Antwoord schriftelijke vragen : Antwoord op vragen van het lid El Boujdaini over het bericht 'Odido-routers stuurden klantgegevens naar Amerikaans AI-bedrijf'

Antwoord van Staatssecretaris Van Bruggen (Justitie en Veiligheid) en de Staatssecretaris
van Economische Zaken en Klimaat (ontvangen 8 april 2026).

Vraag 1

Bent u bekend met het bericht dat telecomprovider Odido zonder medeweten van klanten
MAC-adressen en apparaatnamen uit consumentenrouters heeft doorgestuurd naar een Amerikaans
AI-bedrijf?1

Antwoord 1

Ja.

Vraag 2

Kunt u toelichten in hoeverre MAC-adressen en apparaatnamen volgens de Algemene verordening
gegevensbescherming (AVG) als persoonsgegevens kunnen worden beschouwd?

Antwoord 2

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon
kan een persoonsgegeven zijn (artikel 4, eerste lid, van de Algemene Verordening Gegevensbescherming,
AVG). Ook een MAC-adres of een apparaatnaam kan als persoonsgegeven worden beschouwd.

Vraag 3

Hoe beoordeelt u de privacyrisico’s van het verzamelen en delen van deze gegevens,
omdat daarmee mogelijk ook huishoudens kunnen worden herkend of gevolgd?

Antwoord 3

Het is van belang dat persoonsgegevens worden verwerkt op een wijze die rechtmatig,
behoorlijk en transparant is. Een verwerking is bijvoorbeeld rechtmatig, als er toestemming
voor is gegeven, een gerechtvaardigd belang is of als de verwerking noodzakelijk is
voor de uitvoering van een overeenkomst. Het is niet aan het kabinet binnen het stelsel
van de AVG om in te gaan op individuele gevallen, maar in eerste instantie aan de
Autoriteit Persoonsgegevens (AP). De taken en bevoegdheden om op te treden tegen overtredingen
zijn vastgelegd in de AVG. De AP kan daartoe handhavend optreden, advies verstrekken
en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. Zij
toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels. De
AP is op de hoogte van de genoemde berichtgeving over Odido.

Vraag 4

Hoe beoordeelt u het feit dat deze gegevens naar een Amerikaans AI-bedrijf zijn doorgestuurd?

Antwoord 4

Doorgifte van persoonsgegevens naar een bedrijf dat buiten de Europese Economische
Ruimte (EER) is gevestigd is op grond van de AVG alleen toegestaan onder voorwaarden.
Persoonsgegevens mogen alleen buiten de EER worden verwerkt in overeenstemming met
de voorwaarden voor dergelijke doorgiften die zijn vastgelegd in hoofdstuk V van de
AVG. Bijvoorbeeld als de Europese Commissie een adequaatheidsbesluit heeft genomen
of dat er door het bedrijf passende waarborgen zijn genomen. Of in deze casus wel
of geen grondslag was voor het al dan niet delen van deze gegevens buiten de EER,
evenals de vraag of de waarborgen van hoofdstuk V van de AVG in acht zijn genomen,
is niet aan het kabinet om te beoordelen, maar aan de toezichthouder. De AP is op
de hoogte van de genoemde berichtgeving over Odido.

Vraag 5

Deelt u de opvatting van de Autoriteit Persoonsgegevens dat MAC-adressen kunnen worden
beschouwd als persoonsgegevens? Zo ja, welke eisen gelden voor het verzamelen en delen
van deze gegevens door telecomproviders?

Antwoord 5

Ja. Zie het antwoord op vraag 2. De AVG geeft algemene regels voor de verwerking van
persoonsgegevens. Daarnaast stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders.

Vraag 6

Welke risico’s ziet u voor de privacy en veiligheid van burgers wanneer grote hoeveelheden
metadata over wifi-netwerken en apparaten worden verzameld en mogelijk gecombineerd
met andere datasets?

Antwoord 6

Dat hangt af van de omstandigheden van het geval. Een risico dat volgt uit het niet
naleven van de AVG is in ieder geval dat de betrokkenen hun rechten niet (volledig)
kunnen uitoefenen. Denk hierbij aan het inzien, corrigeren, of verwijderen van hun
eigen persoonsgegevens.

Vraag 7

Is de Autoriteit Persoonsgegevens betrokken bij deze kwestie en wordt onderzocht of
Odido de privacyregels heeft nageleefd?

Antwoord 7

De AP is op de hoogte van de genoemde berichtgeving over Odido. Het is aan de AP om
opheldering te vragen aan Odido.

Vraag 8

Welke stappen verwacht u van Odido richting klanten, bijvoorbeeld om hen te informeren
over welke gegevens zijn gedeeld en welke maatregelen worden genomen om dit in de
toekomst te voorkomen?

Antwoord 8

Dit is niet aan het kabinet, maar in eerste instantie aan de AP. De AP toetst of sprake
is van strijdigheid met de Europese gegevensbeschermingsregels. In zijn algemeenheid
hangt het van meerdere factoren af. Onder andere de vraag of er een grondslag is voor
het verwerken van deze gegevens en, indien er sprake is van doorgifte buiten de EER,
of de waarborgen van de AVG in acht zijn genomen.

Vraag 9

Ziet u aanleiding om strengere eisen te stellen aan telecomproviders die AI-diensten
gebruiken, zodat gegevens van gebruikers beter worden beschermd en transparanter wordt
omgegaan met dataverzameling?

Antwoord 9

Nee. De AVG geeft duidelijke regels voor de bescherming van persoonsgegevens. Daarnaast
stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders. Ook de AI-verordening
kent een duidelijke set van regels. Er is wel aanleiding om het gesprek te voeren
met het veld, waaronder telecomaanbieders, over de bescherming van persoonsgegevens
in de praktijk. Vervolgens zal dit betrokken worden bij het voornemen om de toepassing
van de AVG in Nederland tegen het licht te houden.

Vraag 10

Kunt u de vragen afzonderlijk beantwoorden en dit doen voor 23 maart 2026 vanwege
het wetgevingsoverleg over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke
entiteiten?

Antwoord 10

Dat is helaas niet gelukt.