DEN HAAG – Telecomprovider Odido onderzoekt of het oude gegevens te lang heeft bewaard. Het telecombedrijf zegt vragen te hebben gekregen van mensen die zeggen al jaren weg te zijn als klant en toch een mail kregen waarin staat dat hun persoonsgegevens mogelijk zijn gelekt bij een grote hack die vorige week bekend werd.
Het Financieele Dagblad schreef dat Odido persoonsgegevens van vertrokken klanten langer bewaart dan het zelf belooft. In het privacystatement staat dat contractgegevens tot maximaal twee jaar na het beëindigen van het contract worden bewaard. Na het datalek meldden oud-klanten die al vijf of tien jaar weg waren een waarschuwingsmail te hebben gekregen van Odido dat hun gegevens mogelijk waren gelekt, meldde de krant.
De “huidige inschatting” van Odido is dat het kan gaan om gegevens waarvoor de bewaartermijn langer was dan twee jaar, zegt een woordvoerder. Er gelden verschillende bewaartermijnen voor gegevens, afhankelijk van het doel waarvoor ze worden opgeslagen. In Odido’s privacystatement staat bijvoorbeeld dat het telecombedrijf gegevens rond een toestelkrediet tot maximaal vijf jaar na het aflossen van de lening bewaart.
Europese privacywetgeving schrijft voor dat bedrijven bij het verwerken van persoonsgegevens die data niet langer dan noodzakelijk bewaren. In de Algemene verordening gegevensbescherming staat geen vaste maximale termijn voor het bewaren van persoonsgegevens, maar bedrijven geven die wel zelf aan in hun privacyverklaring.
Odido meldde vorige week dat de persoonsgegevens van 6,2 miljoen accounts zijn gelekt bij een cyberaanval. Het gaat onder meer om de naam, het adres, rekeningnummers en nummers van identificatiepapieren.
