Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/4.4.3
4.4.3 Een onzorgvuldig handelen van de betrokkene (zonder dat er sprake is van een advies van de verwerkingsverantwoordelijke)
mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.F. Walree
- JCDI
JCDI:ADS267439:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
Vergelijk HR 26 september 2003, ECLI:NL:PHR:2003:AI0830, NJ 2003/660 (Waterschap Zeeuwse eilanden/Royal Nederland Verzekeringen), r.o. 3.7; K.J.O. Jansen 2010, p. 623.
Dit voorbeeld is deels ontleend aan Rb. Noord-Holland (ktr.) 28 december 2016, ECLI:NL:RBNHO:2016:10635 (X/Van Hees), r.o. 5.2.
Daarnaast is het mogelijk dat de verwerkingsverantwoordelijke en de betrokkene dezelfde gevoelige gegevens lekten. In dit geval kan het leerstuk van ‘proportionele aansprakelijkheid’ worden toegepast. Zie hierover Walree 2017, p. 924 (hoofdstuk 1, paragraaf 2).
In de literatuur wordt dit fenomeen aangeduid als het ‘problem of aggregation’ of het ‘aggregation effect’. Zie Solove 2013, p. 1889-1890; Purtova 2011, p. 46, 118; Solove & Keats Citron 2018, p. 775-776.
Article 29 Data Protection Working Party 2018, p. 24.
Hof ‘s-Gravenhage 16 februari 2007, ECLI:GHSGR:2007:BA1567 (Kluwer/X), r.o. 4.7. Vergelijk Rb. Rotterdam 19 september 2018, ECLI:NL:RBROT:2018:8292 (X/Quion 50 B.V.), r.o. 7.6; HR 14 december 2018, ECLI:NL:HR:2018:2298 (Hyperinvest/X); Ruesen 2017, p. 67-72; Thiems 2011, p. 311-319; Van de Sande 2019, p. 385-388.
Rb. Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700 (X/Advocatenkantoor).
Rb. Amsterdam 22 november 2006, ECLI:NL:RBAMS:2006:AZ2849 (X/Talpa), r.o. 5.4. Vergelijk Rb. Amsterdam 17 april 2008, ECLI:NL:RBAMS:2008:BC9778 (Fitna), r.o. 4.9.
Rb. Midden-Nederland 8 april 2015, ECLI:NL:RBMNE:2015:2329 (X/Gemeente Amersfoort), r.o. 4.9.
Voor een definitie van phishing, zie bijvoorbeeld Van Esch 2015, p. 129.
De betrokkene kan bijvoorbeeld worden benaderd door criminelen op het moment dat de verwerkingsverantwoordelijke nog niet op de hoogte is van het datalek, of voordat de verwerkingsverantwoordelijke de kans had om het datalek aan de betrokkene te melden. Daarnaast kan het voorkomen dat de betrokkene niet hoeft te worden gewaarschuwd. Dit kan bijvoorbeeld het geval zijn omdat de verwerkingsverantwoordelijke tijdens de risicoanalyse van het datalek gerechtvaardigd inschatte dat het onwaarschijnlijk was dat de risico’s zich zouden verwezenlijken, en dat hij het datalek daarom niet hoefde te melden aan de betrokkene op grond van art. 34 AVG.
Vergelijk Rb. Amsterdam 9 mei 2018, ECLI:NL:RBAMS:2018:2984 (X/ABN Amro), r.o. 4.8.
Van Esch 2015, p. 130. Vergelijk over de algemene bekendheid van het risico van skimming: Rb. ’s-Hertogenbosch (ktr.) 24 februari 2011, ECLI:NL:RBSHE:2011:BP5939, r.o. 8. Zie uitvoerig over algemeen bekende risico’s: K.J.O. Jansen 2012, p. 420-425.
Rb. Rotterdam 5 november 2015, ECLI:NL:RBROT:2015:9378 (X/Rabobank), r.o. 5.4. Zie ook Van der Meulen 2012, p. 10.
Een waarschuwing of advies van de verwerkingsverantwoordelijke aan de betrokkene is niet altijd noodzakelijk voor het aannemen van onzorgvuldig gedrag. Ook zonder een waarschuwing of advies kan de betrokkene onzorgvuldig handelen. Dit kan het geval zijn als het risico ook voor de niet-oplettende betrokkene aanstonds duidelijk had moeten zijn en hij moest begrijpen dat hij onder de gegeven omstandigheden anders had moeten handelen.1 Er zijn verschillende situaties denkbaar waarin de betrokkene ook zonder een advies of waarschuwing onzorgvuldig kan handelen, en daarmee bijdraagt aan het ontstaan of het vergroten van de schade. Dit betreft onder meer de situatie waarin de betrokkene: (i) gevoelige persoonsgegevens deelt; (ii) opzettelijk onjuiste persoonsgegevens verstrekt; (iii) bewust bijdraagt aan het openbaar worden van zijn persoonsgegevens of zelf de publiciteit opzoekt; (iv) ingaat op een kennelijk frauduleus verzoek.
i. De betrokkene deelt gevoelige persoonsgegevens
Allereerst kan de gevoelige aard van persoonsgegevens met zich brengen dat de betrokkene had moeten begrijpen dat hij anders had moeten handelen. Een voorbeeld is het geval waarin de betrokkene een foto van zijn net behaalde rijbewijs deelt op sociale media. Een kwaadwillende maakt een kopie van deze foto en verkoopt deze via het dark web. Vervolgens misbruikt een onbekende persoon de kopie om in dienst te kunnen treden bij de verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke verifieert echter niet of deze persoon daadwerkelijk de persoon is op de kopie van het rijbewijs, en neemt de gegevens van de betrokkene klakkeloos over voor de loonadministratie. Dientengevolge ontvangt de betrokkene ten onrechte vorderingen tot terugbetaling van toeslagen. De betrokkene spreekt de verwerkingsverantwoordelijke aan voor de schade omdat hij de identiteitsgegevens niet adequaat controleerde, en daarom in strijd handelde met de zorgvuldigheid die van hem als werkgever in het maatschappelijk verkeer mag worden verwacht.2 De verwerkingsverantwoordelijke verweert zich met een beroep op eigen schuld, omdat de betrokkene door het online zetten van zijn rijbewijs bijdroeg aan het ontstaan van de schade. In een dergelijk geval is eigen schuld niet ondenkbaar. De betrokkene had moeten begrijpen dat het delen van gegevens met een dergelijk gevoelige aard een hoog risico op schade met zich brengt. De betrokkene had met die wetenschap anders moeten handelen, en had die gegevens niet moeten delen via sociale media.
Niet valt uit te sluiten dat een kwaadwillende niet-gevoelige gegevens combineert die afkomstig zijn van zowel de verwerkingsverantwoordelijke als van de betrokkene.3 Door die combinatie kunnen nieuwe (gevoelige) persoonsgegevens ontstaan of kunnen anonieme gegevens herleidbaar worden, waardoor schade kan ontstaan bij de betrokkene.4 In een dergelijk scenario is het onredelijk om de betrokkene onzorgvuldig gedrag te verwijten. De betrokkene kan immers niet voorzien dat het (online) delen van niet-gevoelige informatie, die op zichzelf geen schade veroorzaakt, kan worden gecombineerd met andere informatie die bijvoorbeeld afkomstig is van een ‘lekkende’ verwerkingsverantwoordelijke. Het aantal combinaties van gegevens en de mogelijke uitkomsten daarvan zijn bovendien gigantisch, waarop de betrokkene onmogelijk kan anticiperen. Het gedrag van de betrokkene is pas onzorgvuldig als het voor hem aanstonds duidelijk was dat er aanzienlijke kans bestond dat de specifieke gegevens, die hij in de openbaarheid deelde, konden worden gecombineerd met andere persoonsgegevens van hem, en dat er zodoende schade zou kunnen ontstaan. Hij had dus moeten begrijpen dat hij anders had moeten handelen. Een betrokkene kan nadelige gevolgen alleen voorzien bij het eigenhandig (online) verspreiden van gevoelige gegevens, zoals bijzondere persoonsgegevens (art. 9 AVG) of financiële persoonsgegevens, waarvan duidelijk is dat het verspreiden daarvan opzichzelfstaand al een hoog risico met zich brengt.5
ii. De betrokkene verstrekt opzettelijk onjuiste persoonsgegevens
Ook kan er sprake zijn van onzorgvuldig gedrag als de betrokkene opzettelijk onjuiste gegevens aan de verwerkingsverantwoordelijke verstrekt.6 Een voorbeeld waarin dit mogelijk kan leiden tot eigen schuld is de volgende situatie. De verwerkingsverantwoordelijke maakt, buiten de doeleinden van de oorspronkelijke verwerking, een profiel op van de betrokkene. Dit doet de verwerkingsverantwoordelijke op basis van onjuiste gegevens die de betrokkene opzettelijk aan hem verstrekte ten behoeve van de oorspronkelijke, rechtmatige gegevensverwerking. Door het ‘onverenigbare’ gebruik van de persoonsgegevens schendt de verwerkingsverantwoordelijke het principe van doelbinding (art. 5 lid 1 sub b AVG). Stel dat een betrokkene opzettelijk onjuiste persoonsgegevens verstrekte over zijn vermogenstoestand, bijvoorbeeld over het feit dat hij zogenaamd in de schuldsanering zit. Op basis van dat profiel doet de verwerkingsverantwoordelijke de betrokkene een schriftelijk aanbod tot rechtsbijstand. Dit kan leiden tot immateriële schade, omdat de betrokkene schrikt of geëmotioneerd is door de brief met het aanbod tot rechtsbijstand.7 Mogelijk kan de verwerkingsverantwoordelijke dan een beroep doen op eigen schuld van de betrokkene, omdat hij de gegevens van de betrokkene verwerkte en hem vervolgens benaderde op basis van de door de betrokkene opzettelijk onjuist verstrekte persoonsgegevens.
iii. De betrokkene draagt bewust bij aan het openbaar worden van zijn persoonsgegevens of zoekt zelf de publiciteit op
In de rechtspraak omtrent onrechtmatige perspublicaties komt het voor dat de rechter oordeelt dat er sprake is van eigen schuld, omdat de onrechtmatige en schadeveroorzakende publicatie (mede) het gevolg is van het feit dat de benadeelde zelf de publiciteit opzocht of het gevolg is van informatie die de benadeelde zelf bewust in de openbaarheid bracht.8 Zo oordeelde de rechter bijvoorbeeld dat een zedendelinquent, in het geval dat de gemeente onrechtmatig handelde door het bekendmaken van zijn woonlocatie, eigen schuld had, omdat hij ‘de eerste stap heeft gezet in het mogelijk openbaar worden van zijn woonlocatie door contact te zoeken met een journalist en op zijn weblog informatie over zijn woonsituatie te publiceren’.9 Dat kan dus betekenen dat een rechter sneller tot het oordeel komt dat een betrokkene eigen schuld heeft bij de onrechtmatige verspreiding van zijn persoonsgegevens, indien de betrokkene zelf bijdroeg aan het openbaar worden van zijn persoonsgegevens of zelf de publiciteit opzocht.
iv. De betrokkene gaat in op een kennelijk frauduleus verzoek
Het ingaan op een frauduleus verzoek door de betrokkene kan ook kwalificeren als onzorgvuldig gedrag. Een gevolg van een datalek kan zijn dat een crimineel met behulp van de buitgemaakte persoonsgegevens de betrokkene benadert met een frauduleus verzoek, bijvoorbeeld door middel van phishing.10 Het kan voorkomen dat een betrokkene op het moment dat hij een dergelijk frauduleus verzoek ontvangt (nog) niet door de verwerkingsverantwoordelijke op de hoogte is gebracht van het datalek.11 Dat een betrokkene niet op de hoogte is gebracht over een datalek met zijn persoonsgegevens, neemt niet weg dat hij alsnog onzorgvuldig kan handelen door in te gaan op een frauduleus verzoek.
Een betrokkene handelt ten eerste onzorgvuldig als het voor hem aanstonds duidelijk was dat het om een frauduleus verzoek ging. Een verzoek kan bijvoorbeeld door de aanhef, opmaak, stijl, het taalgebruik of afzenderadres12 evident frauduleus zijn. Hierdoor had zelfs de niet-oplettende betrokkene moeten begrijpen dat hij te maken had met een frauduleus verzoek.
Stel dat een bank zijn beveiliging niet op orde heeft. Hierdoor hebben criminelen toegang tot de NAW-gegevens, het klantnummer en e-mailadres van de betrokkene. De criminelen gebruiken die gegevens om de betrokkene te benaderen via een phishing-mail, waarbij de criminelen zich voordoen als de bank. In de e-mail wordt de betrokkene ten behoeve van ‘de actualisering van de klantgegevens’ door de ‘bank’ gevraagd om op een link te klikken. Op de pagina die opent, wordt de betrokkene gevraagd zijn inloggegevens voor internetbankieren in te vullen. De e-mail is niet persoonlijk geadresseerd aan de betrokkene, maar aan ‘beste relatie’. De e-mail bevat diverse grammatica-, spel- en stijlfouten. Ook het afzenderadres komt niet overeen met de naam van de bank. De betrokkene vult desondanks zijn gegevens in, waaronder zijn inloggegevens. Met behulp van deze gegevens plunderen criminelen de rekening van de betrokkene.
Ten aanzien van dit specifieke geval is het verdedigbaar dat de betrokkene een dergelijk risico ook zonder waarschuwing moest herkennen. Het risico is moeilijker te herkennen indien de betrokkene in de e-mail ook wordt aangesproken met zijn naam en klantnummer. Het gedrag van de betrokkene kan dan alsnog onzorgvuldig zijn, omdat de risico’s die zijn verbonden aan het afgeven van inloggegevens algemeen bekend is.13 Het risico van het afgeven van inloggegevens kan bijvoorbeeld voor de betrokkene duidelijk zijn geweest door diverse mediacampagnes waar voor dit specifieke risico is gewaarschuwd.14