Passende beveiligingsmaatregelen: bewijs telt, niet alleen (ISO-)certificering

Een klant kocht een auto bij het autobedrijf. Na een eerste aanbetaling ontving de klant een e-mail met een verzoek om het resterende bedrag over te maken naar een Duitse bankrekening. Deze betaalinstructie leek afkomstig van het autobedrijf, maar was in werkelijkheid verzonden door een hacker die toegang had verkregen tot het e-mailaccount van het autobedrijf.

Het autobedrijf ontving de koopsom niet en weigerde de auto te leveren. De koper claimde schade en stelde dat het autobedrijf in strijd met de AVG onvoldoende beveiligingsmaatregelen had getroffen. In december 2024 schreven wij al een blog bij een tussenarrest van het hof (zie hier), waarna het autobedrijf de mogelijkheid kreeg om aan te tonen dat het e-mailaccount wel voldoende beveiligd was.

Het autobedrijf heeft vervolgens een ‘AVG nalevingsrapport’ overgelegd en heeft als een van de belangrijkste maatregelen genoemd dat het autobedrijf een ISO 27001-gecertificeerde dienstverlener had ingeschakeld voor zijn IT-omgeving, waaronder het beheer van zijn e-mailaccount.

Hoewel het beheer van het e-mailaccount was uitbesteed aan een IT-dienstverlener, blijft het autobedrijf verantwoordelijk voor het treffen en aantonen van passende beveiligingsmaatregelen. Daarbij moeten de maatregelen zijn afgestemd op de gegevensverwerkingen die plaatsvinden via het e-mailaccount. Het gaat daarbij hoofdzakelijk om de verwerking van namen en (e-mail)adressen van klanten en factuurgegevens, zoals de prijs en het kenteken van het voertuig.

Het hof concludeert dat het autobedrijf op zichzelf mag vertrouwen op een ISO 27001-gecertificeerd bedrijf voor de beveiliging van zijn e-mailaccount, maar ten opzichte van de klanten blijft het autobedrijf verantwoordelijk voor de beveiligingsmaatregelen die de verwerker treft. Dit betekent dat als de verwerker niet de juiste maatregelen treft, het autobedrijf aansprakelijk is voor de schade die een klant daardoor lijdt.

Volgens het autobedrijf zijn de risico’s zeer beperkt, maar het hof ziet dit anders. De gedachte achter de beveiligingsverplichtingen die de AVG oplegt, is dat bij de beoordeling van die verplichtingen aandacht moet worden besteed aan de risico’s die kunnen leiden tot lichamelijke, materiële en immateriële schade. In dit geval is een mogelijk risico dat identiteitsfraude wordt gepleegd of dat sprake is van financieel misbruik. De technische en organisatorische maatregelen die het autobedrijf moet treffen, moeten dan ook op die risico’s zijn afgestemd en moeten zijn gericht op het voorkomen van ongeoorloofde toegang tot het e-mailaccount.

Voor wat betreft de getroffen maatregelen verwijst het autobedrijf naar een nalevingsrapport en stelt dat controlemechanismen aanwezig waren om ongeoorloofde toegang te detecteren. Het autobedrijf stelt dit wel, maar toont niet aan hoé die mechanismen werken. Een concrete onderbouwing ontbreekt. Het hof vindt met name de volgende punten problematisch:

• Geen bewijs van detectie en monitoring: onduidelijk hoe controlemechanismen functioneerden en hoe ongeoorloofde toegang werd gesignaleerd.
• Onduidelijk wachtwoordbeheer: geen informatie over welk wachtwoord was ingesteld, wie het beheerde en of dit passend was.
• Gebrekkige organisatorische maatregelen: niet toegelicht wie toegang had tot het wachtwoord en hoe medewerkers in het e-mailaccount konden komen.
• Onvoldoende onderbouwing ISO-certificering: het certificaat is niet overgelegd, en er is niet toegelicht welke systemen en processen binnen de scope vielen.

Kortom, het autobedrijf heeft niet bewezen dat passende technische en organisatorische maatregelen zijn getroffen om het e-mailaccount te beveiligen. Daarmee is sprake van een inbreuk op de AVG en die inbreuk is aan het autobedrijf toe te rekenen. De klant heeft schade geleden omdat hij het bedrag voor de auto heeft betaald, zonder dat hij de auto heeft verkregen. Dat de klant de schade heeft geleden door de inbreuk op de AVG, staat volgens het hof ook vast.

De klant vordert nog een bedrag van € 5.000 aan immateriële schadevergoeding. Hiervoor moet de klant bewijzen dat hij daadwerkelijk dergelijke schade heeft geleden. Een inbreuk op de AVG volstaat op zichzelf namelijk niet voor de toekenning van een immateriële schadevergoeding. De gegevens waar de hacker toegang toe heeft verkregen zijn weliswaar ruimer dan naam- en adresgegevens, maar het zijn geen bijzondere persoonsgegevens, zoals gezondheidsgegevens. Het hof is dan ook van oordeel dat nadelige gevolgen niet voor de hand liggen en dat immateriële schade niet kan worden aangenomen.

Het autobedrijf heeft nog aangevoerd dat de klant had kunnen weten dat bepaalde zaken niet pluis waren. Zo was de betaling gedaan op een Duitse rekening, terwijl de aanbetaling gedaan was op een Nederlandse rekening. Het hof stelt dat het inderdaad zo kan zijn dat hierdoor sprake is van eigen schuld van de klant. Het hof biedt partijen nog de mogelijkheid om zich daarover uit te laten. Dat het autobedrijf de schade moet betalen staat aldus nu vast, maar het bedrag kan nog wel worden gematigd door eigen schuld van de klant.

Deze uitspraak is relevant voor alle organisaties die persoonsgegevens verwerken en (een deel van) hun IT uitbesteden. De uitspraak maakt duidelijk dat de lat hoog ligt bij het aantonen van passende beveiligingsmaatregelen onder de AVG. Het gaat niet alleen om het nemen van de beveiligingsmaatregelen, maar ook moet kunnen worden aangetoond dat die maatregelen passend en effectief zijn. Denk aan heldere documentatie binnen uw organisatie én van uw IT-dienstverlener, waaronder ook logbestanden en incidentregistraties.

Een ISO 27001-certificaat kan waardevol zijn, maar alleen als het certificaat wordt overgelegd en wordt toegelicht. Rapporten of certificeringen hebben namelijk pas waarde als zij concreet en aantoonbaar maken hoe beveiligingsrisico’s zijn gemitigeerd. Bovendien blijft de eindverantwoordelijkheid bij de verwerkingsverantwoordelijke. Uitbesteding aan een gecertificeerde IT-dienstverlener vrijwaart niet automatisch van aansprakelijkheid.