immateriele schade datalek

Immateriële schade bij datalek


Als organisatie kun je te maken krijgen met een datalek. Een persoon wiens persoonsgegevens zijn gelekt en daardoor schade heeft geleden, kan recht hebben op een schadevergoeding. Naast materiële schade komt ook immateriële schade in aanmerking voor schadevergoeding. Over immateriële schade is er nog veel onduidelijkheid. Wat komt in aanmerking als immateriële schade en hoe dient deze schade te worden gewaardeerd?

Datalek

Als organisatie kun je te maken krijgen met een datalek. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of het vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. In dit artikel meer over materiële- en immateriële schade na een datalek.

Aansprakelijkheid na een datalek

Op grond van de AVG heb je na een datalek aan een aantal verplichtingen te voldoen. Zo is er bijvoorbeeld een documentatieverplichting van het voorval en is er wellicht een plicht tot het melden ervan op grond van art. 33 AVG. Daarmee is de kous nog niet af. Zo kan de Autoriteit persoonsgegevens in bepaalde situaties een boete opleggen. Ook is het mogelijk dat je aansprakelijk wordt gesteld. 

Materiële- en immateriële schade

Een persoon wiens persoonsgegevens zijn gelekt en daardoor schade heeft geleden, kan immers recht hebben op een schadevergoeding. In art. 82 AVG is dit recht op schadevergoeding vastgelegd. Naast materiële schade komt ook immateriële schade in aanmerking voor schadevergoeding. Over immateriële schade is er nog veel onduidelijkheid. Wat komt in aanmerking als immateriële schade en hoe dient deze schade te worden gewaardeerd?

Prejudiciële vragen over immateriële schade

De hoogste bestuursrechter van Bulgarije, de “Varhoven administrativen sad” heeft het Hof van Justitie van de Europese Unie (HvJ-EU) een aantal prejudiciële vragen gesteld, onder meer rondom het onderwerp van immateriële schade. De Bulgaarse bestuursrechter wil onder meer weten of alleen al de bezorgdheid en ongerustheid van de betrokkene over, en zijn vrees voor, mogelijk misbruik van zijn persoonsgegevens in de toekomst een vordering tot immateriële schadevergoeding kan rechtvaardigen.

Datalek

De aanleiding voor het stellen van deze prejudiciële vragen was een hackaanval op de Bulgaarse Belastingdienst in 2019. Dit bracht een enorm datalek met zich mee. Er zou bij de hackaanval gegevens van naar schatting 5 miljoen belastingplichtigen zijn gestolen. De omvang en gevoeligheid van het incident was enorm. De Bulgaarse belastingdienst ontving uiteindelijk een boete van de Bulgaarse Autoriteit Persoonsgegevens doordat zij geen effectieve maatregelen had genomen om de ongeoorloofde toegang tot de persoonsgegevens te voorkomen.

Immateriële schade wordt gevorderd

Vervolgens heeft één van de betrokkene op grond van artikel 82, lid 1, AVG een vordering tot schadevergoeding ingesteld tegen de Bulgaarse belastingdienst. Zij is van mening dat zij immateriële schade heeft geleden, omdat zij zich zorgen maakt dat in de toekomst misbruik zal worden gemaakt van de gelekte persoonsgegevens. Zij is bijvoorbeeld bang dat ze zal worden gechanteerd of dat haar gegevens worden gebruikt voor identiteitsfraude. De rechter in eerste aanleg heeft het beroep ongegrond verklaard. De betrokkene is tegen de uitspraak van de rechter in beroep gegaan waarna de rechtbank in hoger beroep de prejudiciële vragen heeft gesteld. 

Van belang voor de beoordeling van immaterieel schade

Het zal naar alle waarschijnlijkheid even duren voordat het Hof van Justitie van de Europese Unie een uitspraak doet in deze zaak. Deze uitspraak zal van belang worden bij de beoordeling van menig aankomende zaak waarin immateriële schade vanwege een datalek aan de orde komt.

Vragen over het voorkomen van datalekken en mogelijke schade?

Heb je nog vragen over (het voorkomen van) datalekken en schade, neem dan gerust contact op of lees andere artikelen over dit onderwerp.