De Algemene Verordening Gegevensbescherming (AVG) is op 25 mei 2021 drie jaar van toepassing. In die drie jaar is deze wetgeving op een aantal terreinen tegemoet gekomen aan de verwachtingen. Zo is het aantal klachten van betrokkenen en het aantal datalekmeldingen bij de toezichthouder fors toegenomen, en komt er langzaam een handhavingspraktijk op gang. Er werd ook gekeken naar hoe de AVG de civiele praktijk zou beïnvloeden: zou sterkere gegevensbeschermingswetgeving ook leiden tot meer en hogere civiele schadevorderingen wegens schending van het privacyrecht? Hoewel er hier en daar schadevergoeding wordt toegewezen voor materiële en/of immateriële schade als gevolg van een inbreuk op de AVG, heeft dit nog geen vlucht genomen. Een recente uitspraak van de rechtbank Gelderland (ECLI:NL:RBGEL:2021:1888) toont aan waarom: het is nog niet zo makkelijk om de schade hard te maken.
NederWoon biedt een bemiddelingssite aan voor het vinden van een huurwoning. In mei 2019 werd haar computersysteem gehackt, waarbij toegang is verkregen tot gegevens van ongeveer 18.500 klanten. Eiser had een gebruikersaccount bij NederWoon ten tijde van de hack, waarin onder andere een kopie van zijn paspoort, loonstroken en bankafschriften werden bewaard. Op 23 mei 2019 krijgt hij bericht van NederWoon dat een hack heeft plaatsgevonden, en dat deze ook de door hem achtergelaten gegevens betreft. Hierop stelt eiser NederWoon aansprakelijk voor schade die is veroorzaakt doordat NederWoon in strijd heeft gehandeld met de AVG. De schade begroot eiser zelf op € 575,-. Hier komen partijen kennelijk niet onderling uit, en eiser wendt zich tot de kantonrechter. Nog voordat die zich goed en wel over de zaak heeft gebogen wordt de hacker echter opgepakt, en op 24 december 2019 wordt hem voor onder andere het hacken van NederWoon een gevangenisstraf van 12 maanden opgelegd, waarvan 4 maanden voorwaardelijk (ECLI:NL:RBOVE:2019:4909).
Eiser legt aan zijn vordering tot schadevergoeding ten grondslag dat NederWoon de AVG heeft geschonden. Eiser meent namelijk dat NederWoon zijn gegevens had moeten verwijderen nadat een huurovereenkomst tot stand was gekomen. Ook meent eiser dat het slagen van de hack getuigt van onvoldoende technische en organisatorische beveiligingsmaatregelen op het platform van NederWoon. Zijn schade zou erin gelegen zijn dat hij een toename van phishingmails ervaart sinds de hack, en doordat gevoelige gegevens zijn gelekt distress ondervindt.
Bij het creëren van het gebruikersaccount op NederWoon wordt door een gebruiker toestemming gegeven voor de verwerking van diens persoonsgegevens en wordt naar een privacy statement verwezen. Uit dat statement volgt dat het de gebruiker op ieder moment vrij staat het account te anonimiseren of stop te zetten. Ook volgt uit dat privacy statement dat bepaalde bewaartermijnen gelden, en dat een verzoek tot anonimiseren tot directe verwijdering leidt. De kantonrechter verwijst hiernaar, en geeft verder aan dat een hack nog niet aantoont dat de AVG geschonden is. Zoals de kantonrechter terecht vaststelt:
“[i]mmers, ook bij de meest optimale beveiliging zal helaas niet volledig uit te sluiten zijn dat technisch (zeer) bekwame kwaadwillenden zich toegang verschaffen.”
Hier lijkt al een oordeel over de aanwezigheid van een schending van de AVG in besloten te liggen, maar de kantonrechter gooit het toch over een andere boeg. Hij beoordeelt eerst of sprake is van schade, en nadat wordt vastgesteld dat dit niet het geval is kan aan de vraag of de AVG is geschonden voorbij worden gegaan.
De eiser had namelijk onvoldoende onderbouwd wat die schade dan precies is. Het enkele stellen dat sprake is van distress is niet concreet genoeg. Zo kon dit niet worden onderbouwd met uitingen van eiser. Verder bleek uit het strafvonnis dat de hacker de (persoons)gegevens van NederWoon nog niet had verkocht of overgedragen. De phishing kon dus niet het gevolg zijn van de hack, en toekomstige negatieve gevolgen zijn daarmee uitgesloten. Eiser blijft met lege handen achter.
Zoals aan het begin aangegeven is, enigszins oneerbiedig gezegd, dus nog geen sprake van een claimcultuur in privacy land. Partijen die hierop hoopten zullen zich ook niet gesterkt zien door deze uitspraak. Eiser in deze procedure liet zich bijstaan door belangenbehartiger die op haar website aangeeft ook op basis van ‘no cure, no pay’ haar dienstverlening aan te bieden. Dergelijke partijen weten, in ieder geval op basis van wat bekend is in de gepubliceerde rechtspraak, nog geen significante bedragen bij verwerkingsverantwoordelijken los te peuteren.
Meer weten over AVG en privacyrechten, neem contact op met Cees Plaizier.