Het Nederlandse consumentencollectief CUIC start in april 2026 een massaclaim tegen telecomprovider Odido. De organisatie verwijt Odido meerdere datalekken en gebrekkige beveiliging van klantgegevens. De zaak speelt in Nederland en wordt ingediend onder de Wet afwikkeling massaschade in collectieve actie (WAMCA). CUIC zegt op te komen voor klanten die risico lopen op misbruik van hun data.
Collectieve claim tegen Odido
CUIC vraagt de rechter om een verklaring dat Odido onrechtmatig handelde door klantgegevens onvoldoende te beveiligen. Het collectief wil een vergoeding voor getroffen klanten en afdwingbare verbetermaatregelen. Denk aan strengere toegangscontroles, versleuteling en kortere bewaartermijnen. Ook vraagt CUIC om onafhankelijke beveiligingsaudits.
De WAMCA maakt sinds 2020 een collectieve schadeafwikkeling mogelijk. De rechter toetst eerst of CUIC representatief is en transparant gefinancierd wordt. Daarna volgt inhoudelijke behandeling over aansprakelijkheid en schade. Nederlandse consumenten vallen standaard onder een opt-out, anderen moeten actief meedoen.
Odido bevestigde eerder dat er beveiligingsincidenten zijn geweest en zegt maatregelen te nemen. Het bedrijf benadrukt doorgaans dat klanten en toezichthouders worden geïnformeerd bij datalekken. Wat CUIC betreft schieten die maatregelen tekort. De claim moet duidelijk maken waar de zorgplicht begint en eindigt.
“De veiligheid van klantgegevens is als sluitstuk van de bedrijfsvoering beschouwd,” stelt CUIC bij de aankondiging van de zaak.
Datalekken raken vertrouwen
Bij datalekken gaat het vaak om namen, adressen en contactgegevens. Soms kunnen ook contractdetails en simkaartinformatie meelekken. Zulke data vergroten het risico op phishing, sim-swapping en identiteitsfraude. Klanten krijgen daardoor extra kosten en veel regelwerk.
Telecomaanbieders verwerken gevoelige gegevens over netwerkgebruik en accounts. Die informatie is aantrekkelijk voor criminelen, ook omdat ze gerichte aanvallen kunnen opzetten. Een klein lek kan zo grote gevolgen hebben. Zeker als gegevens uit verschillende bronnen worden gecombineerd.
Odido kan maatregelen tonen zoals versleuteling, segmentatie van systemen en strengere leverancierscontrole. Veel incidenten ontstaan bij toeleveranciers die data verwerken. Juridisch blijft de verwerkingsverantwoordelijke, hier Odido, onder de AVG verplicht om passende beveiliging te regelen en toezicht te houden op partijen die namens hen werken.
AVG stelt hoge eisen
De Algemene verordening gegevensbescherming (AVG) eist dat bedrijven dataminimalisatie toepassen. Dat is het principe dat je niet meer persoonsgegevens verzamelt of bewaart dan nodig. Ook moeten gegevens via passende technieken worden beschermd, zoals versleuteling en pseudonimisering.
Bij een datalek geldt een meldplicht aan de Autoriteit Persoonsgegevens (AP) en, als het risico’s geeft, aan betrokken klanten. De AP kan boetes opleggen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Daarnaast kan de toezichthouder maatregelen opleggen, zoals verbeterplannen en periodieke rapportages.
Voor telecombedrijven weegt de zorgplicht extra zwaar omdat zij essentiële diensten leveren. Contractuele afspraken met verwerkers zijn geen schild bij eigen nalatigheid. De rechter kijkt in dit soort zaken naar preventie, detectie en responstijd. Dat bepaalt mede of de beveiliging “passend” was.
NIS2 verhoogt druk
De EU-richtlijn NIS2 scherpt cybersecurity-eisen voor essentiële en belangrijke sectoren aan, waaronder telecom. In Nederland wordt NIS2 omgezet in nationale wetgeving, op het moment van schrijven nog in voorbereiding en gefaseerd ingevoerd. Bedrijven moeten aantoonbaar risico’s beheersen, incidenten snel melden en bestuurders blijven eindverantwoordelijk.
Voor Odido en zijn toeleveranciers betekent dit zwaardere governance-eisen. Denk aan assetmanagement, supply-chain-beveiliging en herstelplannen die getest zijn. Ook worden audits en rapportageverplichtingen strenger. Niet voldoen kan leiden tot sancties door de Rijksinspectie Digitale Infrastructuur en de AP.
De claim van CUIC raakt daarmee een bredere Europese beweging. Beveiliging is niet alleen een IT-kwestie, maar ook een bestuursvraag. Wie data verwerkt, moet kunnen laten zien dat processen, techniek en cultuur op orde zijn.
Impact voor klanten
Klanten kunnen last krijgen van gerichte phishing via sms en e-mail. Bij sim-swapping riskeren zij de toegang tot bankapps of accounts te verliezen. Het advies is om wachtwoorden te wijzigen, tweestapsverificatie via een app te gebruiken en bankmeldingen scherp te volgen. Ook is het verstandig om ongebruikelijke contract- of simkaartwissels direct te blokkeren.
Consumenten kunnen zich bij CUIC aanmelden om op de hoogte te blijven van de procedure. Dat kost doorgaans niets tot er een uitspraak of schikking is. Wie zich zorgen maakt over misbruik, kan melding doen bij de Fraudehelpdesk en zijn gegevens monitoren. Controleer daarnaast of je gegevens onnodig openbaar staan bij diensten en marktplaatsen.
Odido kan klanten ondersteunen met duidelijke waarschuwingen en persoonlijke begeleiding bij risico’s. Denk aan sim-locks, extra verificatie bij nummerwissels en gratis monitoring wanneer dat zinvol is. Zulke maatregelen beperken vervolgschade en herstellen vertrouwen.
Hoe de zaak verloopt
De rechtbank beoordeelt eerst of CUIC ontvankelijk is. Daarna volgt een fase over aansprakelijkheid en causaliteit. Pas als de zorgplichtschending vaststaat, komt schadeafwikkeling in beeld. Partijen kunnen in elke fase schikken, bijvoorbeeld door een verbeterprogramma te combineren met een fonds voor klanten.
Voor Nederlandse klanten geldt een opt-out: zij doen automatisch mee totdat ze zich uitschrijven. Voor niet-ingezetenen is vaak een opt-in nodig. De rechtbank wijst een zogeheten exclusieve belangenbehartiger aan die namens de hele groep onderhandelt. Dat moet versnippering voorkomen.
Uitkomsten variëren van een schadevergoeding tot structurele beveiligingsverbeteringen onder toezicht. Ook kan de rechter bepalen dat Odido periodiek rapporteert over incidenten en audits. Daarmee krijgt de claim, als die slaagt, effect op de dagelijkse praktijk van de telecomprovider en zijn leveranciers.
