Een grootschalige juridische procedure tegen telecomprovider Odido is in gang gezet. De privacystichting CUIC heeft aangekondigd een massaclaim voor te bereiden, waarbij de provider wordt beschuldigd van ernstige nalatigheid naar aanleiding van een recente cyberaanval. Door dit incident zijn de persoonlijke gegevens van naar schatting 6,2 miljoen Nederlanders op straat komen te liggen, waaronder zowel huidige als voormalige klanten van de telecomreus.
De aanval werd uitgevoerd door de internationale hackersgroep ShinyHunters. Volgens berichtgeving van gelderlander.nl weigerde Odido losgeld te betalen aan de criminelen, wat leidde tot een massale verspreiding van gevoelige informatie. De buit die door de hackers is vrijgegeven, bevat een breed scala aan identificeerbare gegevens. Het gaat hierbij niet enkel om namen, adressen en e-mailadressen, maar ook om veelzeggende informatie zoals telefoonnummers, paspoortgegevens en bankrekeningnummers van de betrokkenen.
Beschuldigingen van nalatigheid
De kern van de juridische strijd ligt bij de vraag of Odido voldoende maatregelen heeft genomen om de beveiliging van deze gegevens te waarborgen. De privacystichting CUIC, die eerder bekend werd door een miljardenclaim tegen het beveiligingsbedrijf Avast, stelt dat de provider tekort is geschoten in zijn zorgplicht. Eliëtte Vaal, voorzitter van CUIC en privacy-advocaat, voert aan dat de beveiligingssystemen van het bedrijf niet adequaat waren afgeschermd.
Een cruciaal punt in de aanklacht is dat Odido waarschuwingen van externe partijen zou hebben genegeerd. Volgens Vaal heeft de softwareleverancier Salesforce in de maanden voorafgaand aan de hack herhaaldelijk gewezen op kwetsbaarheden. Er zouden zelfs drie specifieke aanbevelingen zijn gedaan om de inbraakmethode die de ShinyHunters uiteindelijk gebruikten, te voorkomen. Daarnaast wordt er gewezen op het ontbreken van een goede compartimentering van de klantgegevens, waardoor de schade aan de privacy van de gebruikers enorm is geworden.
De stichting vindt het bovendien onacceptabel dat individuele medewerkers van de klantenservice toegang hadden tot enorme hoeveelheden gevoelige documenten, zoals paspoortkopieën en financiële gegevens. Dit type onjuiste inrichting van toegangsrechten is een punt dat ook de Autoriteit Persoonsgegevens (AP) in eerdere zaken, zoals rondom de GGD, heeft veroordeeld als een overtreding van de privacywetgeving. De toezichthouder benadrukt immers dat persoonlijke gegevens niet langer bewaard mogen worden dan strikt noodzakelijk en dat de toegang tot die data strikt beperkt moet blijven.
Gebrekkige communicatie
Naast de technische tekortkomingen krijgt Odido ook zware kritiek op de manier waarop het incident is gecommuniceerd naar de getroffen burgers. De stichting stelt dat de provider al zeer vroeg in februari op de hoogte was van de inbreuk, maar dat de informatievoorziening naar klanten pas dagen later op gang kwam. Deze vertraging wordt als zeer problematisch beschouwd, omdat klanten en oud-klanten hierdoor de kans misten om direct preventieve maatregelen te nemen, zoals het wijzigen van wachtwoorden of het verhogen van de alertheid op fraude.
De communicatie vanuit de telecomprovider wordt door de juridische partij omschreven als te vaag en onvoldoende conform de vereisten van de Algemene Verordening Gegevensbescherming (AVG). De gevolgen van het datalek werden niet duidelijk gespecificeerd, waardoor de ernst van de situatie voor de miljoenen slachtoffers werd onderschat.
De omvang van de collectieve procedure kan enorm zijn. Afhankelijk van het aantal aanmeldingen, waarbij nieuwe klanten vanaf aanstaande maandag kosteloos kunnen deelnemen, kunnen de geëiste schadevergoedingen in de tientallen of zelfs honderden miljoenen euro's lopen. Het enthousiasme voor de zaak is groot, mede omdat de impact van het diefstal van identiteitsgegevens zo diep ingrijpt in de persoonlijke veiligheid van de betrokken Nederlanders.