Publicatie-
datum:

28 februari 2024

Publicatiedatum: 28 februari 2024
Bedrijfsvoering Juridisch Samen sterker

Een cyberaanval brengt veel risico’s met zich mee en áls je ermee te maken krijgt, zijn de gevolgen soms groot. Hoe groot de gevolgen zijn, is weer afhankelijk van de gegevens die zijn buitgemaakt. Zo kunnen er algemene persoonsgegevens zijn buitgemaakt (e-mailadres, naam, woonplaats en dergelijke.), maar ook bijzondere persoonsgegevens (medische gegevens, politieke voorkeur et cetera). Indien er (bijzondere) persoonsgegevens zijn buitgemaakt, kan dit leiden tot materiële of immateriële schade bij de betrokken personen. Als dit gebeurt, kun je zomaar in een juridisch steekspel terechtkomen.

Casus

Het overkwam een hogeschool in Nederland. Zij werden getroffen door een cyberaanval waarbij er persoonsgegevens zijn buitgemaakt van studenten, maar ook van oud-studenten. Bij één van die oud-studenten waren er ook bijzondere persoonsgegevens buitgemaakt. De oud-student eist van de hogeschool een schadevergoeding, die de hogeschool weigert te betalen. De zaak komt vervolgens voor de rechter.

De kantonrechter loopt verschillende vragen langs. Als eerste wordt bekeken of er überhaupt een inbreuk is gemaakt op de Algemene Verordening Gegevensbescherming (AVG). Dat er sprake is geweest van een datalek staat al wel vast, maar niet elke datalek levert een inbreuk op de AVG op. De AVG verplicht een verwerkingsverantwoordelijke er namelijk niet toe om ervoor te zorgen dat persoonsgegevens nooit door derden onrechtmatig kunnen worden verkregen. Wel moet de verwerkingsverantwoordelijke er voor zorgen dat er passende technische of organisatorische maatregelen worden genomen om de verwerkte persoonsgegevens te beschermen. Van belang is dus of het beveiligingsniveau wel passend was ten tijde van de hack.

Schending van de AVG

De oud-student is van mening dat dit niet het geval is, omdat zijn gegevens niet waren gepseudonimiseerd of versleuteld. Daardoor kon een hacker zijn gegevens makkelijk lezen. Ook zou door een medewerker van de hogeschool zelf zijn aangegeven tijden een interne bijeenkomst dat de hacker kwetsbaarheden had ontdekt in een ‘verouderd’ webformulier. Als laatste wijst de oud-student er op dat de hack heeft plaatsgevonden door een veelvoorkomende hacktechniek waartegen de hogeschool bestand had moeten zijn.

De hogeschool verweerd zich hiertegen door de maatregelen op te sommen die zij op grond van het veiligheidsbeleid hebben genomen. De kantonrechter is echter van mening dat de hogeschool onvoldoende ingaat op de punten die door de oud-student zijn aangegeven. Daardoor komt onvoldoende vast te staan dat het beveiligingsniveau ten tijde van de hack passend was. Om deze reden wordt schending van de AVG aangenomen.

Schadevergoeding

Vervolgens komt de vraag aan de orde of de oud-student recht heeft op schadevergoeding. De kantonrechter maakt onderscheid tussen algemene en bijzondere persoonsgegevens. Voor wat betreft de algemene persoonsgegevens (naam, adres, woonplaats en e-mail) geeft de kantonrechter aan dat het buitmaken hiervan ‘vervelend’ is voor de betrokken persoon, maar in dit geval niet heeft geleid tot schade en daarvoor dus geen recht bestaat op een schadevergoeding. Voor de bijzondere persoonsgegevens daarentegen leidt het wel tot schadevergoeding. Volgens de kantonrechter is schade voldoende bewezen, omdat de hacker deze bijzondere (in dit geval medische) gegevens heeft kunnen inzien of mogelijk zelfs verspreiden. Daar komt bij dat de oud-student zijn schade ook concreet heeft toegelicht. De slotsom is dat de oud-student inderdaad aanspraak kan maken op een schadevergoeding, waarbij het bedrag wordt vastgesteld op €300,-

Uit de hiervoor genoemde uitspraak blijkt maar weer hoe belangrijk het is dat je als schoolbestuur regelmatig naloopt in hoeverre er nog sprake is van een passend (ICT) beveiligingsniveau. Dit niet alleen i.v.m. mogelijke boetes die vanuit de Autoriteit Persoonsgegevens kunnen worden opgelegd bij cyberaanvallen en de imagoschade die een cyberaanval kan veroorzaken, maar ook omdat uit bovengenoemde uitspraak weer blijkt dat de kans zeker aanwezig is dat er ook een schadevergoeding betaald moet worden aan gedupeerden van de cyberaanval.

Cyberverzekering als oplossing?

Er wordt ook nog wel eens gedacht dat een cyberschade geclaimd kan worden op het basisverzekeringspakket van de school. De school wordt immers toch aansprakelijk gesteld? Niets is minder waar. Tussen aansprakelijk gesteld worden, het zijn en een uitkering ontvangen vanuit een verzekering, zitten nog heel wat voorwaarden waaraan je moet voldoen. Cyberschade is geen materiele en of letselschade waardoor een claim op de aansprakelijkheidsverzekering al lastig wordt.

Met een cyberverzekering zou je de pijn kunnen verlichten, maar ook deze verzekering dekt niet elke cyberschade. En, het is nog maar de vraag of een cyberverzekering voor jouw organisatie de meest passende oplossing is. Wil je hier meer over weten? Neem dan contact op met: verzekeringsadviseur Carola van der Meeren, of juristen Rieneke Kaars en Jilke Louwsma.

Samen sterker

Deze pagina is onderdeel van ons domein Samen sterker. Verus wil de aanwezige kennis, inzet, diensten en massa van een vereniging gebruiken om van elkaar te leren, (maatschappelijke) ambities waar te maken door expertise in te schakelen en schaalvoordeel te benutten. Dat is de kracht van samen.

Verus

Gerelateerde berichten