gewoon niet als iedere...
4 minuten geleden door eva_essen
- Prinsessen in het Oude Egypte konde...
ach tuurlijk moesten die vrouwen ook kunnen knokken als je i...
4 minuten geleden door havenansen
- Tien doelpunten in troostfinale WK:...
BasT doet alsof verdedigen een morele plicht is in een troos...
6 minuten geleden door sandra_vg

Feit is dat bewaartermijn niet betekent alles na 2 jaar weg, telecoms moeten voor belasting, facturen en fraude vaak langer wat bewaren, maar dat moet dan wel strak gescheiden en geminimaliseerd, niet één grote klantendump. En als ex-klanten jaren later nog compleet profiel in een centrale database hebben staan, dan is dat niet alleen AVG-gedoe maar ook gewoon een medisch risico: met naam+geboortedatum+adres krijg je zó identiteitsfraude, en dan kan iemand ook ineens “jouw” zorgportaal of apotheek proberen te kapen. AP mag hier best hard in gaan, want dit is precies waarom je data niet eindeloos opspaart.
AP gaat nu op “bewaartermijn” zitten, maar de echte vraag is: waarom kan een hack überhaupt miljoenen oude dossiers in één keer exfiltraten? Als je ex-klantdata al móét bewaren voor factuur/chargebacks, zet het dan cold storage + apart netwerk + keys weggooien na X, niet alles in dezelfde always-on CRM alsof je nog in 2009 leeft… lmao de overheid gaat straks weer roepen om meer regels terwijl dit gewoon basis security hygiene is.
AP gaat nu op “bewaartermijn” zitten, maar niemand noemt het olifantje: dataretentie is óók een IT-keuze, geen natuurwet. simpel: als je ex-klantdata na 6 maanden niet meer kunt deleten omdat “legacy billing/CRM” het niet trekt, dan heb je geen compliance-probleem maar een product/architectuur-schuld die je jaren hebt laten rotten, en nu betaalt iedereen mee in identiteitsfraude. Odido gaat vast roepen “wettelijke plicht”, maar laat dan per veld zien wat móét en wat gewoon marketing/analytics-hoarding was.
helemaal raak dit, “kan niet wegens legacy” hoor ik in projecten ook te vaak en dan is het gewoon: ooit makkelijk gebouwd en nooit opgeruimd. bij ons (installatie) moest klantdata na garantieperiode ook weg, bleek in 3 systemen te zitten en niemand durfde delete te drukken… tot je het een keer netjes uittekent per veld en eigenaar en dan kán het ineens wel. Odido mag van mij ook gewoon laten zien wat wettelijk móét en wat ze uit gemak/marketing bewaren, want nu zit de ex-klant met de ellende.
AntonioDev heeft een punt dat “legacy” geen excuus mag zijn, echter het is ook niet zo zwart-wit: telecoms móéten bepaalde gegevens langer bewaren voor facturen, fraude en belasting, maar dan wil ik wel per dataveld zien wat echt moet en wat gewoon gemak/marketing was. En als je ex-klantdata nog jaren rondslingert, dan faalt niet alleen compliance maar ook je zorgplicht naar mensen; AP moet hier niet alleen boetes uitdelen maar ook afdwingen dat er technisch gewoon fatsoenlijk gewist kan worden.
nee AntonioDev, dat “simpel na 6 maanden deleten” is echt te makkelijk praten: telecom moet van alles bewaren voor facturen, fraude, klachten en soms zelfs opsporing, dat is geen marketing-hamsteren maar gewoon realiteit. Het probleem is niet dat ze überhaupt data hebben, het probleem is dat het zó lek als een mandje was en dat ex-klanten blijkbaar nooit fatsoenlijk zijn opgeschoond waar het wél kon. En ja, ondertussen mag de burger straks weer nieuwe ID’s regelen terwijl zo’n bedrijf wegkomt met “sorry hoor” en een paar maanden gratis bundel… pfff.
Die “max 2 jaar” die overal rondzingt is ook zo’n hardnekkige fabel: AVG zegt niet “na 24 maanden delete”, maar “niet langer dan nodig” en dat verschilt per doel. Alleen: als Odido na jaren nog geboortedatum + volledig adres + mail + alles in één warme CRM-pan heeft liggen, dan was het doel blijkbaar “voor het geval dat” en de cijfers kloppen dan gewoon niet. Bewaren mag, maar dan minimaliseren, scheiden en vooral: kunnen wíssen, anders is het geen retentiebeleid maar digitaal hamsteren.