Na lek blijkt: Odido bewaart jouw gegevens jarenlang, ook als je geen klant meer bent

Als je denkt dat jouw gegevens van Odido (ooit: T‑Mobile) niet zijn gelekt omdat je allang een andere provider hebt, dan zit je ernaast. Het bedrijf sloeg klantgegevens veel te lang op, vermoedelijk in strijd met de wet, schrijft het FD.

De mobiele provider belooft in zijn privacystatement klantgegevens tot maximaal twee jaar na het einde van een contract te bewaren. Toch kregen ook oud‑klanten die vijf tot tien jaar geleden overstapten een mail over het grote datalek van afgelopen week. Hun naam, adres, klantnummer, e‑mailadres, IBAN, geboortedatum en zelfs identificatiegegevens als paspoort‑ of rijbewijsnummer konden zijn buitgemaakt.

Volgens de AVG mogen bedrijven persoonsgegevens niet langer bewaren dan nodig is voor het doel waarvoor ze zijn verzameld. Voor financiële administratie geldt meestal een bewaartermijn van zeven jaar, maar daarbovenop jarenlang complete klantprofielen bewaren is juridisch lastig te verdedigen. Juristen wijzen erop dat dit Odido extra kwetsbaar maakt, omdat het bedrijf miljoenen dossiers onnodig lang heeft laten rondslingeren op systemen die nu zijn gehackt.

Voor klanten en oud‑klanten betekent dit dat de kans op phishing en identiteitsfraude toeneemt. Criminelen kunnen met deze combinatie van gegevens zeer geloofwaardige mails, telefoontjes of identiteitsfraude opzetten, bijvoorbeeld door leningen af te sluiten of aankopen te doen op jouw naam.