Het recente datalek bij telecomprovider Odido blijkt omvangrijker dan eerder gemeld. Uit onderzoek van RTL Nieuws komt naar voren dat in de gelekte klantgegevens ook burgerservicenummers (BSN’s) zijn opgenomen. Dat staat haaks op eerdere communicatie van het bedrijf, waarin werd gesteld dat er géén BSN’s in de buitgemaakte data voorkwamen.
BSN’s via oude btw-nummers
De nieuwe informatie van RTL Nieuws onthult er vele BSN’s van zakelijke klanten die als zelfstandige zonder personeel (zzp’er) geregistreerd stonden zijn gelekt. Tot 2020 bestond het btw-nummer van eenmanszaken namelijk uit het BSN van de ondernemer, aangevuld met een toevoeging. Die nummers zijn terug te vinden in het klantensysteem onder het kopje ‘btw-nummer’. het zou volgens RTL gaan om tientallen van deze nummers.
Hoewel Odido op zijn website stelt dat het geen BSN’s opslaat in zijn systemen, blijken deze gegevens via de oude btw-registraties toch aanwezig te zijn geweest in de gelekte dataset. Opvallend is bovendien dat sommige betrokken zelfstandigen al jaren geen klant meer zijn en zelfs uitgeschreven staan bij de Kamer van Koophandel, terwijl hun gegevens nog in het systeem stonden.
Boze gedupeerden
Een voormalige klant wiens BSN in de gelekte data voorkomt, reageert verontwaardigd. Hij zegt geen enkele melding, excuses of aanbod tot schadevergoeding van Odido te hebben ontvangen. De telecomaanbieder wil inhoudelijk niet reageren zolang het interne onderzoek loopt.
De kwestie heeft ook de aandacht getrokken van de Autoriteit Persoonsgegevens. De toezichthouder heeft Odido om opheldering gevraagd, onder meer over het mogelijk te lang bewaren van persoonsgegevens.
Waarom een BSN zo gevoelig is
Een burgerservicenummer is een uniek identificatienummer dat wordt gebruikt in contact met de overheid en andere officiële instanties. Het nummer kan niet eenvoudig worden gewijzigd. Wanneer criminelen beschikken over een BSN, kunnen zij zich bijvoorbeeld voordoen als bankmedewerker of overheidsinstantie om vertrouwen te wekken bij slachtoffers van fraude.
Het datalek bij Odido roept daarmee vragen op over databeveiliging en bewaartermijnen van gevoelige informatie. Zolang het onderzoek loopt, blijft onduidelijk hoeveel personen precies zijn getroffen en welke aanvullende maatregelen worden genomen om herhaling te voorkomen.
