Op 4 oktober 2023 heeft de rechtbank Gelderland geoordeeld dat de Hogeschool Arnhem-Nijmegen (HAN) een schadevergoeding van € 300,- moet betalen aan een oud-student. Zijn persoonsgegevens, waaronder medische gegevens met betrekking tot zijn studievertraging, waren in handen van een hacker gekomen.
Het recht op schadevergoeding bij een datalek
Op grond van de Algemene verordening gegevensbescherming (AVG) kan een schadevergoeding worden toegekend als de AVG is geschonden. Met betrekking tot datalekken eist de AVG dat organisaties passende beveiligingsmaatregelen treffen. Dit betekent dat het beveiligingsniveau afgestemd moet zijn op de risico’s die een specifieke verwerking van persoonsgegevens met zich meebrengt. Als dat niet gebeurd is, levert dat dus een schending van de AVG op.
Daarnaast moet degene die een schadevergoeding eist daadwerkelijk schade hebben geleden door het datalek. Het kan dan gaan om financiële schade en/of immateriële schade.
Bij een datalek bestaat de immateriële schade van de betrokkene in ieder geval uit het kwijtraken van de controle over de eigen persoonsgegevens. Het feit dat niet te achterhalen is waar de gegevens circuleren is al eerder door de rechter aangemerkt als schade. Het is daarnaast niet zo dat immateriële schade alleen kan worden vergoed wanneer de door de betrokkene geleden schade een bepaalde mate van ernst bereikt. Lees daarvoor onze blog over massaschadeclaims.
Wél moet de betrokkene het bestaan van immateriële schade bewijzen. Dat is alleen anders als de aard en de ernst van de schending van de AVG met zich meebrengen dat nadelige gevolgen zodanig voor de hand liggen dat schade zonder verder bewijs kan worden aangenomen.
Factoren die bijdragen aan immateriële schade
In de zaak tussen de hogeschool en de oud-student oordeelde de rechtbank dat de beveiligingsmaatregelen ten tijde van het datalek niet passend waren. De hacker gebruikte namelijk een veelvoorkomende hackmethode waartegen de hogeschool bestand had moeten zijn. Bovendien heeft de hogeschool niet inzichtelijk gemaakt welke specifieke maatregelen zij had getroffen op de plek waar de gegevens van de oud-student werden bewaard. Ook heeft zij niet bewezen waarom beveiligingsmaatregelen zoals versleuteling en pseudonimisering niet passend waren.
Daarnaast oordeelde de rechtbank dat de oud-student immateriële schade heeft geleden door het datalek. Het lekken van de algemene persoonsgegevens (bestaande uit naam, adres, woonplaats, e-mailadres en telefoonnummer) is vervelend, maar heeft volgens de rechtbank niet tot schade geleid. Het lekken van de medische gegevens daarentegen wél.
De factoren die voor de rechtbank bijdroegen aan het oordeel dat sprake is van immateriële schade zijn:
- de zorgvuldigheid waarmee de oud-student met zijn medische gegevens omging;
- de deuk die zijn vertrouwen in het delen van bijzondere persoonsgegevens heeft opgelopen;
- de gevoelens van boosheid, spanning, vernedering en angst die hij ervaarde na het incident, en;
- zijn zorgen over wat er met de gegevens kan worden gedaan als iemand ze in handen krijgt.
Tot slot oordeelde de rechtbank dat alleen al het kunnen inzien van de medische gegevens door de hacker schade oplevert. Dat niet duidelijk is of de hacker ook iets met de gegevens heeft gedaan, doet daar niet aan af.
Vergelijkbare rechtszaken
Eerder waren er ook al rechtszaken waarin immateriële schade bij een datalek werd gevorderd. In een rechtszaak uit 2022 werd een verzoek om immateriële schadevergoeding – voor het kwijtraken van een dossier met daarin medische en andere persoonsgegevens dat per post was verzonden – afgewezen. Volgens de rechtbank was niet gebleken dat de gegevens bij een onbekende derde waren aangekomen, omdat de eiseres wiens gegevens in het dossier stonden geen phishingmails of andere verdachte berichten had ontvangen en er geen identiteitsfraude had plaatsgevonden met de gegevens.
In een andere rechtszaak uit 2022 werd een verzoek om immateriële schadevergoeding – voor het per ongeluk verzenden van een bestand met daarin gevoelige financiële gegevens en andere persoonsgegevens aan ongeveer 1100 personen – wel toegewezen. Doordat de gegevens waren verstuurd aan een aanzienlijke groep mensen was niet te achterhalen waar de gegevens circuleerden.
Hulp nodig bij (het voorkomen van) een datalek?
Kan jouw organisatie hulp gebruiken op het gebied van datalekken? Wij geven je juridisch en strategisch advies. Bij het voorkomen van een datalek, maar ook als zich een datalek heeft voorgedaan. Neem contact met ons op en we vertellen je graag wat we voor jou kunnen betekenen.