Odido op weg naar doemscenario: uitgebreid onderzoek door twee toezichthouders

Hackers maakten uitgebreide gegevens buit van minimaal 6,2 miljoen Nederlanders uit het klantenbestand van Odido. De hackers van de groep ShinyHunters maakten de gestolen data deels via het normale internet en een ander deel via het zogenaamde dark web openbaar. Dit nadat Odido weigerde een losgeld van zo'n miljoen euro aan de hackers over te maken. Dit deed de provider onder meer op advies van cyberexperts en politie.

Meldingen

De hele situatie heeft Odido op meerdere punten in een benarde positie gebracht. Het bedrijf heeft te maken met enorme merk- en imagoschade. Daar komt bij dat menig expert Odido ervan beticht te terughoudend te zijn met het informeren van klanten waarvan de persoonsgegevens gestolen zijn. Een ander heikel punt is dat ook data gestolen is van klanten die al jaren geen abonnee meer waren bij Odido of de voorgangers T-Mobile of Tele2. Providers mogen en moeten in bepaalde gevallen de persoonsgegevens enige tijd bewaren. Maar aan de bewaartermijn zit een limiet. Bij toezichthouder Autoriteit Persoonsgegevens (AP) zijn honderden klachten binnengekomen van Nederlanders die stellen dat hun persoonsgegevens als oud-klant te lang door Odido zijn bewaard.

Privacyregels

De Autoriteit Persoonsgegevens gaat op dit punt onderzoeken of Odido zich heeft gehouden aan de Europese privacyregels. De toezichthouder gaat hierbij van de stelling uit dat iets wat niet bewaard had mogen worden ook niet gestolen kan worden. Dit onderzoek is inmiddels in volle gang. De Autoriteit Persoonsgegevens heeft Odido vorige maand al opgedragen om de nodige informatie met betrekking tot mogelijke overtreding van privacyregels over te dragen.

Beveiliging

Daarnaast wordt Odido door de Autoriteit Persoonsgegevens samen met een andere toezichthouder, de Rijksinspectie Digitale Infrastructuur (RDI), aan de tand gevoeld over de technische beveiliging van de klantgegevens. Inspecteur-generaal Angeline van Dijk van de RDI benadrukt het belang van digitale weerbaarheid. "Als maatschappij moeten we kunnen vertrouwen op de veilige werking van onze vitale diensten", aldus de topvrouw bij de toezichthouder. De RDI legde Odido eerder al een boete op omdat het op ander vlak faalde met de beveiliging. Het ging hierbij om een afluistersysteem dat door het Openbaar Ministerie wordt gebruikt.

Buit

De hackers van ShinyHunters stalen meerdere gegevens van klanten die gecombineerd met elkaar voor een jarenlange dreiging door cybercriminelen voor gedupeerden kan zorgen. De gestolen buit betrof onder meer namen, adressen, mailadressen, telefoonnummers en bankrekeningnummers. Hierdoor moeten huidige en oud-klanten van Odido goed opletten bij ontvangen e-mails en sms-berichten. Ook bij telefoontjes van onbekenden of van mensen die opbellen namens een bankinstelling is oplettendheid geboden. Als compensatie voor het leed dat klanten is overkomen, biedt Odido al huidige klanten een gratis beveiligingspakket voor maximaal 5 apparaten voor een periode van 2 jaar aan.