Massaclaim tegen Odido in de maak na datahack, zaak kan jaren duren
Een mass claim tegen telecomaanbieder Odido is in the making , nadat hackers in februari de gegevens van ruim 6 miljoen klanten online zetten. De stichting Consumers United in Court (CUIC), ondersteund door twee privacyorganisaties, wil legal action tegen het bedrijf en eist damages . Volgens voorzitter Eliëtte Vaal heeft Odido gegevens langer bewaard dan toegestaan en onvoldoende beveiligd, wat een clear breach van de AVG zou zijn.
Als de claim doorgaat, kan de rechtszaak jaren duren — mogelijk vijf tot zeven jaar, zegt Jay Doerga van de Radboud Universiteit, die onderzoek doet naar collectieve procedures. Belangrijk is dat CUIC aantoont dat het daadwerkelijk represents customers en niet handelt uit profit motive . Omdat de stichting door privacyorganisaties wordt gedragen, lijkt dat geen groot obstakel, maar het proces is tijdsintensief. Eerst moet de rechter toestemming geven voor de collectieve claim, daarna pas kan de inhoudelijke strijd beginnen.
De Autoriteit Persoonsgegevens (AP) onderzoekt of Odido daadwerkelijk de AVG heeft overtreden door gegevens langer vast te houden en onvoldoende te beveiligen. Zonder een duidelijke legal violation is er geen basis voor een schadevergoeding. Toch ziet Doerga wel een kans: klanten kunnen legitimate fear voor misbruik aantonen, aangezien de gegevens op het darkweb zijn geplaatst en breed worden besproken in de media.
De hoogte van een eventuele vergoeding is nog onduidelijk. CUIC laat weten dat maximaal 25 procent van het bedrag wordt ingehouden voor kosten, zoals legal fees . Klanten hoeven zich nu niet aan te melden, maar kunnen zich later nog aansluiten als de claim succesvol is. Voor Odido betekent dit niet alleen een mogelijke financial impact , maar ook een blijvende verlies van vertrouwen bij klanten en toezichthouders.
25% voor kosten is behoorlijk hoog. Vooral als de payout uitkering toch al klein is door de scale schaal van de claim.
Als je bedrijf een datalek heeft en de wet overtreedt, dan moet je gewoon pay up betalen. Niks sleutelen aan legal procedures juridische procedures.
Jaren wachten op een settlement regeling? Dan is de public outrage publieke woede allang verdwenen.
Interessant hoe de privacy watchdog privacywaakhond nu moet bepalen of er sprake is van een breach inbreuk.
Misschien moeten we stoppen met het vertrouwen op bedrijven die duidelijk geen security priority veiligheid als prioriteit stellen.
Zelf ben ik benieuwd of de claim foundation claimstichting echt voor iedereen opkomt, of gewoon een profit scheme winstmodel uitbouwt.
Geen wonder dat klanten lose faith het vertrouwen verliezen. Eén keer datalek is een incident, twee keer is verwaarlozing.
Maar wat als de hackers de data al hebben verkocht? Dan is de damage schade al echt, of de wet nu is overtreden of niet.