Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/4.4.2
4.4.2 De verwerkingsverantwoordelijke adviseert maatregelen maar de betrokkene volgt deze niet op
mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.F. Walree
- JCDI
JCDI:ADS267438:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
Article 29 Data Protection Working Party 2018, p. 20. Zie ook Kamerstukken II 2012-2013, 33 662, nr. 3 (MvT), p. 22; Van der Jagt 2012; Tjong Tjin Tai 2016, p. 461.
Vergelijk HR 5 november 1965, NJ 1966/136 (Kelderluik). Zie uitvoerig over informatieplichten bij datalekken en beveiligingsinbreuken: Baas & Van Rest 2012, p. 260-268. Zie over de informatieplicht in het algemeen: K.J.O. Jansen 2012.
Ik verwacht dat de hoedanigheid (zoals werknemer of bestuurder) en/of capaciteiten (zoals kennis van IT) van de betrokkene er niet sneller toe leiden dat er sprake is van een toerekenbare omstandigheid (vergelijk Keirse 2006, p. 186 en Keirse & Jongeneel 2013/27 over de rol van subjectieve factoren bij de beoordeling of er sprake is van een toerekenbare omstandigheid). Een verwerkingsverantwoordelijke heeft immers als organisatie vrijwel altijd meer informatie tot zijn beschikking dan de individuele betrokkene. Aan de andere kant kan de kwetsbare positie van de betrokkene (zoals een kind) met zich brengen dat er juist geen sprake is van een toerekenbare omstandigheid. Vergelijk in andere zin bij beroepsaansprakelijkheid voor (letselschade)advocaten Giesen 2016, p. 42 (bij voetnoot 46).
Vergelijk Jacquemain 2017, p. 247.
González Fuster 2014, p. 92-104.
Vergelijk Romanosky & Acquisti 2009, p. 1095-1096. Ook kan de betrokkene ongevoelig raken voor meldingen, omdat hij veelvuldig over datalekken is geïnformeerd, maar nadelige gevolgen altijd uitbleven.
Wolters 2018, p. 131 (bij voetnoot 13).
Wolters 2018, p. 131; Van Alsenoy 2016, p. 275; De Hert e.a. 2013, p. 141.
Vergelijk HR 5 juni 2009, ECLI:NL:HR:2009:BH2815, NJ 2012/182 (De Treek/Dexia).
Vergelijk Van Esch 2015, p. 129-130.
HR 5 december 2014, NJ 2016/159, ECLI:NL:HR:2014:3532, m.nt. S.D. Lindenbergh (Michielsen/De Mierden), r.o. 3.8.2.
Article 29 Data Protection Working Party 2018, p. 32.
Het is een bekend probleem dat gebruikers van onlinediensten één wachtwoord gebruiken voor meerdere accounts, zie C. Wang e.a. 2018, p. 196-203. Zie ook Ministerie van Justitie en Veiligheid 2018, p. 8.
Zie uitvoerig over ransomware Custers, Oerlemans & Pool 2016, p. 87-95.
Een verwerkingsverantwoordelijke kan een betrokkene adviseren om zelf een schadebeperkende maatregel te nemen, zoals het wijzigen van een wachtwoord nadat het wachtwoord van de betrokkene (mogelijk) is ingezien bij een datalek.1 Een dergelijk advies kan worden ingegeven door: (i) de wettelijke meldplicht op grond van art. 34 AVG; (ii) de beveiligingsplicht op grond van art. 32 AVG; (iii) de meer algemene informatie- of waarschuwingsplicht bij gevaarzettingssituaties.
De meldplicht op grond van art. 34 lid 1 AVG ontstaat als er een (niet uit te sluiten) datalek is dat ‘waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden’ van de betrokkene. In dit geval is de verwerkingsverantwoordelijke verplicht het datalek ‘onverwijld’ te melden aan de betrokkene. Deze melding vereist dat de verwerkingsverantwoordelijke maatregelen voorstelt of neemt om de onrechtmatige verwerking aan te pakken of, indien dat mogelijk is, maatregelen voorstelt of neemt om de eventuele nadelige gevolgen van de onrechtmatige verwerking te beperken (art. 34 lid 2 en art. 33 lid 3 sub d AVG). Een maatregel die de verwerkingsverantwoordelijke bijvoorbeeld kan treffen, is het geven van advies aan de betrokkene over schadebeperkende maatregelen die de betrokkene zelf kan nemen.
Een informatieplicht voor de verwerkingsverantwoordelijke kan ook voortvloeien uit art. 32 AVG. Dit artikel verplicht de verwerkingsverantwoordelijke om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen tegen bijvoorbeeld verlies of onbevoegde kennisname. Een organisatorische maatregel kan bijvoorbeeld inhouden dat de verwerkingsverantwoordelijke, gelet op de risico’s van de gegevensverwerking, de betrokkene proactief moet informeren over de specifieke risico’s die gepaard gaan met de verwerking van zijn persoonsgegevens en moet adviseren over de wijzen waarop deze risico’s kunnen worden verkleind. Een dergelijke verplichting kan ook worden gebaseerd op een algemene waarschuwingsplicht bij gevaarzettingssituaties op grond van het ongeschreven recht.2
Het waarschuwen van de betrokkene of het adviseren over te nemen schadevoorkomende of schadebeperkende maatregelen door de aansprakelijke verwerkingsverantwoordelijke leidt niet direct tot eigen schuld, indien de betrokkene de geadviseerde maatregel niet opvolgt en als gevolg daarvan schade ontstaat. Er is pas sprake van eigen schuld als de verwerkingsverantwoordelijke de betrokkene dusdanig informeerde of waarschuwde, dat de betrokkene moest begrijpen dat hij anders kon en had moeten handelen. De gemiddelde betrokkene3 is echter ondeskundig4 en ongeïnformeerd,5 terwijl het doorgronden van en het adequaat reageren op een waarschuwing of melding een bepaald niveau van kennis, alertheid en zelfcontrole vereist.6 Daarnaast kan de betrokkene de gevolgen van de gegevensverwerking over het algemeen moeilijk overzien.7 Hij heeft aanzienlijk minder kennis over de (voorzienbare risico’s van de) gegevensverwerking dan de verwerkingsverantwoordelijke.8 Doordat de verwerkingsverantwoordelijke de gegevensverwerking initieert en faciliteert, is de betrokkene afhankelijk van de informatie die de verwerkingsverantwoordelijke hem verschaft.
Voordat het gedrag van de betrokkene (het niet opvolgen van een geadviseerde maatregel) kwalificeert als onzorgvuldig en dus aan hem is toe te rekenen in de zin van art. 6:101 lid 1 BW, is het niet alleen vereist dat een verwerkingsverantwoordelijke de betrokkene tijdig heeft geïnformeerd, gewaarschuwd of heeft geadviseerd. Daarnaast is nodig dat het voor de betrokkene op basis van de verstrekte informatie duidelijk is dat hij moet handelen en hoe hij moet handelen. De kwaliteit van de waarschuwing of het advies is daarom richtinggevend voor het antwoord op de vraag of de betrokkene onzorgvuldig handelde. Is het advies over de risico’s en de te nemen maatregelen ‘duidelijk en in niet mis te verstane bewoordingen’, dan is het gedrag van een betrokkene eerder onzorgvuldig dan wanneer een advies van de verwerkingsverantwoordelijke ontbrak of wanneer een advies onvolledig, niet-concreet of onduidelijk was.9
De vraag rijst wanneer een waarschuwing of advies zo duidelijk is dat het niet opvolgen daarvan onzorgvuldig is. De AVG biedt voor het antwoord op deze vraag weinig aanknopingspunten. Zij vergt slechts dat de melding aan de betrokkene ‘in duidelijke en eenvoudige taal’ is,10 en dat de melding ten minste bevat ‘de waarschijnlijke gevolgen’ van het beveiligingsincident11 en ‘de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.’12
Ik doe daarom een suggestie voor gezichtspunten. Voor de beoordeling of de betrokkene onzorgvuldig handelde, omdat hij het advies van de verwerkingsverantwoordelijke niet opvolgde (en daardoor schade ontstond of werd vergroot), stel ik voor dat de rechter onderzoekt of de betrokkene, aan de hand van de ontvangen melding en het advies van de verwerkingsverantwoordelijke, moest begrijpen: (i) dat er een concreet risico voor hem bestond; (ii) dat zijn specifieke handelen noodzakelijk was om dat risico te beperken en dat het risico zou blijven bestaan als hij het advies niet opvolgde; (iii) wat de geadviseerde maatregel inhield en hoe hij deze kon nemen. Ook moet de rechter onderzoeken (iv) of de geadviseerde maatregel praktisch uitvoerbaar is voor de betrokkene. Daarnaast kan een rechter in oogschouw nemen: (v) of de betrokkene een redelijke termijn is gegeven om de maatregel op te volgen; (vi) op welk tijdstip de waarschuwing is gegeven (vóór of na het incident); (vii) of er een herhaalde waarschuwing is gegeven; (viii) of het gaat om een algemene of een aan de persoon gerichte waarschuwing.13
Indien het bovenstaande tot de conclusie leidt dat de betrokkene onzorgvuldig handelde, en zijn gedrag mede bijdroeg aan de schade, is de eigen schuld gevestigd. Evenwel leidt de vestiging van eigen schuld niet automatisch tot een andere verdeling van de schade. De rechter kan immers tijdens de verdelingsfase van art. 6:101 lid 1 BW tot de conclusie komen dat er toch geen andere verdeling van de schade moet plaatsvinden en dat de vergoedingsplicht (ondanks de aanwezigheid van eigen schuld) in zijn geheel in stand blijft, omdat de billijkheid dit wegens de uiteenlopende ernst van de gemaakte fouten of andere omstandigheden van het geval eist. Dit speelt bijvoorbeeld als zowel de betrokkene als de verwerkingsverantwoordelijke het in de hand hadden om de schade te voorkomen of te beperken. Als dit het geval is, moet de rechter aan de hand van de omstandigheden van het geval beoordelen in hoeverre het aan de betrokkene is toe te rekenen dat hij zijn schade niet heeft voorkomen of heeft beperkt. Bij die beoordeling moet in aanmerking worden genomen dat de benadeelde door een fout van de verwerkingsverantwoordelijke in de situatie is beland die tot schadebeperking noodzaakt.14 Dit leidt tot het uitgangspunt dat, als beide partijen de mogelijkheid hebben om de schade beperken of te voorkomen, het in principe aan de verwerkingsverantwoordelijke is om het initiatief tot schadebeperking te nemen. Doet de verwerkingsverantwoordelijke dit niet, dan ligt het niet voor de hand dat er een andere verdeling van de schade plaatsvindt of dat de vergoedingsplicht in zijn geheel vervalt, ondanks dat ook de betrokkene zijn eigen schade had kunnen voorkomen of beperken.
Stel dat een verwerkingsverantwoordelijke de betrokkene informeert over een datalek waarbij een kwaadwillende mogelijk wachtwoorden heeft ingezien. De verwerkingsverantwoordelijke adviseert de betrokkene met klem om zijn wachtwoord te wijzigen. De betrokkene wijzigt zijn wachtwoord desondanks niet. Vervolgens wordt met het gestolen wachtwoord op het account van de betrokkene ingelogd door criminelen. Hierdoor ontstaat schade. Ervan uitgaande dat de betrokkene op grond van de melding moest begrijpen wat voor hem de concrete risico’s waren en dat hij moest begrijpen dat zijn handelen noodzakelijk was om schade te voorkomen of te beperken, kan dit stilzitten van de betrokkene kwalificeren als een toerekenbare omstandigheid. Een dergelijk geval kan echter niet leiden tot een andere verdeling van de schade, omdat het wijzigen van een wachtwoord niet iets is dat uitsluitend de betrokkene kan doen. Het is namelijk technisch mogelijk voor een verwerkingsverantwoordelijke om een account te blokkeren zolang de betrokkene geen nieuw wachtwoord instelt. De verwerkingsverantwoordelijke kan de betrokkene een e-mail sturen met een link naar de webpagina waar de betrokkene een nieuw wachtwoord kan instellen en waarmee hij zijn account deblokkeert.15
Een andere verdeling van de schade ligt meer voor de hand als het gaat om een geadviseerde maatregel of handeling die, althans in verhouding tot de verwerkingsverantwoordelijke, uitsluitend de betrokkene kan nemen.
Een eerste voorbeeld is het geval waarin de verwerkingsverantwoordelijke de betrokkene na een datalek adviseert om ook zijn wachtwoorden te wijzigen bij andere organisaties. De kans is immers aanwezig dat de betrokkene één wachtwoord gebruikt voor verschillende accounts, en dat zijn gestolen wachtwoord ook wordt misbruikt bij accounts van andere organisaties.16 Overigens kan de aansprakelijke verwerkingsverantwoordelijke betogen dat het gebruiken van eenzelfde wachtwoord voor verschillende accounts ook onvoorzichtig is zonder waarschuwing van hem. Dit betekent echter niet dat er sprake is van een toerekenbare omstandigheid in de zin van art. 6:101 BW. Zonder waarschuwing door de verwerkingsverantwoordelijke is het risico voor de betrokkene namelijk nog niet concreet.
Een tweede voorbeeld is de volgende casus. Na een datalek adviseert verzekeraar Top Verzekerd de betrokkene uitdrukkelijk om: (i) waakzaam te zijn voor verdachte e-mails; (ii) absoluut geen bijlagen met onbekende inhoud te openen aangezien deze kwaadaardige software kunnen bevatten; (iii) het e-mailadres van de afzender te controleren. Op basis van de gestolen gegevens verzendt een cybercrimineel vanaf info@topverkezerd.nl een persoonlijk gerichte e-mail aan de betrokkene, met bijgevoegd een geïnfecteerd pdf-bestand. De betrokkene opent het bestand, waardoor er vervolgens automatisch ransomware17 op zijn computer wordt geïnstalleerd. Dit zorgt ervoor dat de betrokkene geen toegang meer heeft tot zijn computer en alle daarop opgeslagen bestanden. De computer wordt weer ontgrendeld als de betrokkene 0,5 Bitcoin overmaakt naar de crimineel. De betrokkene betaalt, en wil een schadevergoeding van de verwerkingsverantwoordelijke voor de geleden schade.
In de laatste twee voorbeelden is het verdedigbaar dat de betrokkene onzorgvuldig handelde. De verwerkingsverantwoordelijke waarschuwde immers voldoende voor de concrete risico’s en adviseerde de betrokkene om specifiek te handelen of om bepaald handelen achterwege te laten, om zodoende het risico op misbruik te beperken. De betrokkene moest begrijpen dat hij anders had moeten handelen. Daarnaast gaat het in beide voorbeelden om een situatie waarin het uitsluitend de betrokkene was die ‘iets’ kon doen om de schade te beperken of te voorkomen.