Als gedupeerde zie ik niets terug van de aan een online dienst opgelegde boete wegens een datalek. Wat kan ik daar aan doen?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Een online muziekdienst waar ik gebruik van maakte heeft wegens een groot datalek van de Franse toezichthouder een boete gekregen. Bij dit datalek werden ook mijn persoonlijke gegevens gestolen. Alleen, het geld van die boete gaat nu naar de Franse overheid. Als gedupeerde Nederlandse gebruiker zie ik hier helemaal niets van terug. Waarom is dit zo en kun je er als getroffen gebruiker iets aan doen?
Antwoord: Inderdaad kunnen onder de AVG boetes worden opgelegd voor gebrekkige beveiliging van persoonsgegevens, zeker als die daardoor in onbevoegde handen zijn gekomen.
De bevoegde toezichthouder die zo'n maatregel neemt, hangt (in principe) af van het land waarin het incident plaatsvond, wat vaak samenhangt met waar de verwerkingsverantwoordelijke gevestigd is. In dit geval was dat dus Frankrijk, vandaar dat daar de boete is opgelegd. (Wie de juridische details wil: artikelen 55 en 56 AVG.)
Doel van een boete is organisaties bestraffen, en anderen afschrikken zodat die hun zaakjes beter gaan regelen. Uit de boete worden slachtoffers dus niet schadeloos gesteld, en ze kunnen ook geen aanspraak maken op een kostenvergoeding of iets dergelijks. De boete gaat 'gewoon' de staatskas in (zie ook mijn lezersvraag uit maart).
Getroffenen mogen wél een schadeclaim indienen bij de organisatie in kwestie, al dan niet via een collectieve procedure met alle andere gedupeerden samen. Dat de organisatie is beboet door de toezichthouder, is dan een heel sterk argument dat die schade moet worden vergoed. Maar formeel staat deze procedure los van het boetetraject. (In het Nederland strafrecht kun je je als slachtoffer voegen, wat betekent dat je via de strafrechter je schade vergoed krijgt van de dader. In het bestuursrecht, waar de AVG onder valt, bestaat zo'n route niet.)
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Als je schade wilt claimen, dan zul je moeten aantonen dat je die hebt. Dat is redelijk kansloos.
Leuk, die AVG. Veel te slap en een wassen neus. Maar dat zal je niet verbazen. EU enzo...
Als je schade wilt claimen, dan zul je moeten aantonen dat je die hebt. Dat is redelijk kansloos.
Leuk, die AVG. Veel te slap en een wassen neus. Maar dat zal je niet verbazen. EU enzo...
Welnee, dat heeft niets met AVG te maken. Ik vraag me dit al decennia af. Als je naar programma's als Kassa en Radar kijkt, vraag je je vanzelf een keer af waar die boetes blijven die de overheid oplegt terwijl jij de gene bent met de schade.
De EU is zeker mijn ding ook niet maar dit is van alle tijden.
Als je schade wilt claimen, dan zul je moeten aantonen dat je die hebt. Dat is redelijk kansloos.
Lijkt mij logisch, anders gaat iedereen schade claimen ook al hebben ze geen schade opgelopen.
Als je schade wilt claimen, dan zul je moeten aantonen dat je die hebt. Dat is redelijk kansloos.
Leuk, die AVG. Veel te slap en een wassen neus. Maar dat zal je niet verbazen. EU enzo...
Jonge, jonge. Het wordt allemaal heel duidelijk uitgelegd: Hoe het juridisch precies in elkaar steekt en toch moet er weer een komen zeuren, Ook nog over, het zal je niet verbazen, natuurlijk... de EU.
Als je het risico niet wil lopen dat je schade oploopt via commerciele internetdiensten moet je daar gewoon wegblijven. Die denken alleen voor de vorm over jouw veiligheid. Voor hen staat bovenaan: Omzet. Security komt op de tweede plaats. Dat weet je toch wel inmiddels? Of leef je onder een digitale steen?
(Daarnaast snap ik zowiezo helemaal niet hoe publiek zo stom kan, of kon zijn, hun hele CD verzameling in de kliko te gooien en zich afhankelijk te maken - ook nog betaald - van een commerciele cloud, die 'plop' uit elkaar spat als het faiilliet gaat. Weg CD's en dan ook weg muziek. Oenen zijn het. Allemaal.)
Je ben pas gedupeerd als je persoonsgegevens uit een datalek echt worden misbruikt.
Dit ongeveer de gedachtegang welke gevolgd is in een aantal rechtszaken.
Dus helaas geen gratis geld.
Je ben pas gedupeerd als je persoonsgegevens uit een datalek echt worden misbruikt.
Dit ongeveer de gedachtegang welke gevolgd is in een aantal rechtszaken.
Dus helaas geen gratis geld.
Dus op het moment da mij BSN, email en telefoonnummer worden gelekt door een commerciele partij krijg ik:
Had je maar niet moeten kopen
Er is geen schade
Er wordt niks misbruikt dus geen gratis geld.
Dat ik hierdoor maatregelen moet nemen op allerlei vlakken: phishing, spam, telefoontjes, inschrijvingen op diensten etc..
Het kost mij tijd en geld om me hiertegen te beveiligen zodat ik niet de dupe wordt van de laksheid, bespaardrift en domheid van anderen. Een aantal zaken kunnen niet aangepast worden tenzij je vindt dat je dan maar door toedoen van anderen een ander nummer, adres, mailadres moet nemen door toedoen van anderen. Om over het BSN nummer nog maar te zwijgen.
Dit soort opmerkingen laat zien hoe theoretische mensen in de wereld staan en niet praktisch kijken naar de echte wereld.
Meneer de rechter: ik heb een stalker/eerwraak. Ach zolang er nog niks gebeurt is moet u zich niet druk maken. Er is tenslotte nog niks gebeurt. Succes en het is vast uw eigen schuld,
Je ben pas gedupeerd als je persoonsgegevens uit een datalek echt worden misbruikt.
Dit ongeveer de gedachtegang welke gevolgd is in een aantal rechtszaken.
Dus helaas geen gratis geld.
Dus op het moment da mij BSN, email en telefoonnummer worden gelekt door een commerciele partij krijg ik:
Had je maar niet moeten kopen
Er is geen schade
Er wordt niks misbruikt dus geen gratis geld.
Als jullie allebei nu eens eerst de beruchte kleine lettertjes gaan lezen, hoef je hier misschien niet zo tegen elkaar uit te varen.
Als je schade wilt claimen, dan zul je moeten aantonen dat je die hebt. Dat is redelijk kansloos.
Leuk, die AVG. Veel te slap en een wassen neus. Maar dat zal je niet verbazen. EU enzo...
Welnee, dat heeft niets met AVG te maken. Ik vraag me dit al decennia af. Als je naar programma's als Kassa en Radar kijkt, vraag je je vanzelf een keer af waar die boetes blijven die de overheid oplegt terwijl jij de gene bent met de schade.
De EU is zeker mijn ding ook niet maar dit is van alle tijden.
Misschien moet je je een heel klein beetje verdiepen in het Nederlandse recht en dan vooral de verschillen tussen civielrecht, strafrecht en bestuursrecht.
Arnoud heeft het uitstekend uitgelegd, dit is bestuursrechtelijk en het doel is ervoor te zorgen dat organisaties een financiële prikkel hebben om het goed te doen (niet goed doen is een stevige boete). Als jij meent schade te hebben, dan kan je prima een civielrechtelijke procedure starten.
Ook door Arnoud geschreven, als de boete is toegekend, dan is jouw civiel rechtelijke zaak al sowieso sterk.
Je ben pas gedupeerd als je persoonsgegevens uit een datalek echt worden misbruikt.
Dit ongeveer de gedachtegang welke gevolgd is in een aantal rechtszaken.
Dus helaas geen gratis geld.
In beginsel kan ik die gedachte volgen, echter je weet nooit of op een later moment die data alsnog misbruikt wordt. Interresant wordt de vraag of je in zo'n rechtszaak een toekenning [een soort placeholder] voor schadeloosstelling kan krijgen? Omdat er nu geen schade is, krijg je niet op voorhand een schadeloosstelling; Maar als op een later moment alsnog schade optreedt, dan heb je daar wel recht op [ervan uitgaande dat je deze rechtszaak wint] en moet het bedrijf je op dat latere moment alsnog schadeloos stellen.
Bijkomend effect is dat zo'n bedrijf dan in de boeken reserveringen moet opnemen voor mogelijke schadeloosstellingen in de toekomst. Dat doet misschien nog wel meer pijn dan de bestuursrechtelijk AVG-boete.
Je ben pas gedupeerd als je persoonsgegevens uit een datalek echt worden misbruikt.
Dit ongeveer de gedachtegang welke gevolgd is in een aantal rechtszaken.
Dus helaas geen gratis geld.
Dus op het moment da mij BSN, email en telefoonnummer worden gelekt door een commerciele partij krijg ik:
Had je maar niet moeten kopen
Er is geen schade
Er wordt niks misbruikt dus geen gratis geld.
Als jullie allebei nu eens eerst de beruchte kleine lettertjes gaan lezen, hoef je hier misschien niet zo tegen elkaar uit te varen.
Met het blind accepteren van voorwaarden van 66+ kantjes a4 in 10 punts letter heb je op blz 51 je rechten opgegeven.
en al doe jij het niet dan een ander wel omdat bv adreslijst van een telefoon regel'atig opgestuurd moet worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
