AVG in de praktijk: lessen uit het Odido-datalek

6,2 miljoen Nederlanders; namen, adressen, IBAN-nummers, paspoortnummers. Alle gegevens liggen op straat.

Het datalek bij Odido is geen ver-van-mijn-bedshow. Het is een keiharde wake-up call.
Hackers kwamen binnen via social engineering bij callcentermedewerkers, zonder geavanceerde hack. Gewoon iemand die de telefoon opnam en de verkeerde vraag beantwoordde.
En dan blijkt Odido ook nog gegevens van oud-klanten te bewaren – soms meer dan 10 jaar na beëindiging van het contract. Hun eigen privacystatement zegt: maximaal twee jaar. Het OM is een strafrechtelijk onderzoek gestart. De Autoriteit Persoonsgegevens houdt actief toezicht. De maximale boete? 4% van de wereldwijde jaaromzet. Bij Odido: tot 92 miljoen euro.

Wat betekent dit voor jouw organisatie?

De AVG is geen papieren tijger. Het is een roofdier dat wakker is geworden.

Elke organisatie die persoonsgegevens verwerkt, heeft verplichtingen:
✅ Passende technische en organisatorische beveiligingsmaatregelen (art. 32 AVG)
✅ Meldplicht bij datalekken – binnen 72 uur (art. 33 AVG)
✅ Bewaartermijnen respecteren – niet langer bewaren dan noodzakelijk
✅ Verwerkersovereenkomsten op orde met leveranciers en verwerkers
✅ Een actueel privacybeleid dat ook daadwerkelijk wordt nageleefd

De les van Odido? Het gaat niet alleen om de techniek. Het gaat om bewustzijn, beleid én naleving.

Bij facily LAW helpen wij ondernemers om hun privacybeleid tegen het licht te houden. Van verwerkersovereenkomsten tot bewaartermijnen, van datalekprotocol tot bewustwordingstraining.

Liever voorkomen dan genezen – en liever nu dan na het lek.

Interesse? Neem contact met onze AVG-specialisten voor een AVG-quickscan van jouw organisatie.