Schadevergoeding na hack persoonsgegevens?

10 mei 2021

Met enige regelmaat lezen we dat er door een hack persoonsgegevens in handen van derden zijn gevallen. Wanneer heeft degene van wie de persoonsgegevens zijn gehackt recht op een schadevergoeding en wat is dan schade? Moet schade worden bewezen? Betekent een hack dat er dus is gehandeld in strijd met de privacy regelgeving?

Deze vragen kwamen aan de orde in een zaak die heeft geleid tot een uitspraak van 7 april 2021 van de rechtbank Gelderland[1]. In deze zaak ging het om iemand die zich als woningzoekende had ingeschreven op de website van NederWoon.nl. Bij het aanmaken van een gebruikersaccount had hij persoonsgegevens moeten verstrekken zoals een kopie paspoort (met BSN afgeschermd), loonstroken en bankafschriften. In mei 2019 is het computersysteem van Nederwoon.nl gehackt. De hacker is gepakt en in december 2019 door de rechter veroordeeld voor computervredebreuk. De hacker heeft gedreigd de buit gemaakte persoonsgegevens te openbaren maar heeft dat niet gedaan. In deze procedure stelt degene die het gebruikersaccount had aangemaakt (‘eiser’) NederWoon aansprakelijk voor de schade die veroorzaakt is doordat NederWoon vermoedelijk in strijd heeft gehandeld met de Algemene verordening gegevensbescherming (‘Avg’). De immateriële schade wordt daarbij begroot op € 575,-.

De eiser stelt dat:
  • NederWoon in strijd met de Avg zijn persoonsgegevens te lang en onrechtmatig heeft verwerkt (er was al een huurovereenkomst tot stand gekomen en zijn persoonsgegevens hadden dus niet bewaard hoeven te worden).
  • NederWoon geen passende technische en organisatorische maatregelen heeft getroffen om de gegevens te beveiligen.
  • Hij heeft te vrezen voor misbruik van zijn persoonsgegevens, nu er zeer privacygevoelige informatie is gelekt, zoals een kopie van zijn paspoort. Dit leidt tot het ondervinden van distress.

NederWoon betwist met name dat sprake is van schending van de Avg of ander onrechtmatig handelen en betwist dat sprake is van schade bij eiser.

Wettelijk kader

Art. 82 Avg stelt dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de Avg, het recht heeft om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

De rechter overweegt:
  • artikel 5 van de Avg bepaalt onder andere dat persoonsgegevens moeten worden verwerkt op rechtmatige, behoorlijke en transparante wijze en niet langer mogen worden bewaard dan noodzakelijk is. Ook moeten de gegevens ‘door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging’.
  • uit het enkele feit dat een hacker er in is geslaagd bij de persoonsgegevens te komen, kan nog niet worden afgeleid dat NederWoon in strijd heeft gehandeld met artikel 5 Avg. Immers, ook bij de meest optimale beveiliging zal helaas niet volledig uit te sluiten zijn dat technisch (zeer) bekwame kwaadwillende zich toegang verschaffen.
  • Eiser moet stellen en voldoende onderbouwen dat er daadwerkelijk (immateriële) schade geleden is. Anders dan eiser kennelijk meent, is het geen automatisme dat een schending van de Avg leidt tot (immateriële) schade en dus tot schadevergoeding.
  • De enkele stelling dat sprake is geweest van ‘distress’ is onvoldoende als geen onderbouwing wordt gegeven waaruit blijkt dat eiser hier concreet last van heeft gehad of hoe die ‘distress’ zich bij hem heeft geuit. Zo heeft eiser na het bekend worden met de hack niet meteen vragen gesteld aan NederWoon of op andere wijze laten merken bezorgd te zijn.
  • Ook speelt een rol dat de hacker de persoonsgegevens (nog) niet aan derden had verkocht of overgedragen zodat de kans dat de gegevens in verkeerde handen komen nihil is.

En dus worden de vorderingen afgewezen.

Wat betekent dit voor de praktijk:
  • Het is dus geen automatisme dat de persoon van wie de persoonsgegevens bij een hack zijn buit gemaakt, recht heeft op (immateriële) schadevergoeding. Eiser verwees daarvoor zonder succes naar het arrest van de Hoge Raad van 15 maart 2019[2].
  • De partij die een schadevergoeding vordert moet zijn (immateriële) schade bewijzen. Dit ligt in lijn met eerdere uitspraken, onder meer rechtbank Utrecht, 17 september 2008. Maar er zijn ook andere uitspraken.
  • In maart 2021 luidde de Autoriteit Persoonsgegevens nog de noodklok over een explosieve toename van hacks en data
  • De IT-dienstverlener krijgt een steeds verdergaande zorgplicht ten aanzien van waarschuwingen voor een niet op orde zijnde beveiliging van de IT systemen. Zoals de uitspraak van 14 november 2018 van rechtbank Amsterdam over een ransomaanval[3]. De beveiliging bij een klant was niet in orde en de IT dienstverlener wordt daarvoor aansprakelijk gehouden.
  • De verdergaande zorgplicht van IT-dienstverleners betekent ook dat partijen in IT overeenkomsten meer zouden moeten vastleggen over wie welke verantwoordelijkheid heeft, wie waarvoor aansprakelijk is en wie waarvoor verzekerd zou moeten zijn.

Wanneer u vragen heeft over IT, software contracten (wie heeft welke contractuele verplichtingen), (schade door) een datalek of cybersecurity dan kunt u contact opnemen met Jos van der Wijst (wijst@bg.legal).

[1] Rechtbank Gelderland, 7 april 2021, ECLI:NL:RBGEL:2021:1888

[2] Hoge Raad, 15 maart 2019, ECLI:NL:HR:2019:376

[3] Rechtbank Amsterdam, 14 november 2018, ECLI:NL:RBAMS:2018:10124

Jos van der Wijst

 

 

 

 

 

 

 

    Kortingsactie merk- en modelregistratie 2022
    Lees meer
    Wie heeft auteursrecht op software/vormgeving app/website?
    Lees meer
    Champagne en het intellectueel eigendomsrecht
    Lees meer
    AI: Toezicht en Toolbox
    Lees meer
    Wie is aansprakelijk voor de schade na een ransomware-aanval?
    Lees meer
    Cybersecurity en datalekken
    Lees meer
    Silhouet sinterklaas: auteursrechtinbreuk met inpakpapier
    Lees meer
    Financiële tegemoetkoming voor Juridisch advies
    Lees meer
    (Senior) Medewerker IE/IT/Privacy
    Lees meer
    Wanneer mag je software decompileren?
    Lees meer
    Keuzes bij cloud services
    Lees meer
    Er zijn al regels voor AI toepassingen
    Lees meer
    Restvoorraad bij einde distributieovereenkomst
    Lees meer
    Model moet nieuw zijn bij aanvraag modelregistratie
    Lees meer
    Inbreuk beschrijvende handelsnaam tóch mogelijk
    Lees meer
    Fake factuur na een merk- of modelregistratie, pas op!
    Lees meer
    Legal AIR
    Lees meer
    Het decoderen van producten kan onrechtmatig zijn
    Lees meer
    Wanneer een schadevergoeding na een datalek?
    Lees meer
    De Autoriteit Persoonsgegevens krijgt in 2022 geen extra budget
    Lees meer
    Uber-chauffeurs nu ook werknemers
    Lees meer
    Merken op verzenddozen: mag dat wel?
    Lees meer
    Kortingsperiode op merk- en modelregistraties verlengd
    Lees meer
    Nieuwsbrief voor datascience ondernemingen
    Lees meer
    Kun je een auteursrecht krijgen op een algoritme?
    Lees meer
    Financiële mogelijkheden voor groei van een onderneming
    Lees meer
    Wie is aansprakelijk bij een ransomaanval?
    Lees meer
    Paralympier aangereden door zelfrijdende bus
    Lees meer
    Wapenen tegen copycats? Registreer je merk!
    Lees meer
    Recept en foto’s gekopieerd door Sonja Bakker: plagiaat of auteursrechtinbreuk?
    Lees meer
    Inwerkingtreding van EU Open Data richtlijn
    Lees meer
    Risico check voor AI toepassingen
    Lees meer
    AI-systeem als uitvinder?
    Lees meer
    Een AI-systeem als baas?
    Lees meer
    IE in de holding
    Lees meer
    Ook het verwerken van voertuigdata is begrensd
    Lees meer
    Leveranciersklem zorginformatiesystemen onder de loep van de ACM
    Lees meer
    Online oplichting en zakelijke identiteitsfraude: wat te doen?
    Lees meer
    Succesvol webinar Fashion & Law deel 2
    Lees meer
    Gebruik van cookies in jouw webshop: Aan welke regels moet ik mij houden?
    Lees meer
    EK-gekte losgebarsten: KNVB vs. Jumbo
    Lees meer
    Belangrijke wijzigingen auteursrecht: makers en exploitanten
    Lees meer
    Jouw eigen gezicht als merkregistratie: kan dat?
    Lees meer
    Legal Department as-a-Service
    Lees meer
    Misleidende duurzaamheidsclaims in de modebranche: Waar moet ik op letten?
    Lees meer
    Nieuwe gezondheidsclaim: wetenschappelijk bewijs vereist
    Lees meer
    Er is ruimte voor onderhandeling bij Arbitvoorwaarden
    Lees meer
    Succesvol webinar legal voor AI startups/scale-ups
    Lees meer
    Software as a Service: grip op data
    Lees meer
    Succesvol webinar Praktijkvoorbeelden van AI, E-Health en contractering in de zorg
    Lees meer
    Nieuwe Europese regels voor artificial intelligence
    Lees meer
    Successful webinar NDA, secrecy and cooperation
    Lees meer
    Het delen van data en vertrouwelijkheid
    Lees meer
    Nooit geschoten is altijd mis: Tommy Hilfiger vs. Facebook uiteengezet
    Lees meer
    Intellectueel eigendom en Tech: waar moet je op letten?
    Lees meer
    Reclame maken voor corona zelftesten
    Lees meer
    Wilt u weten of uw merk nog vrij is?
    Lees meer
    Later als ik groot ben..
    Lees meer
    Het gebruik van (framed) hyperlinks vs. het auteursrecht
    Lees meer
    Nieuwsgierig en creatief meedenken, Jos van der Wijst
    Lees meer
    Succesvol webinar beschermingsmogelijkheden van AI
    Lees meer
    Exclusiviteitsafspraak in een samenwerkingsovereenkomst
    Lees meer
    Succesvol webinar Fashion & Law deel 1
    Lees meer
    Een geschil/discussie kan ook snel en voor redelijke kosten worden opgelost
    Lees meer
    SyRI wetgeving in strijd met EVRM
    Lees meer
    Google verwijdert (onterechte?) negatieve recensie niet
    Lees meer
    Succesvol webinar AI in de Zorg
    Lees meer
    Hoezo kan ik geen eigenaar zijn van (zorg)data?
    Lees meer
    Cybersecurity in de zorg: dreigingen in beeld!
    Lees meer
    Functie van cosmetische producten verplicht op verpakking
    Lees meer
    Modelrecht en auteursrecht op inwerpzuil
    Lees meer
    Merkonderzoek: Hoe voorkom je merkinbreuk?
    Lees meer
    Doorhaling van een merkregistratie
    Lees meer
    Een webshop: mag alles zomaar of gelden er regels?
    Lees meer
    Kortingsregelingen voor MKB-ondernemers bij juridisch advies
    Lees meer
    Opzetten modelabel: waar moet je aan denken?
    Lees meer
    Een merk moet ook daadwerkelijk gebruikt worden
    Lees meer
    Mag je foto's van werknemers gebruiken?
    Lees meer
    Sinterklaas is toch gewoon sinterklaas?
    Lees meer
    Rechtbank geeft Autoriteit Persoonsgegevens rode kaart
    Lees meer
    Aanbevelingen aansprakelijkheid bij AI
    Lees meer
    Het nieuwe algoritmeregister van de gemeente Amsterdam
    Lees meer
    Algoritme via Detachering
    Lees meer
    Algoritme als Software
    Lees meer
    Mensgerichte Artificiële Intelligentie sessie van NL AI coalitie
    Lees meer
    Schizofrene patiënt maakt betalingen over aan ‘vriendinnen’ in het buitenland.
    Lees meer
    Auteursrechten & Artificial Intelligence
    Lees meer
    Is nieuwe wet- of regelgeving nodig voor AI?
    Lees meer
    Positiemerk: kan je dat beschermen?
    Lees meer
    Algoritme als een Dienst
    Lees meer
    Van wie is het model?
    Lees meer
    Beperkingen in licentieovereenkomst door mededingingsrecht
    Lees meer
    Is een registratiedossier beschermd door auteursrecht?
    Lees meer
    Wees de copycats voor!
    Lees meer
    Wie is verantwoordelijk voor de analyse door een algoritme?
    Lees meer
    Hoe om te gaan met de inkoopvoorwaarden AI van gemeenten?
    Lees meer
    Mag ik een zelftest voor corona verkopen?
    Lees meer
    Inspiratie in de fashion industrie: wat zijn de grenzen?
    Lees meer
    Wanneer heeft een IT leverancier aan zijn inspanningsverplichting voldaan?
    Lees meer
    Gaia-X biedt Europese landen oplossing voor beheer en gebruik van data
    Lees meer
    Gepubliceerde boetes of berispingen zorgpersoneel zijn openbaar
    Lees meer
    Er komt een nieuwe rechtsvorm: de maatschappelijke BV
    Lees meer
    Hulp bij verwijderen van vervelende YouTube video’s: een stappenplan
    Lees meer
    Agentuur- en bemiddelingsovereenkomst, wat is het verschil?
    Lees meer
    Europees Hof verwijst EU-VS Privacy Shield naar de prullenbak. En nu?
    Lees meer
    Merkgebruik bij import producten en doorverkoop
    Lees meer
    BG.legal ontvangt subsidie voor AI kennisplatform
    Lees meer
    Wetgever wil rol curator als verwerker van persoonsgegevens vastleggen
    Lees meer
    Nieuwe UAVG verduidelijkt omgang met medische gegevens in faillissement
    Lees meer
    Verwerking medische persoonsgegevens verduidelijkt in nieuwe UAVG
    Lees meer
    Voor wiens rekening komt trage werking softwaresysteem; klant of leverancier?
    Lees meer
    Software / data overeenkomsten
    Lees meer
    NVM is niet verplicht om VBO-leden toegang tot data te geven
    Lees meer
    Bescherming merkrecht: hoe ver gaat dat?
    Lees meer
    Vernietiging van een ingeschreven merk: hoe dan?
    Lees meer
    Nakoming verplichtingen uit een pilotcontract software
    Lees meer
    Nieuwsbrief Tech - meld je aan
    Lees meer
    NL Digital voorwaarden 2020: verbetering positie IT leverancier
    Lees meer
    Een kritische blik op de Corona-apps van de overheid
    Lees meer
    De roep om het vrijgeven van voertuigdata
    Lees meer
    Domeinnamen
    Lees meer
    Voorbeeld tijdelijke licentie voor productie hulpmiddelen tijdens Corona crisis
    Lees meer
    Slaafse nabootsing
    Lees meer
    Nieuwsbrief BG Tech: de uitdagingen voor IP en Technologie & gratis webinar corona
    Lees meer
    Tekort materialen corona bestrijding. Is 3D printing of dwanglicentie oplossing?
    Lees meer
    Wanneer kan een IT overeenkomst worden ontbonden?
    Lees meer
    De octrooigemachtigde en het faillissement (deel 3)
    Lees meer
    Wie heeft recht op de domeinnaam?
    Lees meer
    De octrooigemachtigde en het faillissement (Deel 2)
    Lees meer
    Geslaagde bijeenkomst Blockchain & Food tijdens Den Bosch Data Week
    Lees meer
    Seminar 19 november: Investeren en financieren 2.0
    Lees meer
    De octrooigemachtigde en het faillissement (deel 1)
    Lees meer
    Kartelverbod ook bij (Tech-)licenties en samenwerkingscontracten aanwezig
    Lees meer
    Den Bosch Data Week: Practical experiences Blockchain and Food
    Lees meer
    Productomschrijving op een website. Auteursrecht mogelijk?
    Lees meer
    Nieuw Intellectueel Eigendomsrecht/ IT recht advocatenkantoor in Eindhoven
    Lees meer
    Tips voor het verkrijgen van auteursrechten
    Lees meer
    Auteursrecht op website(teksten)
    Lees meer
    Het beëindigen van de onderneming bij een inbreuk op IE-rechten
    Lees meer
    5 TIPS: Wettelijke bewaartermijnen van persoonsgegevens
    Lees meer
    Is de vormgeving van een industrieel product beschermd?
    Lees meer
    Doordacht samenwerken geeft meer macht
    Lees meer
    Hoever mag je gaan bij het nabootsen van een stijl/concept?
    Lees meer
    Adidas merk onderuit door nieuwe uitspraak
    Lees meer
    Aanvraag Tommy Hilfiger bescherming auteursrechten afgewezen
    Lees meer
    Inbreuk op merken in de beauty branche
    Lees meer
    Domeinnamen en merken: het wil nog wel eens botsen
    Lees meer
    Hoe bescherm ik mijn intellectuele eigendom bij een faillissement?
    Lees meer
    Software
    Lees meer
    Privacyrecht
    Lees meer
    IT-recht
    Lees meer
    BG.legal participeert in onderzoek naar gebruik van big data en AI door zorginstellingen
    Lees meer
    Uitleg begrip operationeel in ICT-aanbesteding
    Lees meer
    Wat is schade bij illegaal gebruik software?
    Lees meer
    Werkgever aansprakelijk voor door werknemer illegaal gekopieerde software?
    Lees meer
    Een medewerker downloadt illegaal, werkgever betaalt de rekening
    Lees meer
    BG.tech
    Lees meer
    Vacatures
    Lees meer