Odido-topman zet hakken in het zand: geen schadevergoeding voor gedupeerden megadatalek

Ruim drie maanden na het grootste datalek ooit in Nederland maakt Odido-CEO Søren Abildgaard in een interview met De Telegraaf duidelijk waar de gedupeerden aan toe zijn: er komt geen schadevergoeding. Meer dan zes miljoen getroffen klanten vangen bot. Tenminste als het aan Odido ligt.

Geen regels overtreden, zegt de topman

Odido zal geen schadevergoeding uitkeren aan de meer dan zes miljoen klanten die werden getroffen door het datalek van februari. Volgens de CEO van Odido heeft onderzoek niet aangetoond dat het telecombedrijf regels heeft overtreden of nalatig is geweest. Volgens hem voldoende reden dat geen gezamenlijke compensatie komt. Zijn belofte aan gedupeerden is mager: "Ik beloof te leren van deze ervaring."

Een belofte die weinig troost biedt

Die uitspraak schiet velen in het verkeerde keelgat. In februari 2026 drong hackersgroep ShinyHunters de systemen van Odido binnen en kopieerde enorme hoeveelheden klantgegevens. Nadat Odido weigerde losgeld te betalen, heeft de groep de gegevens online gezet, waardoor data van miljoenen mensen beschikbaar is op het dark web. Criminelen maken daar inmiddels dankbaar gebruik van met gerichte phishingaanvallen.

Dat Odido nalatigheid van de hand wijst, staat haaks op de bevindingen van privacystichting CUIC. Volgens de stichting is de telecomprovider structureel tekortgeschoten in de bescherming van persoonsgegevens doordat gegevens te lang en in te grote hoeveelheden werden bewaard zonder adequate beveiligingsmaatregelen.

Massaclaim als antwoord

Gedupeerden hoeven het er niet bij te laten zitten. CUIC streeft naar een schadevergoeding van 500 euro per gedupeerde. Het geëiste totaalbedrag kan daarmee oplopen tot honderden miljoenen euro's. De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) voeren ondertussen hun eigen onderzoek uit.