Gedupeerde door een datalek? Dit zijn uw rechten.

Bij een datalek kunnen gegevens van duizenden mensen tegelijk op straat komen te liggen. Voor de gedupeerden kan dit ontzettend vervelend zijn, maar waar hebben zij recht op?

Wellicht herinnert u zich het datalek dat heeft plaatsgevonden bij de GGD, waarbij medewerkers werden verdacht van het verhandelen van persoonsgegevens. Of misschien herinnert u het datalek bij de Hogeschool Arnhem en Nijmegen, waarbij een hacker onrechtmatige toegang verkreeg tot de persoonsgegevens van studenten. Hij dreigde deze te publiceren, tenzij er losgeld werd betaald.

Het is een verontrustende gedachte dat er zowel intern als extern een gevaar bestaat voor onze persoonsgegevens die zijn opgeslagen bij organisaties. Datalekken komen daarnaast ook nog eens veelvuldig voor. Zo zijn er in 2020 maar liefst 24.000 datalekken vastgesteld. Maken de gedupeerden aanspraak op compensatie in de vorm van schadevergoeding?

Aansprakelijkheid en het recht op schadevergoeding

Wanneer er persoonsgegevens worden gedeeld, verwijderd, gewijzigd of vernietigd zonder toestemming of rechtvaardiging, spreken wij van een datalek. Een persoonsgegeven is informatie waarmee een persoon kan worden geïdentificeerd zoals een naam, adresgegevens of een medisch dossier.

Als het aan een organisatie te wijten is dat de data is gelekt of er onzorgvuldig is gehandeld, dan kan er een boete worden opgelegd door de Autoriteit Persoonsgegevens (AP). Dit is een onafhankelijke toezichthouder in Nederland, die erop toeziet dat organisaties de wettelijke regels over persoonsgegevens naleven.

De AP legde bijvoorbeeld een boete van 460.000 euro op aan het HagaZiekenhuis. Het ziekenhuis had volgens de toezichthouder de patiëntendossiers onvoldoende beveiligd. De boete moet een prikkel zijn voor het ziekenhuis en andere organisaties om hun zaken omtrent gegevensbescherming goed te regelen.

Wat betekent het bovenstaande voor de persoon die vanwege de slechte beveiliging het slachtoffer is van een datalek? De gegevens liggen op straat en dat kan niet door de boete worden hersteld. De Algemene Verordening Persoonsgegevens (AVG) voorziet ook hiervoor in een regeling. Een gedupeerde van (onder andere) een datalek heeft het recht op schadevergoeding. Er zijn twee vormen van vergoedbare schade: materiële en immateriële schade.       

Materiële schadevergoeding

Materiële schade is schade die kan worden uitgedrukt in geld. U kunt hierbij denken aan een scooterrijder die tegen een stilstaande auto aanbotst en hierbij de spiegel kapotrijdt. De kosten voor reparatie is materiële schade.

De gedupeerde van een datalek zal niet gauw een beroep kunnen doen op materiële schade. Hoewel persoonsgegevens tegenwoordig zeer gewild zijn bij grote technologiebedrijven, laat een persoonsgegeven zich moeilijk uitdrukken in geld. Het zal voor de gedupeerde dan ook lastig zijn om aan te tonen dat hij of zij vermogen is verloren door het datalek. Materiële schadevergoeding wordt dan ook pas relevant als aantoonbaar misbruik is gemaakt van het persoonsgegeven. Bijvoorbeeld als die gegevens worden gebruikt om allerlei bestellingen te plaatsen op de naam van de gedupeerde.

Immateriële schadevergoeding

Het recht op immateriële schadevergoeding bij een datalek bestaat als de gedupeerde door het datalek in zijn persoon is aangetast. In het kader van persoonsgegevens kunt u hierbij denken aan de situatie dat privacygevoelige informatie over de gedupeerde op straat is komen te liggen en hij hierdoor (psychisch) heeft geleden. Een datalek zal niet zomaar (psychisch) leed veroorzaken, waardoor ook van immateriële schadevergoeding niet gauw sprake zal zijn.

Voorbeelden

Uit het voorgaande blijkt dat schadevergoeding niet gauw wordt toegekend wanneer een persoon slachtoffer is van een datalek. De Rechtbank Gelderland moest bijvoorbeeld oordelen over een datalek door een hack op een makelaarswebsite. Er werd geen schadevergoeding uitgekeerd, omdat de gedupeerde er niet in slaagde om aan te tonen dat hij hier leed aan had ondervonden.

In een andere zaak kende de rechter wel een schadevergoeding van €500,- toe. Een psychiatrische instelling had medische gegevens van een persoon onrechtmatig gedeeld. Het betrof zeer gevoelige gegevens van de gedupeerde en bij dit soort gegevens lijkt het leed eerder aangenomen te worden.

Conclusie

Een gedupeerde van een datalek heeft in beginsel recht op materiële en immateriële schadevergoeding. In de praktijk blijkt vooral het recht op immateriële schadevergoeding te worden toegekend, maar ook op basis van dit recht zal de gedupeerde niet zomaar een schadevergoeding kunnen krijgen. Dit hangt af van het leed en de gevoeligheid van de persoonsgegevens. Het lijkt erop dat leed eerder wordt aangenomen als de persoonsgegevens zeer gevoelig zijn.

Auteur: Dawit Agoub