Kijk & Luister
Lees voor
Word lid van Omroep MAX Word lid
Omroep MAX
NPO Start
Registeren Inloggen
Doe een melding!
Registeren Inloggen
Doe een melding!
Categorie: Veiligheid

Consumentencollectief CUIC start massaclaim tegen Odidona na datalekken: ‘Veiligheid van klantgegevens als sluitstuk van bedrijfsvoering beschouwd’

De langverwachte massaclaim tegen Odido wegens privacyschending na datalekken komt nu daadwerkelijk van de grond. Privacystichting Consumers United in Court (CUIC) heeft de handschoen opgepakt. Dit consumentencollectief zegt dat de zaak niet alleen om die hack zelf zal draaien. Ook wil CUIC de laksheid waarmee Odido is omgesprongen met gevoelige gegevens van haar klanten en oud-klanten aan de kaak stellen.

Datalekken bij Odido

In februari markeert de hack bij Odido een van de grootste datalekken uit de Nederlandse geschiedenis. CUIC stelt dat de persoonlijke gegevens van 6 miljoen (oud-)klanten zijn blootgesteld aan het risico van misbruik door Shinyhunters. Als deze hackgroep vervolgens miljoenen euro’s losgeld eist, laat Odido weten dat het weigert te gaan betalen.

Al gauw wordt duidelijk dat ook BSN-nummers zijn gelekt. In de dagen erna is de grote vraag of (oud-)klanten een claim kunnen indienen en of een massaclaim niet tot meer succes zal leiden. Welnu, die feitelijk onvermijdelijke massaclaim komt er nu door toedoen van het in Amsterdam gevestigde consumentencollectief CUIC.

De zaak draait volgens CUIC niet alleen om die hack zelf, “maar ook om de laksheid waarmee Odido is omgesprongen met gevoelige gegevens van haar klanten en oud-klanten.” Het is nu al duidelijk dat klanten hierdoor zijn blootgesteld aan het risico van misbruik van hun gegevens. Klanten en oud-klanten van Odido, T-mobile, Ben en Tele2 kunnen zich voor de zaak kosteloos aanmelden via cuic.eu.

Juridische grond van massaclaim tegen Odido

CUIC geeft aan dat er een wettelijke verplichting is om zorgvuldig om te gaan met persoonlijke gegevens. De Algemene Verordening Gegevensbescherming (AVG) stelt heldere eisen. Odido is volgens deze wet een zogenoemde “verwerkingsverantwoordelijke”. CUIC stipt 4 punten uit die wet aan waaraan Odido gehouden is:

  • dat ze strenge veiligheidsmaatregelen moeten inregelen in hun systemen (bijvoorbeeld met beperkte toegangsrechten voor medewerkers en monitoring op het downloaden van grote hoeveelheden data).
  • dat ze zo weinig mogelijk data van klanten moeten vragen en dat de verwerking rechtmatig is.
  • dat ze transparant moeten zijn.
  • dat ze bij een datalek onmiddellijk adequate stappen moeten zetten om de Autoriteit Persoonsgegevens en klanten te informeren.

Nalatigheid op meerdere punten

In het geval van Odido is volgens CUIC duidelijk dat het telecombedrijf op meerdere punten nalatig is geweest. “Zo zijn er veel te veel gegevens bewaard, voor een veel te lange periode. Alleen al uit de hoeveelheid gegevens die is gestolen blijkt dat de data niet goed waren afgeschermd of ‘gecompartimenteerd’. Ook is Odido onvoldoende transparant geweest en is de meldplicht niet correct nageleefd.”

CUIC zegt verder dat Odido in haar eigen communicatie er inmiddels op gewezen heeft dat de getroffen persoonlijke gegevens van klanten al gebruikt zijn voor criminele activiteiten zoals phishing. Op andere punten is er nog onduidelijkheid. Er lopen verschillende onderzoeken door het Openbaar Ministerie, de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur.

3 doelen bij de massaclaim

CUIC zegt met deze zaak 3 doelen te willen bereiken.

  1. Genoegdoening voor alle mensen van wie gegevens nu op straat liggen.
  2. Een voorbeeld stellen voor alle bedrijven. Privacy is een fundamenteel recht dat goed beschermd moet worden.
  3. Dat Odido openheid van zaken geeft over hoe dit enorme datalek heeft kunnen ontstaan en waarom het bijvoorbeeld waarschuwingen van softwarebedrijf Salesforce over de veiligheid van haar systemen in de wind lijkt te hebben geslagen.

‘De wet vereist op z’n minst goede voorzorgsmaatregelen’

“Je kunt nooit helemaal uitsluiten dat een inbreker binnenkomt in systemen,” licht CUIC voorzitter en privacyrecht advocaat Eliëtte Vaal toe. “Maar de wet vereist dat je op z’n minst goede voorzorgsmaatregelen neemt. Odido lijkt de veiligheid van de gegevens van haar klanten als het sluitstuk van haar bedrijfsvoering te hebben beschouwd. Daarmee hebben ze miljoenen klanten en oud-klanten blootgesteld aan het risico dat zaken als hun bankgegevens nu kunnen worden misbruikt. Veel mensen maken zich daar terecht zorgen over.”

Reactie van Odido

Overigens heeft Odido kort na de aanval een speciale informatiepagina geopend. Recent (8 april) is daar nog een update over de datalekken geplaatst: “We waarschuwen voor een nieuwe phishingmail die lijkt alsof die van Odido komt. In deze mail word je gevraagd om een app-update te installeren via een externe link. Dit is géén bericht van Odido. Klik niet op de link, download niets en verwijder de mail.”

Als reactie op de massaclaim laat Odido weten: “We hebben klanten die getroffen zijn zo snel mogelijk geïnformeerd en bijkomende meldingen gestuurd wanneer dat nodig was. Het kostte tijd om dit op een zorgvuldige manier uit te voeren.”

(Bron: CUIC, Odido, archief. Foto: ANP)

Honderdduizenden persoonlijke gegevens op straat door datalek Odido: ‘Dit is echt één van de grootste datalekken uit de Nederlandse geschiedenis’

 

Onderwerpen:

Geef een reactie