Skip to main content

Verstoß: Fehlende Datensicherheit

  • Beschreibung
    Unverschlüsselter Versand von Datensätzen per E-Mail, die daraufhin gehackt wurde
  • Aktenzeichen
    Rb. Rotterdam – 9435922 vom 25.02.2022
  • Kategorie(n)
    Hackerangriffe
  • Betrag
    250 €

Uitspraak

RECHTBANK ROTTERDAM

zaaknummer: 9435922 \ CV EXPL 21-30280

uitspraak: 25 februari 2022

vonnis van de kantonrechter, zitting houdende te Rotterdam,

in de zaak van

[eiser],

wonend in [woonplaats] ,

eiser,

hierna te noemen: [eiser] ,

gemachtigde: mr. A.C. van ‚t Hek,

tegen

[gedaagde]

,

gevestigd in [vestigingsplaats] , gemeente [gemeente] ,

gedaagde,

hierna te noemen: [gedaagde] ,

gemachtigden: mr. O.A. Sleeking en mr. A.W.D. Lensink.

1. Het procesverloop

1.1.

Het verloop van de procedure volgt uit de volgende processtukken:

  • -de dagvaarding met producties;
  • -de conclusie van antwoord met producties;
  • -het tussenvonnis van 11 oktober 2021, waarin een mondelinge behandeling is bepaald;
  • -de brief van [eiser] van 30 december 2021 met een usb-stick.

1.2.

De mondelinge behandeling heeft plaatsgevonden op 31 januari 2022. [eiser] is in persoon verschenen, bijgestaan door zijn gemachtigde. Namens [gedaagde] zijn de gemachtigden verschenen, vergezeld door [persoon A] en [persoon B] (medewerkers van [gedaagde] ).1.3.

De kantonrechter heeft bepaald dat vandaag uitspraak wordt gedaan.

2. De vaststaande feiten

Er wordt uitgegaan van de volgende vaststaande feiten.

2.1.

[gedaagde] voert in Zevenhuizen het nieuwbouwproject ‘Koningskwartier’ uit. In 2021 konden personen die belangstelling hadden voor de eventuele koop van een nieuwbouwwoning zich via een website inschrijven als kandidaat-koper. Ongeveer 1100 personen, onder wie [eiser] , hebben van die mogelijkheid gebruik gemaakt. Bij deze inschrijving werden diverse vertrouwelijke, persoonlijke gegevens van de belangstellenden verzameld.

2.2.

Op 12 april 2021 heeft [gedaagde] een e-mail verzonden aan alle personen die zich hebben ingeschreven voor het project Koningskwartier. Bij deze e-mail heeft [gedaagde] een onbeveiligd Excelbestand gevoegd met daarin de gegevens van alle ongeveer1100 personen die zich hebben ingeschreven voor het nieuwbouwproject. De Excellijst bevat onder meer de volgende gegevens van de ingeschrevene en diens eventuele partner:

  • -voor- en achternaam;
  • -geboortedatum en -plaats;
  • -adres;
  • -e-mailadres en telefoonnummer;
  • -gewenste koopsom;
  • -maximaal te lenen bedrag;
  • -jaarinkomen;
  • -eigen middelen die de kandidaat-koper wil inbrengen;
  • -de nieuwbouwwoningen waarin de kandidaat-koper is geïnteresseerd.

2.3.

Een minuut later heeft [gedaagde] geprobeerd het verzonden e-mailbericht in te trekken.

2.4.

Diezelfde dag, om 18.23 uur heeft [eiser] een e-mail aan [gedaagde] gestuurd, waarin hij meldt:

“Op basis van de informatie die ik heb ontvangen, wil ik u wijzen op een AVG Datalek! Mijn persoonsgegevens zijn nu aan een zeer grote groep gedeeld en ik ben hiervan enorm geschrokken!!!

Graag zie ik met spoed de stappen die u nu gaat nemen om de benadeelde te informeren over deze ongelofelijke blunder.

Tevens stel ik u hierbij aansprakelijk voor de eventueel geleden en nog te lijden schaden die hieruit voortvloeien.”

2.5.

Diezelfde avond heeft [gedaagde] een e-mail gestuurd aan alle personen die zich hebben ingeschreven. Zij meldt daarin dat de Excelsheet per ongeluk is meegestuurd en zij roept op om de e-mail met bijlage direct te verwijderen.

2.6.

De gemachtigde van [eiser] heeft [gedaagde] aangeschreven en aanspraak gemaakt op een schadevergoeding. [gedaagde] heeft geweigerd een schadevergoeding te betalen.

3. Het geschil

3.1.

[eiser] heeft gevorderd bij vonnis, uitvoerbaar bij voorraad, voor recht te verklaren dat [gedaagde] onrechtmatig heeft gehandeld ten opzichte van hem, en [gedaagde] te veroordelen tot betaling aan hem van € 750,- aan materiële schadevergoeding en € 20.000,-, althans een naar billijkheid te schatten bedrag, aan immateriële schadevergoeding, te vermeerderen met de wettelijke rente vanaf de dag van dagvaarding tot aan de dag van volledige betaling.

3.2.

Aan zijn vordering heeft [eiser] (samengevat) het volgende ten grondslag gelegd. Het versturen van de Excellijst met persoonsgegevens moet worden aangemerkt als onrechtmatig handelen, namelijk in strijd met artikel 6 lid 1 van de Algemene Verordening Gegevensbescherming (hierna: AVG). De schade die [eiser] hierdoor heeft geleden moet [gedaagde] vergoeden op grond van artikel 82 AVG. [eiser] lijdt € 750,- materiële schade, omdat hij wordt lastiggevallen op zijn mobiele telefoon en daarom een nieuwe telefoon wil aanschaffen. Hij lijdt daarnaast € 20.000,- immateriële schade. Hij is namelijk aangetast in zijn persoon, doordat gevoelige persoonsgegevens bekend zijn bij minimaal 1099 anderen. [eiser] voelt zich daardoor onveilig en vertrouwt mensen niet.

3.3.

[gedaagde] heeft geconcludeerd tot (primair) algehele afwijzing, dan wel (subsidiair) matiging van de schadevergoeding, zonder toewijzing van de uitvoerbaarheid bij voorraad, althans onder de voorwaarde dat [eiser] daartoe zekerheid dient te stellen, met veroordeling van [eiser] in de (na)kosten van deze procedure, te vermeerderen met rente.

3.4.

[gedaagde] heeft ter onderbouwing van haar verweer (zakelijk weergegeven) het volgende aangevoerd. Door een menselijke fout is de Excellijst toegevoegd aan de e-mail. Het enkele feit dat persoonsgegevens van [eiser] zijn verspreid betekent echter niet dat [gedaagde] een schadevergoeding aan [eiser] moet betalen. [eiser] moet specificeren dat van materiële en/of immateriële schade sprake is. Dat heeft hij niet gedaan. Ook op basis van de aard en ernst van de normschending en de gevolgen daarvan kan deze schade niet worden aangenomen. De gevorderde schadevergoeding moet daarom worden afgewezen. De verklaring voor recht dient eveneens te worden afgewezen, omdat [eiser] daarbij geen belang heeft.

3.5.

Op hetgeen partijen verder hebben aangevoerd wordt, voor zover voor de beoordeling van belang, hierna ingegaan.

4. De beoordeling

verklaring voor recht

4.1.

Er is geen discussie over dat [gedaagde] een aanzienlijke hoeveelheid persoonsgegevens van [eiser] heeft verspreid onder een grote groep mensen. Het verspreiden van persoonsgegevens is een vorm van verwerking zoals bedoeld in de AVG (artikel 4 sub 2 AVG). In artikel 6 AVG is bepaald dat verwerking van persoonsgegevens alleen rechtmatig is, wanneer sprake is van één van de verwerkingsgrondslagen, zoals genoemd in dat artikel. Gesteld noch gebleken is dat in dit geval sprake is van een van die grondslagen. De conclusie is dat [gedaagde] de persoonsgegevens van [eiser] onrechtmatig heeft verwerkt. [gedaagde] heeft dus een inbreuk gemaakt op de AVG. In beginsel is de gevorderde verklaring voor recht dan ook toewijsbaar. [gedaagde] heeft echter betwist dat [eiser] een belang heeft bij die verklaring. Daarop heeft [eiser] niet nader onderbouwd waar zijn belang bij die verklaring in is gelegen. Zonder nadere toelichting valt dit belang niet in te zien. Bij gebrek aan belang wordt de gevorderde verklaring voor recht daarom afgewezen (artikel 3:303 BW).

juridisch kader

4.2.

[eiser] maakt verder aanspraak op vergoeding van zijn schade. In dat kader is het volgende juridische kader van belang. De AVG is in werking getreden op 25 mei 2018 en is rechtstreeks toepasselijk in Nederland (artikel 99 AVG en 288 VWEU). Artikel 82 AVG bepaalt dat iedereen die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de AVG, het recht heeft om van de verwerker schadevergoeding te ontvangen voor de geleden schade. Uit overweging 85 van de considerans volgt dat daarbij onder meer kan worden gedacht aan: verlies van controle over persoonsgegevens, identiteitsdiefstal of -fraude, reputatieschade, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de persoon in kwestie. Overweging 146 licht toe dat het begrip „schade” ruim moet worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Verder volgt uit die overweging dat de betrokkenen volledige en daadwerkelijke vergoeding van door hen geleden schade dienen te ontvangen. Uit de voornoemde wetsbepaling en de toelichting daarbij volgt dat het schadebegrip gemeenschapsautonoom dient te worden uitgelegd, om een doeltreffende naleving van de AVG te kunnen waarborgen, met een gelijkwaardig niveau van bescherming in alle lidstaten (overweging 10 en 11 AVG).

materiële schade

4.3.

[eiser] vordert een schadevergoeding van € 750,- voor het aanschaffen van een nieuwe telefoon. Hij stelt in dat kader dat hij wordt lastiggevallen door een onbekende. Naar de kantonrechter begrijpt doelt hij daarmee op het ontvangen van een WhatsAppbericht dat hij als productie 3 heeft overgelegd. Dit betreft een bericht met de tekst: “Hoi mam dit is mijn nieuwe nummer. Deze kan je in je contactenlijst opslaan en de andere kan weg”. Uit niets blijkt echter dat het ontvangen van dit Whatsappbericht het gevolg is van de onrechtmatige verwerking door [gedaagde] . [gedaagde] heeft er daarbij op gewezen dat het 06-nummer van [eiser] ook op zijn LinkedInpagina is vermeld, zodat kwaadwillenden ook op andere manieren daarvan kennis kunnen nemen. Bovendien is het een feit van algemene bekendheid dat dergelijke frauduleuze Whatsappberichten naar veel personen worden verzonden. Reeds omdat onvoldoende is gebleken van een causaal verband tussen de onrechtmatige verwerking en het ontvangen van het Whatsappbericht komt deze schade niet voor vergoeding in aanmerking. Nog daar gelaten dat het aanschaffen van een nieuwe telefoon in beginsel geen oplossing is voor dit probleem, aangezien het meer in de rede ligt om in dat geval een nieuwe simkaart met een nieuw telefoonnummer aan te schaffen, zoals terecht en ook onbetwist door [gedaagde] is aangevoerd.

immateriële schade

4.4.

[eiser] vordert verder een vergoeding van zijn immateriële schade. Hij heeft ter zitting toegelicht dat hij zich onveilig en bekeken voelt en dat zijn vertrouwen in mensen is afgenomen. Verder stelt hij dat hij zich erg onprettig voelt bij het idee dat zeer persoonlijke gegevens bij tenminste 1099 andere mensen, onder wie zijn aanstaande buren, zijn beland. Hij heeft er daarnaast op gewezen dat niet bekend is waar deze gegevens nog circuleren en dat hij daarom ook niet weet wat hem te wachten staat, hetgeen hem een naar gevoel geeft. Ter zitting hebben zowel de gemachtigden als de medewerkers van [gedaagde] te kennen gegeven dat zij deze gevoelens begrijpen.

4.5.

[gedaagde] heeft dus niet betwist dat de onrechtmatige verwerking tot vervelende gevolgen voor [eiser] heeft geleid. Zij stelt zich echter op het standpunt dat dit geen juridisch relevante schade is, in de zin van artikel 6:106 lid 1 sub b BW. Zij gaat er echter aan voorbij dat artikel 82 AVG autonoom dient te worden uitgelegd op een wijze die ten volle recht doet aan de doelstellingen van deze verordening, zoals hiervoor overwogen onder r.o. 4.2. Naar oordeel van de kantonrechter kunnen de gevolgen die de onrechtmatige verwerking voor [eiser] hebben gehad wel degelijk schade opleveren zoals bedoeld in artikel 82 AVG. Dat de schade op zichzelf niet direct gesubstantieerd kan worden, zoals door [gedaagde] aangevoerd, is daarvoor geen belemmering. Een van de hoofddoelen van de AVG is namelijk dat iedere persoon de controle houdt over zijn eigen persoonsgegevens (overweging 7 AVG). [eiser] is deze controle kwijtgeraakt doordat [gedaagde] de gegevens heeft doorgestuurd naar een aanzienlijke groep mensen. Zoals [eiser] tijdens de zitting onbetwist heeft aangevoerd is niet te achterhalen waar deze gegevens nu circuleren. In het kader van een doeltreffende naleving van de AVG is de kantonrechter van oordeel dat dit dient te worden aangemerkt als schade van [eiser] .

4.6.

Voor het eerst tijdens de mondelinge behandeling heeft [eiser] ook nog aangevoerd dat hij slecht slaapt, spanning in de nek ervaart en naar de fysiotherapeut moet voor behandeling. Hij heeft dit slechts terloops genoemd en hiervoor geen onderbouwing gegeven. Hij heeft ook nagelaten te specificeren wanneer die klachten zijn ontstaan, of medisch is vastgesteld wat de oorzaak daarvan is en wat de intensiteit en de duur van de behandelingen zijn. Nu hij op dit punt onvoldoende heeft gesteld kan deze omstandigheid niet worden meegenomen in de berekening van de immateriële schade.

omvang schadevergoeding

4.7.

Ten aanzien van de omvang van deze schade overweegt de kantonrechter het volgende. [gedaagde] heeft een grote hoeveelheid persoonsgegevens van [eiser] doorgestuurd, die naast contactgegevens ook gevoelige financiële gegevens bevatten over het inkomen en het vermogen van [eiser] . De omvang van de gegevens en de combinatie waarin die verstrekt zijn brengen risico’s met zich voor [eiser] . Bovendien heeft [eiser] er terecht op gewezen dat deze gegevens ongewild beland zijn bij de personen die straks zijn directe buren zijn. Kortom, de aard en ernst van de onrechtmatige verwerking is van invloed op de toewijsbare vergoeding.

4.8.

Anderzijds weegt de kantonrechter mee dat de gegevens niet openbaar zijn gemaakt aan een algemeen publiek, maar slechts aan een in omvang beperkte groep van ongeveer1100 personen. Verder is van belang dat onbetwist is dat het toevoegen van de bijlage aan de e-mail een menselijke fout betreft, dat [gedaagde] direct schadebeperkend heeft gehandeld en dat zij de inbreuk heeft gemeld. [gedaagde] heeft immers diezelfde avond alle ontvangers nog verzocht om de mail te verwijderen en daarnaast het incident gemeld bij de Autoriteit Persoonsgegevens. Ook is van belang dat de persoonsgegevens geen bijzondere persoonsgegevens betreffen, zoals bedoeld in artikel 9 AVG.

4.9.

Met oog op het voorgaande wijst de kantonrechter een schadevergoeding van € 250,- toe. De wettelijke rente over dat bedrag wordt als onbetwist en op de wet gegrond toegewezen.

uitvoerbaarheid bij voorraad

4.10.

[eiser] heeft verzocht dit vonnis uitvoerbaar bij voorraad te verklaren. Op grond van artikel 233 lid 1 Rv kan de rechter, indien dit wordt gevorderd, het vonnis uitvoerbaar bij voorraad verklaren, tenzij uit de wet of uit de aard van de zaak anders voortvloeit. Noch de wet, noch de aard van de zaak verzet zich tegen de gevorderde uitvoerbaarverklaring bij voorraad. Uit vaste rechtspraak volgt dat [eiser] belang heeft bij de uitvoerbaarverklaring, aangezien het vonnis ziet op betaling van een geldsom (HR 27 februari 1998, NJ 1998, 512). [gedaagde] heeft verweer gevoerd tegen de uitvoerbaarverklaring. Het door haar aangevoerde restitutierisico acht de kantonrechter echter niet aanwezig bij deze omvang van de schadevergoeding. De verder aangevoerde omstandigheid dat [gedaagde] bij een toewijzend vonnis zeker in hoger beroep zal gaan, levert op zichzelf geen gegronde reden op. De gevorderde uitvoerbaarheid bij voorraad wordt daarom toegewezen.

4.11.

Voor de gevorderde zekerheidsstelling (artikel 233 lid 3 Rv) ziet de kantonrechter om dezelfde reden geen aanleiding.

proceskosten

4.12.

Aangezien beide partijen voor een gedeelte in het ongelijk zijn gesteld ziet de kantonrechter aanleiding om de proceskosten te compenseren, in die zin dat beide partijen de eigen kosten dragen.

5. De beslissing

De kantonrechter:

veroordeelt [gedaagde] om aan [eiser] een bedrag van € 250,- te betalen, vermeerderd met de wettelijke rente vanaf 2 september 2021 tot aan de dag van volledige betaling;

compenseert de proceskosten, in die zin dat beide partijen de eigen kosten dragen;

verklaart dit vonnis uitvoerbaar bij voorraad en wijst het meer of anders gevorderde af.

Dit vonnis is gewezen door mr. F. Aukema-Hartog en is in het openbaar uitgesproken.

33394