Waarom is het zo lastig een schadevergoeding te krijgen als je gegevens zijn gelekt of misbruikt?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Waarom is het zo lastig om een schadevergoeding te krijgen als je gegevens zijn gelekt of misbruikt? Ondanks alle datalekken die plaatsvinden en AVG-boetes voor bedrijven zoals Meta hoor ik zelden dat gebruikers een vergoeding krijgen, terwijl het toch om hun data gaat.
Antwoord: Datalekken en ander misbruik van persoonsgegevens zijn helaas aan de orde van de dag. Dit is onder allerlei wetgeving gereguleerd, van AVG tot NIS2 of CRA, maar juridisch spreken we in alle gevallen van een onrechtmatige daad als gegevens niet beveiligd zijn zoals de wet eist. En algemeen geldt, wie een ander een onrechtmatige daad aandoet, moet de schade daarvan vergoeden.
Er zijn allerlei redenen waarom mensen geen schadeclaims indienen. Het is gedoe, je rechtsbijstandsverzekering dekt het niet, je moet een buitenlandse partij aanspreken of je hebt niet eens door dát je gegevens zijn misbruikt. Ook kun je een verhandeling opzetten of het datalek wel verwijtbaar is en dus geen sprake is van overmacht. In dat laatste geval is namelijk géén sprake van onrechtmatig handelen. En hoe weet jij of het bedrijf adequate beveiliging had gehanteerd?
De belangrijkste voor mij is echter dat de schade niet tot nauwelijks te kwantificeren is. Wat kost een gelekt e-mailadres? Hoe veel schade heb je bij een medisch dossier op straat? Bij een deuk in je auto of een omgeduwde vaas is het antwoord vrij eenvoudig. Bij letsel en smart (inclusief psychisch) kan een deskundige worden bevraagd en zijn er tabellen (zoals de smartengeldgids) waar je richtinggevende getallen uit kunt halen. Dit ontbreekt bij onrechtmatig gebruik van persoonsgegevens.
In 2023 en 2024 bepaalde het Hof van Justitie in een aantal arresten dat het géén automatisme is dat je recht hebt op geld als je persoonsgegevens onrechtmatig zijn verwerkt. Je moet echt aantonen wat je schade is, dat er concreet iets van schade is opgetreden. Dat hoeft niet hoog te zijn, maar moet er wel zijn. Dus speculatief het vermoeden dat het wel eens gebruikt kán worden door criminelen of dat een collega het zou kunnen lezen en dat dat psychische schade geeft, is allemaal niet genoeg. Toon maar aan wat er is misgegaan - én welk bedrag aan schade je daar aantoonbaar door hebt geleden.
Met name dat laatste is dus het probleem. Welk bedrag heb je geleden door een ongewenste mail of een phishingpoging? Meer dan overlast of irritatie is het vaak niet, en daar kun je geen bedrag op zetten. Misschien een paar tientjes als het frequent is, maar niemand procedeert voor een paar tientjes. Bij de diverse massaclaims rondom datalekken is dit iets minder een probleem, want een miljoen tientjes is wél een leuk bedrag om over te procederen.
In Nederland zijn enkele pogingen geweest om hogere bedragen te claimen. Dat is in een enkel geval gelukt bij een onrechtmatig gebruik van medische gegevens in 2023, maar eigenlijk in alle andere gevallen afgewezen wegens gebrek aan onderbouwing. Dus tenzij het gaat om medische gegevens of je héél concreet een factuur van schadeherstel kunt laten zien, is er geen route om geld te krijgen bij misbruik van je persoonsgegevens.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Je kan hier verschillende rekenmethodes voor bedenken, bijvoorbeeld een waarde eenheid per volume (liefst euro's per bit of byte ofzo), of een waarde per type gegeven (e-mail adres, fysiek adres, BSN, medische gegevens, enz.). Dit maakt ook dat het hebben van data een risico wordt want een lek kost je potentieel grof geld, en daarmee heb je meteen een reden om aan dataminimalisatie te doen.
Maar toch raar, want als ik door een rood verkeerslicht rij, dan krijg in altijd een boete. Ook als het kruispunt leeg was. Dus als je dan redeneert: wie had daar nu last van...? Niemand, dan zou die boete niet hoeven.
Dus het moet in het voordeel van de (r)overheid zijn willen ze dit gaan aanpakken. Want de boetes voor rood licht is mooi schatkist vullen. Maar de burgers beschermen als data gelekt wordt, ho maar!
En we hebben gezien wat Uber doet met zijn greyball technieken. Dus je weet als burger vaak niet eens wie er met jouw data aan de haal is.
En dit zal blijven totdat er een paar ministers zo gepakt worden met hun privé data, dat ze zelf eens voelen hoe het is als je data op straat ligt.
TheYOSH
https://www.gld.nl/nieuws/8020097/hogeschool-moet-oud-student-schadevergoeding-betalen
Net voor de Brexit ontstond in de UK wel een beweging om na een datalek £500 te eisen in verband met het aanpassen van zakelijk drukwerk (briefhoofd papier en visitekaartjes) na het uitlekken van een e-mail adres. Daar was eenvoudig doorheen te prikken door te vragen naar welk nieuw e-mail adres de verdere correspondentie dan moest of even “https://haveibeenpwned.com/” te raadplegen of ze bij een eerder datalek ook al tot een wijziging waren overgegaan.
Recent heeft het Brusselse gerecht geoordeeld dat massaclaims door een rechtspersoon anders dan de direct betrokkenen in het kader van de AvG zijn toegestaan. Dat opent dus de deur voor grotere no-cure-no-pay zaken. Vanwege de informatieplicht naar de autoriteit en de betrokkene ligt de bewijslast wel al vast natuurlijk.
Zij hebben de boel verkloot, zij zijn verantwoordelijk en ze doen of niets (neus bloeding) of bagataliseren alles en als je mazzel hebt doen ze een vergoeding... maar daar heb je niet zoveel aan...
Beter is het dat een bedrijf verplicht wordt je een verzekering te geven zodat alle schade die GAAT ontstaan vergoed gaat worden.
Want misschien worden je gegevens wel een jaar niet gebruikt. En dan ingezet omdat jouw profiel matched met iets wat ze nodig hadden.
Let wel, een verzekering die ook monitoort op je gegevens.. en je dan ook waarschuwt van 'heej, bij een aanval zijn jouw gegevens gebruikt, we hebben dat geblokkeerd'.
Zij hebben de boel verkloot, zij zijn verantwoordelijk en ze doen of niets (neus bloeding) of bagataliseren alles en als je mazzel hebt doen ze een vergoeding... maar daar heb je niet zoveel aan...
Beter is het dat een bedrijf verplicht wordt je een verzekering te geven zodat alle schade die GAAT ontstaan vergoed gaat worden.
Voor schade die aanwijsbaar door anderen is toegebracht is een verzekering helemaal niet nodig : die "ander" stel je aansprakelijk voor de - bewijsbare - schade .
Als jijzelf een verzekering hebt voor schade aan jou - zal die verzekering ook vragen "is het door een ander gedaan", en de zaak op de ander gaan verhalen , indien mogelijk.
Standaard gevallen zijn natuurlijk auto-schades .
Alleen als er geen aanwijsbare dader is, of een 'act of god' (bv blikseminslag) is het een eigen verzekering die de schade kan dragen . Feitelijk het collectief van verzekerden die allemaal premie betalen waaruit de schade van de enkele pechvogels betaald wordt.
Eigenlijk een omgekeerde loterij - alle inleggers betalen de prijzen van de paar gelukkige winnaars .
En bij een schade verzekering betalen de premie-betalers de schade van de (paar) pechvogels.
Jouw verhaal is natuurlijk moeilijk omdat bewezen moet worden dat jouw (veel latere) schade wel onstaan door _dat_ datalek, en niet door een ander , later lek, of je eigen onvoorzichtigheid .
Want misschien worden je gegevens wel een jaar niet gebruikt. En dan ingezet omdat jouw profiel matched met iets wat ze nodig hadden.
Let wel, een verzekering die ook monitoort op je gegevens.. en je dan ook waarschuwt van 'heej, bij een aanval zijn jouw gegevens gebruikt, we hebben dat geblokkeerd'.
Tip: leef niet zo zwaarmoedig.
Het is dan ook geen schadevergoeding, maar een compensatie/korting voor een product dat niet helemaal volgens specificatie geleverd is .
Ander soort recht.
Het wordt vervelend als je in de truc van de oplichters trapt. Het wordt heel naar als er sprake is van identiteitsfraude. Je kan een nieuw email adres nemen, of een ander telefoonnummer. Een andere bankrekening is al ingrijpender en verhuizen al helemaal.
Een oplossing zou zijn om per "gelekt gegeven" een vergoeding te geven. Adres gelekt? 10 euro. Telefoonnummer of e-mail adres? 5 euro. BSN nummer? 25 euro. etc. Op dat moment is het voor een webshop als Pandora gewoon te kwantificeren wat het kost als ze je data verliezen. Als je dan een miljoen klanten hebt en dat gaat uitrekenen dan bedenk je je wel 3 keer of je al die data wel moet bewaren en wordt een half miljoen voor een fatsoenlijk ingerichte firewall en andere beveiligingsmaatregelen ineens een goede deal.
Het is volkomen onrealistisch om te denken dat mensen in die schimmige omstandigheden de schade kunnen aantonen en kunnen koppelen aan de oorzaak, terwijl die schade er wel degelijk kan zijn. De bedrijven en organisaties die persoonsgegevens hebben gelekt kunnen die schimmige omstandigheden evenmin overzien of nog beïnvloeden als de schade al heeft plaatsgevonden, maar die hebben wél bijgedragen aan het probleem door die persoonsgegevens onvoldoende te beschermen.
Hoe dat zou moeten weet ik niet, maar van mij mogen de consequenties van het lekken van persoonsgegevens veel meer terechtkomen bij degenen die daar onvoldoende zorgvuldig mee zijn geweest dan nu kennelijk lukt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?