Telegraaf | Jouw gegevens in datalek Odido of Basic-Fit? Ook zonder massaclaim kun je mogelijk tot 2500 euro schadevergoeding krijgen
Categorie: Privacyrecht
Dit artikel verscheen op woensdag 21 april 2026 in Telegraaf. Onze collega Stephan Mulders werd geïnterviewd voor deze publicatie, zijn inzichten lees je in het onderstaande artikel.
Amsterdam – Door datalekken bij Odido, Basic-Fit, Booking.com en andere recent gehackte bedrijven lopen miljoenen Nederlanders van wie persoonsgegevens zijn gelekt risico op phishing en identiteitsfraude. Privacystichting CUIC start daarom een collectieve rechtszaak tegen Odido namens miljoenen gedupeerden. Hoewel zo’n massaclaim een effectieve manier kan zijn om schade te verhalen, kan een definitieve uitspraak jaren duren. Maar wie is getroffen, kan mogelijk ook zélf sneller een schadevergoeding claimen.
Namen, paspoortgegevens, e-mailadressen, telefoonnummers, geboortedata, IBAN-nummers, klantnummers, woonadressen en rijbewijzen: deze informatie van zeer veel Nederlanders die klant zijn of waren bij Odido, Basic-Fit, Booking.com, Eurocamp en andere gehackte bedrijven circuleert momenteel op het dark web.
De tsunami aan verschillende datalekken bij grote bedrijven van de afgelopen maanden is zeer riskant, waarschuwt de Autoriteit Persoonsgegevens (AP). „Met losse gegevens, bijvoorbeeld alleen een BSN, kan een fraudeur niet heel veel. Het gevaar zit juist in de combinatie van gegevens.”
De kans dat al deze slachtoffers te maken krijgen met identiteitsfraude is volgens privacy-expert Brenno de Winter groter dan ooit. „Met een samenstelling van gegevens kunnen criminelen complete leningen op jouw naam afsluiten, grootschalige phishingpraktijken opzetten of zelfs huizen huren en daar een wietplantage starten.”
Welke juridische stappen kun je nemen tegen Odido of Basic-Fit?
Stel dat dit gebeurt. Of dat je als datalekslachtoffer vreest dat het gebeurt. Kun je dan juridische stappen nemen om een schadevergoeding te vorderen?
Volgens advocaat Stephan Mulders, gespecialiseerd in privacy- en technologierecht bij Blenheim, moeten slachtoffers vooral kunnen aantonen dat er sprake is van een AVG-inbreuk door het bedrijf om in aanmerking te komen voor een vergoeding. De AVG is de Europese privacywetgeving. „In die privacywet staat duidelijk vastgelegd dat een datalek niet per se betekent dat een bedrijf de AVG heeft overtreden. De AVG vraagt organisaties niet om te garanderen dat persoonsgegevens veilig zijn.”
„Wél moeten organisaties voldoende beveiligingsmaatregelen nemen”, vervolgt hij. „Hebben ze dat niet, dan kun je redelijk eenvoudig aantonen dat je AVG-schade hebt opgelopen en heb je recht op een schadevergoeding. Grote datalekken worden vaak onderzocht door de AP, die kan constateren dat het systeem onvoldoende was beveiligd.”
’Angstschade’
Ook los van een onderzoek van de toezichthouder maak je volgens hem wel kans. „Als je een vergoeding wilt, moet je aantonen dat je schade hebt geleden. Dat is normaal gesproken lastig, omdat je niet weet wat hackers met de gegevens gaan doen. Maar het Hof van Justitie heeft onlangs het concept ’angstschade’ geïntroduceerd.”
„Dat betekent dat een gegronde angst voor toekomstig misbruik van gegevens ook schade kan zijn. Dat lijkt mij hier een haalbare kaart, omdat deze gegevens bijvoorbeeld gebruikt kunnen worden voor identiteitsdiefstal. Het begrip angstschade is nog vrij jong, dus er is nog niet veel langere rechtspraak over. Het is dus onduidelijk hoeveel vergoeding daarvoor zou worden toegekend.”
Vergoeding? Tot ongeveer 2500 euro per persoon
Als een datalek tot gevolg heeft dat iemand wordt opgelicht met bijvoorbeeld een nepmail of andere vormen van phishingpraktijken, is dat volgens de advocaat ook een aantoonbare vorm van schade die je van het bedrijf vergoed zou kunnen krijgen. Net als wanneer bedrijven onnodige gegevens verzamelen die vervolgens op het darkweb belanden. „Een geboortedatum of woonadres bijvoorbeeld zou een sportschool niet per se nodig hoeven hebben. Als dat vervolgens ook wordt gelekt, leidt dat tot extra schade.”
Cybercrime-deskundige Maria Genova vult aan: „Het slaat nergens op dat bijvoorbeeld Odido paspoortnummers van klanten eiste. Toch zijn die nu ook gelekt.”
Hoeveel schadevergoeding slachtoffers potentieel kunnen krijgen? Volgens Mulders wisselt dat sterk. „Ergens tussen de 250 en 2500 euro per persoon wordt hiervoor in Nederland toegekend. Het is dus per casus afhankelijk of het opweegt tegen de kosten voor een procedure. Hoewel je voor die procedure geen advocaat nodig hebt.”