Aanleiding voor het onderzoek zijn onder meer honderden klachten van consumenten die aangeven dat hun gegevens zijn gelekt, terwijl zij al langere tijd geen klant meer waren. Dit roept vragen op over de bewaartermijnen van klantdata en de naleving van de Algemene verordening gegevensbescherming. Binnen deze wet geldt het principe van dataminimalisatie: persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk.

Volgens Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens, onderstreept de situatie de ernst van het incident. ‘Het datalek heeft veel losgemaakt in de samenleving. De AP neemt alle signalen serieus.’ Ze voegt toe dat de toezichthouder eerder al informatie heeft opgevraagd bij Odido over de bewaartermijnen van gegevens en nu aanleiding ziet voor een formeel onderzoek.

De RDI richt zich in het gezamenlijke traject op de technische kant van het incident, op basis van de Telecommunicatiewet en de Regeling veiligheid en integriteit telecommunicatie. De inspectie brengt specifieke telecomexpertise in, terwijl de AP zich concentreert op de bescherming van persoonsgegevens.