Boze klanten willen compensatie na datalek Odido: ‘Massaclaim niet kansloos’

Het is één van de grootste datalekken ooit in Nederland, en met behoorlijk gevoelige gegevens zoals namen en adressen tot bankrekening- en paspoortnummers. 

Hackers wisten in te breken op een klantcontactsysteem van Odido, en de gegevens van talloze klanten én oud-klanten in te zien. De criminelen kregen toegang tot de gegevens van 6,2 miljoen gebruikers. Zij kregen afgelopen week bericht dat hun gegevens mogelijk in handen van cybercriminelen zijn gekomen. Veel van hen vragen zich nu af of zij bij Odido kunnen aankloppen voor een schadevergoeding.

Odido zelf zegt daarover op een speciale informatiepagina: “Een datalek geeft niet automatisch recht op compensatie. Onze inspanningen zijn er momenteel op gericht om juist te voorkomen dat klanten op enige manier schade zouden ondervinden als gevolg van dit incident.”

Heeft Odido de wet geschonden?

Toch zou de provider er wel degelijk voor kunnen opdraaien, als iemand inderdaad schade heeft als gevolg van het datalek. “Maar dat kan alleen als Odido aantoonbaar de wet heeft geschonden”, zegt universitair docent privaatrecht en technologie Tim Walree. “Als het bedrijf aan alle beveiligingseisen heeft voldaan, en tóch gehackt is, dan kan het niet aansprakelijk worden gesteld. Dat is nu de grote vraag: kun je Odido verwijten dat ze méér hadden moeten doen?”

Wel liggen die eisen hoog, zegt Walree. “Bij zo’n groot bedrijf als Odido, met zo’n belangrijke positie, mag je echt verwachten dat die aan de hoogste standaarden voldoen. Daarom zal onderzocht moeten worden hoe dit lek toch heeft kunnen gebeuren en of Odido dat had kunnen voorkomen.”

Schade eerst bewijzen

Om daadwerkelijk een schadevergoeding te kunnen eisen na een datalek, moet een klant wel kunnen aantonen dat die ook echt schade heeft geleden, zegt Walree. “Dat kan gaan om materiële schade, bijvoorbeeld als iemand door identiteitsfraude op kosten is gejaagd. Het grote probleem daarbij is dat je moet kunnen bewijzen dat de fraude een direct gevolg is van het datalek bij Odido.

“Ook immateriële schade, smartengeld, wordt steeds vaker toegekend bij dit soort zaken”, zegt Walree. “Dat gaat bijvoorbeeld om de angst en onzekerheid die mensen kunnen krijgen doordat ze de controle over hun gegevens verliezen.”

Walree verwacht dan ook dat een massaclaim zal worden gestart tegen Odido, om een compensatie te eisen voor de getroffen klanten. “En zo’n zaak is zeker niet kansloos. Het is wel heel onzeker waar mensen dan precies recht op hebben, want de wet voor dat soort claims bestaat pas sinds 2020. In die tijd is er nog nooit een inhoudelijk vonnis geweest.” Zo’n massaclaim is er nu voor zover bekend nog niet.

Nieuw paspoort

Een andere veelgestelde vraag, is of getroffen klanten een nieuw paspoort aan zouden moeten vragen, en of ze die kosten vervolgens op Odido kunnen verhalen. Daarbij is het van belang om te weten dat bij sommige klanten paspoortnummers zijn gestolen, maar geen kopieën van een paspoort. Met alleen zo’n nummer kunnen criminelen weinig. Volgens het Centraal Meldpunt Identiteitsfraude kan met de gestolen gegevens ‘niet zomaar een lening, bankrekening of telefoonabonnement worden afgesloten’.

Dat maakt het lastig om Odido te vragen om een vergoeding voor een nieuw paspoort, zegt Walree. “De wet geeft mogelijkheden om een vergoeding te krijgen als dat nodig is om jouw eigen schade te beperken, bijvoorbeeld door een nieuw paspoort aan te vragen. Maar de rechter moet dan beoordelen of dat inderdaad nodig is om dat te doen. En dat is de vraag, als je met alleen dat nummer niet zoveel kan.”

Oproep

Heb jij bericht gekregen van Odido dat jouw gegevens gestolen zijn, en probeer je een compensatie te krijgen? En wil je daarover vertellen voor de camera van RTL Nieuws? We horen graag van je: mail de redactie.

Ook de Consumentenbond noemt het tegen RTL Z ‘erg lastig om te zeggen of dat kansrijk is’. De bond adviseert dan ook niet om een nieuw identiteitsbewijs aan te vragen. “Wij adviseren vooral goed op te letten en extra alert te zijn op elk verzoek dat met betalen, overboeken of inloggen te maken heeft.”

Boete dreigt voor Odido

Odido kan los van mogelijke schadevergoedingen ook vrezen voor een onderzoek van de Autoriteit Persoonsgegevens (AP). “Die zal kijken of Odido passende beveiligingsmaatregelen heeft genomen, en bijvoorbeeld niet meer gegevens heeft bewaard dan is toegestaan”, zegt de universitair docent. “Mochten ze de wet hebben overtreden, dan kan daar een forse boete tegenover staan. Dat kan in de tonnen en zelfs in de miljoenen lopen.”

Of zo’n onderzoek inderdaad is gestart, wil de AP tegenover RTL Z niet bevestigen. Dit omdat de autoriteit nooit informatie geeft over ‘al dan niet lopende onderzoeken’.

Wat kunnen criminelen met de gestolen gegevens van Odido? Dat zie je in deze video: