Moet dat zo, Odido? Hack maakt duidelijk dat bedrijven veel te veel informatie van klanten opslaan | LC commentaar

In dit artikel:

Begin jaren tachtig illustreerde een sketch hoe bedrijven hun klanten geruststellen terwijl de werkelijkheid anders is — een beeld dat terugkomt bij de recente grote datalek bij telecombedrijf Odido, twee weken geleden. Miljoenen klanten zijn getroffen: er is sprake van een enorme hoeveelheid persoonsgegevens die in verkeerde handen zijn gekomen. Het gaat om namen, adressen, telefoonnummers, e‑mailadressen, bankgegevens, geboortedata en gegevens van paspoort of rijbewijs.

Odido stuurde een bericht waarin klanten werd gevraagd alert te zijn, maar nuanceerde de ernst door te spreken van een ‘mogelijke’ lek. Tegelijkertijd stelt het bedrijf dat beveiliging een topprioriteit is en vermijdt het een duidelijke erkenning van falen. Die tegenstrijdigheid doet pijn omdat de omvang van de buit duidelijk maakt dat kwaadwillenden veel misbruik kunnen maken van de gegevens.

De gebeurtenis zet een bredere vraag op scherp: waarom bewaren bedrijven zulke gevoelige klantgegevens jarenlang? Odido houdt volgens eigen informatie klantdata tot twee jaar na beëindiging van een contract, onder meer voor het terugwinnen van klanten en commerciële benadering. Dat illustreert hoe bedrijfsbelang vaak zwaarder lijkt te wegen dan terughoudendheid met persoonsgegevens.

De column roept het nieuwe kabinet op snel regels te scherpen over welke klantgegevens bedrijven mogen opslaan en hoe lang, en wijst op een patroon van inbraken bij grote organisaties (zoals KLM, Ticketmaster, Microsoft). De boodschap is duidelijk: minder en kortere opslag van persoonsgegevens zou de schade bij toekomstige hacks aanzienlijk kunnen beperken.