Odido waarschuwt zijn klanten voor een cyberaanval, meldde onder meer Tweakers. Er zijn (mogelijk) gegevens van miljoenen klanten uit een klantcontactsysteem verkregen, waaronder mobiele nummers, klantnummers, e-mailadressen, IBAN-rekeningnummers, geboortedata en ID-kaartnummers. Het gaf vele gefrustreerde reacties: waarom kan ik hier niets tegen doen?
Vooralsnog is onduidelijk wat er precies is gebeurd, zodat we niet kunnen zeggen of Odido te kort geschoten is of juist ondanks alles slachtoffer werd van een geavanceerde aanval. Dat maakt natuurlijk uit; datalekken leiden pas tot aansprakelijkheid als ze het gevolg zijn van inadquate beveiliging.
Een deel van de reacties wijst erop dat er dus gegevens in een klantcontactsysteem zitten die daar niet horen. Waarom is het nummer van mijn paspoort relevant voor klantcontact, wat dat ook moge betekenen? Wat doet een klantreisambassadeur met mijn IBAN? Dit gaat over dataminimalisatie, niet perse over slechte beveiliging, maar is net zo een AVG-issue natuurlijk.
Een schadevergoeding claimen? Dat is vrijwel ondoenlijk als consument. Niet eens zozeer omdat zo’n procedure duur is, maar vooral omdat je je schade niet kunt hardmaken. Je tijd is nul euro waard, er is jou (nog) niets fysiek of digitaal overkomen waar je bonnetjes van een hersteller van kunt overleggen. Psychische schade is kwantificeerbaar (de uren van een psycholoog), maar vereist medische indicatie én wordt al gedekt door de verzekering. Dus dan blijft er eigenlijk niets over.
Je contract opzeggen? Kan, als het datalek te herleiden is tot een tekortkoming bij Odido. Want artikel 14 van hun algemene voorwaarden (consumenten) zegt “Odido gaat zorgvuldig om met je persoonsgegevens en houdt zich aan de wet.” Schiet men te kort daarin, dan is dat een materiële schending van de overeenkomst en dat biedt het recht van opzegging. Uiteraard is dit geen eenvoudig te gebruiken argument.
Natuurlijk, als men tekort schoot in AVG compliance dan kan de AP een boete opleggen. Maar die wordt niet verdeeld over de slachtoffers. En daardoor ontstaat het beeld dat er bar weinig reden is om het beter te doen om dit soort lekken te laten voorkomen.
Arnoud
