Het recente datalek bij internetprovider Odido, waarbij gegevens van naar schatting 6,2 miljoen klanten zijn buitgemaakt, roept kritische vragen op over verantwoordelijkheid, transparantie en mogelijke compensatie. Hoewel de omvang van het incident groot is, stelt het telecombedrijf dat slachtoffers van het datalek niet automatisch recht hebben op een vergoeding. Die boodschap, die deze week werd toegevoegd aan een informatiepagina over het incident, lijkt vooral gericht op het temperen van verwachtingen bij klanten.
Volgens Odido zijn er op dit moment geen aanwijzingen dat klanten daadwerkelijk schade hebben geleden als gevolg van het datalek. Het bedrijf zegt dat meldingen van bijvoorbeeld phishing mogelijk verband houden met andere incidenten. “Op grond van de op dit moment bij Odido beschikbare informatie hebben we nog geen aanleiding om te denken dat de eventuele schade het gevolg is van het datalek bij Odido”, aldus de provider.
Verdachte signalen
Tegelijkertijd benadrukt Odido dat het klanten proactief heeft geïnformeerd en hen heeft opgeroepen alert te zijn op verdachte signalen. Dat zou in lijn zijn met het advies van het Centraal Meldpunt Identiteitsfraude (CMI) van de Rijksoverheid. Het bedrijf waarschuwt klanten bovendien om voorzichtig te zijn met partijen die advies geven dat afwijkt van de officiële richtlijnen. Daarmee lijkt Odido indirect te reageren op organisaties en juristen die wijzen op mogelijke aansprakelijkheid bij datalekken.
Compensatie
Toch roept de communicatie van Odido vragen op. Dat een datalek niet automatisch recht geeft op compensatie is juridisch gezien correct, maar het betekent niet dat schadevergoeding uitgesloten is. In Nederland en de Europese Unie geldt dat organisaties die persoonsgegevens verwerken verplicht zijn om deze adequaat te beschermen. Wanneer blijkt dat beveiligingsmaatregelen tekortschoten, kan aansprakelijkheid alsnog aan de orde zijn.
Over de oorzaak van het lek blijft Odido opvallend terughoudend. Het bedrijf zegt samen te werken met externe beveiligingsexperts en spreekt over een “grondige evaluatie”, maar geeft geen concrete details over hoe aanvallers toegang kregen tot de systemen. Volgens berichtgeving van de NOS zou de hack hebben plaatsgevonden in een Salesforce-omgeving waarin klantgegevens waren opgeslagen, mogelijk via een combinatie van phishing en social engineering. Dat wijst op menselijke kwetsbaarheden en beveiligingsprocessen die mogelijk onvoldoende waren.
Wachtwoord
Daarnaast benadrukt Odido dat het geen e-mails heeft verstuurd waarin klanten worden gevraagd hun wachtwoord te wijzigen, en dat het datalek op zichzelf geen reden is om contracten voortijdig op te zeggen. Die boodschap kan geruststellend bedoeld zijn, maar onderstreept tegelijk hoe moeilijk het voor klanten is om de risico’s van een dergelijk incident zelf in te schatten.
Het datalek bij Odido laat zien hoe groot de impact kan zijn wanneer persoonlijke gegevens op straat belanden, ook als directe schade nog niet aantoonbaar is. Juist daarom blijft de vraag hangen of de nadruk op het ontbreken van compensatie niet te vroeg komt, zolang de volledige toedracht en mogelijke gevolgen nog onduidelijk zijn.