Consumentencollectief start massaclaim tegen Odido wegens privacyschending

Wettelijke verplichting om zorgvuldig om te gaan met persoonlijke gegevens

De Algemene Verordening Gegevensbescherming (AVG) stelt heldere eisen. Odido is volgens deze wet een zogenoemde “verwerkingsverantwoordelijke”. De wet zegt daarover dat ze
1) strenge veiligheidsmaatregelen moeten inregelen in hun systemen (bijvoorbeeld met beperkte toegangsrechten voor medewerkers en monitoring op het downloaden van grote hoeveelheden data);
2) zo weinig mogelijk data van klanten moeten vragen en dat de verwerking rechtmatig is;
3) transparant moeten zijn; en
4) bij een datalek onmiddellijk adequate stappen moeten zetten om de Autoriteit Persoonsgegevens en klanten te informeren.

In het geval van Odido is duidelijk dat het telecombedrijf op meerdere punten nalatig is geweest. Zo zijn er veel te veel gegevens bewaard, voor een veel te lange periode. Alleen al uit de hoeveelheid gegevens die is gestolen blijkt dat de data niet goed waren afgeschermd of ‘gecompartimenteerd’. Ook is Odido onvoldoende transparant geweest en is de meldplicht niet correct nageleefd.

In haar eigen communicatie heeft Odido er inmiddels op gewezen dat de getroffen persoonlijke gegevens van klanten al gebruikt zijn voor criminele activiteiten zoals phishing. Op andere punten is er nog onduidelijkheid. Er lopen verschillende onderzoeken door het Openbaar Ministerie, de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur.

Drie doelen

CUIC wil met deze zaak drie dingen bereiken. Ten eerste: genoegdoening voor alle mensen van wie gegevens nu op straat liggen. Ten tweede: een voorbeeld stellen voor alle bedrijven. Privacy is een fundamenteel recht dat goed beschermd moet worden. Ten derde: dat Odido openheid van zaken geeft over hoe dit enorme datalek heeft kunnen ontstaan en waarom het bijvoorbeeld waarschuwingen van softwarebedrijf Salesforce over de veiligheid van haar systemen in de wind lijkt te hebben geslagen.

Het grotere plaatje

CUIC voorzitter Eliëtte Vaal: “Je kunt nooit helemaal uitsluiten dat een inbreker binnenkomt in systemen. Maar de wet vereist dat je op z’n minst goede voorzorgsmaatregelen neemt. Odido lijkt de veiligheid van de gegevens van haar klanten als het sluitstuk van haar bedrijfsvoering te hebben beschouwd. Daarmee hebben ze miljoenen klanten en oud-klanten blootgesteld aan het risico dat zaken als hun bankgegevens nu kunnen worden misbruikt. Veel mensen maken zich daar terecht zorgen over.”

Meld je kosteloos aan voor de zaak op CUIC.eu

Mensen die klant zijn of waren van Odido, T-mobile, Ben of Tele2 worden opgeroepen zich aan te melden voor deze collectieve actie op www.cuic.eu. Aanmelden is kosteloos. Privacy is een fundamenteel recht dat bescherming behoeft tegen onrechtmatige commerciële praktijken.

Over CUIC

CUIC is een onafhankelijke non-profit organisatie en staat voor Consumers United in Court, ook uit te spreken als ‘CU in Court’ (see you in court). CUIC heeft als missie de privacy van consumenten te beschermen en kan daartoe procederen onder de nieuwe Wet afwikkeling massaschade in collectieve actie (Wamca), waarbij de krachten van consumenten gebundeld worden. CUIC is mede opgericht door Privacy First en de Europese organisatie None of Your Business (noyb), twee organisaties die al vele jaren en met succes strijden en procederen voor privacy en gegevensbescherming van burgers, met belangrijke gevolgen in wetgeving, uitvoering en toezicht.

De claim tegen Odido is de tweede rechtszaak die CUIC start, na de zaak van CUIC tegen het techbedrijf Avast dat jarenlang het online surfgedrag van miljoenen mensen onrechtmatig verzamelde en doorverkocht. De zaak tegen Avast loopt momenteel bij de rechtbank Amsterdam.