Zowel de Wet Bescherming Persoonsgegevens als de recent ingevoerde Algemene Verordening Gegevensbescherming (AVG) bepalen dat een persoon wiens gegevens openbaar worden gemaakt een schadeclaim kunnen indien bij het internet bedrijf die verantwoordelijk is voor de bescherming van die gegevens of de gebruiker van die gegevens.
Het betreft hier echter een branche die in korte tijd een snelle groei doormaakt, en niet alle bedrijven maken de juiste beslissingen om diefstal van gegevens te voorkomen. Bovendien worden computerhackers steeds slimmer, zodat internetbedrijven voortdurende beveiligingsmaatregelen moeten aanpassen en verbeteren, en alert moeten zijn op nieuwe hackmethoden en kwetsbare software.
De AVG legt aan de organisaties die gebruik maken van persoonsgegevens van klanten de plicht op om zorgvuldig met persoonsgegevens om te gaan en deze te beveiligen.
De AVG zegt hierover : “ Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico’s te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële schade kan leiden.” link art.83
Algemeen gezegd zal een ondernemer voortdurende de ontwikkeling van van beveiligingstechnieken en de daaraan gerelateerde kosten moeten volgenn teneinde aan de verordening te blijven voldoen.
De verordening noemt het belang hiervan expliciet: door een datalek kan schade ontstaan, zowel materieel als imaterieel, aan de personen die via inernet hun gegevens hebben verstrekt. Ook voorbeelden van de aard van de schade worden expliciet genoemd: “verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie.”
De opsomming heeft een open eind; alle schade kan worden geclaimd die direct het gevolg van een datalek is. Het begrip „schade” wordt door het Hof van Justitie ruim uitgelegd.
De gevolgen voor de organisatie, die in de wet de gegevensverantwoordelijke wordt genoemd, is aanzienlijk: Hij kan aansprakelijk worden gesteld voor alle schade.
Een hoewel de schade in een individueel geval beperkt kan zijn, gaat het bij een datalek meestal om een database die gegevens van duizenden, mischien miljoenen individuen bevat. Maar ook het onterecht doorgeven van gevens van een enkel individuel aan een derde partij voorcvoor gen toestemmng is gegeven kan al leiden tot schade, mogelijk alleen al van wege de stress die de gedachte meebrengt dat vertrouwelijke aan een derde partij bekend zijn.
De schade dient volledig te worden vergoed, tenzij de verantwoordelijke bewijst niet verantwoordelijk te zijn voor de ontstane schade. Het bewijs, dat de verantwoordelijke van de gegevensverwerking, niet ook voor de schade aansprkelijk kan worden gehouden ligt en de feiten en omstandigheden die de verantwoordelijke aanvoert ten aanzijn van zijn verplichting:
“Persoonsgegevens moeten “door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige
verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Wat passende maatregelen zij hangt dus af van de aard van de vertrouwelijke gegevens, de mate van de vertouwelijkheid, maar ook de stand der techniek link (artikel 32)
Voldoet hij aan deze verplichting, én bewijst hij dat hij “ op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit” dan is hij niet aansprakelijk. De regel van de bewijsvoering is anders dan in het gewone civiele recht: de verantwoordelijke dient zelf het bewijs te leveren dat hij alles heeft gedaan om het datalek te voorkomen, en ook overigens dat hij niet verantwoordelijk is voor de gevolgen van het datalek.
Welke schade kan een persoon claimen?
Zowel materiele als immateriele schade komen voor vergoeding in aanmerking. Materiele schade kan lichamelijk of materiële schade zijn. Schade in verband met lichamelijk letsel zl niet vaak voorkomen. Denkbaar toch is dat het verlies of aanpassing van medische gegevens tot een foute of gemiste diagnose of foute medicatie kan leiden.
Bij materiele schade gaat het om verlies van geld of goederen. Dit komt vaker voor, indien een datalek bijvoorbeeld is is gebruikt om op rekening van derden bestellingen te plaatsen, of indien bankrekening zijn misbruikt. Een dergelijke schade is makkkelijker te bewijzen.
De Hoge Raad van 15 maart 2019 (ECLI:NL:HR:2019:376) heeft bepaald dat ook andere dan financiele schade in aanmerking komt. Bij immateriele schade gaat het om andere dan vermogensschade. Dus schade die men voelt, maar niet financieel van aard is. Denk aan gelekte foto`s van een site waarin een persoon wordt afgebeeld op een wijze die compromiterend is of die zijn reputatie kan schade. Denk ook aan de mogelijkheid dat dit zal geberen, zonder dat dit werkelijk is gebeurd.
Een en ander kan lijden tot geestelijk letsel (psychische schade), die inmbegnsel door de rechter op in een financiele vergoeding kn worden vertaald.
Het bewijs ligt hier iets moeilijker. De beschadigde patije dient wel te bewijzen dat psychische schade is geleden, en dat dit ook objectief kan worden vastgesteld.
Hoge Raad van 23 januari 1998 (ECLI:NL:HR:1998:ZC2551, rov. 3.4).
Overigens hoeft een benadeelde partij zich niet meteen “rijk te rekenen”. De manier waarop een dergelijke schade kan worden vastgesteld heef de Rechtbank Amsterdam behandeld in zijn uitspraak van 2 september 2019: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2019:6490
Het ging om een mededeling van UWV aan een nieuwe werkgever van een werknemer, waarin de ziekte van deze medewerker per abuis werd genoemd. De werknemer schoot daarop in de stress, omdat op dat moment de nieuwe werkgever diende te beslissen over de verlenging van de arbeidsovereenkomst. Men kan zich voorstellen dat een werkgever extra kritisch wordt bij zulke informatie, waarover hij voordien niet kon beschikking. Het is dus begrijpelijk dat de werknemer hiervan ook fysiek ziek werd (burn-out), die direct gerelateerd kon worden aan het bericht van het UWV
De rechtbank bepaalde weliswaar dat het begrip “schade”ruim dien te worden uitgelegd, maar dat de benadeelde in dit geval recht had op € 250,00 schadevergoeding.