Wanneer een schadevergoeding na een datalek?
Het ROC Mondriaan raakte de gegevens van leerlingen kwijt door een hack en nu staan die gegevens online. Ook de webshop Allekabels.nl werd gehackt en raakte al haar persoonsgegevens kwijt. Het aantal datalekken neemt toe in Nederland, maar wat kan je doen als slachtoffer van een datalek? Heb je recht op schadevergoeding of moet je het doen met de mededeling dat je je wachtwoorden moet veranderen en dat de organisatie ‘doet wat binnen hun bereik ligt om de eventuele negatieve gevolgen te beperken’?
Er zijn in Nederland al meerdere uitspraken geweest waarin de rechter heeft moeten beslissen over een schadevergoeding voor schade door een datalek. De AVG bevat namelijk een recht voor betrokkenen op vergoeding van materiele en immateriële schade door een onrechtmatige verwerking van persoonsgegevens. Wat weten we nu over de eisen die rechters stellen aan een geslaagd beroep op dit artikel? In Nederland zijn de volgende uitspraken gewezen:
1. De Raad van State op 1 april 2020 over de minister voor Rechtsbescherming
In een klachtprocedure zijn buiten het weten van de klager (de eiser) om en zonder diens toestemming medische gegevens over hem verstrekt aan een tuchtcollege. Hierin waren strikt vertrouwelijke persoonsgegevens opgenomen. De eiser is op de hoogte gesteld door het tuchtcollege en de gegevens zijn buiten beschouwing gelaten voor de behandeling van de klacht. Deze verwerking van de persoonsgegevens van de eiser was onrechtmatig. De eiser eist een immateriële schadevergoeding op basis van artikel 6:106 BW en vindt de geboden vergoeding van 300 euro te laag. De Afdeling is het met de eiser eens dat het delen van de gegevens in dit geval onrechtmatig was en een inbreuk op de persoonlijke levenssfeer van de eiser vormde. De persoon tegen wie de klacht was ingediend, heeft de gegevens ook gedeeld. Aan de andere kant kwam de informatie alleen bij een kleine groep medische professionals terecht. Verder was de inbreuk van korte duur. Op basis van deze factoren, de aard, ernst en duur van de inbreuk oordeelt de Afdeling dat een schadevergoeding van 500 euro passend is.
2. De Rechtbank Noord-Nederland op 12 januari 2021 over de gemeente Oldambt
De gemeente Oldambt heeft bij het publiceren van een vergunningsaanvraag het BSN-nummer, achternaam, voorletter, adresgegevens, telefoonnummer en e-mailadres van de aanvrager van de vergunning (de eiser) gepubliceerd. Voor de publicatie van een deel van deze gegevens had de eiser toestemming gegeven, maar niet voor zijn BSN-nummer, e-mailadres of telefoonnummer. Deze zijn door een fout van een ambtenaar meerdere malen openbaargemaakt. Nadat een journalist de eiser op het datalek had gewezen, heeft de eiser een verzoek ingediend tot het verwijderen van zijn gegevens. Daarnaast vordert hij materiele en immateriële schadevergoeding van de gemeente.
De gelekte gegevens geven voor de rechter geen aanleiding tot de materiele schadevergoeding die de eiser vordert, maar de rechter wijst wel een immateriële schadevergoeding toe op basis van artikel 6:106 BW. Hoewel de eiser geen psychisch letsel kon aantonen, is de rechter wel van oordeel dat de persoonlijke levenssfeer van de eiser meerdere keren is geschonden door het – in strijd met de AVG – delen van gevoelige gegevens. Hierdoor is de eiser ‘anderszins in zijn persoon aangetast.’ De rechter erkent de nadelige gevolgen van het lekken van bijzondere persoonsgegevens. Hierbij heeft de rechter naar de omstandigheden gekeken en in afwezigheid van concrete negatieve gevolgen een schadevergoeding van 500 euro toegewezen, op basis van mogelijke gevolgen zoals fraudepogingen.
3. De Rechtbank Gelderland op 7 april 2021 over NederWoon
Een hacker heeft in mei 2019 toegang gekregen tot de servers van NederWoon en hierbij persoonsgegevens van gebruikers buitgemaakt. De hacker is in Nederland veroordeeld voor het binnendringen van de servers van NederWoon. NederWoon verwerkte de gegevens van woningzoekenden, waaronder kopieën van legitimatiebewijzen, naam, adres en BSN-nummers. PrivacyPunt heeft namens een van de getroffene woningzoekende (de eiser) NederWoon aansprakelijk gesteld voor de schade doordat NederWoon vermoedelijk in strijd met de AVG heeft gehandeld. De rechter oordeelt dat het aan de eiser is om te bewijzen dat NederWoon niet genoeg maatregelen heeft getroffen om een hacker buiten te houden. Het feit dat er een hacker binnen is gekomen is niet genoeg. Voor de eis van immateriële schadevergoeding oordeelt de rechter dat, omdat de gegevens niet zijn gelekt door de hacker, er geen sprake is van (mogelijk) misbruik. De eiser heeft ook geen psychisch letsel aan kunnen tonen. Daarom wordt de vordering afgewezen en dus krijgt de eiser geen schadevergoeding.
Kenmerken voor schadevergoeding
Bij deze drie zaken zijn er verschillende redenen waarom er wel of geen schadevergoeding is toegekend. Ondanks dat de zaken verschillen zijn er wel een aantal kenmerken te ontdekken die de kans op toewijzing van een immateriële schadevergoeding kunnen verhogen.
Het soort gelekte gegevens
Hoewel de gegevens in zaak 1 niet openbaar waren en ook snel weer zijn vernietigd, is er door de gevoeligheid van de gegevens wel een schadevergoeding toegekend. Hoe gevoeliger de gegevens, hoe groter de kans op immateriële schadevergoeding.De openbaarheid van het lek
In zaak 1 waren er persoonsgegevens gelekt naar een kleine groep medische professionals en in zaak 3 heeft alleen de hacker de gegevens gezien, maar in zaak 2 stonden de persoonsgegevens van de eiser inclusief naam en adres in een officiële publicatie van de overheid. Hoe openbaarder de gegevens zijn geweest, hoe groter de kans op schadevergoeding.Onrechtmatigheid
In zaak 1 en 2 oordeelt de rechter dat de verwerking onrechtmatig was omdat er sprake is van een duidelijk schending van de AVG/Wbp terwijl de eiser dat bij NederWoon niet kon bewijzen.Voor een succesvolle vordering tot schadevergoeding op basis van de AVG moet sprake zijn van een inbreuk op de AVG. De verwerkingsverantwoordelijke moet dus gehandeld hebben in strijd met de AVG, bijvoobeeld doorgeen passende beveiligingsmaatregelen te nemen.Schade
In alle drie de zaken is er geen materiele schade toegekend omdat er geen materiele schade bewezen kon worden. Wel oordeelde de rechter in alle drie de zaken dat er sprake was van een inbreuk op de persoonlijke levenssfeer van de eiser. Alleen een schending van een fundamenteel recht is echter niet genoeg, de eiser moet ook nadelige gevolgen aan kunnen tonen. In zaak 1 was dit het onrechtmatig delen van de gegevens in een klachtenprocedure door een betrokkene in die procedure. In zaak 2 was dit het openbaren van identiteitsinformatie waardoor er een kans op identiteitsfraude ontstond. In zaak 3 waren er volgens de rechter geen noemenswaardige nadelige gevolgen voor de eiser.
Hoe groter de nadelige gevolgen, hoe hoger de kans op schadevergoeding.Hoogte van de schadevergoeding
In twee van de drie zaken is er een schadevergoeding toegekend, telkens 500 euro. Dit bedrag is niet echt hard onderbouwd en lijkt gewoon een keuze van de rechter te zijn. Er is nu ook een procedure tegen de gemeente Rotterdam gevoerd, waarin de gemeente bijna 10 jaar lang onrechtmatig medische gegevens heeft verwerkt. Als gevolg daarvan waren die gegevens onnodig beschikbaar. De rechtbank heeft in die zaak een schadevergoeding van 2.500 euro toegekend, mede wijzend op de 500 euro die in zaak 1 werd toegekend.
Conclusie
Hoewel de individuele schadevergoeding bij een datalek niet hoog zal zijn als er geen directe schade aangetoond kan worden, is het succesvol vorderen van een dergelijke schadevergoeding niet onmogelijk en bij een groot genoeg aantal getroffenen kan dit ook resulteren in een serieuze kostenpost voor een organisatie. Als uw persoonsgegevens zijn gelekt en de organisatie haar beveiliging niet op orde had, hoeft alleen nog maar te worden aangetoond er een mogelijkheid bestaat tot nadelige gevolgen. In dat geval bestaat er een goede kans dat u in aanmerking komt voor immateriële schadevergoeding.
Voor meer informatie over dit onderwerp kunt u contact opnemen met Jos van der Wijst (wijst@bg.legal).
Blog
