De kantonrechter van de rechtbank Gelderland heeft een student van de HAN een schadevergoeding toegekend van € 300 voor een AVG-inbreuk. Door inadequate beveiliging bij de HAN konden hackers zijn gegevens bemachtigen. De kantonrechter oordeelt dat de student schade geeft geleden en dat de HAN daarvoor aansprakelijk is.
Een juiste uitkomst, maar de motivering roept vragen op.
Feiten
De eiser, een HAN-alumnus, voltooide zijn opleiding in 2021 met studievertraging door persoonlijke omstandigheden. In september 2022 werd de hogeschool gehackt via een SQL-injectie in een verouderd webformulier, waardoor persoonsgegevens werden buitgemaakt. De eiser werd geïnformeerd dat zijn gegevens mogelijk waren gelekt, inclusief de reden van zijn studievertraging.
Inbreuk op de AVG
De kantonrechter stelt vast dat sprake was van een AVG-inbreuk.
De student had daartoe aangevoerd dat de hogeschool geen passende beveiligingsmaatregelen had getroffen.
- Ten eerste waren de gegevens van de student niet gepseudonimiseerd of versleuteld. Dit had niet voorkomen dat zijn gegevens werden buitgemaakt, maar wel dat de gegevens door de hacker (op eenvoudige wijze) gelezen konden worden.
- Ten tweede was sprake van een “verouderd” webformulier, hoewel uit het vonnis niet blijkt in hoeverre dit heeft bijgedragen aan de kwetsbaarheid.
- Ten derde had de hack plaatsgevonden door middel van een SQL-injectie, hetgeen een veelvoorkomende hacktechniek is waartegen de hogeschool bestand had moeten zijn.
In reactie hierop had de hogeschool volstaan met een verwijzing naar algemene beveiligingsmaatregelen. Zij heeft niet concreet gemaakt wat zij ten tijde van het datalek aan veiligheidsmaatregelen had getroffen op het webformulier of de achterliggende server. Daarmee heeft de hogeschool de inbreuk onvoldoende betwist.
Schade
Vervolgens beoordeelt de kantonrechter of sprake is van vergoedbare immateriële schade. Zij overweegt als volgt:
- Er bestaat recht op vergoeding indien immateriële schade het gevolg is van een inbreuk op de AVG (causaal verband);
- Het begrip “schade” moet ruim worden uitgelegd (overweging 46 AVG);
- Niet elke inbreuk resulteert in een recht op schadevergoeding, maar er is geen minimumdrempel van ernst (zie het arrest Österreichische Post: HvJ EU 4 mei 2023, ECLI:EU:C:2023:370);
- Immateriële schade wordt alleen vergoed indien voldoende wordt onderbouwd dat de benadeelde in zijn persoon is aangetast (art. 6:106 aanhef en onder b BW);
- Sommige normschendingen zijn echter zo ernstig, dat een aantasting in de persoon kan worden aangenomen (zie het EBI-arrest: HR 15 maart 2019, ECLI:NL:HR:2019:376).
Gewone persoonsgegevens
Het lekken van de algemene persoonsgegevens van de student (naam, adres, woonplaats, e-mail, telefoonnummer), hebben volgens de rechter niet tot schade heeft geleid. Deze gegevens zouden ook bij andere datalekken buit zijn gemaakt, ofwel de student had ze zelf al op internet openbaar gemaakt. Dat de student sinds het datalek meer spam ontvangt, had hij onvoldoende onderbouwt.
Deze motivering van de kantonrechter overtuigt niet.
Ten eerste is een hack door een cybercrimineel iets anders dan zelf je naam en e-mailadres op sociale media delen. Ook in het laatste geval had een kwaadwillende persoon deze gegevens kunnen vinden en misbruiken, maar de kans is aanzienlijk kleiner en de angst dat dit zal gebeuren dus eveneens. Bij een hack zijn gegevens in handen van een crimineel beland; dat levert spanning en stress op, dat zal iedereen beamen. Bovendien bestaat daardoor per definitie een verhoogde kwetsbaarheid dat je slachtoffer wordt van cybercrime. Die enkele verhoogde kwetsbaarheid zou gekenmerkt moeten worden als een nadeel dat voor vergoeding in aanmerking komt. Er wordt je door de hack als het ware een bescherming ontnomen die je eerst wel had.
Ten tweede is het feit dat gegevens ook bij eerdere datalekken zijn buitgemaakt niet relevant. Elke keer dat persoonsgegevens door een cybercrimineel worden gestolen, levert dat opnieuw spanning en stress op. En niet ten onrechte. De gegevens komen bij steeds meer criminelen terecht en de kans dat je slachtoffer wordt, wordt elke keer groter. Bovendien is een hack die specifiek is gericht op studenten van de HAN iets anders dan bijvoorbeeld een datalek met gegevens van miljoenen Facebookgebruikers. De hacker van de HAN heeft potentieel veel specifiekere kwade plannen, met meer kans dat hij slaagt.
Hoogstens had de kantonrechter eerdere datalekken kunnen meewegen in het kader van de causaliteit. Ze had dan naar billijkheid kunnen vaststellen dat wellicht een deel van het nadeel dat de student heeft ondervonden door andere datalekken is veroorzaakt en zo tot het oordeel kunnen komen dat ook slechts een deel van dat nadeel gecompenseerd hoeft te worden door de hogeschool.
Bijzondere persoonsgegevens
In deze zaak waren niet alleen gewone persoonsgegevens buitgemaakt, maar ook bijzondere, medische persoonsgegevens. De student had in het webformulier namelijk gedeeld waarom hij studievertraging had opgelopen, hetgeen kennelijk een medische reden had.
De kantonrechter stelt geheel terecht voorop dat in dat geval eerder kan worden aangenomen dat sprake is van schade. De nadelige gevolgen van het lekken van medische gegevens liggen voor de hand. Daarbij maakt niet uit wat de hacker met de gegevens heeft gedaan. Alleen het feit dat de hacker deze specifieke gegevens heeft kunnen inzien, is al voldoende voor het aannemen van schade.
De kantonrechter had het hier eigenlijk bij moeten laten. Er zijn medische gegevens toegankelijk geweest, en dat enkele feit is voldoende voor het toekennen van schadevergoeding. Zoals het Europese Hof voor de Rechten van de Mens het formuleert:
“What is required in this connection is practical and effective protection to exclude any possibility of unauthorised access occurring in the first place.” (zie EHRM 17 juli 2008, ECLI:CE:ECHR:2008:0717JUD002051103)
Wat de kantonrechter echter vervolgens doet, is opsommen wat de student aan concrete nadelige gevolgen heeft gesteld. Hij zou al veel moeite hebben gehad om persoonlijke medische gegevens met de hogeschool te delen. Omdat hem werd verzekerd dat zijn verhaal veilig was, heeft hij uiteindelijk die gegevens toch gedeeld. Zijn vertrouwen heeft dus een flinke deuk opgelopen. Ook heeft hij aangegeven dat hij (sterke) emotionele reacties had op het gebeurde (boosheid, spanning en vernedering) en dat hij zich zorgen maakt over wat er met de gegevens wordt gedaan als iemand ze in handen krijgt.
Of de kantonrechter haar uiteindelijke oordeel nu heeft gebaseerd op het enkele feit dat medische gegevens toegankelijk waren (zoals ze eerder overweegt), of op basis van de concrete gevolgen die de student heeft gesteld, blijft in het midden.
Het lijkt er toch op dat dit laatste een grote rol heeft gespeeld, hetgeen niet zo had moeten zijn. De student had geen concrete nadelen hoeven stellen en de kantonrechter had duidelijker moeten maken dat zij deze stellingen niet aan haar oordeel ten grondslag heeft gelegd.