Een Nederlandse claimstichting start een massaclaim tegen telecombedrijf Odido na een groot datalek. De procedure loopt in Nederland en richt zich op schade bij klanten. Het doel is vergoeding en strengere beveiliging. De zaak draait om naleving van Europese privacyregels onder de AVG.
Massaclaim treft Odido
De claim draait om de stelling dat Odido persoonsgegevens van klanten onvoldoende heeft beschermd. De stichting wil dat het bedrijf schade vergoedt en blijvende maatregelen neemt. Ook vraagt zij de rechter om duidelijke normen voor beveiliging.
Odido is de Nederlandse aanbieder die in 2023 ontstond uit T-Mobile Nederland en Tele2. Het bedrijf bedient een groot aantal mobiele en vaste klanten. Een datalek raakt deze groep direct, omdat contactgegevens en klantgegevens gevoelig zijn voor misbruik.
Bij een collectieve zaak toetst de rechter eerst of de stichting voldoende draagvlak, bestuur en financiering heeft. Pas daarna kan inhoudelijke behandeling beginnen. De rechtbank kan één partij aanwijzen als exclusieve vertegenwoordiger om versnippering te voorkomen.
De procedure kan maanden tot jaren duren. Onderweg kan een schikking worden verkend en door de rechter algemeen bindend worden verklaard. Dat geeft gedupeerden sneller duidelijkheid over vergoeding en maatregelen.
Risico’s voor klanten nemen toe
Bij datalekken in telecom gaat het vaak om namen, adressen, e-mail, telefoonnummers en klantnummers. Deze gegevens lijken onschuldig, maar zijn waardevol voor oplichters. In combinatie met openbare data worden gerichte phishingaanvallen mogelijk.
Klanten lopen extra risico op phishing via sms (smishing) en nepcalls die lijken te komen van klantenservice. Ook kan zogeheten sim-swapping worden geprobeerd, waarbij een aanvaller uw nummer overzet om sms-codes te onderscheppen. Dat kan leiden tot inbraak op bank- en andere accounts.
Goede beveiliging bestaat uit versleuteling, strenge toegangsrechten, loggen van gebruik en dataminimalisatie. Dataminimalisatie betekent: alleen noodzakelijke gegevens bewaren. Hoe minder data, hoe kleiner de schade bij een lek.
De claimstichting stelt dat ook immateriële schade telt, zoals stress en tijdverlies. Europese rechtspraak laat zien dat zulke schade vergoed kan worden, afhankelijk van het bewijs. De uitkomst verschilt per zaak en per groep gedupeerden.
AVG biedt schadevergoeding
Onder de Algemene verordening gegevensbescherming (AVG) moeten organisaties datalekken snel melden bij de Autoriteit Persoonsgegevens (AP). Als er een hoog risico is voor betrokkenen, moeten zij ook persoonlijk worden geïnformeerd. Telecombedrijven vallen volledig onder deze regels.
Artikel 82 AVG geeft iedereen recht op vergoeding van materiële en immateriële schade door een inbreuk. Een stichting mag zo’n vordering namens een groep indienen. Wel is een schending en een verband met de schade nodig.
Los van civiele claims kan de AP een onderzoek starten en boetes opleggen. De maximale boete is 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Een boete staat los van uitkeringen aan klanten.
Kernprincipes zijn privacy by design, dataminimalisatie en doelbinding. Dat betekent: bouw systemen zo dat gegevens standaard goed beschermd zijn en verzamel niet meer dan nodig. Ook bewaartermijnen moeten beperkt en onderbouwd zijn.
Artikel 82 AVG: iedere betrokkene heeft recht op schadevergoeding voor materiële of immateriële schade die het gevolg is van een inbreuk op de verordening.
WAMCA stuurt de procedure
De Wet afwikkeling massaschade in collectieve actie (WAMCA) maakt collectieve schadeclaims mogelijk. In Nederland vallen consumenten standaard onder de zaak (opt-out). Wie in het buitenland woont, moet meestal actief deelnemen (opt-in).
De rechtbank toetst eerst de ontvankelijkheid: representativiteit, governance, financiering en steun uit de achterban. Zijn er meerdere stichtingen, dan wijst de rechter één exclusieve vertegenwoordiger aan. Zo wordt dubbel werk en verwarring voorkomen.
Vaak beslist de rechter eerst over aansprakelijkheid en later over de hoogte van de schade. Vergoeding kan per groep of via een regeling met categorieën worden vastgesteld. Schikkingen worden aangemoedigd om efficiënt tot herstel te komen.
Claimstichtingen werken geregeld met procesfinanciers en succesvergoedingen. Deelnemers betalen doorgaans geen kosten vooraf, maar voorwaarden verschillen. Let op welke gegevens u deelt met de stichting; deel niet meer dan nodig.
Praktische stappen voor klanten
Wijzig wachtwoorden van uw Odido-account en e-mail en gebruik unieke, sterke wachtzinnen. Zet waar mogelijk tweestapsverificatie via een app aan, niet via sms. Stel een pincode in op uw simkaart en op uw klantprofiel.
Wees alert op e-mails, sms’jes en telefoontjes die om codes of wachtwoorden vragen. Controleer afzenders en ga niet in op onverwachte links of betaalverzoeken. Een legitieme klantenservice vraagt niet om uw wachtwoord.
Overweeg krediet- of identiteitsmonitoring als dit wordt aangeboden. Bewaar verdachte berichten en noteer onregelmatigheden op uw rekening of account. Dat helpt bij aangifte en een eventuele schadeclaim.
U kunt bij Odido een inzageverzoek doen om te zien welke gegevens zijn opgeslagen. Ook kunt u een klacht indienen bij de Autoriteit Persoonsgegevens. Dat is een recht onder de AVG en kost niets.
Strengere regels op komst
De Europese NIS2-richtlijn moet uiterlijk in oktober 2024 zijn omgezet in Nederlandse wetgeving. Deze regels verhogen de zorgplicht voor beveiliging en incidentmelding. Meer sectoren en leveranciers vallen dan onder toezicht.
Voor telecom en toeleveranciers betekent dit zwaardere eisen en mogelijk hogere sancties. Ook ketenrisico’s komen nadrukkelijker in beeld. Datalekken bij leveranciers tellen mee voor de verantwoordelijkheid van de hoofdpartij.
Bedrijven die algoritmen inzetten voor dienstverlening en marketing moeten privacy by design toepassen. Verzamel en verwerk zo min mogelijk persoonsgegevens in modellen en logs. Dat beperkt zowel de kans op misbruik als de schade na een lek.
