Uiteenzetting uitspraak: schadevergoeding voor datalek
15 februari 2021

In de zaak tussen eiser en gedaagde, de gemeente Oldambt, staat niet ter discussie dat sprake is van een datalek.[1] Het geschil draait om de vraag of schade is geleden en in hoeverre schadevergoeding moet worden toegewezen aan eiser. Als gevolg van het datalek vordert eiser namelijk een bedrag aan materiële schadevergoeding van € 11.307,00 en een door de rechter billijk vast te stellen bedrag aan immateriële schadevergoeding. Eiser wil ‘de gemeente wakker schudden, een statement maken’.

Wat was er in deze zaak aan de hand?

De gemeente Oldambt had in 2016 een perceel met ongebruikte schietbaan te koop staan voor een bedrag van € 1,-. Eiser had interesse in zowel het perceel als de schietbaan. Voor het in gebruik nemen van de schietbaan was een aparte omgevingsvergunning nodig. Eiser vroeg op 9 december 2016 een dergelijke vergunning aan via het Omgevingsloket van de gemeente. Hij diende daarvoor een standaardformulier in te vullen met als koptekst ‘publiceerbare melding’. Er wordt in dat formulier een onderscheid gemaakt tussen wat zichtbaar is voor het bevoegd gezag (de volledige aanvraag) en wat zichtbaar is voor het publiek op de website van de gemeente (de publiceerbare aanvraag). Wel moet je als aanvrager van de vergunning akkoord geven op de publiceerbare aanvraag, wat eiser ook heeft gedaan. Op de publiceerbare aanvraag staan gegevens vermeld van de aanvraag, de aanvrager en de locatie (persoons- en locatiegegevens). De volledige aanvraag is nog aangevuld met het BSN-nummer en telefoonnummer van de aanvrager.

Op 2 december 2018 constateert een verslaggever (van RTV Noord) dat op de website van de gemeente Oldambt over de vergunningsaanvraag, naast de voor- en achternaam en adres van eiser, ook het BSN-nummer, telefoonnummer en e-mailadres van eiser zichtbaar is voor iedereen. Eiser heeft diezelfde dag melding gemaakt van een datalek bij de gemeente en vordert op grond van artikel 82 lid 1 van de AVG materiële en immateriële schadevergoeding. Hij baseert zijn materiële vordering op gemaakte kosten om zijn huis te beveiligen (onder andere camera’s, rolluiken, alarmsystemen) en immateriële kosten bestaande uit angstgevoelens, omdat hij en zijn gezin zich niet meer veilig voelen in hun eigen huis. Volgens eiser zouden door het lekken van zijn persoonsgegevens ernstige risico’s bestaan op inbraak in zijn woning, inbraak en identiteitsfraude. Vooral omdat het beschikken over een schietbaan impliceert dat er wapens in huis zouden liggen.

Gemeente Oldambt heeft bij e-mail van 5 december 2018 gereageerd op het door eiser gemelde datalek. De gemeente constateert dat verschillende keren het BSN-nummer, telefoonnummer en e-mailadres van eiser op de website van de gemeente voor iedereen toegankelijk was en dus sprake is geweest van een datalek. De betreffende gegevens zijn door de gemeente verwijderd en er is melding gedaan bij de Autoriteit Persoonsgegevens. De gemeente verzoekt de inmiddels ingeschakelde gemachtigde van eiser op 9 januari 2019 om onderbouwing van enige materiële geleden schade en geeft gelijktijdig aan dat zij geen immateriële schadevergoeding gaan betalen.

Beoordeling Rechtbank Noord-Nederland

Inbreuk privacy

De rechtbank oordeelt dat er sprake is van een inbreuk op de privacy van eiser als bedoeld in artikel 4 lid 12 AVG doordat zijn BSN-nummer, telefoonnummer en e-mailadres diverse keren zonder toestemming van eiser op de website van gemeente Oldambt is gepubliceerd. Ondanks dat sprake zou zijn van een incident heeft eiser volgens de rechtbank voldoende belang bij zijn vordering.

Aanspraak op schadevergoeding

Eiser heeft volgens de rechtbank op grond van artikel 82 AVG recht op schadevergoeding van zowel materiële als immateriële schade. Artikel 95 van Boek 6 van het Burgerlijk Wetboek (BW) bepaalt dat het recht op schadevergoeding bestaat uit vermogensschade, oftewel materiële schade (artikel 6:96 BW) en ander nadeel, oftewel immateriële schade (artikel 6:106 BW).

Materiële schadevergoeding

Eiser heeft zijn aanspraak op schadevergoeding van materiële schade gegrond op artikel 6:96 lid 2 onder a BW: eiser vordert vergoeding van de gemaakte kosten om zijn huis te beveiligen (onder andere camera’s, rolluiken, alarmsystemen). De kosten moeten op basis van het genoemde wetsartikel aan een “dubbele redelijkheidstoets” voldoen. Oftewel, de genomen maatregelen door eiser moeten kunnen worden aangemerkt als redelijke kosten ter voorkoming of beperking van schade die door het datalek zou zijn veroorzaakt. Volgens de rechtbank is daar geen sprake van. De gemeente kan uitsluitend worden aangerekend dat het BSN-nummer, telefoonnummer en e-mailadres van eiser voor anderen toegankelijk is geweest. Ook heeft de gemeente het datalek, na de melding ervan, snel gedicht. Naar het oordeel van de rechtbank was het niet aannemelijk dat eiser door het datalek zijn huis moest beveiligen, oftewel hoefde te vrezen voor zijn persoon of goederen. Bovendien heeft eiser zelf meegewerkt aan publicatie van zijn gegevens via het formulier van de gemeente én heeft hij bewust de media opgezocht. Dat eiser met wapens of schietsport in verband zou worden gebracht door anderen ligt dan ook in zijn eigen risicosfeer.

Immateriële schadevergoeding

Op grond van artikel 6:106, lid 1 sub b BW kan – voor zover hier volgens de kantonrechter relevant – de schadevergoeding onder andere bestaan uit een geestelijk letsel of er kan sprake zijn van aantasting in de persoon op een andere wijze. Concreet betekent dit (a) dat door het datalek geestelijk letsel moet zijn opgelopen of (b) als het bestaan van een geestelijk letsel niet kan worden aangenomen er door de impact van het datalek toch sprake is van een aantasting in de persoon. In geval van situatie (a) moet eiser het letsel met objectieve maatstaven onderbouwen. Bij situatie (b) moet eiser – tenzij de schending dusdanig ernstig is dat het niet kan worden gevergd van eiser – de aantasting op andere wijze met concrete gegevens onderbouwen. Een enkele schending van het fundamentele recht (bijvoorbeeld het recht op familie- en privéleven op grond van artikel 8 EVRM) betekent geen aantasting van de persoon ‘op andere wijze’.[2]

Beslissing Rechtbank Noord-Nederland

Volgens de kantonrechter is het uitgangspunt dat de vordering tot immateriële schadevergoeding kan worden toegewezen gelet op de AVG en de tot nu toe vastgestelde rechtspraak daarover.[3] Zelfs als de schade niet gedetailleerd kan worden onderbouwd, komt eiser de volledige en daadwerkelijke geleden schade toe. Wél maakt de rechtbank een voorbehoud: een inbreuk op de AVG brengt niet zonder meer met zich mee dat eiser is aangetast in zijn integriteit en dus recht heeft op immateriële schade. Eiser moet zijn schade met concrete gegevens onderbouwen en aannemelijk maken.

Eiser heeft naar de mening van de rechtbank geen geestelijk letsel opgelopen, maar is wel op ‘andere wijze in zijn persoon aangetast’. Er zijn immers gevoelige gegevens openbaar gemaakt, zonder toestemming van eiser:

“4.28. De kantonrechter is wél van oordeel dat [eiser] anderszins in zijn persoon is aangetast. De persoonlijke levenssfeer van [eiser] is bij herhaling door de gemeente geschonden vanwege het – in strijd met de AVG – meermalen publiceren van het BSN-nummer, het e-mailadres en het telefoonnummer van [eiser] op de gemeentelijke website, zonder dat [eiser] daarvoor toestemming aan de gemeente had verleend (vgl. r.o. 36 van de uitspraak van de Afdeling). Het gaat hierbij ook om naar hun aard gevoelige gegevens, zeker waar het betreft het BSN-nummer van [eiser]. De nadelige gevolgen van het lekken daarvan, zoals identiteitsfraude, liggen voor de hand. Daarom heeft [eiser] naar het oordeel van de kantonrechter recht op toekenning van een naar billijkheid vast te stellen vergoeding voor geleden immateriële schade.”

De rechtbank wijst een bedrag toe van € 500, “gelet op de omstandigheden van het onderhavige geval, waaronder de aard, duur, frequentie en ernst van de inbreuk, afgezet tegen de omstandigheid dat niet is gebleken dat de datalekken tot concrete negatieve gevolgen hebben geleid”.

Die omstandigheden, het onterecht openbaar maken van onder meer het BSN-nummer maar het ook snel ‘dichten’ van het datalek worden hier dus door de rechter afgewogen.


Tags

Neem contact op

Meer informatie of een afspraak maken? Bel 050-5344574 of laat hier een bericht achter via ons contactformulier.

Ook interessant om te lezen