De Autoriteit Persoonsgegevens onderzoekt een datalek bij telecombedrijf Odido in Nederland. De toezichthouder bekijkt ook of Odido klantgegevens te lang heeft bewaard, in strijd met de AVG. Het onderzoek volgt na een melding van het bedrijf over uitgelekte data van klanten en oud‑klanten. De kwestie raakt direct aan privacyregels en, breder, aan datagovernance onder de Europese AI‑verordening (AI Act) en de gevolgen voor telecombedrijven.
AP onderzoekt Odido datalek
De Autoriteit Persoonsgegevens (AP) is een formeel onderzoek gestart naar een incident waarbij persoonsgegevens van Odido zijn gelekt. Odido, het merk dat in 2023 T‑Mobile Nederland en Tele2 Mobiel verving, heeft het datalek gemeld zoals vereist. Het gaat om gegevens van klanten en mogelijk ook oud‑klanten. Hoeveel mensen precies geraakt zijn, is op het moment van schrijven niet openbaar gemaakt.
De toezichthouder kijkt naar de oorzaak van het lek en naar de snelheid waarmee Odido het incident heeft gestopt en bekendgemaakt. Ook beoordeelt de AP of de beveiligingsmaatregelen passend waren. Denk aan toegangsbeheer, versleuteling en monitoring. Die basismaatregelen zijn verplicht onder de AVG.
Daarnaast bekijkt de AP of Odido betrokken personen tijdig en duidelijk heeft geïnformeerd. Dat is verplicht als het risico op schade voor die personen hoog is. Heldere communicatie helpt misbruik, zoals phishing, te beperken. Onvolledige of late informatie kan het risico juist vergroten.
Vragen over bewaartermijnen
Centraal staat ook de vraag waarom gegevens van oud‑klanten nog beschikbaar waren. De AVG schrijft opslagbeperking voor: bedrijven mogen gegevens niet langer bewaren dan nodig is voor het doel. De AP toetst of Odido bewaartermijnen goed heeft vastgelegd en toegepast. Ook beoordeelt de toezichthouder of verwijder- of anonimiseerprocessen goed werken.
Opslagbeperking (AVG): bewaar persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor ze zijn verzameld.
Telecombedrijven mogen bepaalde data bewaren voor bijvoorbeeld facturatie, belasting of het oplossen van klachten. Maar extra jaren bewaren “voor het geval dat” is niet toegestaan. De AP zal vragen om een concrete juridische grond en een proportionele termijn. Zonder goede onderbouwing volgt vaak een aanwijzing om sneller te wissen.
In de praktijk blijven oude datasets soms liggen voor rapportages of analyses. Dat vergroot de impact als er iets misgaat. Minder kopieën en strakke bewaartermijnen verkleinen het risico. Dit incident onderstreept het belang van dataminimalisatie: alleen bewaren wat echt nodig is.
Plichten onder de AVG
Bij een datalek geldt een meldplicht aan de AP binnen 72 uur. Is er waarschijnlijk een hoog risico voor betrokkenen, dan moeten zij ook rechtstreeks geïnformeerd worden. In die melding hoort te staan welke gegevens zijn gelekt, welke risico’s er zijn en welke maatregelen zijn genomen. Transparantie is hier geen keuze, maar wet.
Beveiliging moet “passend” zijn: versleuteling, sterke authenticatie en logging zijn gangbaar. Voor risicovolle verwerkingen kan een Data Protection Impact Assessment (DPIA) nodig zijn. Bedrijven moeten verwerkingen en bewaartermijnen documenteren in een register. Dat maakt controleerbaar of regels worden gevolgd.
Voor telecom geldt bovendien de e‑privacyregelgeving in de Telecommunicatiewet. Die waarborgt de vertrouwelijkheid van communicatie en beperkt het gebruik van verkeers- en locatiegegevens. Bewaren mag alleen voor specifieke doelen, zoals facturatie of het oplossen van storingen, en niet langer dan nodig. Ook dat vraagt om strakke interne procedures.
Boetes en maatregelen AP
Als de AP overtredingen vaststelt, kan de toezichthouder een bindende aanwijzing geven. Ook kan een boete volgen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is. In datalekzaken weegt mee of er passende beveiliging was en of bedrijven snel en volledig hebben gemeld. Herstelmaatregelen tellen eveneens mee.
Onderzoeken duren vaak maanden, omdat technische en juridische analyses nodig zijn. Tussentijdse maatregelen zijn mogelijk als het risico voortduurt. Denk aan eisen rond versnelde opschoning of extra beveiliging. Bedrijven die aantoonbaar leren en verbeteren, beperken meestal schade en sancties.
Voor telecomaanbieders speelt daarnaast het bredere toezicht. De Autoriteit Consument & Markt (ACM) ziet toe op dienstverlening, maar privacy behoort tot het domein van de AP. Samenwerking tussen toezichthouders komt voor als dossiers elkaar raken. Dat bevordert consistentie in handhaving.
Gevolgen voor klanten
Een datalek vergroot de kans op misbruik van persoonsgegevens. Criminelen gebruiken namen en contactgegevens vaak voor gerichte phishing. Betrokkenen doen er goed aan alert te zijn op onverwachte berichten en verdachte links. Of er financiële gegevens zijn gelekt, is op het moment van schrijven niet bekendgemaakt.
Heldere klantcommunicatie is in deze fase cruciaal. Uitleg over wat is gebeurd, welke data zijn geraakt en welke steun beschikbaar is, geeft rust. Best practices zijn een centraal informatiepunt en duidelijke Q&A’s. Waar passend bieden bedrijven extra monitoring of ondersteuning aan.
Ook kunnen betrokkenen rechten uitoefenen, zoals inzage en verwijdering. Bij aantoonbare schade is een claim onder de AVG mogelijk. Dat zet extra druk op bedrijven om snel te herstellen en toekomstige incidenten te voorkomen. Vertrouwen terugwinnen kost tijd en consequent handelen.
AI‑verordening raakt datagebruik
Dit incident draait om privacy, maar raakt ook aan datagovernance voor algoritmen en kunstmatige intelligentie. De komende Europese AI‑verordening (AI Act) verplicht voor risicovolle systemen strengere eisen aan datakwaliteit, herkomst en logging. Telecombedrijven gebruiken al algoritmen voor netwerkbeheer, fraude-analyses en klantenservice. Goede bewaartermijnen en dataminimalisatie verkleinen daar eveneens de risico’s.
Wanneer historische datasets lang blijven bestaan, groeien ook de verplichtingen en de blootstelling. Kortere bewaartermijnen en systematische anonimisering helpen. Ze verkleinen niet alleen de schade bij een lek, maar maken ook AI‑compliance aantoonbaar. Dat is relevant voor audits en interne controles.
Praktisch betekent dit: een actueel datalandschap, minder doublures en geautomatiseerd wissen. Heldere doelen per dataset en strikte toegangsrechten horen daarbij. Zo ontstaat een sluitende keten van verzamelen tot verwijderen. Het Odido‑onderzoek laat zien dat die basis op orde moet zijn, vóórdat organisaties verder opschalen met data en AI.
