Een consumentenstichting van privacyactivist Max Schrems heeft een massaclaim ingediend tegen Odido vanwege het grote datalek eerder dit jaar. Succesvolle massaclaims zijn in Nederland nog schaars. In hoeverre is de claim tegen Odido kansrijk?
Tijd rekken
Hoewel het al lange tijd mogelijk is om in groepsverband tegen bedrijven te procederen, kunnen belangenbehartigers pas sinds 2020 in collectief verband schade vorderen via de rechter. In dat jaar trad namelijk de Wet afwikkeling massaschade in collectieve actie (WAMCA) in werking. Het werd daardoor lucratiever om zulke collectieve claims in te dienen. Er zijn sindsdien dan ook een hele hoop massaclaims aangebracht bij de rechter, zoals te zien is in het daarvoor bestemde overheidsregister.
Het verloop van een massaclaim is echter behoorlijk tijdrovend. Hoewel er enkele schikkingen zijn getroffen, is er nog geen enkele claim tot in de hoogste instantie beslecht. "Dat is logisch, want er zijn veel belangrijke rechtsvragen die nog open staan om snel een massaclaim te beslechten", stelt Bonne van Hattum, massaclaimspecialist bij The Evaluators en assistent-professor bij de Universiteit Leiden. "Daar moet een rechter zich dan over buigen, waardoor het een tijd duurt voordat er antwoord komt op zo'n vraag."
Bij privacygerelateerde zaken, waar ook de Odido-claim onder valt, zijn er bijvoorbeeld vraagstukken over hoe een massaclaim zich precies verhoudt tot de AVG, vult advocaat Sven van Dooren aan. "Daarover worden momenteel vragen gesteld aan het Europees Hof. Het kan echter maanden tot jaren duren voordat een Nederlandse rechtbank antwoord krijgt van het Hof en er dus weer een stapje in de massaclaimzaak kan worden gezet."
"De tegenpartij probeert ook vaak om zoveel mogelijk tijd te rekken en het proces te vertragen", gaat Van Dooren verder. "Die probeert dan bijvoorbeeld om de bevoegdheid van de stichting, die de massaclaim aanspant namens een groep gedupeerden, aan te vechten. Door op ieder detail tot de hoogste rechter te procederen kan zo'n procedure heel lang worden gerekt."
Springen door hoepels
Als er eenmaal een uitspraak komt in een massaclaimzaak, is de kans groot dat latere zaken ook sneller afgehandeld kunnen worden. Het is echter nog maar de vraag wanneer dat zover is. Een van de verst gevorderde privacygebaseerde massaclaims is tegen Salesforce en Oracle, zegt Van Dooren. Volgens de aanklacht verzamelden deze bedrijven zonder toestemming gegevens van bezoekers van hun websites. Deze claim loopt al zes jaar en ligt nu bij de Hoge Raad, die zich moet buigen over de vraag of de stichting die voor de gedupeerden opkomt ontvankelijk is. Eerder oordeelde de rechtbank in Amsterdam nog dat de claim niet-ontvankelijk is omdat niet kon worden vastgesteld dat de stichting opkomt voor een 'voldoende groot deel van de groep getroffen benadeelden'.
Een andere langlopende massaclaimzaak is tegen TikTok, omdat dat socialemediabedrijf de privacy van kinderen zou schenden. Vorig jaar besloot het Gerechtshof in Amsterdam dat de zaak doorgang mag vinden, nadat de rechtbank eerder nog aangaf dat immateriële schade per definitie niet collectief kan worden gevorderd.
Dat was een belangrijk oordeel, omdat het hof ruimte liet voor collectieve immateriële
schadevorderingen. Dat zou ook gevolgen kunnen hebben voor de massaclaim tegen Odido, aangezien die mogelijk ook deels gaat over immateriële schade. "Maar je moet alsnog door veel hoepels om tot een veroordeling of schadevergoeding te komen", waarschuwt Van Dooren. "Zowel op procedurele gronden, dus formaliteiten, als juridisch inhoudelijk."
Nog niet naar de rechter
Massaclaims kunnen dus vele jaren in beslag nemen. De claims tegen TikTok en Salesforce-Oracle, die dik vijf jaar geleden zijn aangespannen, zijn immers nog altijd niet inhoudelijk behandeld. In het geval van de massaclaim tegen Odido is de belangenbehartigende stichting, Consumers United in Court (CUIC), nog niet eens naar de rechter gestapt.
De stichting vraagt momenteel alleen nog aan (oud)-klanten van Odido en dochterbedrijven Ben en Simpel om zich aan te melden, ongeacht of zij van zichzelf weten of ze echt slachtoffer zijn geweest van het datalek. Overigens zijn Simpel-klanten volgens Odido niet getroffen door het datalek. Inmiddels hebben al meer dan 200.000 klanten zich aangemeld. Van Hattum verwacht dat de claim kans van slagen heeft. "Als claimstichting onderzoek je heel goed of de claim tot in de hoogste instantie te beslechten is en hoe groot de kans is om bijvoorbeeld een schikking te treffen."
Volgens Van Dooren komt een datalek, hoe groot ook, op zichzelf niet in aanmerking voor een schadevergoeding. Wel valt Odido mogelijk nalatigheid te verwijten. Zo bewaarde de provider klantgegevens veel langer dan beloofd. De Autoriteit Persoonsgegevens onderzoekt of Odido hiermee de wet overtrad. "Een grote uitdaging van de massaclaimzaak is om vergoedbare immateriële schade, zoals gevoelens van angst, en het oorzakelijk verband met de mogelijke AVG-inbreuk voldoende aannemelijk te maken, zeker in collectief verband", zegt de advocaat, hetgeen Van Hattum beaamt.
Waar de massaclaim tegen Salesforce-Oracle mogelijk nog vóór de inhoudelijke behandeling strandt omdat de belangenbehartiger niet bevoegd zou zijn om de zaak te voeren, verwacht Van Hattum dat dat in het geval van de Odido-claim niet het geval zal zijn. CUIC, die is opgericht door Privacy First en noyb van Max Schrems, steekt volgens haar professioneel in elkaar. "Er zitten goede professionals bij die zich al heel lang bezighouden met massaclaims. Deze mensen gaan zichzelf niet zomaar te grabbel gooien met een kansloze, frivole claim. Ik geloof er echt in dat dit een heel degelijke, goed voorbereide claim is met kans van slagen." CUIC heeft momenteel ook een massaclaim lopen tegen Avast.
Hoogte schadevergoeding onduidelijk
Het is moeilijk om in te schatten hoeveel compensatie Odido-klanten eventueel kunnen krijgen. CUIC heeft ook nog geen uitspraken gedaan over de hoogte van de schade-eis. Zoals Tweakers in een eerder artikel over het Odido-datalek al schreef, is het heel lastig om immateriële schade door een datalek te kwantificeren. "Wat zijn gevoelens van angst en stress waard?", vraagt advocaat Sven van Dooren zich af. "De begroting van immateriële schade bij datalekken is ingewikkeld, omdat verlies van controle, onrust en vrees zich lastig in een vast bedrag laten vertalen. In eerdere rechtszaken zijn schadevergoedingen van enkele honderden, en bij uitzondering een paar duizend euro toegewezen."
Snelle schikking?
Dat de claim tegen Odido nog in de kinderschoenen staat, hoeft niet per se te betekenen dat gedupeerden nog jaren hoeven te wachten op een eventuele schadevergoeding. Een schikking treffen kan immers wel al sneller gebeuren. Dat is al meer dan eens voorgekomen bij een massaclaim. Zo troffen Volkswagen, Audi, Škoda en SEAT vorig jaar een schikking voor het gebruik van sjoemelsoftware, zo'n tien jaar nadat het schandaal aan het licht kwam. Zo'n 100.000 eigenaren van Volkswagen-diesels kregen daardoor een compensatie van maximaal 2500 euro. Wel is die zaak niet helemaal vergelijkbaar, omdat die zaak ging om materiële schade, waar eenvoudiger een compensatie op te plakken valt.
In het geval van Odido zou een schikking alsnog snel kunnen plaatsvinden, omdat het bedrijf een beursgang in het verschiet heeft. "Dat heeft veel impact op de stabiliteit", vertelt Van Hattum. "Voor aandeelhouders is het niet fijn dat er een claim boven het hoofd hangt. Als er duidelijkheid wordt verschaft, is dat voor hen heel belangrijk. Daarom is het een strategisch moment om de massaclaim nu in te dienen. Dan beweeg je het bedrijf om snel om tafel te komen en de mogelijkheid om te schikken te omarmen. Het zou dus best eens kunnen dat dit binnen een half jaar al klaar is."
/i/2008138542.png?f=imagenormal)