Eén claim van duizenden euro’s: de impact van beveiligingsfouten

Een koper heeft een auto van een autobedrijf gekocht. De koper had betaalinstructies via een e-mail ontvangen. Hij heeft deze instructies gevolgd en het bedrag voldaan op een (Duitse) rekening. Toen de koper de auto wilde ophalen, gaf het autobedrijf aan dat de koper niet betaald had.

Wat bleek? Een hacker had toegang gekregen tot het e-mailaccount van het autobedrijf. De hacker heeft valse instructies verstuurd naar de koper, waardoor het geld dus niet op de rekening van het autobedrijf gekomen is, maar op een rekening van de hacker.

Het autobedrijf weigert de auto te leveren of de schade te vergoeden. Het gevolg is dat de koper geen auto heeft en zijn geld kwijt is. Hij stapt dan ook naar de rechter. De koper eist vergoeding van zijn schade: EUR 26.000,- voor de koopprijs van de auto en nog een bedrag aan immateriële schadevergoeding.

De koper neemt een interessant standpunt in. Hij stelt namelijk dat het autobedrijf de Algemene Verordening Gegevensbescherming (‘AVG’) heeft overtreden en de koper daardoor schade heeft geleden. Waarom zou dat zo zijn?

Op grond van de AVG dienen organisaties ervoor te zorgen dat zij passende technische en organisatorische beveiligingsmaatregelen treffen om ervoor te zorgen dat persoonsgegevens goed beveiligd worden. Daarbij moeten organisaties beoordelen wat voor persoonsgegevens zij verzamelen, hoe gevoelig deze gegevens zijn en wat er zou kunnen gebeuren als de persoonsgegevens in verkeerde handen terecht komt. Aan de hand van deze factoren moet een organisatie bepalen welke beveiligingsmaatregelen getroffen moeten worden.

De koper zegt dus dat het autobedrijf geen goede beveiligingsmaatregelen genomen heeft en de koper daardoor schade heeft geleden.

In deze zaak had het autobedrijf de beveiliging van haar systemen uitbesteed aan een IT-leverancier. De IT-leverancier had bepaalde monitoring- en toegangsmaatregelen getroffen die moesten voorkomen dat hackers toegang zouden krijgen tot het e-mailaccount. Ook had het IT-bedrijf een “heel ingewikkeld wachtwoord” ingesteld: “een hele reeks met allerlei symbolen erin”. Dit wachtwoord wijzigde eens in de zoveel tijd. Om in de e-mailbox te komen, hoefde de eigenaar van het autobedrijf alleen de computer aan te zetten en in te loggen met een “voorgeprogrammeerd” wachtwoord.

Het hof is niet overtuigd dat deze beveiligingsmaatregelen passend zijn. Zo had het autobedrijf zelf meer bevoegdheden op zich moeten nemen met betrekking tot het wachtwoord. Ook is gebleken dat er maar enkele inlogpogingen nodig waren om toegang te krijgen tot het e-mailaccount van het autobedrijf. Dit doet vermoeden dat het wachtwoord niet zo ingewikkeld was als gesteld werd.

Omdat toch niet helemaal duidelijk is geworden of de beveiligingsmaatregelen voldoende waren, heeft het hof aan het autobedrijf een bewijsopdracht meegegeven om te onderbouwen dat zijn e-mailaccount wel voldoende veilig was.

Het hof loopt echter alvast vooruit op de zaken: indien het autobedrijf niet kan aantonen dat zij heeft voldaan aan haar beveiligingsplicht, is er sprake van een inbreuk op de AVG.

Het hof neemt verder aan dat er een causaal verband bestaat tussen het onvoldoende beveiligingsniveau en de schade: als het e-mailaccount wel passend beveiligd was geweest, had de hacker niet de betaalinstructie kunnen versturen naar de klant.

Als laatste geeft het hof aan dat de schade ook (deels) toerekenbaar is. Het autobedrijf had aangevoerd dat de koper had kunnen weten dat bepaalde zaken niet pluis waren. Zo was de betaling gedaan op een Duitse rekening, terwijl de aanbetaling gedaan was op een Nederlandse rekening. Het hof stelt dat het inderdaad zo kan zijn dat hierdoor sprake is van eigen schuld van de koper, maar dat betekent niet dat het autobedrijf helemaal geen schade hoeft te vergoeden. Welk deel van de schade het autobedrijf in dat geval dient te vergoeden, moet later worden vastgesteld.

Het gevolg is dat het autobedrijf (een gedeelte van) de geclaimde schade moet vergoeden als het autobedrijf niet aantoont dat hij voldoende beveiligingsmaatregelen genomen heeft.

Deze zaak benadrukt nog maar eens dat het noodzakelijk is voor elke organisatie om goed te kijken welke beveiligingsmaatregelen getroffen moeten worden. Zijn de beveiligingsmaatregelen onvoldoende, en lijdt een persoon daardoor schade, dan kan die persoon aanspraak maken op schadevergoeding.

Om de juiste maatregelen te treffen, is het nodig dat uw organisatie goed zicht heeft op welke risico’s gepaard gaan met de verzameling en het gebruik van persoonsgegevens. Zelfs wanneer alleen een e-mailadres verzameld wordt, kan dat slechte gevolgen hebben voor een persoon. Zorg er dus voor dat u de risico’s goed in kaart hebt gebracht, en pas daar uw beveiligingsmaatregelen op aan. Daarbij is het onvoldoende om af te gaan op de expertise van bijvoorbeeld uw IT-leverancier. Als organisatie bent u zelf verplicht om goede beveiligingsmaatregelen te treffen en u moet dus een (flinke) vinger in de pap houden bij uw leveranciers.

Wij helpen u hier graag mee. Heeft u vragen? Neem gerust contact met ons op.