Een omvangrijke juridische strijd staat op het punt los te barsten tussen de telecomprovider Odido en miljoenen Nederlandse burgers. De privacystichting CUIC heeft aangekondigd een massale claim voor te bereend tegen de telecomreus, als gevolg van een recente cyberaanval waarbij de persoonlijke gegevens van zeker 6,2 miljoen mensen zijn buitgemaakt. De procedure, die gericht is op het verkrijgen van genoegdoening voor de slachtoffers, stelt dat de provider ernstig tekort is geschoten in de beveiliging van de klantgegevens.
De kern van het incident ligt bij een inbraak door de internationale hackersgroep ShinyHunters. Volgens berichtgeving van gelderlander.nl heeft deze groep een enorme hoeveelheid gevoelige informatie op straat kunnen gooien nadat de telecomprovider weigerde de eisen voor losgeld te voldoen. Het gaat hierbij niet enkel om de gegevens van huidige abonnees; ook mensen die de provider reeds jaren geleden hebben verlaten, zijn getroffen door de datalekken. De buit van de hackers bevat een breed scala aan privégegevens, waaronder namen, adressen, telefoonnummers en e-mailadressen, maar ook zeer gevoelige informatie zoals bankrekeningnummers en paspoortgegevens.
De privacystichting CUIC, die eerder bekend werd door een miljardenclaim tegen het beveiligingsbedrijf Avast, beschuldigt Odido van grove nalatigheid. De stichting voert aan dat de beveiligingsmaatregelen van het bedrijf niet op orde waren en dat er eerdere waarschuwingen simpelweg werden genegeerd. Eliëtte Vaal, de voorzitter van CUIC en advocaat gespecialiseerd in privacyvraagstukken, stelt dat de methoden die de hackers gebruikten, precies de zwakheden betroffen waarvoor de softwareleverancier Salesforce voorafgaand aan de aanval nog herhaaldelijk had gewaarschuwd. Volgens de stichting waren er in de maanden voor de hack zelfs drie specifieke aanbevelingen gedaan om een dergelijk incident te voorkomen.
Naast het negeren van externe waarschuwingen, richt de juridische aanval zich ook op de interne organisatie van de data bij Odido. De stichting bekritiseert het feit dat de toegang tot de meest gevoelige informatie niet voldoende was beperkt. Zo zouden individuele medewerkers van de klantenservice toegang hebben gehad tot massale hoeveelheden bank- en paspoortgegevens, wat volgens de aanklagers in strijd is met de noodzaak tot compartimentering van persoonsgegevens. In deze context wordt verwezen naar eerdere uitspraken van de Autoriteit Persoonsgegevens (AP), die in vergelijkbare zaken rondom de GGD al oordeelde dat een gebrekkige inrichting van toegangsrechten een overtreding van de privacywetgeving vormt.
Ook de reactie van Odido na de ontdekking van de hack ligt onder vuur. De stichting stelt dat de communicatie naar de getroffen klanten zwaar tekortschoot en niet voldeed aan de wettelijke vereisten van de Algemene Verordening Gegevensbescherming (AVG). Hoewel de provider mogelijk al in het begin van februari op de hoogte was van de inbreuk, werd de informatie pas dagen later gedeeld met het publiek. Deze vertraging zou de schade voor de gebruikers hebben vergroot, aangezien zij niet tijdig de kans kregen om bijvoorbeeld wachtwoorden te wijzigen of extra alert te zijn op mogelijke identiteitsfraude.
De omvang van de financiële claims is potentieel enorm. Afhankelijk van het aantal aanmeldingen kan de totale eis in de tientallen of zelfs honderden miljoenen euro's lopen. Voor de betrokkenen is er vanaf aanstaande maandag een mogelijkheid om zich kosteloos aan te sluiten bij deze collectieve procedure. De impact van het lek is inmiddels zo groot dat de Autoriteit Persoonsgegevens burgers zelfs heeft opgeroepen om geen contact meer op te nemen met de provider via de reguliere klantenservice en de druk op het Meldpunt Identiteitsfraude is enorm toegenomen.