Het bedrijf kon een volledige database van alle winkeldiefstallen uit de systemen van de politie downloaden, schrijft De Telegraaf. SODA kreeg op die manier veel meer gegevens in handen dan de bedoeling was.

Een woordvoerder van de Nationale Politie zegt tegen De Telegraaf dat de praktijk "niet conform de wet" was. Onder de privacywet mogen persoonsgegevens alleen verwerkt worden voor het doel waarvoor ze oorspronkelijk zijn verzameld, en niet zomaar gedeeld worden.

Winkeliers die een winkeldief op heterdaad betrappen, kunnen op de dader een schadevergoeding van 181 euro verhalen. Zij kunnen de afhandeling van de zaak overlaten aan een bedrijf zoals SODA. Dit bedrijf kan bij de politie aankloppen om de persoonsgegevens van een winkeldief te achterhalen als de dader een vals adres opgeeft.

Naast SODA zijn er in Nederland nog twee partijen die namens winkeliers de schadeclaims namens de winkelier afhandelen. Het bedrijf Overlastregistratie Nederland ontdekte de grootschalige toegang van zijn concurrent SODA.

Overlastregistratie Nederland en Detailhandel Nederland, de derde partij, moeten bij een verzoek om gegevens telkens een brief sturen, terwijl SODA - gerund door een oud-politieagent - eenvoudig digitale toegang had.

De korpsleiding van de politie ontdekte het datalek volgens De Telegraaf in het voorjaar van 2018. Een woordvoerder zegt dat er toen maatregelen zijn genomen om de gegevenstoegang in te perken.