Privacystichting Consumers United in Court (CUIC) start vandaag een massaclaim tegen telecomprovider Odido. Dit vanwege het omvangrijke datalek van begin februari. Daarbij werden gegevens van ruim zes miljoen Nederlanders buitgemaakt. Gedupeerden kunnen zich kosteloos bij de zaak aansluiten, op basis van no cure, no pay.
Odido werd begin februari getroffen door een grote cyberaanval, waarbij persoonsgegevens van circa 6,2 miljoen klanten werden gestolen. Het gaat onder andere om namen, woonadressen, telefoonnummers, bankrekeningnummers en documentnummers van identiteitsbewijzen zoals paspoort of rijbewijs. Zelfs personen die al jaren geen klant meer waren bij Odido of dochterbedrijf Ben, zijn getroffen.
De hack was het resultaat van phishing en social engineering. Criminelen van de groep ShinyHunters misleidden Odido-medewerkers om zo toegang te krijgen tot een Salesforce-omgeving. Odido weigerde losgeld te betalen, waarna de gestolen data volledig werd gepubliceerd op het darkweb.
Wat CUIC eist van Odido
CUIC-woordvoerder Hilde Laffeber stelt dat dit de eerste rechtszaak is die tegen Odido van start gaat. Concreet wil de stichting dat Odido alle getroffen klanten en voormalige klanten persoonlijk informeert, en dat de provider uitlegt hoe het lek is ontstaan. “Alleen al de vrees dat zoiets kan gebeuren, is al schade”, aldus Laffeber.
Daarbij wijst CUIC op meerdere punten van nalatigheid. Zo is te veel data bewaard voor een te lange periode, is data onvoldoende afgeschermd, spreekt men over gebrek aan transparantie en het niet correct naleven van de meldplicht. De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) zijn inmiddels een formeel onderzoek gestart naar onder meer de te lange bewaring van klantgegevens. De hoogte van een eventuele schadevergoeding wordt later vastgesteld. Laffeber laat weten dat CUIC eerst meer duidelijkheid wil over welke data precies op straat is beland.
No cure, no pay
CUIC is de organisatie achter de claim. Eerder spande de stichting een zaak aan tegen antivirusbedrijf Avast, dat zonder toestemming klantdata zou hebben doorverkocht. Meedoen aan de Odido-zaak is gratis. Wordt er uiteindelijk een vergoeding uitgekeerd, dan staat gedupeerden een deel af aan het bedrijf. Hoe groot dat deel is, hangt af van de duur van de zaak en de hoogte van het uitgekeerde bedrag.
Onder andere de politie, verschillende experts en Odido zelf wijzen erop dat je als (oud) Odido-klant moet opletten op vreemde e-mails, berichten of binnenkomende belletjes. Criminelen kunnen de gestolen informatie gebruiken om zich bijvoorbeeld voor te doen als medewerkers van Odido, banken of andere instanties.
Kans van slagen?
De kans op een juridische veroordeling van Odido is misschien groot, maar de kans op een hoge schadevergoeding voor iedere klant is simpelweg klein in zaken als deze. Odido staat er misschien slecht voor wat betreft de bewaarplicht en de beveiliging, waar de Autoriteit Persoonsgegevens (AP) dus ook al onderzoek naar doet. Juridisch gezien is het echter lastig om zaken als ‘vrees’ of een ‘onbehaaglijk gevoel’ om te zetten in een geldbedrag. De Nederlandse rechter eist meestal bewijs van concrete, individuele schade voordat daadwerkelijk de portemonnee getrokken moet worden.
De CUIC zet hoog in om druk uit te oefenen en zoveel mogelijk deelnemers te werven voor hun no cure, no pay-model. Hoewel het voor Odido een kostbaar hoofdpijndossier is, zal het voor de individuele consument waarschijnlijk eerder gaan om een symbolisch bedrag of betere privacygaranties voor de toekomst dan om een grote financiële compensatie. Echte ‘overwinningen’ in dit soort zaken zijn in Nederland vaak traag en resulteren vaker in juridische erkenning of schikkingen. Daarbij betalen bedrijven een bedrag aan de stichting om van het proces af te zijn. Het geld wordt vervolgens dus over de deelnemers verdeeld, waarbij een deel wordt ingehouden.
Een bekend verhaal is dat van de woekerpolissen, wat zo’n twintig jaar gelopen heeft en pas vrij recent werd afgerond. In dat geval ging het niet om privacy, zoals bij de Odidi-hack, maar het is wel een succesvol voorbeeld van een massaclaim in Nederland. Na jarenlang procederen werden er schikkingen getroffen van honderden miljoenen euro’s door verzekeraars als Nationale-Nederlanden.