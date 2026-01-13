Een Nederlands autobedrijf, dat het eigen e-mailaccount niet goed had beveiligd waardoor een klant kon worden opgelicht, moet de helft van de materiële schade die deze klant leed vergoeden. Dat heeft het gerechtshof Arnhem-Leeuwarden geoordeeld. Het gaat om een schadevergoeding van ruim 13.000 euro en meer dan 1.000 euro aan buitengerechtelijke kosten.

De klant, afkomstig uit Australië, wilde in juli 2022 een auto bij het autobedrijf kopen. Na eerder e-mailcontact ontving de koper vanuit het e-mailadres van het autobedrijf een bericht met betaalinstructies om ongeveer 27.000 euro naar een Duits rekeningnummer over te maken. De e-mail was echter frauduleus en afkomstig van criminelen die toegang tot het e-mailaccount van het autobedrijf hadden.

De koper ontdekte dat hij was opgelicht en wilde dat het autobedrijf de auto alsnog leverde. Het autobedrijf weigerde dit en besloot de overeenkomst te ontbinden. De koper stapte naar de rechter. Het autobedrijf verscheen niet in de procedure en werd bij verstek veroordeeld tot het betalen van de 27.000 euro en het betalen van een materiële en immateriële schadevergoeding.

Het autobedrijf voerde daarop via een (verzet)procedure alsnog verweer waarna de rechtbank het verstekvonnis grotendeels vernietigde en de eerder toegewezen vorderingen grotendeels afwees. Daarop ging de koper bij het Gerechtshof Arnhem-Leeuwarden in hoger beroep. Volgens de koper had het autobedrijf geen adequate e-mailbeveiliging. Dat zou onder meer blijken uit de opmerking van de externe ict-beheerder van het autobedrijf, dat toegang tot het e-mailaccount werd verkregen met slechts een paar pogingen, wat inhoudt dat het wachtwoord door de aanvaller eenvoudig kon worden verkregen.

Daarnaast deelde het autobedrijf haar wachtwoord met meerdere personen, gebruikte zij geen tweefactorauthenticatie, gebruikte zij alleen standaard ‘tooling’ om het netwerk te scannen en was er geen bewijs dat het wachtwoord complex was of ooit is gewijzigd, aldus de koper. Het autobedrijf stelde dat haar maatregelen passend zijn vanwege de beperkte hoeveelheid persoonsgegevens die zij via haar e-mailaccount verwerkt en omdat zij geen bijzondere of gevoelige persoonsgegevens verwerkt. Het beheer van het e-mailaccount was uitbesteed aan een gespecialiseerd ict-bedrijf voor kleine autobedrijven.

Tussenuitspraak

Het hof gaf het autobedrijf de gelegenheid om aan te tonen dat het e-mailaccount goed was beveiligd. Op basis van de aangeleverde stukken stelde het hof vorig jaar augustus in een tussenuitspraak dat dit niet het geval was en de AVG is geschonden. "Het autobedrijf moet als verwerkingsverantwoordelijke zorgen voor een passende beveiliging van de persoonsgegevens die zij verwerkt en moet kunnen aantonen dat zij aan deze verplichting heeft voldaan", aldus het hof destijds

Het autobedrijf had de inrichting en het beheer van het e-mailaccount uitbesteed aan een ict-dienstverlener. Als verwerkingsverantwoordelijke blijft het autobedrijf verantwoordelijk voor de beveiligingsmaatregelen die de ict-dienstverlener verwerker treft, liet het hof verder in de tussenuitspraak weten. Wanneer de ict-dienstverlener niet de juiste maatregelen treft is het autobedrijf toch aansprakelijk voor de schade die een klant daardoor leidt. Het autobedrijf deed een beroep op eigen schuld, waardoor er vervolgens werd gekeken of de gevorderde schade voor rekening van de koper zou moeten blijven.

Uitspraak

Het hof is nu met het eindarrest gekomen, waarin het laat weten dat het autobedrijf de helft van de geleden schade moet betalen. Volgens het hof kan het autobedrijf geen beroep doen op het feit dat het geen kennis van cybersecurity heeft en daarom het beheer had uitbesteed. "Het instellen van een eigen wachtwoord is echter ook voor een klein bedrijf een maatregel die zij had moeten treffen."

Aan de andere kant draagt de klant volgens het hof ook een deel van de verantwoordelijkheid. De klant had namelijk een aantal dagen daarvoor een aanbetaling gedaan op een Nederlands bankrekeningnummer. "Het andere, Duitse bankrekeningnummer had dus tot enige argwaan bij hem moeten leiden", aldus het hof. Dat oordeelt dat een deel van de schade dan ook aan de koper is toe te rekenen. Uiteindelijk oordeelt het hof dat het autobedrijf een schadevergoeding van 13.500 euro moet betalen en 1054 euro aan buitengerechtelijke kosten.