Een datalek kan in een klein hoekje zitten: schadevergoeding van € 250 wegens het rondsturen van een Excelbestand
Blog
Het vorderen van schadevergoeding wegens een inbreuk op de Algemene Verordening Gegevensbescherming (AVG) staat in Nederland (nog) redelijk in de kinderschoenen. Toch heeft recent de rechtbank Rotterdam op grond van de AVG een schadevergoeding toegekend van € 250 wegens het onrechtmatig rondsturen van een Excelbestand met zeer gevoelige persoonsgegevens. In deze blog zal de recente uitspraak van de kantonrechter worden besproken.
Help, een Excelbestand is verstuurd naar de hele mailinglijst!
In april 2021 heeft een groot bouwbedrijf een e-mail verstuurd naar 1100 personen die zich hadden ingeschreven voor een nieuwbouwproject. Bij deze e-mail was een onbeveiligd Excelbestand gevoegd met daarin zeer gevoelige persoonsgegevens van de ingeschrevenen en diens eventuele partner. Het ging hierbij onder meer om: voor- en achternaam, adresgegevens, e-mailadres, maximaal te lenen bedrag, in te brengen eigen middelen en jaarinkomen.
Een minuut na het versturen van het Excelbestand heeft het bouwbedrijf geprobeerd het verzonden e-mailbericht in te trekken, maar dit tevergeefs. Het bouwbedrijf heeft diezelfde avond nog naar alle 1100 ontvangers een e-mail gestuurd met daarin de vraag de genoemde e-mail met bijlage direct te verwijderen. Daarmee kon echter niet worden voorkomen dat zich een datalek had voorgedaan en dat daarvan een melding moest worden gemaakt bij de Autoriteit Persoonsgegevens (AP).
Vervolgens heeft een van de gedupeerden een vergoeding gevorderd van de immateriële schade. Zij zou zich namelijk onveilig voelen door het incident, onder meer omdat er kort na het voorval foto’s zouden zijn gemaakt van haar appartement. Ook ontvangt de gedupeerde telefonisch en per e-mail spamberichten.
Is hier sprake van een inbreuk op de AVG?
Het verspreiden van persoonsgegevens via een onbeveiligd Excelbestand is een verwerking in de zin van de AVG. Een verwerking is alleen rechtmatig wanneer sprake is van een zogenoemde verwerkingsgrondslag, zoals toestemming van de betrokkene. Deze grondslag was hier niet aanwezig en dus heeft het bouwbedrijf de persoonsgegevens onrechtmatig verwerkt. Daarmee is sprake van een inbreuk op de AVG. In de praktijk wordt dit ook wel een ‘datalek’ genoemd.
Artikel 82 AVG bepaalt dat eenieder die materiële of immateriële schade heeft geleden als gevolg van een inbreuk op de AVG, het recht heeft op een schadevergoeding. Het begrip ‘schade’ moet ruim worden uitgelegd in het licht van de Europese rechtspraak. Hierbij kan worden gedacht aan: verlies van controle over persoonsgegevens, reputatieschade of identiteitsfraude. Bovendien dient het schadebegrip eenduidig uitgelegd te worden binnen de Europese Unie om zo een doeltreffende naleving van de AVG te kunnen waarborgen. De vraag is nu of ook sprake is van immateriële schade in betreffende zaak.
Volgens de kantonrechter kunnen de gevolgen van het onrechtmatig verspreiden van het Excelbestand wel degelijk schade opleveren. Dat deze schade op zichzelf niet direct gesubstantieerd kan worden, vormt geen belemmering. De gedupeerde is immers de controle kwijtgeraakt over haar persoonsgegevens doordat het bouwbedrijf de persoonsgegevens heeft doorgestuurd naar een aanzienlijke groep personen. Bovendien is niet te achterhalen waar de gegevens nu circuleren. In het kader van een doeltreffende naleving van de AVG komt de kantonrechter dan ook tot het oordeel dat het voorgaande moet worden aangemerkt als schade.
Wat is de omvang van de immateriële schade?
Wat betreft de omvang van de schade stelt de kantonrechter enerzijds dat het gaat om een grote hoeveelheid persoonsgegevens, die ook gevoelige financiële gegevens bevatten. De omvang en de combinatie van de gelekte persoonsgegevens brengen risico’s met zich mee voor de gedupeerde. De aard en ernst van de onrechtmatige verwerking is dan ook van invloed op de toewijsbare vergoeding.
Anderzijds houdt de kantonrechter ook rekening met het feit dat de persoonsgegevens slechts zijn verstrekt aan een in omvang beperkte groep van ongeveer 1100 personen. Bovendien erkent de kantonrechter dat het hier gaat om een menselijke fout en dat het bouwbedrijf direct schadebeperkend heeft gehandeld door alle ingeschrevenen te e-mailen en de inbreuk te melden bij de AP. Ook is volgens de kantonrechter van belang dat het hier niet gaat om bijzondere persoonsgegevens, zoals medische gegevens. De financiële gegevens vallen immers niet onder de categorie bijzondere persoonsgegevens.
Gezien het voorgaande wijst de kantonrechter een schadevergoeding van € 250 toe. De verklaring voor recht dat het bouwbedrijf onrechtmatig heeft gehandeld ten opzichte van de gedupeerde wordt daarentegen afgewezen. In beginsel was de gevorderde verklaring voor recht toewijsbaar. De gedupeerde heeft echter onvoldoende onderbouwd waar haar belang bij die verklaring in is gelegen. Nu beide partijen voor een gedeelte in het ongelijk zijn gesteld, dienen partijen de eigen proceskosten te dragen.
Lessons learned?
Dat een datalek in een klein hoekje kan zitten is gebleken. Dat het gevolg het betalen van een schadevergoeding kan zijn, wordt maar weer eens bevestigd in deze recente uitspraak. Het feit dat zeer gevoelige gegevens over het inkomen en eigen vermogen zijn gedeeld, was voor de kantonrechter geen aanleiding tot het toekennen van een hoge(re) schadevergoeding onder de AVG. Prettig is het echter niet wanneer uw eventueel toekomstige buren over deze gevoelige gegevens beschikken of als deze gegevens op het dark web circuleren. Lessons learned: altijd controleren of er mogelijk (Excel)bestanden met persoonsgegevens onrechtmatig worden gedeeld.
Overigens neemt deze uitspraak niet weg dat het bouwbedrijf nog onderworpen kan worden aan een onderzoek van de AP, met eventueel een boete als gevolg.
Keywords
Auteur(s)
Advocaat privacy en ICT bij Holla legal & tax