De Autoriteit Persoonsgegevens (AP) is een formeel onderzoek gestart naar de bewaartermijnen van klantgegevens bij telecombedrijf Odido. Dit volgt op een recent datalek waarbij persoonlijke data van miljoenen klanten zijn blootgesteld. Tegelijkertijd onderzoekt de Rijksinspectie Digitale Infrastructuur (RDI) in samenwerking met de AP of de technische beveiliging bij Odido voldeed aan de geldende eisen.

De AP houdt toezicht op de naleving van de Algemene verordening gegevensbescherming (AVG), die onder meer voorschrijft dat persoonsgegevens niet langer bewaard mogen worden dan strikt noodzakelijk. Dit principe, dataminimalisatie genoemd, is bedoeld om het risico op datalekken te beperken. Het incident bij Odido leidde tot veel maatschappelijke onrust en honderden klachten van (voormalige) klanten wier gegevens waren gelekt, ondanks dat zij al geruime tijd geen klant meer waren.

AP-vicevoorzitter Monique Verdier benadrukt dat de AP alle signalen serieus neemt. De toezichthouder heeft eerder al informatie opgevraagd over de bewaartermijnen bij Odido en ziet nu aanleiding om het onderzoek te formaliseren. De RDI voert het onderzoek uit op basis van de Telecommunicatiewet en de Regeling veiligheid en integriteit telecommunicatie, waarbij de focus ligt op de technische beveiliging van de data. Dankzij hun specifieke telecomexpertise neemt de RDI hierin het voortouw.

De samenwerking tussen AP en RDI zorgt ervoor dat zowel de privacyaspecten als de technische beveiliging van de persoonsgegevens grondig worden onderzocht. Dit onderzoek volgt op meldingen van onder andere Europol en Techzine.