Loud - Juridisch Advies & Mediation
26-01-2023 | Arbeidsrecht en sociale zekerheid
Lees meer
Heb jij al eens meegemaakt dat jouw gegevens betrokken zijn bij een datalek? De kans is reëel, aangezien het steeds vaker voorkomt. Zo zijn er in 2021 bijna 25.000 datalekmeldingen gemaakt bij de Autoriteit Persoonsgegevens (AP) en zijn minstens 7 miljoen mensen slachtoffer geworden van cyberaanvallen op IT-leveranciers. Het is dus volkomen terecht als jij je wel eens hebt afgevraagd wat er gebeurt als jouw gegevens betrokken zijn in zo’n datalek. Heb je bijvoorbeeld recht op een schadevergoeding?
Over het algemeen geef je jouw gegevens aan een organisatie met een doel. Zo bewaart de tandarts bijvoorbeeld jouw e-mailadres om een mail te sturen als het weer tijd is voor een controle. Zodra toegang tot jouw gegevens wordt verkregen door iemand of jouw gegevens worden vernietigd, gewijzigd of worden vrijgegeven, zonder dat het de bedoeling van de organisatie is die beschikt over jouw gegevens, spreken we van een datalek.
Een bekend voorbeeld van een datalek is de hacker die gegevens steelt. Toch kan het ook bijvoorbeeld gaan om de situatie dat de tandarts de afspraak bevestigt met daarin jouw gegevens en de bevestiging per ongeluk naar een andere patiënt stuurt.
Een direct antwoord kan hier helaas niet op gegeven worden. Volgens de Algemene Verordening Gegevensbescherming (hierna: AVG) heb je recht op schade als deze schade is ontstaan als gevolg van een inbreuk op de bepalingen uit de AVG.
Schade die hieronder verstaan kan worden is bijvoorbeeld de emotionele schade als gevolg van het verlies van controle over jouw persoonsgegevens, discriminatie, verlies van vertrouwelijke informatie die door een beroepsgeheim zijn beschermd, reputatieschade en identiteitsdiefstal of –fraude.
Om je schade te verhalen dient de schade reëel en zeker te zijn. Dit is wat het voornamelijk moeilijk zal maken. Het is immers lastig om dergelijke schade aan te tonen met concrete gegevens. Helaas is het simpelweg stellen dat je schade lijdt onvoldoende.
Als je slachtoffer bent geworden van een inbreuk op de AVG betreft jouw gegevens, dan kun je iedere partij die bij de verwerking van jouw gegevens betrokken was, aanspreken. In principe heb je dus een keuzemogelijkheid. Hierbij dien je echter wel te onthouden dat degene die je aanspreekt zich als het ware op een vrijstelling kan beroepen als diegene kan bewijzen dat hij totaal niet verantwoordelijk was voor het schadeveroorzakende feit.
In de rechtspraak lijkt het nog niet heel vaak voor te komen. Toch zijn er zaken waarin een schadevergoeding is toegekend aan slachtoffers van een datalek. Zo ontving een vrouw een schadevergoeding van € 250 toen het UWV zonder toestemming medische informatie deelde met de nieuwe werkgever van de vrouw. Een ander slachtoffer ontving ook € 250 nadat een bouwbedrijf een e-mail stuurde naar 1100 personen met daarin een Excelbestand waarin niet alleen persoonsgegevens stonden als voor- en achternaam te zien waren, maar zelfs gegevens als het jaarinkomen en het eigen vermogen. Daarnaast ontving een man een vergoeding van € 500 nadat als gevolg van een aantal datalekken op een gemeentelijke website zijn gegevens als BSN, e-mailadres en telefoonnummer te zien waren.
Het antwoord zou zowel ja als nee kunnen zijn. In ieder geval bestaat er een mogelijkheid op grond van de AVG om een schadevergoeding te vorderen als jouw gegevens betrokken zijn bij een datalek. Dat je ook daadwerkelijk een vergoeding krijgt, is niet zo vanzelfsprekend. Het is en blijft immers lastig om aan te tonen dat je schade hebt geleden naar aanleiding van een datalek.
Heb jij hier nog vragen over? Laat het ons dan vooral weten.
Bronnen:
ECLI:NL:RBAMS:2019:6490
ECLI:NL:RBNHE:2021:106
ECLI:NL:RBROT:2022:1420.
Overeenkomstenrecht
Arbeidsrecht en sociale zekerheid
Ondernemingsrecht
