In het kort:

De Autoriteit Persoonsgegevens gaat onderzoeken of Odido de privacywetgeving heeft overtreden door klantgegevens te lang te bewaren.

• Honderden mensen meldden zich bij de AP met de klacht dat hun gestolen gegevens al jaren niet meer actueel waren.
• Volgens de privacywetgeving mogen bedrijven persoonsgegevens niet langer bewaren dan strikt noodzakelijk.
• "Wat er niet is, kan ook niet worden gestolen", benadrukt de AP.

Het grote plaatje:

Bij de cyberaanval vorige maand werden persoonlijke gegevens van miljoenen mensen buitgemaakt, wat grote maatschappelijke onrust veroorzaakte.

• "Het datalek heeft veel losgemaakt in de samenleving", zegt AP-vicevoorzitter Monique Verdier.
• De AP had al informatie opgevraagd over bewaartermijnen voordat het formele onderzoek werd aangekondigd.
• Naast het onderzoek naar bewaartermijnen kijkt de AP samen met de Rijksinspectie Digitale Infrastructuur ook naar de beveiliging van het klantsysteem.

Wat volgt:

De Rijksinspectie Digitale Infrastructuur onderzoekt de technische kant van de beveiliging. De inspectie begon kort na de cyberaanval al met het verzamelen van feiten en omstandigheden rondom het incident.