De Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur starten een formeel onderzoek naar Odido. Dat onderzoek volgt op het grote datalek van vorige maand, waarbij persoonsgegevens van miljoenen klanten gestolen werden. Het onderzoek kijkt naar twee zaken. Te lange opslag van klantgegevens en de staat van de beveiliging bij de telecomprovider.
De twee toezichthouders hebben de afgelopen tijd al informatie bij Odido opgevraagd over bewaartermijnen van persoonsgegevens. Dat leverde genoeg aanleiding op voor een formeel onderzoek. De AP ontving daarbij honderden klachten van gedupeerden die al jaren geen klant meer waren bij Odido. Toch kregen ook zij een mail dat ook hun gegevens waren ontvreemd.
Odido geeft in zijn privacybeleid aan gegevens niet langer dan twee jaar na afloop van een contract te bewaren. Maar eerder bleek al dat dit in de praktijk niet klopte. Uit onderzoek van RTL Nieuws bleek eerder al dat van meer dan 44.000 oud-klanten informatie op straat was beland. Sommigen daarvan waren al meer dan tien jaar weg bij de provider.
Beveiliging ook onder de loep
Naast de bewaartermijnen onderzoekt de AP ook hoe goed Odido de persoonsgegevens had beveiligd. Dat er iets mis was met die beveiliging, werd al snel duidelijk na het lek. De aanval bleek het resultaat van phishing via een Salesforce-omgeving. Daarbij misleidden criminelen medewerkers om multifactorauthenticatie te omzeilen. Odido heeft na het incident laten weten zijn beveiliging te versterken.
Het datalek is inmiddels uitgegroeid tot een van de grootste in Nederland. Hackersgroep ShinyHunters eiste losgeld, maar Odido weigerde te betalen, waarna alle gestolen data op het darkweb verscheen. De AP vroeg gedupeerden eerder al te stoppen met het indienen van meldingen, omdat de situatie inmiddels duidelijk genoeg was.
Strafrechtelijk onderzoek loopt ook
Het toezichtsonderzoek van de AP en RDI staat niet op zichzelf. Het Openbaar Ministerie startte eerder al een onderzoek naar de cyberaanval. Het OM deelde daarbij dat het de zaak hoog opneemt, mede vanwege de omvang van het lek. De provider spreekt zelf over 6,2 miljoen getroffen klantgegevens, al claimt het hackerscollectief dat het er 8 miljoen zijn.