Bedrijven vragen consumenten vaak om persoonlijke gegevens zoals geboortedatum, telefoonnummer, adres of zelfs een kopie van een identiteitsbewijs, terwijl die informatie soms niet strikt noodzakelijk is. Dit vergroot het risico dat hackers deze gegevens stelen en online publiceren, zoals gebeurde bij telecomprovider Odido, waarbij miljoenen klantgegevens werden buitgemaakt door de criminele groep ShinyHunters. Odido weigerde losgeld te betalen, waarna de hackers de data openbaar maakten.

Met gestolen persoonsgegevens kunnen criminelen bijvoorbeeld bankrekeningen openen of abonnementen afsluiten op naam van slachtoffers. Identiteitsfraude neemt hierdoor toe; in 2025 waren er bijna 9000 meldingen, en dit jaar lijkt het aantal meldingen tot nu toe nog hoger te liggen. Odido was dagenlang niet op de hoogte van de datadiefstal, maar blijft achter het besluit staan om geen losgeld te betalen. Daarentegen koos het moederbedrijf van het eveneens door ShinyHunters aangevallen onderwijsplatform Canvas voor een akkoord met de hackers, die in ruil voor verwijdering van de gestolen gegevens wereldwijd de data terugtrokken.

Volgens Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP), mogen bedrijven alleen persoonsgegevens vragen die strikt noodzakelijk zijn voor het doel, zoals het verkopen van een product of het maken van een reservering. Bedrijven mogen klanten niet weigeren als zij weigeren onnodige gegevens te verstrekken. Dit is ook vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Privacy-adviseur Floor Terra benadrukt dat bedrijven vaak meer gegevens vragen dan nodig is of deze te lang bewaren. In de praktijk is de mogelijkheid om ‘nee’ te zeggen beperkt, bijvoorbeeld wanneer een parkeergarage e-mailadressen vraagt terwijl dat niet nodig is.

Er is volgens Terra te weinig toezicht op de naleving van deze regels. De AP geeft veel voorlichting aan bedrijven en kan handhavend optreden en boetes opleggen als het misgaat, maar dit gebeurt relatief weinig. Klachten van consumenten zijn daarbij essentieel, omdat veel problemen anders onzichtbaar blijven. Terra pleit ook voor moderne identificatiemethoden, zoals een digitale manier om bijvoorbeeld leeftijd te bewijzen zonder het hele paspoort te tonen. Nederland werkt momenteel aan zo’n oplossing met de nationale NL ID-wallet, die echter nog niet beschikbaar is.