Eerste claim tegen Odido gestart vanwege datalek

Zoals verwacht is een eerste massaclaim gestart tegen Odido vanwege een groot datalek waarbij persoonsgegevens van miljoenen Nederlanders zijn buitgemaakt. Volgens claimorganisatie Consumers United in Court gaat het om een van de grootste privacyincidenten in Nederland. Getroffenen kunnen zich gratis aansluiten bij de collectieve rechtszaak.

Bij het lek zouden gegevens zijn gestolen zoals namen, adressen, telefoonnummers, bankrekeningnummers en documentnummers van identiteitsbewijzen. Niet alleen huidige klanten, maar ook oud-klanten van Odido en dochtermerk Ben zouden getroffen zijn.

De claimorganisatie stelt dat mensen recht kunnen hebben op een financiële vergoeding als blijkt dat Odido onvoldoende beveiligingsmaatregelen heeft genomen. Of er daadwerkelijk geld wordt uitgekeerd, hangt uiteindelijk af van een rechterlijke uitspraak of een schikking tussen partijen.

De claimorganisatie stelt: ‘Deze zaak draait niet alleen om het datalek zelf, maar ook om de laksheid waarmee Odido is omgesprongen met gevoelige gegevens van haar klanten en oud-klanten. In haar eigen communicatie heeft Odido er inmiddels op gewezen dat de getroffen persoonlijke gegevens van klanten al gebruikt zijn voor criminele activiteiten zoals phishing.’

CUIC wil met deze zaak drie dingen bereiken. Ten eerste: genoegdoening voor alle mensen van wie gegevens nu op straat liggen. Ten tweede: een voorbeeld stellen voor alle bedrijven. Privacy is een fundamenteel recht dat goed beschermd moet worden. Ten derde: dat Odido openheid van zaken geeft over hoe dit enorme datalek heeft kunnen ontstaan en waarom het bijvoorbeeld waarschuwingen van softwarebedrijf Salesforce over de veiligheid van haar systemen in de wind lijkt te hebben geslagen.

In het geval van Odido is duidelijk dat het telecombedrijf op meerdere punten nalatig is geweest, stelt Consumers United in Court. Zo zijn er veel te veel gegevens bewaard, voor een veel te lange periode. Alleen al uit de hoeveelheid gegevens die is gestolen blijkt dat de persoonsgegevens niet goed waren afgeschermd of ‘gecompartimenteerd’. Ook is Odido onvoldoende transparant geweest en is de meldplicht niet correct nageleefd.

Op andere punten is er nog onduidelijkheid. Er lopen verschillende onderzoeken van het Openbaar Ministerie, de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur.

Odido heeft eerder aangegeven dat een datalek niet automatisch recht geeft op compensatie en dat het bedrijf zich vooral richt op het beperken van schade voor klanten.