Claim tegen Odido in de maak na datahack, zaak kan jaren voortslepen

Een Nederlandse stichting die is opgericht door twee privacyorganisaties wil een massaclaim starten tegen Odido. De organisatie wil geld zien nadat de telecomprovider in februari slachtoffer is geworden van cybercriminelen. Na de inbraak plaatste de hackersgroep ShinyHunters de persoonlijke gegevens van ruim 6 miljoen klanten op het internet.

De stichting hoopt dat zoveel mogelijk mensen een rechtszaak tegen Odido zullen steunen, zegt Eliëtte Vaal, de voorzitter van Consumers United in Court (CUIC), de organisatie die naar de rechter wil stappen. Ze wil Odido dwingen een schadevergoeding te betalen.

Als je als Odido-klant ook geld wilt zien, hoef je je niet per se bij deze stichting te melden, zegt Jay Doerga van de Radboud Universiteit. Hij doet onderzoek naar massaclaims die worden gestart rond de privacywet AVG.

CUIC moet wel aantonen dat Odido-klanten daadwerkelijk achter een rechtszaak staan, zegt hij. CUIC vertegenwoordigt automatisch alle getroffen Odido-klanten, zegt stichtingvoorzitter Vaal. Je kunt als Odido-klant ook later melden als het tot een schadevergoeding komt.

Wanneer is dat dan? “Het kan wel vijf, zes of zeven jaar duren, misschien zelfs langer, voordat je daadwerkelijk je geld krijgt”, zegt Doerga – áls Odido een schadevergoeding moet betalen. Dat komt omdat deze rechtszaken heel lang kunnen duren.

Allereerst moet CUIC aantonen dat het spreekt namens alle Odido-klanten, zegt Doerga. Daarvoor hebben ze steunverklaringen nodig. Ook moet de stichting aantonen dat het de rechtszaak voert omdat het privacy belangrijk vindt, en niet alleen omdat uit winstbejag, legt hij uit.

“Dat lijkt me hier geen ingewikkeld punt, omdat hier twee privacyorganisaties achter zitten. Maar in zo’n rechtszaak kan dat alsnog een paar jaar duren.” Pas daarna kan zo’n rechtszaak over de inhoud gaan, zegt hij. Dat gaat over de vraag of Odido de wet heeft overtreden én of er schade is geleden die vergoed moet worden.

“Dat de wet is overtreden, is een voorwaarde om een schadevergoeding te krijgen”, zegt Doerga. “Of de wet daadwerkelijk is overtreden, is in deze zaak nog helemaal niet bewezen.”

CUIC zegt zelf heel stellig van wel. Volgens de stichting heeft Odido gegevens veel langer bewaard dan het zelf aangaf, terwijl het bedrijf die gegevens helemaal niet mocht bewaren, zegt CUIC-voorzitter Vaal. Ook zegt Vaal dat Odido gegevens van klanten onvoldoende heeft beveiligd.

Odido wil niet reageren op die beschuldigingen. Op dit moment doet de Autoriteit Persoonsgegevens (AP) onderzoek of Odido de privacywet AVG heeft overtreden door gegevens langer te bewaren dan van de wet mag en of persoonlijke gegevens van klanten voldoende waren beveiligd.

Er zijn dus wel aanwijzingen, maar of de wet daadwerkelijk is overtreden staat nog niet vast, zegt Doerga. “Dat is wel een voorwaarde om een schadevergoeding te krijgen. Dat moet de AP dus beoordelen. Of de stichting moet daar de rechter van overtuigen.”

Als wordt vastgesteld dat Odido de wet heeft overtreden, ontstaat de mogelijkheid dat mensen een schadevergoeding kunnen krijgen. “In dit soort zaken betekent dat dat er ‘gegronde vrees’ moet zijn dat jouw gegevens kunnen worden misbruikt”, zegt Doerga.

Volgens hem is dat niet moeilijk aan te tonen. “De hackersgroep heeft de gegevens gestolen en op het darkweb gepubliceerd. Ook is er veel media-aandacht voor geweest. Het zou niet gek zijn als jij als Odido-klant vreest voor misbruik.”

Het is onduidelijk hoeveel schadevergoeding slachtoffers kunnen ontvangen, mocht het zover komen. Wel zegt CUIC dat de stichting maximaal 25 procent van het bedrag voor zichzelf houdt, onder meer om de advocaatkosten te betalen.

In deze video zie je meer over de ShinyHunters, de cybercriminele groep die de Odido-gegevens heeft gestolen: