Telecomprovider Odido kreeg boete vanwege schending privacy

Telecomprovider Odido kreeg een boete van de Rijksinspectie Digitale Infrastructuur (RDI) vanwege het schenden van de privacy van miljoenen abonnees. De boete van 175.000 euro werd opgelegd vanwege een samenwerking met het Centraal Bureau voor de Statistiek (CBS), waarover NRC in 2021 berichtte.

Tussen 2018 en 2020 werkten Odido en het CBS aan een algoritme om de verplaatsingen van groepen burgers te volgen op basis van locatiedata van mobiele bellers. Deze samenwerking omvatte het gebruik van ‘verkeersgegevens’ van 2,5 tot 4,5 miljoen abonnees van het voormalige T-Mobile netwerk, nu bekend als Odido. De RDI concludeerde na onderzoek dat de verkeersgegevens privacygevoelige informatie bevatten, zoals tijdstippen van telefoongesprekken en locaties van bellers.

Ondanks het gebruik van gepseudonimiseerde gegevens, die versleuteld waren maar toch te ontsleutelen bleken, zijn er geen bewijzen gevonden dat deze gegevens zijn herleidbaar naar individuele personen. De RDI benadrukte echter dat zelfs gepseudonimiseerde data als herleidbare gegevens worden beschouwd. Odido benadrukte dat er nooit persoonsgegevens zijn gedeeld met het CBS en is tevreden dat de RDI geen aanwijzingen vond voor het delen van niet-anonieme gegevens.

De boete, verlaagd van 450.000 euro tot 175.000 euro na een juridische strijd, benadrukt het belang van het beschermen van belgegevens van burgers. Odido heeft laten weten niet in beroep te gaan tegen de boete. Naar aanleiding van het incident heeft het CBS aanvullende maatregelen genomen om de privacy van burgers beter te waarborgen, waaronder het aanstellen van een chief privacy officer. De Autoriteit Persoonsgegevens (AP) houdt toezicht op het CBS en is betrokken geweest bij het nemen van deze maatregelen.