Schadevergoeding na hack persoonsgegevens?

10 mei 2021

Met enige regelmaat lezen we dat er door een hack persoonsgegevens in handen van derden zijn gevallen. Wanneer heeft degene van wie de persoonsgegevens zijn gehackt recht op een schadevergoeding en wat is dan schade? Moet schade worden bewezen? Betekent een hack dat er dus is gehandeld in strijd met de privacy regelgeving?

Deze vragen kwamen aan de orde in een zaak die heeft geleid tot een uitspraak van 7 april 2021 van de rechtbank Gelderland[1]. In deze zaak ging het om iemand die zich als woningzoekende had ingeschreven op de website van NederWoon.nl. Bij het aanmaken van een gebruikersaccount had hij persoonsgegevens moeten verstrekken zoals een kopie paspoort (met BSN afgeschermd), loonstroken en bankafschriften. In mei 2019 is het computersysteem van Nederwoon.nl gehackt. De hacker is gepakt en in december 2019 door de rechter veroordeeld voor computervredebreuk. De hacker heeft gedreigd de buit gemaakte persoonsgegevens te openbaren maar heeft dat niet gedaan. In deze procedure stelt degene die het gebruikersaccount had aangemaakt (‘eiser’) NederWoon aansprakelijk voor de schade die veroorzaakt is doordat NederWoon vermoedelijk in strijd heeft gehandeld met de Algemene verordening gegevensbescherming (‘Avg’). De immateriële schade wordt daarbij begroot op € 575,-.

De eiser stelt dat:
  • NederWoon in strijd met de Avg zijn persoonsgegevens te lang en onrechtmatig heeft verwerkt (er was al een huurovereenkomst tot stand gekomen en zijn persoonsgegevens hadden dus niet bewaard hoeven te worden).
  • NederWoon geen passende technische en organisatorische maatregelen heeft getroffen om de gegevens te beveiligen.
  • Hij heeft te vrezen voor misbruik van zijn persoonsgegevens, nu er zeer privacygevoelige informatie is gelekt, zoals een kopie van zijn paspoort. Dit leidt tot het ondervinden van distress.

NederWoon betwist met name dat sprake is van schending van de Avg of ander onrechtmatig handelen en betwist dat sprake is van schade bij eiser.

Wettelijk kader

Art. 82 Avg stelt dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de Avg, het recht heeft om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

De rechter overweegt:
  • artikel 5 van de Avg bepaalt onder andere dat persoonsgegevens moeten worden verwerkt op rechtmatige, behoorlijke en transparante wijze en niet langer mogen worden bewaard dan noodzakelijk is. Ook moeten de gegevens ‘door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging’.
  • uit het enkele feit dat een hacker er in is geslaagd bij de persoonsgegevens te komen, kan nog niet worden afgeleid dat NederWoon in strijd heeft gehandeld met artikel 5 Avg. Immers, ook bij de meest optimale beveiliging zal helaas niet volledig uit te sluiten zijn dat technisch (zeer) bekwame kwaadwillende zich toegang verschaffen.
  • Eiser moet stellen en voldoende onderbouwen dat er daadwerkelijk (immateriële) schade geleden is. Anders dan eiser kennelijk meent, is het geen automatisme dat een schending van de Avg leidt tot (immateriële) schade en dus tot schadevergoeding.
  • De enkele stelling dat sprake is geweest van ‘distress’ is onvoldoende als geen onderbouwing wordt gegeven waaruit blijkt dat eiser hier concreet last van heeft gehad of hoe die ‘distress’ zich bij hem heeft geuit. Zo heeft eiser na het bekend worden met de hack niet meteen vragen gesteld aan NederWoon of op andere wijze laten merken bezorgd te zijn.
  • Ook speelt een rol dat de hacker de persoonsgegevens (nog) niet aan derden had verkocht of overgedragen zodat de kans dat de gegevens in verkeerde handen komen nihil is.

En dus worden de vorderingen afgewezen.

Wat betekent dit voor de praktijk:
  • Het is dus geen automatisme dat de persoon van wie de persoonsgegevens bij een hack zijn buit gemaakt, recht heeft op (immateriële) schadevergoeding. Eiser verwees daarvoor zonder succes naar het arrest van de Hoge Raad van 15 maart 2019[2].
  • De partij die een schadevergoeding vordert moet zijn (immateriële) schade bewijzen. Dit ligt in lijn met eerdere uitspraken, onder meer rechtbank Utrecht, 17 september 2008. Maar er zijn ook andere uitspraken.
  • In maart 2021 luidde de Autoriteit Persoonsgegevens nog de noodklok over een explosieve toename van hacks en data
  • De IT-dienstverlener krijgt een steeds verdergaande zorgplicht ten aanzien van waarschuwingen voor een niet op orde zijnde beveiliging van de IT systemen. Zoals de uitspraak van 14 november 2018 van rechtbank Amsterdam over een ransomaanval[3]. De beveiliging bij een klant was niet in orde en de IT dienstverlener wordt daarvoor aansprakelijk gehouden.
  • De verdergaande zorgplicht van IT-dienstverleners betekent ook dat partijen in IT overeenkomsten meer zouden moeten vastleggen over wie welke verantwoordelijkheid heeft, wie waarvoor aansprakelijk is en wie waarvoor verzekerd zou moeten zijn.

Wanneer u vragen heeft over IT, software contracten (wie heeft welke contractuele verplichtingen), (schade door) een datalek of cybersecurity dan kunt u contact opnemen met Jos van der Wijst (wijst@bg.legal).

[1] Rechtbank Gelderland, 7 april 2021, ECLI:NL:RBGEL:2021:1888

[2] Hoge Raad, 15 maart 2019, ECLI:NL:HR:2019:376

[3] Rechtbank Amsterdam, 14 november 2018, ECLI:NL:RBAMS:2018:10124

Jos van der Wijst