Willem draaide zijn laptop dicht en staarde naar het scherm van zijn telefoon. “Mijn bankgegevens, mijn adres, zelfs mijn geboortedatum,” mompelde hij tegen zijn vrouw. “Alles wat een crimineel nodig heeft om mijn leven overhoop te halen.”
De 58-jarige accountant uit Almere had net het nieuws gelezen over de hack bij Odido. Maar wat hem het meest zorgen baarde, was niet alleen de datalek zelf – het was de vraag hoe lang het telecombedrijf al die gevoelige informatie eigenlijk had bewaard.
“Waarom hebben ze gegevens van klanten die jaren geleden al weg waren?” vroeg zijn vrouw. Willem schudde zijn hoofd. Het was precies de vraag die nu door heel Nederland gonsde.
Hoe Lang Bewaart Odido Eigenlijk Jouw Gegevens?
De recente cyberaanval op Odido heeft een veel groter probleem blootgelegd dan alleen de hack zelf. Uit onderzoek blijkt dat het telecombedrijf klantgegevens mogelijk veel langer bewaart dan noodzakelijk – en dat roept serieuze vragen op over privacy en gegevensbescherming.
De Autoriteit Persoonsgegevens (AP) heeft aangekondigd een grondig onderzoek te starten naar de bewaartermijnen die Odido hanteert. Het gaat niet alleen om huidige klanten, maar ook om voormalige abonnees wiens gegevens mogelijk nog steeds in de systemen zitten.
We zien te vaak dat bedrijven gegevens bewaren ‘voor het geval dat’, maar dat is niet hoe de wet werkt. Je mag alleen bewaren wat je echt nodig hebt, en alleen zolang als nodig is.
— Aleid Wolfsen, Voorzitter Autoriteit Persoonsgegevens
Volgens de Algemene Verordening Gegevensbescherming (AVG) mogen bedrijven persoonsgegevens alleen bewaren zolang dat noodzakelijk is voor het doel waarvoor ze zijn verzameld. Voor telecombedrijven betekent dit doorgaans maximaal zeven jaar na beëindiging van het contract – maar alleen voor administratieve doeleinden.
Wat Voor Gegevens Staan Er Precies Op Het Spel?
De omvang van de Odido-hack is schokkend. Criminelen hebben toegang gekregen tot een schat aan persoonlijke informatie van miljoenen klanten. Maar welke gegevens zijn er precies gestolen, en waarom had Odido deze ĂĽberhaupt nog?
Uit het onderzoek komt een verontrustend beeld naar voren van de soorten gegevens die telecombedrijven bewaren:
- Volledige namen en adressen
- Geboortedatums en BSN-nummers
- Bankrekeningen en betaalgegevens
- Telefoongebruik en locatiegegevens
- Kopieën van identiteitsbewijzen
- Creditchecks en financiële informatie
| Type Gegeven | Wettelijke Bewaartermijn | Geschatte Odido Bewaartermijn |
|---|---|---|
| Contractgegevens | 7 jaar na beëindiging | Onduidelijk |
| Betaalgegevens | 7 jaar | Mogelijk langer |
| Verkeersgegevens | 6 maanden | In onderzoek |
| Locatiegegevens | Maximaal 6 maanden | Onbekend |
| ID-kopieën | 5 jaar na verificatie | Onduidelijk |
Het problematische is dat veel klanten geen idee hebben welke gegevens er over hen worden bewaard, en al helemaal niet hoe lang. Transparantie is hier cruciaal.
— Arnoud Engelfriet, Privacy-advocaat
Waarom Bewaren Telecombedrijven Zoveel Gegevens?
De vraag die veel consumenten zich stellen is simpel: waarom houdt een bedrijf als Odido zoveel informatie bij, en waarom zo lang? Het antwoord is complexer dan je zou denken.
Telecombedrijven opereren in een zwaar gereguleerde industrie. Ze moeten gegevens bewaren voor verschillende doeleinden: fraudepreventie, belastingaangiftes, juridische procedures, en soms ook voor overheidsinformatieverzoeken.
Maar daar zit ook het probleem. Veel bedrijven kiezen voor de makkelijke weg en bewaren alles, in plaats van selectief om te gaan met wat echt nodig is.
We zien dat bedrijven vaak denken: bewaren kan geen kwaad. Maar deze hack toont precies aan waarom dat wel kwaad kan. Elke byte data die je niet hebt, kan ook niet gestolen worden.
— Dr. Jaap-Henk Hoepman, Cybersecurity expert Radboud Universiteit
Wat Betekent Dit Voor Jou Als Klant?
Als je ooit klant bent geweest bij Odido – of bij T-Mobile voordat het Odido werd – dan is de kans groot dat jouw gegevens onderdeel zijn van dit datalek. Maar de gevolgen reiken verder dan alleen deze ene hack.
Het onderzoek naar de bewaartermijnen kan leiden tot grote veranderingen in hoe telecombedrijven met jouw privacy omgaan. Dit betekent concreet:
- Betere controle over welke gegevens worden bewaard
- Duidelijkere communicatie over bewaartermijnen
- Automatische verwijdering van oude gegevens
- Strengere boetes voor bedrijven die de regels overtreden
Voor nu is het belangrijk dat je actie onderneemt. Controleer je bankrekeningen, overweeg je wachtwoorden te wijzigen, en houd je creditrapport in de gaten. De gestolen gegevens kunnen maanden of zelfs jaren later nog misbruikt worden.
Je hebt ook het recht om Odido te vragen welke gegevens ze van jou hebben en hoe lang ze die bewaren. Onder de AVG moet het bedrijf binnen 30 dagen antwoorden – al kan het zijn dat ze door de hack wat meer tijd nodig hebben.
Consumenten moeten nu hun rechten opeisen. Vraag bedrijven welke gegevens ze van je hebben, waarom ze die bewaren, en wanneer ze worden verwijderd. Het is jouw informatie.
— Vera Koster, Directeur Privacy First
Wat Gebeurt Er Nu?
De Autoriteit Persoonsgegevens heeft aangekondigd dat het onderzoek naar Odido’s bewaartermijnen prioriteit krijgt. Als blijkt dat het bedrijf gegevens langer bewaart dan toegestaan, kunnen er forse boetes volgen – tot wel 4% van de jaaromzet.
Maar belangrijker nog: dit onderzoek kan een precedent scheppen voor de hele telecomsector. Andere providers zoals KPN en VodafoneZiggo kijken gespannen toe, want zij hanteren waarschijnlijk vergelijkbare praktijken.
Voor consumenten betekent dit dat er eindelijk meer duidelijkheid kan komen over een van de meest ondoorzichtige aspecten van onze digitale privacy: wat gebeurt er met onze gegevens nadat we klant af zijn?
FAQs
Hoe lang mag Odido mijn gegevens bewaren?
Voor de meeste gegevens geldt een maximum van 7 jaar na beëindiging van je contract, maar alleen voor specifieke doeleinden zoals administratie.
Kan ik eisen dat mijn oude gegevens worden verwijderd?
Ja, je hebt het recht op vergetelheid onder de AVG, tenzij er een wettelijke verplichting is om de gegevens te bewaren.
Hoe weet ik of mijn gegevens zijn gestolen in de hack?
Odido moet alle getroffen klanten informeren. Check ook je e-mail en de website van Odido voor updates.
Wat moet ik doen als ik denk dat mijn gegevens zijn misbruikt?
Neem direct contact op met je bank, wijzig je wachtwoorden en doe aangifte bij de politie als je financiële schade hebt.
Kan ik schadevergoeding eisen van Odido?
Mogelijk wel, vooral als je aantoonbare schade hebt geleden door de datalek. Overweeg juridisch advies in te winnen.
Worden andere telecombedrijven ook onderzocht?
Het huidige onderzoek richt zich op Odido, maar de uitkomsten kunnen leiden tot bredere controles in de sector.