In Bulgarije heeft de hoogste bestuursrechter het Hof van Justitie van de Europese Unie (HvJ-EU) een aantal prangende prejudiciële vragen gesteld. Aanleiding hiervoor was een eerdere hackaanval op de Bulgaarse Belastingdienst, wat een datalek van enorme omvang tot gevolg had. De bestuursrechter wil onder meer weten of enkel de zorgen, ongerustheid en angst over een mogelijk (!) misbruik van persoonsgegevens een vordering tot immateriële schadevergoeding rechtvaardigt.
In 2019 meldde de Bulgaarse Belastingdienst (NRA), dat er een hack van haar bestanden had plaatsgevonden. Er zou daarbij gevoelige financiële informatie van naar schatting zo’n 5 miljoen belastingplichtigen zijn gestolen. Nu Bulgarije amper 7 miljoen inwoners telt, omvatte dit datalek de persoonsgegevens van vrijwel de hele volwassen Bulgaarse bevolking.
Onder de gedupeerden, zo liet de NRA destijds weten, zouden zich ook 2.400 Nederlanders – met bijvoorbeeld een bankrekening in Bulgarije – bevinden.
Datalek van enorme omvang
De gelekte informatie betrof vooral belastingaangiften, sociale bijdragen, betalingen aan ziekteverzekeringen. Naast namen, telefoonnummers en e-mailadressen, ging het bijvoorbeeld ook om gegevens over boetes, achterstallige betalingen en belastingen. Verschillende media rapporteerden dat een deel van deze data zelfs tot 2007 was terug te voeren. De omvang en gevoeligheid van het incident was dan ook enorm.
Onvoldoende beveiligingsmaatregelen
De NRA meldde het lek aan de Bulgaarse toezichthouder en wetshandhavingsinstanties. Daarnaast liet zij betrokkenen achterhalen of ook hun gegevens waren gelekt. De Bulgaarse overheidsinstantie lijkt het incident dan ook te hebben gemeld in overeenstemming met artikel 33 en 34 AVG.
Uiteindelijk ontving de NRA een boete van € 2,6 miljoen voor het overtreden van artikel 32 AVG. Dat wil zeggen: een schending van de verplichting om passende beveiligingsmaatregelen te hanteren. Door betrokkenen werden nadien honderden claims voor immateriële schade ingediend, waarop door verschillende nationale rechters niet eenduidig zou zijn geoordeeld.
AVG-Inbreuk, maar (vooralsnog) geen misbruik
In de zaak die uiteindelijk de aanleiding zou zijn voor het stellen van prejudiciële vragen, besloot de rechter een dergelijke vordering af te wijzen. Er was weliswaar sprake van ongeoorloofde toegang tot gegevens, maar van die gegevens was (nog) geen misbruik gemaakt.
De NRA stelde zich simpelweg op het standpunt slachtoffer te zijn geworden van een hackaanval door personen die te kwader trouw handelden. Voor eventueel geleden immateriële schade achtte de overheidsinstantie zichzelf daarom niet verantwoordelijk.
Verantwoordelijkheid, bewijslast en immateriële schade
De rechter oordeelde dat de NRA, als zijnde verwerkingsverantwoordelijke, geen absolute plicht heeft om ongeoorloofde toegang tot gegevens te voorkomen.
Daarbij zou de gedupeerde betrokkene niet hebben voldaan aan de op haar rustende bewijslast. Namelijk, dat de door de NRA getroffen beveiligingsmaatregelen ontoereikend waren. Zo had zij moeten verduidelijken welke technische maatregelen de overheidsinstantie had moeten nemen om de hackaanval te voorkomen.
Bovendien oordeelde de nationale rechter dat de psychische schade – als gevolg van de vrees voor het mogelijk misbruiken van de gelekte gegevens – geen immateriële schade rechtvaardigt.
Vragen aan het HvJ-EU
De betrokkene besloot hiertegen in beroep te gaan. De zaak wordt nu behandeld door de hoogste bestuursrechter van Bulgarije (Varhoven administrativen sad), die het HvJ-EU hierover een aantal prejudiciële vragen heeft gesteld.
Het HvJ-EU heeft – kort samengevat – de volgende vragen te beantwoorden:
- Betekent iedere inbreuk in verband met persoonsgegevens als gevolg van een hackeraanval automatisch dat de verwerkingsverantwoordelijke geen passende maatregelen heeft genomen, als bedoeld in artikel 24 en 32 AVG?
- Aan de hand waarvan moet een rechter bepalen of de beveiligingsmaatregelen op grond van artikel 32 AVG adequaat waren?
- Indien een verwerkingsverantwoordelijke – door een betrokkene – aansprakelijk wordt gesteld voor immateriële schade, op wie rust dan de bewijslast dat de beveiligingsmaatregelen (al dan niet) passend waren?
- Is een hackaanval een incident waarvoor de verwerkingsverantwoordelijke is vrijgesteld van aansprakelijkheid op grond van artikel 82 lid 3 AVG, omdat hij op geen enkele wijze verantwoordelijk zou zijn voor het schadeveroorzakende feit?
- Omvat de term “immateriële schade” ook de zorgen, ongerustheid en angst van betrokkenen over mogelijk toekomstig misbruik van hun persoonsgegevens, zelfs als deze nog niet zijn misbruikt?
Tot slot
Elke instantie, waaronder ook overheidsinstanties, kunnen te maken krijgen met een datalek. Het onder de AVG voldoen aan herstel- meldings- en documentatieverplichtingen betekent echter nog niet het einde van de kwestie. Wat meestal volgt is de vaststelling van aansprakelijkheid, waarover op dit moment nog veel onduidelijkheid bestaat.
Hoewel de uitspraak van het HvJ-EU nog even op zich laat wachten, staat vast dat dit oordeel voor de praktijk hoe dan ook enorm relevant zal zijn.