Puinhoop bij Odido nóg groter: routers stuurden data door naar Amerikaans bedrijf

De onthulling komt voort uit onderzoek van ethisch hacker Sipke Mellema. Pas nadat De Telegraaf vragen stelde, lijkt Odido de software van zijn routers te hebben aangepast en het doorsturen van gegevens te hebben stopgezet. Hoe verzin je het?

De routers van Odido verzamelden informatie over apparaten die verbinding maakten met het thuisnetwerk. Het ging onder meer om zogeheten MAC-adressen. Dat zijn unieke identificatienummers van netwerkapparaten, zoals smartphones, laptops en smart-tv’s. Naast deze MAC-adressen werden ook de namen van apparaten doorgestuurd. Denk aan herkenbare labels zoals “Telefoon van …” of “Apple TV in de woonkamer”.

Volgens het onderzoek kwamen deze gegevens terecht bij het Amerikaanse AI-bedrijf Lifemote. Dat bedrijf ontwikkelt software voor netwerkdiagnose en analyse van internetverbindingen. Maar de verzameling ging verder dan alleen apparaten binnen het eigen netwerk.

De routers registreerden ook informatie over WiFi-netwerken in de buurt. Daarbij werden eveneens MAC-adressen opgeslagen. Zelfs mobiele hotspots van telefoons konden in de dataset terechtkomen. Dat betekent dat niet alleen klanten van Odido in beeld kwamen, maar ook apparaten van mensen in de omgeving.

Hoewel het hier niet direct om inhoud van communicatie gaat, kan de verzamelde metadata wel degelijk privacygevoelig zijn. Volgens ethisch hacker Sipke Mellema kunnen MAC-adressen namelijk worden gebruikt om apparaten te volgen.

Hij zegt hierover tegen De Telegraaf: “Een database met al deze metadata zou kunnen worden gebruikt om bij te houden waar apparaten zijn geweest. Zodra je het MAC-adres van iemand weet, weet je bij welke routers iemand in de buurt is en dus waar iemand zich ongeveer bevindt.”

Met andere woorden: wie een grote database met MAC-adressen opbouwt, kan in theorie bewegingen van apparaten en hun gebruikers reconstrueren. Dat maakt dergelijke datasets waardevol voor analyse, maar ook riskant voor privacy.

Privacy-experts wijzen er al langer op dat MAC-adressen juridisch als persoonsgegevens kunnen gelden. De Nederlandse Autoriteit Persoonsgegevens heeft eerder aangegeven dat organisaties zorgvuldig moeten omgaan met dit soort gegevens.

Wat de zaak extra gevoelig maakt, is dat het doorsturen van data naar een Amerikaans bedrijf niet duidelijk stond beschreven in het privacybeleid van Odido. Volgens de informatie op de website werd wel vermeld dat het modem gegevens over apparaten kan verzamelen, waaronder MAC-adressen. Maar dat deze data naar een externe partij in de Verenigde Staten werd doorgestuurd, stond daar niet expliciet bij.

Voor klanten betekent dat dat zij niet wisten dat hun router actief informatie deelde met een derde partij. Dat raakt aan een kernprincipe van Europese privacywetgeving: transparantie. Bedrijven moeten duidelijk uitleggen welke data ze verzamelen en met wie die gegevens worden gedeeld.

Op vragen van De Telegraaf wil Odido niet inhoudelijk reageren op de kwestie. Het bedrijf verwijst alleen naar het bestaande privacybeleid op de website. Wel bevestigt de provider dat de software van de routers inmiddels is aangepast. Daarmee is het delen van gegevens met Lifemote stopgezet. Waarom de data überhaupt werd gedeeld en hoe lang dat precies heeft plaatsgevonden, blijft vooralsnog onduidelijk.