Collectieve claim

Uit onderzoek van RTL Nieuws blijkt dat privégegevens van tienduizenden oud-klanten van Odido zijn gestolen. Opvallend is dat veel van deze mensen hun abonnement al jaren eerder hadden beëindigd. Toch stonden hun gegevens nog steeds in de systemen van het telecombedrijf. Daardoor rijst een belangrijke vraag: hoe kon het dat deze gegevens nog in de systemen aanwezig waren? En bovendien: hebben getroffen (oud-)klanten recht op schadevergoeding na het Odido-datalek? Steeds meer juristen en belangenorganisaties onderzoeken inmiddels of een massaclaim of collectieve claim tegen Odido mogelijk en zinvol is.

Odido-datalek

Risico op misbruik van gegevens

Volgens RTL Nieuws kregen cybercriminelen toegang tot databases met klantinformatie. Daarbij zijn persoonsgegevens van duizenden (oud-)klanten buitgemaakt. Het gaat onder meer om mensen die al jaren geen klant meer waren bij Odido, T-Mobile of Tele2. Deze providers vielen al onder dezelfde organisatie en zijn in 2023 verdergegaan onder de merknaam Odido. Na de datadiefstal zijn de gestolen gegevens op het dark web geplaatst. Daardoor bestaat het risico dat criminelen de informatie gebruiken voor fraude, phishing of identiteitsmisbruik. De Odido-hack wordt gezien als een van de ernstigste datalekken bij een Nederlands bedrijf ooit.

Datastromen van T-Mobile en Tele2 komen samen bij Odido door de fusie tussen de telecomproviders

Identiteitsfraude

Uit het onderzoek van de nieuwszender blijkt dat verschillende soorten persoonsgegevens van oud-klanten zijn gestolen. Het gaat om klanten die al jaren geen contract meer hebben met Odido. In alle gevallen gaat het om namen en adressen, maar bij veel mensen zijn ook andere gevoelige gegevens gestolen. Bij ruim 30.000 oud-klanten zijn bijvoorbeeld ook IBAN-nummers in handen van cybercriminelen gekomen. Bij een kleinere groep zijn zelfs nog meer gegevens buitgemaakt, waaronder paspoort-, rijbewijs- of ID-nummers. Wanneer dergelijke gevoelige informatie op het dark web verschijnt, kan dat grote gevolgen hebben. Criminelen kunnen de gegevens namelijk gebruiken voor identiteitsfraude of andere vormen van misbruik van persoonsgegevens.

Hoe lang mogen bedrijven klantgegevens bewaren volgens de AVG?

Volgens de Algemene Verordening Gegevensbescherming (AVG) mogen bedrijven persoonsgegevens niet langer bewaren dan noodzakelijk is. De gegevens mogen alleen worden opgeslagen voor het doel waarvoor ze zijn verzameld. Zodra dat doel vervalt, moeten de gegevens worden verwijderd of geanonimiseerd. In de AVG staat echter geen vaste bewaartermijn voor alle soorten gegevens. Bedrijven moeten daarom zelf een redelijke termijn bepalen. Tegelijkertijd moeten zij kunnen uitleggen waarom bepaalde gegevens nog steeds worden bewaard. Wanneer bedrijven persoonsgegevens langer opslaan dan noodzakelijk is, kan dat een overtreding van de privacywet zijn.

Welke gegevens mogen bedrijven bewaren?

De bewaartermijn verschilt per type gegevens. In de praktijk gelden vaak de volgende richtlijnen:

  • Financiële gegevens
    Facturen worden meestal 7 jaar bewaard vanwege belastingwetgeving.
  • Klantgegevens voor contracten of claims
    Deze gegevens blijven vaak tot ongeveer 5 jaar na het einde van de klantrelatie opgeslagen. Dit is echter een praktijkrichtlijn, maar geen officiële AVG-regel.
  • Marketinggegevens
    Deze gegevens worden meestal maximaal 2 jaar na het laatste klantcontact bewaard.

Daarna moeten de gegevens worden verwijderd. Volgens de AVG mogen persoonsgegevens namelijk niet langer worden opgeslagen dan noodzakelijk is.

Illustratie over de bewaartermijnen van klantgegevens volgens de AVG

Waarom bewaarde Odido gegevens van oud-klanten langer dan aangekondigd in zijn privacybeleid?

In de privacyverklaring van Odido staat dat bepaalde klantgegevens maximaal 2 jaar na beëindiging van een contract worden bewaard. Alleen financiële gegevens mogen langer worden opgeslagen vanwege belastingregels. Die termijn van 2 jaar is bedoeld om het voor klanten makkelijker te maken om opnieuw klant te worden. Zij hoeven hun gegevens dan niet opnieuw in te voeren. Toch blijkt uit het onderzoek van RTL Nieuws dat ook gegevens van oud-klanten zijn gestolen die al veel langer geen klant meer waren. Sommige betrokkenen hadden zelfs al vijf tot tien jaar geen contract meer. Daarom lijkt het erop dat bepaalde persoonsgegevens langer zijn opgeslagen dan in het privacybeleid van Odido staat.

Sommige oud-klanten niet geïnformeerd over het datalek

RTL Nieuws sprak met meerdere oud-klanten die verbaasd waren dat hun gegevens nog in de systemen van Odido stonden. Volgens het privacybeleid van het telecombedrijf hadden deze gegevens al lang verwijderd moeten zijn. Bovendien zeggen sommige betrokkenen dat zij niet door Odido zijn geïnformeerd over het datalek. Zij ontdekten pas dat hun persoonsgegevens mogelijk waren gestolen nadat journalisten contact met hen opnamen. Daardoor maken veel mensen zich zorgen over de mogelijke gevolgen van het lek. Volgens de AVG moeten organisaties betrokkenen informeren wanneer er een datalek is met een hoog risico voor hun rechten en vrijheden. Maar organisaties hoeven niet iedereen te informeren als het risico laag is. Juridisch zal het Odido-datalek waarschijnlijk worden beschouwd als een datalek met een hoog risico voor de rechten en vrijheden van betrokkenen.

Kun je schadevergoeding krijgen na het Odido-datalek?

Verschillende belangenorganisaties onderzoeken of slachtoffers van het Odido-datalek een schadevergoeding kunnen eisen. Volgens de AVG hebben mensen namelijk recht op schadevergoeding wanneer hun persoonsgegevens onvoldoende zijn beschermd. Onderzocht wordt of een collectieve claim of massaclaim tegen Odido mogelijk is.

Wanneer kun je een bedrijf aansprakelijk stellen voor een datalek?

Een claim kan kans van slagen hebben wanneer een aantal voorwaarden wordt aangetoond:

  • Onvoldoende beveiliging van persoonsgegevens
    Volgens de AVG moeten bedrijven passende maatregelen nemen om persoonsgegevens te beschermen. Wanneer de beveiliging onvoldoende blijkt te zijn, kan een organisatie aansprakelijk worden gesteld voor het datalek.
  • Persoonsgegevens zijn daadwerkelijk gelekt
    In dit geval gaat het om gevoelige informatie zoals namen, adressen en identiteitsgegevens. Wanneer deze gegevens in handen van criminelen komen, kan dat ernstige gevolgen hebben.
  • Er is risico op schade
    Schade kan verschillende vormen aannemen zoals identiteitsfraude, phishing, financiële schade en immateriële schade of privacyschade.

Volgens recente Europese rechtspraak kan ook immateriële schade onder AVG worden vergoed.

Massaclaim tegen Odido, schadevergoeding, weegschaal, justitie, Odido-klanten

Hoe groot is de kans op een succesvolle massaclaim tegen Odido?

Of een massaclaim tegen Odido daadwerkelijk kans van slagen heeft, hangt van verschillende factoren af. Zo speelt onderzoek van de Autoriteit Persoonsgegevens een belangrijke rol. Daarnaast wordt gekeken naar de omvang van het datalek en de beveiligingsmaatregelen van het telecombedrijf. Ook is het belangrijk dat slachtoffers mogelijke schade goed vastleggen. Denk bijvoorbeeld aan gevallen van identiteitsfraude of phishing. Door deze incidenten goed te documenteren kan later worden aangetoond dat schade is ontstaan door het datalek bij Odido.

Hoe hoog kan de schadevergoeding na een datalek zijn?

In Europese datalekzaken liggen vergoedingen vaak tussen ongeveer € 50 en enkele honderden euro’s per persoon. Wanneer er aantoonbare financiële schade is, kan dat bedrag hoger uitvallen. De uiteindelijke hoogte van de schadevergoeding verschilt echter per zaak. Een massaclaim na het Odido-datalek kan dus juridisch kansrijk zijn. Dat geldt vooral wanneer blijkt dat persoonsgegevens onvoldoende zijn beschermd of te lang zijn opgeslagen. De uiteindelijke uitkomst van een massaclaim tegen Odido zal afhangen van het onderzoek van toezichthouders en de bewijsvoering in een eventuele collectieve procedure.

Wees alert op malafide claimsites

Oplichters proberen Odido-klanten geld afhandig te maken via malafide nep-claimsites zoals ‘Odidoschadevergoeding.nl’. Zij vragen € 49,99 om te helpen bij een schadeclaim tegen de telecomprovider, maar volgens Odido en de consumentenbond klopt de informatie niet. Betaal niets en wees kritisch op dit soort claimsites.

Lees ook:

CUIC start collectieve rechtszaak tegen telecomprovider Odido

Odido-hack: wat is er gebeurd en welke gegevens zijn gelekt?

Terug naar boven ↑

Logo Allemaal Veilig