Jarenlang verstuurden Odido-routers stilletjes gevoelige gegevens over jouw thuisnetwerk naar het Amerikaanse AI-bedrijf Lifemote, zonder dat klanten hierover werden geïnformeerd. Ethisch hacker Sipke Mellema ontdekte de datadeling als eerste en publiceerde zijn bevindingen online. Pas nadat De Telegraaf vragen stelde aan Odido, paste het bedrijf de routersoftware aan en stopte de gegevensstroom naar de VS.
Wat ging er precies mis?
Odido-routers stuurden MAC-adressen mee van alle apparaten op het thuisnetwerk, plus de namen van die apparaten, zoals "Telefoon van Jan" of "Apple TV in de woonkamer. Ook de namen en MAC-adressen van omliggende wifi-netwerken en hotspots die gebruikers zelf aanzetten, werden geregistreerd en doorgestuurd naar servers buiten Nederland.
In het privacybeleid van Odido staat alleen dat modemgegevens worden verzameld, niet dat deze data naar een derde partij in de VS gaat. Dat is een cruciaal verschil. Intern verzamelen voor kwaliteitsbeheer is iets heel anders dan gegevens overdragen aan een buitenlands bedrijf zonder expliciete melding aan klanten.
Wie is Lifemote en wat doet het met die data?
Lifemote is een Amerikaans AI-bedrijf dat internetproviders helpt met wifi-analyse via data uit miljoenen huishoudens. Het bedrijf biedt storingsoplossingen en ondersteunt supportteams via geautomatiseerde aanbevelingen. Op papier klinkt dat nuttig, maar het veronderstelt dat jij hebt ingestemd met het delen van gedetailleerde data over alle apparaten in jouw huis.
Mellema ontdekte daarbij een concreet beveiligingsprobleem: de router haalde via een onversleutelde verbinding een bash-script op bij Lifemote, waarbij curl werd gebruikt met de optie --insecure, die TLS-verificatie volledig uitschakelt. De vraag of Lifemote zich houdt aan de verwerkingsovereenkomst met Odido is daarmee meer dan terecht.
Waarom dit meer is dan technisch geneuzel
Privacy-expert Brenno de Winter wijst erop dat een partij als Lifemote de data ook commercieel kan benutten voor zeer gerichte advertenties. De Autoriteit Persoonsgegevens benadrukt dat MAC-adressen persoonsgegevens zijn en dat het doorsturen daarvan een geldige rechtsbasis vereist onder de AVG.
Gecombineerd met andere datasets kunnen MAC-adressen worden gebruikt om individuen te de-anonimiseren en gedragspatronen te reconstrueren. Apparaatnamen bevatten bovendien regelrecht persoonlijke informatie. De overdracht naar de VS roept daarbij specifieke vragen op over de benodigde standaardcontractbepalingen voor grensoverschrijdende datatransfers.
Odido en privacy: een patroon, geen incident
Dit is niet de eerste keer dat Odido in de fout gaat. De Rijksinspectie Digitale Infrastructuur legde Odido eerder een boete op van 175.000 euro nadat bleek dat het bedrijf verkeersgegevens van miljoenen abonnees verwerkte voor een project met het CBS, zonder te voldoen aan de Telecommunicatiewet.
Daarna volgde een nog groter incident. Bij een omvangrijk datalek raakten gegevens van 6,2 miljoen klanten gestolen, waaronder namen, adressen en IBAN-nummers. Odido stelde dat slachtoffers niet automatisch recht hebben op schadevergoeding, maar juristen wijzen erop dat inadequate beveiliging alsnog tot aansprakelijkheid kan leiden.
Wat kun jij als Odido-klant nu doen?
De routersoftware is gepatcht en het datadelen met Lifemote is gestopt, maar dat betekent niet dat je niets meer hoeft te doen. Controleer of je routerfirmware up-to-date is en dien een inzageverzoek in via je Mijn Odido-account om te zien welke gegevens er over jou zijn verwerkt en met wie ze zijn gedeeld.
Wil je verdergaan, dan kun je een verwijderingsverzoek indienen bij Odido en een klacht melden bij de Autoriteit Persoonsgegevens. Dat is gratis en kan de toezichthouder aanleiding geven tot een formeel onderzoek naar Odido.
Conclusie: vertrouwen opbouwen kost jaren, verliezen gaat snel
Odido heeft nu drie keer in korte tijd de privacy van klanten geschonden: de CBS-boete, het grote datalek en nu de stille datadeling met Lifemote. De routersoftware is gepatcht, maar de fundamentele vraag blijft staan: wanneer neemt Odido structureel verantwoordelijkheid, en wanneer grijpt de toezichthouder echt in?
Als abonnee heb jij het recht om te weten wat er met jouw data gebeurt. Gebruik dat recht.
