Cybersecurity en datalekken: pas op voor schadevergoedingen en boetes
De nieuwe Europese NIS2-richtlijn verplicht bedrijven om passende cybersecurity maatregelen te nemen. Een recente rechterlijke uitspraak over een datalek bij een hogeschool laat zien wat de gevolgen kunnen zijn als je als bedrijf onvoldoende maatregelen neemt. In dit artikel behandelen we de belangrijkste lessen uit deze zaak en de relevantie met de nieuwe NIS2-richtlijn.
De feiten
De oud-student was in 2021 afgestudeerd met enige studievertraging vanwege persoonlijke omstandigheden. In 2022 kreeg de oud-student een bericht dat zijn gegevens zijn gestolen bij een hack.
De applicatie die was gehackt (een webformulier) bevatte niet alleen de algemene persoonsgegevens van de oud-student, maar ook de reden van zijn studievertraging. De oud-student verzocht een schadevergoeding, maar dit wilde de hogeschool niet betalen.
Datalek onder de AVG
Niet iedere datalek levert een inbreuk op de AVG op; van belang is of het beveiligingsniveau passend was ten tijde van de datalek. Dit betekent niet dat alle mogelijke maatregelen getroffen moeten worden.
Van de verwerkersverantwoordelijke, in dit geval de hogeschool, mag verlangd worden dat ze voor een adequate cybersecurity maatregelen treffen die, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, van haar verwacht konden worden (art. 32 lid 1 AVG).
De datalek heeft plaatsgevonden via een veel voorkomende hackmethode, een SQL-injectie. Dit weegt mee in de beoordeling of de hogeschool alle maatregelen heeft getroffen die van haar verwacht werden.
De oud-student heeft betoogd dat er geen sprake was van een adequate cybersecurity nu de gegevens niet versleuteld waren opgeslagen. Ook waren er al langer kwetsbaarheden bekend in het webformulier op de site van de hogeschool.
De hogeschool had op zitting niet concreet of inzichtelijk gemaakt welke veiligheidsmaatregelen zij had getroffen op het betreffende webformulier en/of de achterliggende server. Hierdoor kwam voor de rechter vast te staan dat ze inbreuk heeft gemaakt op grond van de AVG.
Schadevergoeding onder de AVG
In beginsel geeft zowel materiële als immateriële schade een recht op schadevergoeding. Artikel 82 van de AVG regelt het recht op schadevergoeding voor personen die (im)materiële schade hebben geleden als gevolg van een inbreuk op grond van de AVG. In de overwegingen van de AVG wordt bovendien bepaald dat het begrip schade ruim moet worden uitgelegd.
In een eerder artikel schreven we al dat een betrokkene van een datalek niet altijd recht heeft op schadevergoeding. Het schenden van de AVG is niet voldoende om een vordering op schadevergoeding te rechtvaardigen. De betrokkene moet bewijzen dat de door hem/haar ondervonden negatieve gevolgen hebben geresulteerd in (im)materiële schade.
De oud-student heeft volgens de rechter voldoende concreet gemaakt immateriële schade te ondervinden aan de gevolgen van de datalek. De oud-student had in eerste instantie namelijk al moeite met het delen van de gegevens met de hogeschool en maakt zich veel zorgen over het feit dat hij niet weet wat er met zijn gegevens gebeurt. De rechter oordeelde dat dit enkel gold voor de bijzondere persoonsgegevens van de oud-student.
De hoogte van de schadevergoeding
Artikel 82 AVG benadrukt dat de schade volledig en daadwerkelijk moet worden vergoed. Hierbij is de mate van schuld van de verwerkingsverantwoordelijke geen expliciete factor bij het bepalen van de hoogte van de schadevergoeding. Dit oordeelde het Hof van Justitie van Europa in een ander arrest.
De reden van zijn studievertraging bevatte gegevens over de gezondheid van de oud-student. Dit zijn bijzondere persoonsgegevens die naar hun aard een hoger beschermingsniveau verlangen. In dat geval kan eerder worden aangenomen dat sprake is van schade.
Gezien het feit dat het gevoelige (medische) gegevens betreft, het verlies aan controle over de gegevens blijvend is, afgezet tegen de omstandigheid dat niet is gebleken dat het datalek tot concrete negatieve gevolgen heeft geleid, komt de kantonrechter op een schadebedrag van € 300,00.
Wat betekent dit voor bedrijven in de praktijk?
Deze uitspraak laat zien dat het voor bedrijven van groot belang is om de cybersecurity op orde te hebben. Indien dit niet op orde is zal schadevergoeding betaald moeten worden aan de betrokkene in geval van een datalek.
Bent u een essentiële of belangrijke entiteit die actief is in de sectoren die onder de NIS2-richtlijn vallen? Bijvoorbeeld een bedrijf in de financiële- of zorgsector dan wel een publiek instelling? Dan gelden binnenkort des te meer strenge regels voor cybersecurity.
Ook brengt niet-naleving van de NIS2-richtlijn hoge boetes en reputatieschade met zich mee. Daarnaast wordt een inbreuk op de AVG sneller aangenomen indien u niet aan de NIS2-richtlijn voldoet. Wacht daarom niet langer met naleving!
Wilt u meer weten over cybersecurity, de NIS2-richtlijn en hoe u deze boetes kunt voorkomen? Lees dit artikel en neem contact op met ons voor een vrijblijvend adviesgesprek. Wij navigeren u door het complexe landschap van NIS2-compliance.