Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens
Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/4.4.4:4.4.4 De betrokkene nam geen anticiperende maatregelen
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/4.4.4
4.4.4 De betrokkene nam geen anticiperende maatregelen
Documentgegevens:
mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.F. Walree
- JCDI
JCDI:ADS267413:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Toon alle voetnoten
Voetnoten
Voetnoten
Keirse 2003, p. 43, p. 187; Asser/Sieburgh 6-II 2017/125.
Rb. Utrecht 12 augustus 2009, ECLI:NL:RBUTR:2009:BJ5273 (X/Agis), r.o. 4.6.
Baas & Van Rest 2012, p. 267.
Zie bijvoorbeeld de 10 vuistregels voor veilig internetten Nationaal Cyber Security Centrum 2013.
Het updaten van software is belangrijk, omdat het anders niet alle dreigingen herkent.
Deze functie is alleen te gebruiken als je bent ingelogd.
Een derde categorie van mogelijk onzorgvuldig gedrag betreft situaties waarin de betrokkene anticiperende maatregelen kon en had moeten treffen om zich te beschermen tegen schade, maar dit niet deed. De schadebeperkingsplicht kan namelijk met zich brengen dat een benadeelde vooraf anticiperende maatregelen had moeten treffen om schade te voorkomen of te beperken, zoals het dragen van een helm of veiligheidsgordel, zonder dat de aangesprokene waarschuwde voor potentieel gevaar.1
Over het algemeen hoeft een betrokkene niet te anticiperen op een onrechtmatige verwerking van zijn persoonsgegevens. Een vrouw die onderdook met haar kinderen hoefde bijvoorbeeld niet te voorzien dat haar zorgverzekeraar geheime adresgegevens van haar kinderen zou prijsgeven aan haar ex-echtgenoot, en hoefde niet zelf om geheimhouding van de persoonsgegevens te vragen.2 De betrokkene mag zonder enige informatie van de verwerkingsverantwoordelijke aannemen dat zijn persoonsgegevens zorgvuldig worden verwerkt.3
Het uitgangspunt dat de betrokkene over het algemeen niet hoeft te anticiperen op een fout van de verwerkingsverantwoordelijke, gaat echter niet zover dat hij zich op geen enkele wijze hoeft te beschermen tegen nadelige gevolgen. Van de betrokkene kan worden verwacht dat hij beschikt over basale beveiligingsmaatregelen. Hij kan zich bijvoorbeeld beschermen door alleen verbinding te maken met vertrouwde netwerken of door het adres van websites te controleren.4 Ook valt te denken aan het gebruik van beschermende software op een computer, zoals een firewall en antivirusprogramma’s. Hij dient deze software en zijn browsers bovendien te updaten.5 Dergelijke maatregelen kunnen bijvoorbeeld voorkomen dat een crimineel ransomware kan installeren als de betrokkene klikt op een link of een geïnfecteerd bestand opent in een moeilijk te herkennen phishing-mail, bijvoorbeeld omdat de e-mail persoonlijk aan de betrokkene is gericht door het gebruik van naam en klantnummer, die is opgesteld met behulp van bij de verwerkingsverantwoordelijke buitgemaakte persoonsgegevens. Het geheel ontbreken van basale beveiligingsmaatregelen bij de betrokkene leidt niet automatisch tot de conclusie dat er sprake is van een aan de betrokkene toerekenbare omstandigheid, maar kan wel een belangrijke factor zijn bij de beoordeling of hier sprake van is.
Het zal overigens niet snel voorkomen dat er geen beschermende software door een betrokkene wordt gebruikt of dat software niet up-to-date is. Beschermende software is tegenwoordig standaard geïnstalleerd op de meeste apparaten. Ook update een antivirusprogramma of browser zich meestal vanzelf, tenzij de betrokkene automatische updates handmatig uitzet. Buiten het geval dat een betrokkene deze basale beveiligingsmaatregelen niet neemt, of deze zelfs actief verhindert, zal er daarom niet snel sprake zijn van eigen schuld door het ontbreken van anticiperende beveiligingsmaatregelen.