Odido raakte de afgelopen maanden bedolven onder een lawine van kritiek, nadat hackers de gegevens van ruim zes miljoen klanten buitmaakten. Doordat het telecombedrijf geen losgeld betaalde, belandden privégegevens zoals banknummers, identiteitsgegevens en mailadressen op het darkweb.
Commercieel directeur Tisha van Lammeren heeft het geweten, zegt ze in een interview op AD.nl. „Toen duidelijk werd dat wij de hackers niet gingen betalen, waren heel veel klanten héél erg bezorgd. Sommigen waren boos. Dan zit je in het rood en dat herstelt zich nu.
„Uiteindelijk ben ik pas weer tevreden wanneer we weer op het oude niveau zitten”, zegt Van Lammeren, tevens lid van de bestuursraad. „Odido was en is een merk dat door onze klanten werd vertrouwd en omarmd. Daar wil ik naar terug.”
Meer over Odido op BusinessWise.nl
=> Wat zijn gehackte gegevens online waard? ‘Hoe completer een dataset over mensen, des te meer hackers kunnen vragen’
=> Reputatie-expert Frank Peters over de Odido-crisis: ‘Huur een filosoof in voor de boardroom’
=> ‘Odido moet zelf de bom laten ontploffen’, vindt merkstrateeg Ingmar de Lange
Klanten klaagden dat de communicatie bij Odido heel beroerd was.
„Ik wil daar nuance op aanbrengen. Ik heb 6,4 miljoen mensen een persoonlijk bericht gestuurd. Enkele dagen nadat we wisten dat de gegevens waren gelekt, hebben we klanten direct een notificatie gestuurd. Ook openden we meteen een online landingspagina met updates en schaalden we onze klantenservice op naar meer dan 140 mensen.”
„Dat we daarna wat stiller werden, kwam doordat we een complex forensisch onderzoek ingingen. We wilden eerst onze analyse afronden. Er verscheen een hoop door ShinyHunters (de hackersgroep, red.) gedeelde misinformatie in de media. Alles in ons riep om daar iets over te zeggen. We wilden alleen niet iedere keer reageren op berichten, terwijl we nog niet zeker wisten of die klopten. Wel snap ik helemaal de emotie. Zo van: waarom heb je me, bij wijze van spreken, niet wekelijks een update gestuurd?”
„Ik heb ervan geleerd dat je tussentijds meer moet communiceren. Als dit nog eens zou gebeuren, zou ik daarom kiezen voor meer tussentijdse updates. Dan kun je zeggen: dit wordt er in de media gezegd, maar we onderzoeken het.”
Waarom kwamen er nooit heldere excuses van Odido?
„Toen ik er op de dag van het lek op camera over werd geïnterviewd door twee nieuwspartijen, was mijn eerste zin: ‘het spijt me’. Dat dat niet is uitgezonden, daar kan ik niet zo heel veel aan doen. In de mails naar onze klanten staat heel duidelijk dat het ons betreurt. Ook Søren (Abilgaard, directeur, red.) zegt op video dat het ons spijt. Dat is ook écht zo.”
„Je kunt soms zeggen dat het je spijt, terwijl dat niet zo wordt ontvangen. We hebben dat op meerdere momenten laten blijken, omdat we dat echt zo voelen. We vinden het echt heel vervelend dat dit is gebeurd.”
Dus u zegt nu heel helder: sorry?
„Wij zeggen: het spijt ons. We hebben dat vaker gezegd, maar ik weet niet of dat genoeg is geweest. Klanten zijn boos en wij moeten nu werken aan het herstel van dat vertrouwen.”
Lees ook
Cybersecurityexpert Ronald Prins over Odido Hack: ‘Wie betaalt, houdt criminelen op de been’
Veel klanten zijn laaiend dat hun gegevens zijn uitgelekt. Ze willen geld zien. Snapt u dat?
„Natuurlijk begrijp ik dat klanten daar boos over zijn. Een aantal van die klanten vindt een compensatie redelijk, dat begrijp ik. We zijn immers een groot bedrijf en er zijn heel veel data gelekt.”
Waarom compenseert u gedupeerden dan niet?
„Compensaties zijn van toepassing bij aantoonbaar nalatig gedrag, waardoor klanten schade hebben geleden. Dat zien wij niet. Ik kan jou compenseren, maar dit is geen geldkwestie. We hebben hier te maken met een context waarin dit soort aanvallen heel vaak plaatsvinden.”
„Wij moeten nog meer versterken in onze beveiliging, zodat dit aanvalspad niet nog eens wordt ingezet. Daar hebben klanten uiteindelijk wat aan.”
Maar als je ID-gegevens al op straat liggen, heb je daar weinig aan. Die gegevens heb je met een bedrijf gedeeld, dus wil je een vergoeding.
„Met die gegevens kun je in principe niet superveel, dus er is geen noodzaak om je paspoort te vervangen.”
Fraude ligt op de loer.
„Wij hebben onze klanten daarom gewaarschuwd: wees alert op verschillende manieren van oplichting. Dat neemt niet weg dat het nog steeds heel vervelend is dat gegevens zijn gelekt.”
Claimstichting Consumers United in Court baalt ervan dat u niet compenseert. De stichting wijst erop dat Odido wel degelijk regels heeft overtreden. Zo zijn gegevens van klanten te lang bewaard, zijn waarschuwingen van Salesforce genegeerd en zou er al identiteitsfraude plaatsvinden met gestolen klantgegevens.
„Ik begrijp dat dat wordt gezegd, want je moet natuurlijk munitie hebben om een claim in te dienen. Deze beweringen ga ik allemaal niet bevestigen, want het is niet conform wat wij weten en zien. Die beweringen komen voornamelijk uit de media (ook deze site berichtte erover, red.). Ik ken al deze verhaallijnen.”
„Wij weten dat we de regels niet hebben gebroken en wij leggen verantwoording af naar onze klanten. Ook zijn we in volledige transparantie met de Autoriteit Persoonsgegevens en de RDI (Rijksinspectie Digitale Infrastructuur, red.) in gesprek over dit onderwerp.”
“We zijn aangevallen door zware criminelen. Ze hebben ons persoonlijk bedreigd”
Tisha van Lammeren, Odido
Er is behoorlijk wat misgegaan bij Odido, maar het management zit er nog. Moet u niet opstappen? Of iemand anders?
„Ik snap deze vraag. Zeker als bestuurder moet je jezelf regelmatig achter je oren krabbelen of je het juiste doet. Wel wil ik één ding benadrukken: wij zijn aangevallen door zeer gevaarlijke, zware criminelen. Ze hebben ons persoonlijk bedreigd, zelfs familieleden en andere medewerkers zijn bedreigd. Ze zeiden: als je niet betaalt, dan gebeuren er verschillende zaken.”
„Dat hebben we bewust uit de media gehouden, omdat het om de veiligheid van mensen draait. Een bestuurder moet aftreden als er nalatigheid is geweest. Daar is bij ons geen sprake van geweest. Wij zijn aangevallen.”
