Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/1.2
1.2 Schade door inadequate beveiliging van persoonsgegevens
mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.F. Walree
- JCDI
JCDI:ADS267358:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
Keats Citron 2007, p. 244.
Keats Citron 2007, p. 271.
Barkhuysen e.a. 2015, p. 14.
Barkhuysen e.a. 2015, p. 17.
Rb. Noord-Holland (ktr.) 28 december 2016, ECLI:NL:RBNHO:2016:10635 (X/Van Hees).
Zie ook Kamerstukken II 1997-1998, 25892, nr. 3 (MvT), p. 98-99.
Kamerstukken II 1986-1987, 19095, nr. 6 (MvA), p. 39. Zie ook Tjong Tjin Tai 2016b, p. 4.
HR 18 januari 2002, ECLI:NL:HR:2002:AD4915 (Interplant/Oldenburger), r.o. 3.3.
HR 21 september 2007, ECLI:NL:HR:2007:BA7624, m.nt. J.B.M. Vranken (Manege Bergemo), r.o. 3.4.
Tjong Tjin Tai 2016b, p. 463.
Deze problematiek wordt goed geïllustreerd door het beveiligingsincident bij de Belastingdienst. In het onderhavige geval werden persoonsgegevens van 11 miljoen belastingbetalers verwerkt. Duidelijk werd dat drie jaar lang basale beveiligingsmaatregelen – zoals logging, monitoring en toegangspassen – afwezig waren. Hierdoor was geenszins vast te stellen in hoeverre persoonsgegevens waren gelekt. Meer informatie is te vinden via Zembla, ‘Prutsen en pielen zonder pottenkijkers’, bnnvara.nl/zembla/artikelen/leuker-kunnen-we-het-niet-maken 1 februari 2017; Auditdienst Rijk 2016.
Solove & Keats Citron 2018, p. 757-758.
Keats Citron 2007, p. 255.
Narayanan & Shmatikov 2008.
Ohm 2010, p. 1726-1727; Solove 2013, p. 1889. Zie voor vergelijkbare uitkomsten bij ‘data mining’ Colonna 2016, p. 180.
V. Goel & N. Perlroth, ‘Hacked Yahoo Data Is for Sale on Dark Web’, The New York Times 15 december 2016; Martijn & Tokmetzis 2016, p. 58-59.
Vergelijk D.J. Solove 2007, p. 769; Solove 2006, p. 486.
Vergelijk Romanosky & Acquisti 2009, p. 1062.
Vergelijk HR 31 januari 2003, NJ 2003/346 (Drewel e.a./Amev), r.o. 3.5.3.
HR 9 oktober 1992, ECLI:NL:HR:1992:ZC0706, NJ 1994/535 (DES-dochters), r.o. 3.7.6.
Zie voor uiteenlopende opvattingen Ingelse 1992, p. 1410-1411; Boonekamp, in: GS Schadevergoeding, art. 6:99 BW, aant. 6.1; Klaassen 2017/75; Asser/Hartkamp & Sieburgh 6-II 2013/92.
Akkermans 1997, p. 25. Zie ook Klaassen 2017/75. Zij signaleert dat het omslagpunt om af te wijken van het uitgangspunt in artikel 6:99 BW, ook indien de mogelijkheid bestaat dat schade is veroorzaakt door een niet-aansprakelijke partij, niet duidelijk is.
Vergelijk Cox 2016, p. 271-279.
Tjong Tjin Tai 2016c, p. 2242.
HR 31 maart 2006, ECLI:NL:HR:2006:AU6092 (Nefalit/Karamus), r.o. 3.13.
HR 24 december 2010, ECLI:NL:HR:2010:BO1799 (Fortis/Bourgonje), r.o. 3.8.
Vergelijk Langemeijer 2016, p. 103-110.
Vergelijk Calo 2011, p. 1153; Solove & Keats Citron 2018, p. 762-766.
HR 21 februari 1997, ECLI:NL:HR:1997:ZC2286, NJ 1999/145 (Wrongful Birth), r.o. 3.14. Zie ook Giesen 2014, p. 60.
Rb. Zwolle-Lelystad 4 mei 2011, ECLI:NL:RBZLY:2011:BV6594 (X/Aegon), r.o. 4.16; Rb. Utrecht 17 september 2008, ECLI:NL:RBUTR:2008:BF1292 (X/SNS Bank), r.o. 4.13.
HR 19 december 2003, ECLI:NL:HR:2003:AL7053, NJ 2004, 348 (S.J./Staat), r.o. 5.2.3; HR 9 mei 2003, ECLI:NL:HR:2003:AF4606, NJ 2005/168 (Beliën/Prov. Noord-Brabant), r.o. 5.2.3.
Vergelijk US Court of Appeals (6th Circuit) 12 september 2016, Nos. 15-3386/3387 (Galaria et al. v. Nationwide Mutual Insurance Co.), p. 6-7.
Persoonsgegevens vormen de motor van onze datagestuurde economie.1 De keerzijde hiervan is de aantrekkingskracht op cybercriminelen, die buitgemaakte persoonsgegevens bijvoorbeeld misbruiken voor identiteitsfraude.2 Slachtoffers ondervinden vermogensschade doordat hun bankrekening wordt geplunderd of producten zijn aangeschaft op hun naam.3 Daarnaast kunnen zij verstrikt raken in een bureaucratische carrousel. Een onterechte aantekening bij justitie kan ertoe leiden dat de betrokkene herhaaldelijk wordt aangehouden of problemen ervaart bij het aanvragen van een Verklaring Omtrent Gedrag.4 Hij moet allerlei maatregelen treffen en wordt soms zelfs genoodzaakt een procedure te starten om de nadelige gevolgen van identiteitsfraude ongedaan te maken. Dit kost hem veel tijd en moeite.5
Om voorgaande redenen is het adequaat beveiligen van persoonsgegevens van groot belang. De verwerkingsverantwoordelijke en de verwerker zijn verplicht om ‘passende technische en organisatorische maatregelen’ te nemen teneinde persoonsgegevens te beveiligen tegen verlies of elke andere vorm van onrechtmatige verwerking, zoals de aantasting, onbevoegde kennisneming, wijziging, of verstrekking van persoonsgegevens (artikel 32 AVG).6
Als de verwerkingsverantwoordelijke nalaat passende maatregelen te nemen kan hij aansprakelijk worden gesteld op grond van artikel 6:162 BW of, als er sprake is van een verbintenis tussen de betrokkene en de verwerkingsverantwoordelijke, op grond van artikel 6:74 BW. Daarnaast bevat de Wbp een eigen aansprakelijkheidsbepaling in artikel 49. Dit artikel stelt geen andere voorwaarden voor aansprakelijkheid dan artikel 6:162 BW.7 De betrokkene heeft recht op vergoeding van zijn vermogensschade (artikel 6:96 BW) en recht op vergoeding van nadeel dat niet uit vermogensschade bestaat (artikel 6:106 lid 1 BW en artikel 49 lid 2 Wbp).
Vermogensschade wordt vergoed als de betrokkene ‘concrete schade’8 lijdt. Ingetreden vermogensschade is eenvoudig te bewijzen aan de hand van bankafschriften, boetes of aanmaningen. De maatregelen die de betrokkene neemt om zich te beschermen tegen eventuele nadelige gevolgen komen voor vergoeding in aanmerking op grond van artikel 6:96 lid 2 sub a BW, voor zover deze kosten de ‘dubbele redelijkheidstoets’ doorstaan.9 Tjong Tjin Tai noemt in dit kader de kosten die worden gemaakt in andere procedures om de verspreiding van persoonsgegevens te voorkomen.10 De betrokkene kan daarnaast een beroep doen op artikel 6:105 BW en een vergoeding van zijn toekomstige schade eisen.
Het is het soms echter moeilijk vast te stellen of een inadequate beveiliging tot concrete schade heeft geleid, bijvoorbeeld als niet kan worden vastgesteld of persoonsgegevens onrechtmatig zijn verwerkt11 of omdat schade pas na geruime tijd ontstaat.12 Veel persoonsgegevens kennen geen houdbaarheidsdatum, waardoor criminelen zelfs jaren later nog kunnen toeslaan.13 In de toekomst kan bijvoorbeeld schade onstaan doordat gegevens worden gecombineerd. Als een kwaadwillende zoekt naar een uniek verband tussen de onrechtmatige verkregen persoonsgegevens en een anonieme identiteit in een andere dataset, kan de betrokkene alsnog worden geïdentificeerd.14 Dit betekent dat anonieme gegevens kunnen worden herleid naar de betrokkene. Bovendien kan door de combinatie van gegevens een synergie ontstaan van nieuwe persoonsgegevens (‘1+1=3’).15 Vervolgens kan de kwaadwillende de (gegenereerde) persoonsgegevens misbruiken of doorverkopen op het ‘Dark Web’.16 Hierdoor kunnen zelfs beveiligingsincidenten met triviale persoonsgegevens (zoals NAW-gegevens), die op zichzelfstaand weinig (im)materiële schade toebrengen, in combinatie met andere beveiligingsincidenten, serieuze schade veroorzaken.17 Een beveiligingsincident dat op zichzelf geen schade veroorzaakt, kan hierdoor wel leiden tot een vergroting van de kans op toekomstige schade. Een dergelijk lek komt echter niet voor vergoeding in aanmerking omdat de gevolgen ervan onzeker en speculatief zijn. Er is daarom geen sprake van concrete schade.18
Indien het beveiligingsincident wel concrete schade veroorzaakt, komt deze schade in theorie voor vergoeding in aanmerking. Het is echter niet altijd duidelijk of een causaal verband bestaat tussen de schending van de beveiligingsplicht en de ontstane schade. Dit speelt bijvoorbeeld als vaststaat dat cybercriminelen een kopie van een identiteitsbewijs hebben gebruikt om identiteitsfraude te plegen. Als verschillende verwerkingsverantwoordelijken dit persoonsgegeven hebben gelekt, is het niet eenvoudig om vast te stellen of de gebrekkige beveiliging van een bepaalde partij tot de schade heeft geleid. De bewijslast van het causaal verband ligt in beginsel bij de betrokkene (artikel 150 Rv). In de bovengenoemde situatie is het aantonen van dit verband voor de betrokkene echter zeer lastig. De regels van de alternatieve causaliteit en de proportionele aansprakelijkheid kunnen een oplossing bieden voor de bewijsnood van de betrokkene.
Alternatieve causaliteit is van toepassing als het niet duidelijk is welk beveiligingsincident tot de schade heeft geleid, maar wel vaststaat dat het misbruik het gevolg is van een schending van de beveiligingsplicht. Artikel 6:99 BW bepaalt dat iedere partij die de schade zou hebben kunnen veroorzaakt in dat geval aansprakelijk is. Voor toepassing van artikel 6:99 BW is het uitgangspunt dat alle mogelijke oorzaken het gevolg zijn van een gebeurtenis waarvoor een partij aansprakelijk is.19 Het DES-arrest maakt een uitzondering op dit uitgangspunt.20 Dit betekent dat alternatieve causaliteit mogelijk toch kan worden toegepast als één van de beveiligingsincidenten die mogelijk tot de schade heeft geleid niet het gevolg is van een schending van de beveiligingsplicht. Het is niet geheel duidelijk of deze uitzondering ook op andere casusposities kan worden toegepast.21 Akkermans signaleert dat toepassing van artikel 6:99 BW wordt afgewezen wanneer er geen aansprakelijkheid bestaat voor één van de twee mogelijke oorzaken, en anderzijds wordt toegewezen wanneer het gaat om een groter aantal oorzaken waarvan er één niet tot aansprakelijkheid leidt.22 In deze lijn is toepassing van alternatieve causaliteit eerder gerechtvaardigd als het gaat om een grote hoeveelheid mogelijke oorzaken dan in de situatie waarin de schade slechts op een paar manieren kan zijn ontstaan, waarvan in beide situaties één verwerkingsverantwoordelijke zijn beveiligingsplicht niet heeft geschonden.
Indien één van de mogelijke oorzaken van de schade binnen de risicosfeer van de betrokkene valt, kan het leerstuk van proportionele aansprakelijkheid worden toegepast.23 Denk aan het voorbeeld waarin de verwerkingsverantwoordelijke nalatig is geweest bij het treffen van adequate beveiligingsmaatregelen, maar ook de betrokkene onzorgvuldig is geweest bij het beheren van een kopie van zijn identiteitsbewijs. De rechter kan dan de aansprakelijkheid vaststellen naar rato van waarschijnlijkheid dat de schade is veroorzaakt door het lekken van de kopie door de verwerkingsverantwoordelijke. De onzekerheid over het causaal verband wordt dan verdisconteerd in de schadevergoeding.24 Deze benadering is passend als het causaal verband tussen de normschending en de schade zich niet of nauwelijks laat vaststellen, en de kans dat de schade is veroorzaakt door het lek niet zeer klein of zeer groot is.25 In dit geval is het redelijker de onzekerheid over het causaal verband over de betrokkene en de verwerkingsverantwoordelijke te verdelen, dan deze onzekerheid volledig voor risico van de betrokkene te laten komen. De Hoge Raad heeft aangegeven dat de proportionele benadering niet is beperkt tot werkgeversaansprakelijkheid bij personenschade, maar wel met terughoudendheid moet worden toegepast. De rechter dient te verantwoorden waarom de strekking van de norm (adequate beveiliging) en de aard van de normschending (lekken van bijzondere persoonsgegevens) proportionele aansprakelijkheid in het onderhavige geval rechtvaardigen.26
Hoewel niet alle gelekte persoonsgegevens in het criminele circuit belanden, kan het verhoogde risico op misbruik of de onzekerheid waarin de betrokkene verkeert zorgen voor reële stress, spanning of angst bij de betrokkene,27 zelfs als het misbruik of de gevolgen daarvan zich uiteindelijk nooit openbaren.28 Het kan immers geruime tijd duren voordat de schade zich openbaart. De vraag rijst of de deze gevoelens moet worden gecompenseerd met een schadevergoeding. Voor vergoeding van immateriële schade op grond van artikel 6:106 lid 1 sub b BW moet de betrokkene betogen dat hij door de inadequate beveiliging ‘in zijn persoon is aangetast’. Het enkele ‘psychische onbehagen’ is ontoereikend voor vergoeding van de immateriële schade: het moet ten minste gaan om ‘geestelijk letsel’.29 Artikel 49 lid 2 Wbp stelt geen andere vereisten voor schadevergoeding. Ook hier geldt dat er ten minste sprake moet zijn van nadeel en is ‘enig psychisch onbehagen’ ontoereikend voor schadevergoeding.30
Het geestelijk letsel moet dus naar objectieve maatstaven zijn vast te stellen: leed kan immers eenvoudig worden gesimuleerd. De betrokkene zal daarnaast voldoende concrete gegevens moeten aanleveren waaruit kan volgen dat in verband met de omstandigheden een psychische beschadiging is ontstaan.31 Een dergelijk concreet gegeven is bijvoorbeeld de gevoelige aard van de gelekte persoonsgegevens of de aard van de inbreuk op de beveiliging. Een hack is bijvoorbeeld een sterke aanwijzing dat gegevens worden misbruikt.32 Stress als gevolg van het beveiligingsincident is dan eerder gerechtvaardigd. Zonder dergelijke aanwijzingen wordt immateriële schade geacht afwezig te zijn. De speculatieve en onbekende aard van de schade zorgt er dan voor dat de betrokkene niet of slechts beperkt kan optreden tegen de onrechtmatige verwerking van zijn persoonsgegevens. Mogelijk kan de betrokkene wel een beroep doen op ‘integriteitsschade’. Ik bespreek deze mogelijkheid in paragraaf 3 in het kader van oneigenlijk gebruik van persoonsgegevens.