Claim tegen Odido in de maak na datahack, zaak kan jaren voortslepen

In dit artikel:

Een door twee privacyorganisaties opgerichte Nederlandse stichting, Consumers United in Court (CUIC), bereidt een massaclaim tegen telecombedrijf Odido nadat in februari de hackersgroep ShinyHunters de persoonsgegevens van ruim 6 miljoen klanten online zette. CUIC wil via de rechter een schadevergoeding afdwingen omdat Odido volgens de stichting data langer heeft bewaard dan toegestaan en de gegevens onvoldoende beveiligde.

CUIC-voorzitter Eliëtte Vaal wil zoveel mogelijk gedupeerden achter de zaak krijgen. Onderzoeker Jay Doerga (Radboud Universiteit) benadrukt dat slachtoffers zich niet per se vooraf bij CUIC hoeven aan te sluiten, maar dat de stichting wel moet aantonen dat zij daadwerkelijk namens Odido-klanten optreedt — onder meer met steunverklaringen — en dat de claim voortkomt uit privacybelang en niet louter winststreven. CUIC zegt klanten automatisch te vertegenwoordigen, en dat aanmelding later bij een eventuele schaderegeling nog mogelijk is.

Voordat er uitkeringen kunnen plaatsvinden moet eerst vaststaan dat Odido de AVG heeft geschonden; daarover doet de Autoriteit Persoonsgegevens (AP) onderzoek. Doerga wijst erop dat het bewijzen van een wettelijke overtreding en van opgelopen schade lang kan duren — jaren — voordat er daadwerkelijk geld wordt uitgekeerd. Als een overtreding wordt vastgesteld, kan vergoeding alleen wanneer er sprake is van een reële vrees voor misbruik van de gelekte gegevens; volgens Doerga is die vrees gezien de publicatie op het darkweb en veel media-aandacht waarschijnlijk goed te onderbouwen.

Hoeveel slachtoffers eventueel krijgen en hoe hoog vergoedingen zullen zijn, is nog onduidelijk. CUIC geeft aan maximaal 25% van een eventuele opbrengst voor zichzelf te houden, onder andere voor advocaatkosten. Odido heeft niet inhoudelijk gereageerd op de beschuldigingen.