De Autoriteit Persoonsgegevens (AP) is een formeel onderzoek gestart naar Odido. Aanleiding is het vermoeden dat de telecomaanbieder persoonsgegevens van klanten — en met name ex-klanten — te lang heeft bewaard. Dat vermoeden ontstond na het grootschalige datalek waarbij ook mensen werden getroffen die al lange tijd geen klant meer waren.

De kwestie raakt een van de meest fundamentele, maar tegelijkertijd vaak onderschatte regels uit de privacywetgeving: persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk. Dat klinkt eenvoudig, maar in de praktijk blijkt dit juist een van de lastigste onderdelen van compliance.

Een datalek dat verder teruggaat dan verwacht

Na de hack bij Odido door de groep ShinyHunters, kwam aan het licht dat gegevens van miljoenen klanten waren buitgemaakt. Opvallend was dat ook personen die al geruime tijd geen klant meer waren, bericht kregen dat hun gegevens onderdeel waren van het lek. Dat wringt met het privacybeleid van Odido zelf, waarin wordt aangegeven dat gegevens tot twee jaar na het einde van een abonnement worden bewaard.

Voor de AP was dit voldoende aanleiding om verder te kijken. Het feit dat honderden betrokkenen zich meldden met dezelfde klacht, wijst mogelijk op een structureel probleem in de omgang met bewaartermijnen.

Meer dan alleen privacy: ook de techniek onder de loep

Het onderzoek blijft niet beperkt tot de AVG. De Rijksinspectie Digitale Infrastructuur (RDI) onderzoekt parallel of de technische beveiliging van de systemen voldeed aan de eisen uit de Telecommunicatiewet. Daarmee ontstaat een typisch tweesporenonderzoek: de AP kijkt naar de bescherming van persoonsgegevens, terwijl de RDI zich richt op de technische integriteit van de infrastructuur.

Volgens eerste berichten kregen aanvallers toegang via phishing en wisten zij een CRM-systeem binnen te dringen. Hierdoor komt een klassiek spanningsveld naar voren. Organisaties investeren vaak in geavanceerde beveiliging, maar een zwakke schakel in identiteitscontrole kan het hele systeem ondermijnen.

De kern van het probleem: dataminimalisatie

Uiteindelijk draait de zaak om een kernbeginsel uit de AVG: dataminimalisatie. Dit beginsel, vastgelegd in artikel 5 AVG, verplicht organisaties om niet meer gegevens te verwerken dan nodig is, en vooral om gegevens niet langer te bewaren dan noodzakelijk voor het doel waarvoor ze zijn verzameld.

Die norm is bewust open geformuleerd. De wetgever heeft ervoor gekozen om geen vaste bewaartermijnen op te nemen, juist omdat die per sector en per type gegevens sterk kunnen verschillen. Dat betekent echter ook dat organisaties zelf moeten onderbouwen waarom zij gegevens bewaren en hoe lang.

Hoe lang is “noodzakelijk”?

Dat is precies waar het in de praktijk vaak misgaat. Tijdens een lopende klantrelatie is het doorgaans duidelijk waarom gegevens worden bewaard: dienstverlening, facturatie en communicatie vereisen nu eenmaal verwerking van persoonsgegevens. Na afloop van die relatie wordt het complexer.

Sommige gegevens moeten nog worden bewaard vanwege wettelijke verplichtingen, zoals fiscale bewaarplichten die tot zeven jaar kunnen lopen. Andere gegevens kunnen relevant blijven in verband met mogelijke juridische claims, waarbij verjaringstermijnen een rol spelen. Maar voor veel andere data — denk aan gebruiksgegevens, marketinginformatie of profieldata — ontbreekt zo’n duidelijke noodzaak zodra de relatie eindigt.

Daar zit het spanningsveld. Organisaties bewaren gegevens vaak “voor de zekerheid”, terwijl de AVG juist het tegenovergestelde verlangt, namelijk actief verwijderen zodra het doel is vervallen.

Waarom dit juist bij datalekken problematisch wordt

De Odido-zaak laat zien waarom bewaartermijnen geen theoretisch onderwerp zijn. Hoe langer gegevens worden bewaard, hoe groter de potentiële impact van een datalek. Oude data — die eigenlijk al verwijderd had moeten zijn — vergroot de schade, het aantal betrokkenen en daarmee ook het toezicht- en aansprakelijkheidsrisico.

In die zin zijn bewaartermijnen en beveiliging geen losse onderwerpen, maar twee kanten van dezelfde medaille. Goede beveiliging beperkt de kans op een incident en strikte dataretentie beperkt de impact als het toch misgaat.

Waar moeten organisaties op letten?

Wat deze zaak vooral duidelijk maakt, is dat compliance niet stopt bij het opstellen van een privacyverklaring. Het enkele feit dat Odido een bewaartermijn van twee jaar noemt, is niet doorslaggevend als de praktijk daar niet mee in lijn is. Toezichthouders kijken naar de feitelijke uitvoering: worden gegevens daadwerkelijk verwijderd, en kan de organisatie dat aantonen?

Voor veel organisaties ligt daar nog werk. Datastromen zijn complex, systemen versnipperd en historische data lastig te beheren. Maar juist daarom is het essentieel om bewaartermijnen niet alleen juridisch, maar ook technisch te implementeren.

Conclusie

De zaak rond Odido onderstreept dat data die niet meer nodig zijn, verwijderd moeten worden zodra er geen noodzaak meer is.

Wilt u weten waar u staat omtrent de bewaartermijnen van persoonsgegevens? Of wilt u graag uw privacyverklaring of intern privacybeleid laten toetsen?

Bij Legalz krijgt u snel en duidelijk juridisch advies van specialisten op het gebied van ICT-recht. Neem vandaag nog vrijblijvend contact op en wij denken met u mee over uw situatie. Klik op onderstaande button en wij nemen contact met u op. Of bel ons direct op telefoonnummer 010-2290646.