Schadevergoeding vanwege lekken bijzondere persoonsgegevens


Een oud student van de HAN vordert immateriële schadevergoeding doordat er tijdens een hack persoonsgegevens van hem zijn gelekt. De kantonrechter wijst de schadevergoeding gedeeltelijk toe doordat er sprake is van bijzondere persoonsgegevens.

Geschatte leestijd: 4 minuten

In september 2021 vond er een hack plaats bij de Hogeschool Arnhem-Nijmegen (HAN). Een oud-student vindt dat de hogeschool aansprakelijk is voor de schade die hij heeft geleden door de hack. Hij vordert een immateriële schadevergoeding van € 1000,=. Volgens de oud student schond de hogeschool de AVG  door geen passende beveiliging van haar systemen te hebben. In deze zaak gaat het echter niet alleen om het lekken van algemene persoonsgegevens, maar ook om medische gegevens die worden gekwalificeerd als bijzondere persoonsgegevens. De kantonrechter wijst de schadevergoeding gedeeltelijk toe.

Passende en effectieve veiligheidsmaatregelen getroffen?

De oud student heeft aangevoerd dat zijn gegevens niet waren gepseudonimiseerd of versleuteld werden opgeslagen. Dit had niet voorkomen dat zijn gegevens werden buitgemaakt, maar wel dat de buitgemaakte gegevens door de hacker gelezen konden worden. Ook voert hij aan dat de hack heeft plaatsgevonden door middel van een SQL-injectie. Naar zijn mening een veelvoorkomende hacktechniek waartegen de hogeschool bestand had moeten zijn. De HAN voert aan dat de getroffen maatregelen naar hun oordeel passend zijn. Daarbij benadrukt de HAN dat het aan de verwerkingsverantwoordelijke zelf is om te bepalen wat passende en effectieve maatregelen zijn.

De kantonrechter geeft aan dat niet ieder datalek resulteert in een inbreuk op de AVG. Het is de vraag of het beveiligingsniveau passend was ten tijde van de hack. De kantonrechter is het met de HAN eens dat het aan de verwerkingsverantwoordelijke zelf is om te bepalen wat passende en effectieve maatregelen zijn. Van de HAN mocht echter wel verlangd worden dat ze die maatregelen zou treffen die, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, van haar verwacht konden worden. Hierbij zoekt de kantonrechter aansluiting bij art. 32 lid 1 AVG. 

De HAN is naar oordeel van de kantonrechter niet concreet geweest over wat zij ten tijde van het datalek aan veiligheidsmaatregelen had getroffen. Hierdoor is het niet duidelijk wat een passend niveau was en of de hogeschool daaraan voldeed. Omdat de hogeschool dit heeft nagelaten, is de kantonrechter van oordeel dat zij onvoldoende heeft betwist dat ze inbreuk heeft gemaakt op de AVG. De inbreuk komt daarmee vast te staan.

Schade toegekend vanwege het lekken van medische gegevens

Heeft de oud student hiermee recht op vergoeding van zijn immateriële schade? Het begrip “schade” moet op grond van overweging 46 van de AVG ruim worden uitgelegd. Maar niet elke inbreuk op de AVG resulteert in een recht op schadevergoeding, zo geeft de kantonrechter aan. De door oud student gestelde immateriële schade wordt alleen vergoed als hij voldoende heeft onderbouwd dat hij in zijn persoon is aangetast. Ook kunnen de aard en de ernst van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen.

De kantonrechter is van oordeel dat het lekken van de algemene persoonsgegevens niet tot schade heeft geleid. Het gaat hier echter ook om het lekken medische gegevens die gekwalificeerd worden als bijzondere persoonsgegevens.

In het geval van bijzondere persoonsgegevens kan eerder worden aangenomen dat er sprake is van schade. Hierbij gaat het immers om gegevens waarvan het niet gewenst is dat ze op straat komen te liggen. Daarbij maakt het volgens de kantonrechter niet uit dat niet precies duidelijk is geworden wat de hacker met de gegevens heeft gedaan. Dat de hacker deze specifieke gegevens heeft kunnen inzien of verspreiden, is voldoende voor het aannemen van schade als gevolg van de inbreuk op de AVG. Hierbij speelt mee dat de oud-student zelf erg zorgvuldig met zijn medische gegevens omging. Hij deelde zijn gegevens alleen met de hogeschool, omdat die hem verzekerde dat zijn verhaal veilig was. 

Gezien het feit dat het medische gegevens betreft, het verlies aan controle over de gegevens blijvend is, afgezet tegen de omstandigheid dat niet is gebleken dat het datalek tot concrete negatieve gevolgen heeft geleid, komt de kantonrechter op een schadebedrag van € 300,00. 

Vragen over privacyrecht en AVG?

Heb je nog vragen over dit onderwerp, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.