Massaclaim tegen Odido in de maak na datahack, zaak kan jaren duren
Een groep consumenten bereidt zich voor op een mass claim tegen telecomaanbieder Odido, nadat in februari miljoenen klantgegevens door hackers online werden gezet. De stichting Consumers United in Court (CUIC), ondersteund door twee privacyorganisaties, wil legal action afdwingen en een schadevergoeding voor alle getroffenen. Volgens CUIC-voorzitter Eliëtte Vaal heeft Odido klantgegevens langer bewaard dan toegestaan en onvoldoende beveiligd — een zware privacy breach .
De hackersgroep ShinyHunters stal gegevens van ruim 6 miljoen mensen, waaronder soms gevoelige informatie van kwetsbare klanten. Die gegevens verschenen op het darkweb, wat volgens jurist Jay Doerga van de Radboud Universiteit al voldoende is voor reasonable fear voor misbruik. Dat is een cruciale voorwaarde voor schadevergoeding onder de AVG. "Het zou niet gek zijn als je als klant ongerust bent", zegt hij. "Die angst is realistisch en gedeeld."
Toch kan het jaren duren voordat er daadwerkelijk geld wordt uitgekeerd. Doerga waarschuwt dat de zaak vijf tot zeven jaar kan drag on , omdat eerst moet worden bewezen dat CUIC legitiem optreedt namens alle klanten. Ook moet worden aangetoond dat de stichting echt opkomt voor het public interest , niet voor winst. "Dat lijkt hier duidelijk, maar het kost tijd om dat voor de rechter te onderbouwen."
Odido reageert niet op de beschuldigingen. In plaats daarvan wacht het op het onderzoek van de Autoriteit Persoonsgegevens (AP), die moet bepalen of er daadwerkelijk een legal violation is geweest. Zonder die vaststelling is schadevergoeding juridisch lastig. CUIC moet dus óf de AP overtuigen, óf de rechter. Als het zover komt, houdt de stichting maximaal 25 procent van het bedrag in voor legal costs .
Voor veel klanten is de onzekerheid nu al een vorm van schade. "Het gaat niet alleen om geld", zegt een betrokkene. "Het gaat om het gevoel dat je niet meer in control bent van je eigen gegevens." Die emotionele impact maakt de zaak persoonlijk — en maatschappelijk belangrijk.
25 procent voor kosten is best veel, maar begrijpelijk als het echt om zo’n grote zaak gaat. Hopelijk krijgen mensen uiteindelijk fair compensation eerlijke vergoeding.
Vijf tot zeven jaar? Dan ben ik alweer verhuisd, vergeten en misschien zelfs veranderd van provider. Hoe houden ze je dan op de hoogte? transparency Transparantie hierover is echt nodig.
Odido zegt niks. Geen verantwoording, geen excuses. Typisch voor grote bedrijven. Alles is damage control schadebeperking, nooit echt verantwoordelijkheid.
Ik wist niet eens dat mijn gegevens bij ze stonden. Toch voel ik me nu kwetsbaar. Dat gevoel van inbreuk is echt erge shit.
De vraag is of die 25% ook dekt als de uitspraak tegenvalt. Moeten klanten dan ook legal fees proceskosten betalen? Dat zou een nachtmerrie zijn.
Misschien is de echte straf wel het verlies van public trust publiek vertrouwen. Klanten vertrekken, providers moeten beter beveiligen. Mooi zo.
ShinyHunters, darkweb, datalek — klinkt als een slechte film. Maar dit is echt gebeurd. We zijn allemaal gegevensdragers zonder dat we het merken.
Zal deze zaak andere bedrijven afschrikken? Of denken die gewoon: ‘We betalen de boete en gaan door’? Het moet real consequence echte consequentie hebben.