Het Bevolkingsonderzoek datalek heeft heel wat losgemaakt de afgelopen twee weken. Burgerservicenummers (bsn) en medische gegevens van bijna 500.000 Nederlanders zijn gestolen van een medisch laboratorium in Rijswijk. Stephan Mulders, advocaat bij Blenheim gespecialiseerd in het privacyrecht, schreef daar het volgende artikel over.
Misschien is dit wel het grootste datalek ooit in Nederland. Geschokte reacties staan op alle social media, vooral na het koude informatiebriefje dat de slachtoffers mochten ontvangen.
De schade lijkt enorm, maar is dat wel zo? In de praktijk is het vaak erg lastig om schade aan te tonen na een AVG inbreuk. Het traditionele schadebegrip is namelijk niet goed toegespitst op de digitale samenleving. In dit artikel leg ik uit welke schade mogelijk is ontstaan na dit datalek en hoe die zou kunnen worden bepaald. Zo probeer ik te laten zien dat het traditionele schadebegrip niet meer toereikend is in onze digitale samenleving.
De inbreuk
Voordat we over schade beginnen moet eerst worden vastgesteld of de AVG is overtreden. Het datalek is op zichzelf namelijk geen overtreding van de AVG. De AVG vereist niet dat de verwerkingsverantwoordelijke alle datalekken voorkomt. Wel moet de verwerkingsverantwoordelijke volgens de AVG “passende maatregelen” nemen om persoonsgegevens te beveiligen. Om te bepalen of maatregelen passend zijn moet een risicoanalyse worden gemaakt, waarbij ook rekening wordt gehouden met de kosten en uitvoerbaarheid van bepaalde maatregelen. Aangezien het laboratorium zeer gevoelige gegevens verwerkte mag je een hoog niveau van beveiliging verwachten, maar zelfs dat sluit het risico op datalekken niet uit. Fout gegaan is niet per se fout gedaan.
Het laboratorium moet aantonen dat ze passende maatregelen heeft genomen (C-340/21). Dat betekent dat het moet laten zien dat er destijds een risicoafweging is gemaakt en dat op basis daarvan bepaalde beveiligingsmaatregelen zijn genomen. De rechtbank oordeelt dan of deze maatregelen passend zijn. Het datalek is hier slechts een aanwijzing dat de gegevens mogelijk onvoldoende beveiligd zijn en er ligt dus een zware bewijslast op het laboratorium. Echter, het kan ook zo zijn dat de beveiliging wél op orde was en er dus geen aansprakelijkheid is. Het is dus geen gelopen race.
Voor dit artikel neem ik echter aan dat er onvoldoende beveiligingsmaatregelen zijn genomen en er dus een inbreuk op de AVG is gemaakt.
De schade naar Nederlands recht
Om aanspraak te kunnen maken op een schadevergoeding, moet je schade aantonen. (C-300/21). Zoals ik al eerder aangaf is dat niet zo makkelijk.
We weten dat een onbekende (groep) hacker(s) persoonsgegevens heeft buitgemaakt van bijna 500.000 Nederlanders. Deze gegevens omvatten zeer gevoelige persoonsgegevens, zoals burgerservicenummers en medische uitslagen van penis- en borstonderzoeken. Daarnaast omvat het datalek ook (minder gevoelige) contactgegevens, die wel gebruikt kunnen worden om de betrokkenen te identificeren.
Er is ongeveer 300 GB aan data gestolen. We weten niet wat er verder met de gegevens is gebeurd of gaat gebeuren. Het NOS meldt dat er ongeveer 100 MB aan data op het darkweb is verschenen, hetgeen erop wijst dat de data verder verspreid is. Aan de andere kant zeggen de hackers inmiddels alle data te hebben verwijderd (het schijnt dat hackers over het algemeen zeer betrouwbaar zijn). Aangezien de betrokkene de bewijslast draagt ten aanzien van de schade, ga ik er verder vanuit dat we alleen kunnen aantonen dat de gegevens gestolen zijn. Wel is duidelijk dat de gegevens gebruikt kúnnen worden voor allerlei kwade doelen, zoals phishing, afpersing en identiteitsdiefstal.
Als we deze casus naar Nederlands aansprakelijkheidsrecht zouden beoordelen, dan is de uitkomst waarschijnlijk dat er geen schade is ontstaan. Dat lijkt vreemd, maar is wel goed verklaarbaar vanuit het systeem van de wet. Schade moet namelijk altijd in causaal verband staan met de overtreding. Juist dat causaal verband is moeilijk aan te tonen omdat persoonsgegevens jarenlang relevant kunnen blijven én het onduidelijk is wélke gegevens uiteindelijk onrechtmatig gebruikt zijn. De identiteitsdiefstal kan dus ook jaren later plaatsvinden. Het slachtoffer komt dan voor een onmogelijke opgave te staan. Hij moet namelijk:
- De identiteitsdiefstal ontdekken.
- Aantonen dat bepaalde gegevens essentieel waren voor deze diefstal.
- De gebruikte gegevens ook daadwerkelijk uit deze hack afkomstig zijn (en niet van het kopietje paspoort dat je drie jaar geleden in dat hostel in Thailand hebt laten maken).
Zoals Alfonso Okué al terecht concludeert: dat gaat hem waarschijnlijk niet worden.
Wel kan schade worden gevorderd als iemand is “aangetast in zijn persoon”. Dit wordt persoonlijkheidsschade genoemd. Daarvan is sprake als fundamentele rechten worden geschonden, zoals het recht op privacy. Volgens de Hoge Raad is daarvan echter alleen sprake in extreem ernstige gevallen, zoals de Groninger Nieuwjaarsrellen en Baby Kelly (NSFW). Dergelijke schade is ook mogelijk bij zeer ernstige privacy inbreuken. Echter, in dit geval denk ik niet dat we deze hoge lat halen. Het zijn weliswaar gevoelige gegevens, maar we kunnen niet aantonen dat de hackers de gegevens hebben verspreid of überhaupt hebben gezien.
Het Nederlandse recht biedt dus waarschijnlijk geen uitkomst.
Het Europese recht
Gelukkig heeft het Hof van Justitie (HvJ), de hoogste Europese rechtbank, bepaald dat het begrip “schade” autonoom moet worden uitgelegd (C-300/21). Autonome uitleg betekent dat niet naar het nationale recht moet worden gekeken, maar naar Europees recht. Het probleem is dat er nog geen Europees schadebegrip bestaat, dat moet nog ontwikkeld worden. Wat we wel weten is dat het Europese recht een veel ruimer schadebegrip kent. Ik denk dat er volgens het Europese recht wel sprake is van schade.
Privacyschade
Het HvJ heeft bepaald dat alle vormen van schade moeten worden vergoed, ongeacht hoe klein de schade ook is. Volgens mij kun je daarom naar Europees recht wél spreken van privacyschade. Door de gebrekkige beveiliging is namelijk gevoelige informatie bij de verkeerde partij gekomen (Of, zoals Lynskey zou zeggen, uit haar sociale context gehaald). Die informatie behoort tot de persoonlijke levenssfeer van de betrokkene, waardoor zijn informationele privacy wordt geraakt.
Er is echter pas sprake van een inbreuk als de inmenging in de persoonlijke levenssfeer voldoende ernstig is (de minimis regel). Een inmenging is volgens het HvJ ernstig als daardoor precieze conclusies kunnen worden getrokken over het leven van de betrokkene (C-746-18). Daarvan lijkt hier sprake, aangezien hier medische gegevens zijn buitgemaakt.
Het is dus zeer goed verdedigbaar dat de privacy inbreuk in dit geval volgens Europees recht als schade kan worden aangemerkt. Het is namelijk duidelijk dat de onvoldoende beveiligingsmaatregelen (=overtreding) hebben geleid tot een nadeel (de privacy inbreuk). Volgens Europees recht moeten alle vormen van schade worden vergoed, dus ook een privacy inbreuk.
In overweging 75 van de AVG worden bovendien expliciet een aantal vormen van schade genoemd, waaronder “het verlies van gegevens die onder een beroepsgeheim vallen”. Deze overweging is door het HvJ meermaals gebruikt om specifieke vormen van schade te erkennen die daarin genoemd worden, zoals identiteitsdiefstal (C-182/22) en verlies van controle (C-456/22). Het is dus niet gek om aan te nemen dat ook het verlies van medische gegevens op grond van dat artikel als schade wordt gezien.
Angstschade
Recent heeft het HvJ een nieuwe vorm van schade geïntroduceerd: angstschade (C-340/21). Van angstschade is sprake als de betrokkene de gegronde vrees heeft dat zijn persoonsgegevens in de toekomst misbruikt zullen worden. De betrokkene moet dan dus wel kunnen aantonen dat dergelijke vrees gegrond is, op basis van de specifieke omstandigheden van de zaak en de persoon zelf. Een angst moet wel reëel zijn, een puur hypothetisch risico is onvoldoende (C-687/21).
Volgens mij bestaat in dit geval een gegronde angst voor toekomstig misbruik. De gestolen gegevens zijn namelijk objectief bruikbaar voor misbruik (bijvoorbeeld het BSN). Deze gegevens zijn ook in handen gekomen van een partij die het kennelijk niet zo nauw neemt met de wet. Het is dus zeer wel denkbaar dat ze deze gegevens hebben doorverkocht of zelf in de toekomst zullen misbruiken.
Verlies van controle
Het verlies van controle over persoonsgegevens wordt ook door het HvJ als een vorm van schade gezien (C-456/22). Recent heeft het HvJ zelfs €500 schadevergoeding toegekend voor dergelijk verlies van controle (T-354/22). In dit geval kan de betrokkene betogen dat door de onvoldoende beveiliging zijn controle is verloren over de persoonsgegevens. Het is namelijk niet mogelijk om zijn AVG rechten uit te oefenen jegens de hackers en het is ook onduidelijk wat de hackers met de data doen.
Begroting van de schade
Dan volgt de hamvraag: wat levert het op. Volgens het HvJ moet de schade worden begroot naar nationaal recht (C-300/21). In Nederland stelt de rechter een billijke vergoeding vast voor immateriële schade. Daarbij houdt de rechter rekening met de omstandigheden van het geval en met eerdere vergelijkbare gevallen. De hoogte van de vergoeding is dus enigszins nattevingerwerk. In het verleden zijn schadevergoedingen toegekend tussen € 250 en € 2.500.
Een praktische vraag is daarbij ook of het laboratorium deze schade überhaupt kan betalen. Van een kale kip kun je immers niets plukken. Dat is geen probleem wanneer één iemand schade claimt, maar als iedereen dat doet in een massaclaim wordt het een ander verhaal. Uitgaande van een conservatieve schatting van € 250 vergoeding per persoon zou de totale claim uitkomen op ongeveer € 125 miljoen. Volgens de laatste gepubliceerde jaarrekening had het laboratorium in 2023 een negatief eigen vermogen van ongeveer 6 ton en een verlies geleden van ongeveer 8 ton. Dat ziet er dus niet rooskleurig uit. Tenzij ze verzekerd waren voor een dergelijk datalek.
Traditionele regels vs. digitale realiteit
Een datalek heeft doorgaans een enorme impact op de betrokkenen. Toch leidt zo’n datalek volgens het traditionele aansprakelijkheidsrecht vrijwel nooit tot aantoonbare schade. Volgens het traditionele schadebegrip zou een AVG inbreuk vrijwel nooit tot schade leiden. Dat leidt tot de paradoxale situatie dat we een heel nieuw rechtsgebied hebben opgezet om persoonsgegevens te beschermen, terwijl misbruik van die gegevens vrijwel nooit tot schade leidt.
Juist daarom is het nodig om tot een nieuw schadebegrip te komen voor inbreuken op de AVG. Onrechtmatige gegevensverwerkingen leiden namelijk tot nieuwe risico’s en nadelen die niet goed vallen binnen het traditionele systeem. Dat komt enerzijds omdat de gegevens gemakkelijk te kopiëren zijn en oneindig houdbaar. Anderzijds omdat het misbruik van specifieke gegevens moeilijk aantoonbaar is. Deze gegevens worden namelijk gebruikt bij besluitvorming. Die besluitvorming is wel zichtbaar maar gegevens zelf niet.
Het HvJ legt het begrip schade daarom terecht breed uit, waardoor ook nieuwe vormen van schade vergoed moeten worden. Het verwerken van persoonsgegevens wordt steeds goedkoper en makkelijker. Dat betekent dat niet alleen het aantal AVG inbreuken in de toekomst zal toenemen, maar ook hun impact op de betrokkenen.
Op dit moment zijn de negatieve gevolgen van dataverwerking te zeer geëxternaliseerd. Verwerkingsverantwoordelijken verdienen aan de verwerking van persoonsgegevens, maar als het misgaat ligt de rekening bij de betrokkene. Een breder schadebegrip vormt een belangrijke prikkel voor organisaties om de kosten te internaliseren. Een verwerkingsverantwoordelijke zal zorgvuldiger overwegen of hij bepaalde (gevoelige) gegevens wil verwerken als hij mogelijk moet betalen als het misgaat. Ook kosten voor beveiliging kunnen makkelijker verantwoord worden als er een duidelijk kwantificeerbaar risico tegenover staat.
