Probleem na probleem bij Odido: hoe groot is de kans op een succesvolle schadeclaim?
Het datalek bij Odido laat zien dat het privacybeleid van het telecombedrijf structureel tekortschiet: van ontbrekende toegangsbeperkingen tot het jarenlang bewaren van oude klantgegevens. Is dat genoeg aanleiding voor een succesvolle schadeclaim? Meldpunt Actueel vraagt het experts.
Privacybeleid dat al jaren rammelt
Door zich voor te doen als interne medewerkers wisten hackers van de groep Shinyhunters in het klantensysteem van Odido te komen. Eenmaal binnen is er toegang tot miljoenen persoonsgegevens. “Als bedrijf moet je je technische en organisatorische beveiliging op orde hebben. Een grote hoeveelheid gevoelige data bij elkaar is riskant,” zegt advocaat Els Doornhein, gespecialiseerd in intellectueel eigendomsrecht, privacyrecht en commerciële contracten.
“Organisatorische beveiliging houdt in dat de toegang tot speciale of gevoelige data wordt beperkt tot de mensen die daar daadwerkelijk toegang toe moeten hebben. Kennelijk waren er geen speciale toegangsrechten tot de data. En ook hele oude data, van mensen die al jaren geen klant meer zijn, stonden er nog in. Alles bij elkaar lijkt die hele interne beveiliging gewoon helemaal niet op orde.”
Onderzoek naar Odido
De Algemene Verordening Gegevensbescherming (AVG) is de Europese privacywet die stelt dat organisaties alleen persoonsgegevens mogen verwerken als daar een geldige reden voor is. Daarnaast moeten ze die gegevens onder andere veilig, zorgvuldig en transparant behandelen. Zo stelt de AVG dat gegevens niet langer bewaard mogen worden dan noodzakelijk. Ook moet er volgens de wet passende technische en organisatorische beveiliging zijn om diefstal, verlies of misbruik te voorkomen. Of Odido hierin nalatig is geweest, wordt nu onderzocht door het Openbaar Ministerie en de Autoriteit Persoonsgegevens (AP).
Prominente personen
Ook beschermde personen zijn met hun gegevens betrokken bij het datalek. Hierbij valt te denken aan ministers, Kamerleden, staatssecretarissen en slachtoffers van onder andere huiselijk geweld. Maar ook de gegevens van zo’n 16.000 medewerkers van Defensie en veiligheidsdiensten komen voor in het datalek, schrijft Follow the Money. Voor hen is de situatie nog ernstiger, stelt Doornhein. ”Als je beveiligd wordt en je adres staat ineens op het dark web, dan is dat natuurlijk een nachtmerrie. Zij zullen waarschijnlijk extra maatregelen moeten gaan nemen.”
Dat kan gaan om het inhuren van (extra) beveiliging tot zelfs verhuizen. Dat laatste stelde cybersecurity-expert Sijmen Ruwhof al eerder tegenover Meldpunt Actueel. Ook Mirjam de Witte van de Consumentenbond beaamt hoe belangrijk het is dat deze mensen tijdig op de hoogte zijn. “Slachtoffers moeten bij een datalek onverwijld, dus zo snel mogelijk, een hele heldere waarschuwing krijgen van de omvang van het datalek met een hoog risico.” Toch zou Odido volgens RTL Nieuws deze beschermde personen niet (extra) hebben gewaarschuwd. Alleen daaruit blijkt al volgens Doornhein dat de persoonsgegevens van deze kwetsbare groep niet anders werden behandeld.
Kunnen gedupeerden een schadeclaim indienen?
Het Burgerlijk Wetboek maakt onderscheid tussen materiële schade en immateriële schade. Bij materiële schade gaat het in deze situatie bijvoorbeeld om het aanvragen van een nieuw identiteitsbewijs, vanwege identiteitsfraude. Immateriële schade is bijvoorbeeld het hebben van stress en angstgevoelens, omdat gegevens (mogelijk) op straat liggen.
Toch is een schadevergoeding krijgen niet zo makkelijk, legt Doornhein uit. “Je moet wel kunnen aantonen dat je door het datalek schade hebt geleden. En als consument sta je in je eentje tegenover Odido, dat is heel lastig.” De Witte van de Consumentenbond bevestigt dit: “De link tussen de opgelopen schade en het datalek bij Odido moet je echt heel duidelijk kunnen aantonen tegenover een rechter.”
Massaclaim tegen Odido
Het indienen van een massaclaim tegenover Odido, heeft misschien meer succes. Massaclaims komen ook steeds vaker voor. Van 2017 tot 2025 liep er een massaclaim tegen Volkswagen vanwege het gebruik van ‘sjoemelsoftware’ bij dieselauto’s, met succes. “Massaclaims duren lang, maar zijn soms de enige manier,” zegt Doornhein. Volgens De Witte moet het eerst duidelijk zijn dat Odido iets te verwijten valt. “We hebben de afgelopen tijd tientallen meldingen binnengekregen van consumenten met vragen over wat te doen. Pas na het onderzoek kunnen we gaan kijken wat we kunnen betekenen voor consumenten.”
Een datalek dat meer blootlegt dan data
Is onze digitale weerbaarheid nog wel op niveau? Cyberexpert Jim Stolze noemt in Villa VdB op NPO Radio 1 het lek een gigantische wake-upcall voor Nederland. Het bewustzijn bij burgers lijkt te stijgen, want sinds het datalek ziet KPN het gebruik van beveiligingssoftware verviervoudigen. Dat is positief, maar het laat ook zien dat burgers zelf proberen gaten te dichten. Doornhein: “Het is bizar dat er via een enkele toegang zoveel data ineens zijn gelekt. Op basis van hetgeen er in de media te lezen is, verwacht ik in ieder geval dat de Autoriteit Persoonsgegevens naar het datalek onderzoek zal doen en er zeker een kans is op een aanzienlijke boete voor Odido.”
(Bron: AP, AVG, Follow The Money, Villa VDB, archief. Foto: ANP)
Toch BSN-nummers gelekt en eerste gelekte gegevens Odido te doorzoeken op website