Schadevergoeding na hack persoonsgegevens?

10 mei 2021

Met enige regelmaat lezen we dat er door een hack persoonsgegevens in handen van derden zijn gevallen. Wanneer heeft degene van wie de persoonsgegevens zijn gehackt recht op een schadevergoeding en wat is dan schade? Moet schade worden bewezen? Betekent een hack dat er dus is gehandeld in strijd met de privacy regelgeving?

Deze vragen kwamen aan de orde in een zaak die heeft geleid tot een uitspraak van 7 april 2021 van de rechtbank Gelderland[1]. In deze zaak ging het om iemand die zich als woningzoekende had ingeschreven op de website van NederWoon.nl. Bij het aanmaken van een gebruikersaccount had hij persoonsgegevens moeten verstrekken zoals een kopie paspoort (met BSN afgeschermd), loonstroken en bankafschriften. In mei 2019 is het computersysteem van Nederwoon.nl gehackt. De hacker is gepakt en in december 2019 door de rechter veroordeeld voor computervredebreuk. De hacker heeft gedreigd de buit gemaakte persoonsgegevens te openbaren maar heeft dat niet gedaan. In deze procedure stelt degene die het gebruikersaccount had aangemaakt (‘eiser’) NederWoon aansprakelijk voor de schade die veroorzaakt is doordat NederWoon vermoedelijk in strijd heeft gehandeld met de Algemene verordening gegevensbescherming (‘Avg’). De immateriële schade wordt daarbij begroot op € 575,-.

De eiser stelt dat:
  • NederWoon in strijd met de Avg zijn persoonsgegevens te lang en onrechtmatig heeft verwerkt (er was al een huurovereenkomst tot stand gekomen en zijn persoonsgegevens hadden dus niet bewaard hoeven te worden).
  • NederWoon geen passende technische en organisatorische maatregelen heeft getroffen om de gegevens te beveiligen.
  • Hij heeft te vrezen voor misbruik van zijn persoonsgegevens, nu er zeer privacygevoelige informatie is gelekt, zoals een kopie van zijn paspoort. Dit leidt tot het ondervinden van distress.

NederWoon betwist met name dat sprake is van schending van de Avg of ander onrechtmatig handelen en betwist dat sprake is van schade bij eiser.

Wettelijk kader

Art. 82 Avg stelt dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de Avg, het recht heeft om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

De rechter overweegt:
  • artikel 5 van de Avg bepaalt onder andere dat persoonsgegevens moeten worden verwerkt op rechtmatige, behoorlijke en transparante wijze en niet langer mogen worden bewaard dan noodzakelijk is. Ook moeten de gegevens ‘door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging’.
  • uit het enkele feit dat een hacker er in is geslaagd bij de persoonsgegevens te komen, kan nog niet worden afgeleid dat NederWoon in strijd heeft gehandeld met artikel 5 Avg. Immers, ook bij de meest optimale beveiliging zal helaas niet volledig uit te sluiten zijn dat technisch (zeer) bekwame kwaadwillende zich toegang verschaffen.
  • Eiser moet stellen en voldoende onderbouwen dat er daadwerkelijk (immateriële) schade geleden is. Anders dan eiser kennelijk meent, is het geen automatisme dat een schending van de Avg leidt tot (immateriële) schade en dus tot schadevergoeding.
  • De enkele stelling dat sprake is geweest van ‘distress’ is onvoldoende als geen onderbouwing wordt gegeven waaruit blijkt dat eiser hier concreet last van heeft gehad of hoe die ‘distress’ zich bij hem heeft geuit. Zo heeft eiser na het bekend worden met de hack niet meteen vragen gesteld aan NederWoon of op andere wijze laten merken bezorgd te zijn.
  • Ook speelt een rol dat de hacker de persoonsgegevens (nog) niet aan derden had verkocht of overgedragen zodat de kans dat de gegevens in verkeerde handen komen nihil is.

En dus worden de vorderingen afgewezen.

Wat betekent dit voor de praktijk:
  • Het is dus geen automatisme dat de persoon van wie de persoonsgegevens bij een hack zijn buit gemaakt, recht heeft op (immateriële) schadevergoeding. Eiser verwees daarvoor zonder succes naar het arrest van de Hoge Raad van 15 maart 2019[2].
  • De partij die een schadevergoeding vordert moet zijn (immateriële) schade bewijzen. Dit ligt in lijn met eerdere uitspraken, onder meer rechtbank Utrecht, 17 september 2008. Maar er zijn ook andere uitspraken.
  • In maart 2021 luidde de Autoriteit Persoonsgegevens nog de noodklok over een explosieve toename van hacks en data
  • De IT-dienstverlener krijgt een steeds verdergaande zorgplicht ten aanzien van waarschuwingen voor een niet op orde zijnde beveiliging van de IT systemen. Zoals de uitspraak van 14 november 2018 van rechtbank Amsterdam over een ransomaanval[3]. De beveiliging bij een klant was niet in orde en de IT dienstverlener wordt daarvoor aansprakelijk gehouden.
  • De verdergaande zorgplicht van IT-dienstverleners betekent ook dat partijen in IT overeenkomsten meer zouden moeten vastleggen over wie welke verantwoordelijkheid heeft, wie waarvoor aansprakelijk is en wie waarvoor verzekerd zou moeten zijn.

Wanneer u vragen heeft over IT, software contracten (wie heeft welke contractuele verplichtingen), (schade door) een datalek of cybersecurity dan kunt u contact opnemen met Jos van der Wijst (wijst@bg.legal).

[1] Rechtbank Gelderland, 7 april 2021, ECLI:NL:RBGEL:2021:1888

[2] Hoge Raad, 15 maart 2019, ECLI:NL:HR:2019:376

[3] Rechtbank Amsterdam, 14 november 2018, ECLI:NL:RBAMS:2018:10124

Jos van der Wijst

 

 

 

 

 

 

 

    Contact

      Uber-chauffeurs nu ook werknemers
      Lees meer
      Merken op verzenddozen: mag dat wel?
      Lees meer
      Kortingsperiode op merk- en modelregistraties verlengd
      Lees meer
      Nieuwsbrief voor datascience ondernemingen
      Lees meer
      Kun je een auteursrecht krijgen op een algoritme?
      Lees meer
      Financiële mogelijkheden voor groei van een onderneming
      Lees meer
      Wie is aansprakelijk bij een ransomaanval?
      Lees meer
      Paralympier aangereden door zelfrijdende bus
      Lees meer
      Wapenen tegen copycats? Registreer je merk!
      Lees meer
      Recept en foto’s gekopieerd door Sonja Bakker: plagiaat of auteursrechtinbreuk?
      Lees meer
      Inwerkingtreding van EU Open Data richtlijn
      Lees meer
      Risico check voor AI toepassingen
      Lees meer
      AI-systeem als uitvinder?
      Lees meer
      Een AI-systeem als baas?
      Lees meer
      IE in de holding
      Lees meer
      Ook het verwerken van voertuigdata is begrensd
      Lees meer
      Leveranciersklem zorginformatiesystemen onder de loep van de ACM
      Lees meer
      Online oplichting en zakelijke identiteitsfraude: wat te doen?
      Lees meer
      Succesvol webinar Fashion & Law deel 2
      Lees meer
      Gebruik van cookies in jouw webshop: Aan welke regels moet ik mij houden?
      Lees meer
      EK-gekte losgebarsten: KNVB vs. Jumbo
      Lees meer
      Belangrijke wijzigingen auteursrecht: makers en exploitanten
      Lees meer
      Jouw eigen gezicht als merkregistratie: kan dat?
      Lees meer
      Legal Department as-a-Service
      Lees meer
      Misleidende duurzaamheidsclaims in de modebranche: Waar moet ik op letten?
      Lees meer
      Nieuwe gezondheidsclaim: wetenschappelijk bewijs vereist
      Lees meer
      Er is ruimte voor onderhandeling bij Arbitvoorwaarden
      Lees meer
      Succesvol webinar legal voor AI startups/scale-ups
      Lees meer
      Software as a Service: grip op data
      Lees meer
      Succesvol webinar Praktijkvoorbeelden van AI, E-Health en contractering in de zorg
      Lees meer
      Nieuwe Europese regels voor artificial intelligence
      Lees meer
      Successful webinar NDA, secrecy and cooperation
      Lees meer
      Het delen van data en vertrouwelijkheid
      Lees meer
      Drowned in the sun
      Lees meer
      Nooit geschoten is altijd mis: Tommy Hilfiger vs. Facebook uiteengezet
      Lees meer
      Intellectueel eigendom en Tech: waar moet je op letten?
      Lees meer
      Reclame maken voor corona zelftesten
      Lees meer
      Wilt u weten of uw merk nog vrij is?
      Lees meer
      Later als ik groot ben..
      Lees meer
      Het gebruik van (framed) hyperlinks vs. het auteursrecht
      Lees meer
      Nieuwsgierig en creatief meedenken, Jos van der Wijst
      Lees meer
      Succesvol webinar beschermingsmogelijkheden van AI
      Lees meer
      Exclusiviteitsafspraak in een samenwerkingsovereenkomst
      Lees meer
      Succesvol webinar Fashion & Law deel 1
      Lees meer
      Een geschil/discussie kan ook snel en voor redelijke kosten worden opgelost
      Lees meer
      SyRI wetgeving in strijd met EVRM
      Lees meer
      Google verwijdert (onterechte?) negatieve recensie niet
      Lees meer
      Succesvol webinar AI in de Zorg
      Lees meer
      Hoezo kan ik geen eigenaar zijn van (zorg)data?
      Lees meer
      Cybersecurity in de zorg: dreigingen in beeld!
      Lees meer
      Functie van cosmetische producten verplicht op verpakking
      Lees meer
      Modelrecht en auteursrecht op inwerpzuil
      Lees meer
      Merkonderzoek: Hoe voorkom je merkinbreuk?
      Lees meer
      Doorhaling van een merkregistratie
      Lees meer
      Een webshop: mag alles zomaar of gelden er regels?
      Lees meer
      Kortingsregelingen voor MKB-ondernemers bij juridisch advies
      Lees meer
      Opzetten modelabel: waar moet je aan denken?
      Lees meer
      Een merk moet ook daadwerkelijk gebruikt worden
      Lees meer
      Mag je foto's van werknemers gebruiken?
      Lees meer
      Sinterklaas is toch gewoon sinterklaas?
      Lees meer
      Rechtbank geeft Autoriteit Persoonsgegevens rode kaart
      Lees meer
      Aanbevelingen aansprakelijkheid bij AI
      Lees meer
      Het nieuwe algoritmeregister van de gemeente Amsterdam
      Lees meer
      Algoritme via Detachering
      Lees meer
      Algoritme als Software
      Lees meer
      Mensgerichte Artificiële Intelligentie sessie van NL AI coalitie
      Lees meer
      Schizofrene patiënt maakt betalingen over aan ‘vriendinnen’ in het buitenland.
      Lees meer
      Auteursrechten & Artificial Intelligence
      Lees meer
      Is nieuwe wet- of regelgeving nodig voor AI?
      Lees meer
      Positiemerk: kan je dat beschermen?
      Lees meer
      Algoritme als een Dienst
      Lees meer
      Van wie is het model?
      Lees meer
      Beperkingen in licentieovereenkomst door mededingingsrecht
      Lees meer
      Is een registratiedossier beschermd door auteursrecht?
      Lees meer
      Wees de copycats voor!
      Lees meer
      Wie is verantwoordelijk voor de analyse door een algoritme?
      Lees meer
      Hoe om te gaan met de inkoopvoorwaarden AI van gemeenten?
      Lees meer
      Mag ik een zelftest voor corona verkopen?
      Lees meer
      Inspiratie in de fashion industrie: wat zijn de grenzen?
      Lees meer
      Wanneer heeft een IT leverancier aan zijn inspanningsverplichting voldaan?
      Lees meer
      Gaia-X biedt Europese landen oplossing voor beheer en gebruik van data
      Lees meer
      Gepubliceerde boetes of berispingen zorgpersoneel zijn openbaar
      Lees meer
      Er komt een nieuwe rechtsvorm: de maatschappelijke BV
      Lees meer
      Hulp bij verwijderen van vervelende YouTube video’s: een stappenplan
      Lees meer
      Agentuur- en bemiddelingsovereenkomst, wat is het verschil?
      Lees meer
      Europees Hof verwijst EU-VS Privacy Shield naar de prullenbak. En nu?
      Lees meer
      Merkgebruik bij import producten en doorverkoop
      Lees meer
      BG.legal ontvangt subsidie voor AI kennisplatform
      Lees meer
      Wetgever wil rol curator als verwerker van persoonsgegevens vastleggen
      Lees meer
      Nieuwe UAVG verduidelijkt omgang met medische gegevens in faillissement
      Lees meer
      Verwerking medische persoonsgegevens verduidelijkt in nieuwe UAVG
      Lees meer
      Voor wiens rekening komt trage werking softwaresysteem; klant of leverancier?
      Lees meer
      Software / data overeenkomsten
      Lees meer
      NVM is niet verplicht om VBO-leden toegang tot data te geven
      Lees meer
      Bescherming merkrecht: hoe ver gaat dat?
      Lees meer
      Vernietiging van een ingeschreven merk: hoe dan?
      Lees meer
      Nakoming verplichtingen uit een pilotcontract software
      Lees meer
      Nieuwsbrief Tech - meld je aan
      Lees meer
      NL Digital voorwaarden 2020: verbetering positie IT leverancier
      Lees meer
      Een kritische blik op de Corona-apps van de overheid
      Lees meer
      De roep om het vrijgeven van voertuigdata
      Lees meer
      Domeinnamen
      Lees meer
      Voorbeeld tijdelijke licentie voor productie hulpmiddelen tijdens Corona crisis
      Lees meer
      Slaafse nabootsing
      Lees meer
      Nieuwsbrief BG Tech: de uitdagingen voor IP en Technologie & gratis webinar corona
      Lees meer
      Tekort materialen corona bestrijding. Is 3D printing of dwanglicentie oplossing?
      Lees meer
      Wanneer kan een IT overeenkomst worden ontbonden?
      Lees meer
      De octrooigemachtigde en het faillissement (deel 3)
      Lees meer
      Wie heeft recht op de domeinnaam?
      Lees meer
      De octrooigemachtigde en het faillissement (Deel 2)
      Lees meer
      Geslaagde bijeenkomst Blockchain & Food tijdens Den Bosch Data Week
      Lees meer
      Seminar 19 november: Investeren en financieren 2.0
      Lees meer
      De octrooigemachtigde en het faillissement (deel 1)
      Lees meer
      Kartelverbod ook bij (Tech-)licenties en samenwerkingscontracten aanwezig
      Lees meer
      Den Bosch Data Week: Practical experiences Blockchain and Food
      Lees meer
      Productomschrijving op een website. Auteursrecht mogelijk?
      Lees meer
      Nieuw Intellectueel Eigendomsrecht/ IT recht advocatenkantoor in Eindhoven
      Lees meer
      Tips voor het verkrijgen van auteursrechten
      Lees meer
      Auteursrecht op website(teksten)
      Lees meer
      Het beëindigen van de onderneming bij een inbreuk op IE-rechten
      Lees meer
      5 TIPS: Wettelijke bewaartermijnen van persoonsgegevens
      Lees meer
      Is de vormgeving van een industrieel product beschermd?
      Lees meer
      Doordacht samenwerken geeft meer macht
      Lees meer
      Hoever mag je gaan bij het nabootsen van een stijl/concept?
      Lees meer
      Adidas merk onderuit door nieuwe uitspraak
      Lees meer
      Aanvraag Tommy Hilfiger bescherming auteursrechten afgewezen
      Lees meer
      Inbreuk op merken in de beauty branche
      Lees meer
      Domeinnamen en merken: het wil nog wel eens botsen
      Lees meer
      Hoe bescherm ik mijn intellectuele eigendom bij een faillissement?
      Lees meer
      Software
      Lees meer
      Privacyrecht
      Lees meer
      IT-recht
      Lees meer
      BG.legal participeert in onderzoek naar gebruik van big data en AI door zorginstellingen
      Lees meer
      Uitleg begrip operationeel in ICT-aanbesteding
      Lees meer
      Wat is schade bij illegaal gebruik software?
      Lees meer
      Werkgever aansprakelijk voor door werknemer illegaal gekopieerde software?
      Lees meer
      Een medewerker downloadt illegaal, werkgever betaalt de rekening
      Lees meer
      BG.tech
      Lees meer
      Vacatures
      Lees meer