Prejudiciële vragen over immateriële schadevergoeding bij datalek

De hoogste bestuursrechter in Bulgarije heeft het Hof van Justitie van de EU prejudiciële vragen gesteld naar aanleiding van een hackaanval op de Bulgaarse belastingdienst, waarbij gegevens van miljoenen Bulgaren en ook meer dan tweeduizend Nederlanders zouden zijn gestolen. De Bulgaarse bestuursrechter wil onder meer weten of de zorgen, ongerustheid en angst van gedupeerden over mogelijk misbruik van persoonsgegevens een vordering tot immateriële schadevergoeding rechtvaardigen.

Delen:

Share on linkedin
Share on twitter
Share on facebook
Share on whatsapp
Share on email

Privacy- en IT-advocaat Thomas van Essen van Solv. schrijft hierover in een blog.

Enorm datalek

De Bulgaarse belastingdienst NRA meldde in 2019 dat haar bestanden waren gehackt. Daarbij zou gevoelige financiële informatie van naar schatting vijf miljoen belastingplichtigen zijn ontvreemd. Bulgarije heeft nog geen zeven miljoen inwoners. Het datalek betrof dan ook de persoonsgegevens van bijna alle volwassen Bulgaren. Onder de gedupeerden zouden ook ongeveer 2.400 Nederlanders zijn met bijvoorbeeld een bankrekening in Bulgarije, zo liet de NRA weten. De gelekte informatie betrof onder andere belastingaangiften en betalingen aan ziekteverzekeringen.

Onvoldoende beveiligingsmaatregelen

De NRA meldde het lek aan de Bulgaarse toezichthouder en wetshandhavingsinstanties en kreeg uiteindelijk een boete van 2,6 miljoen euro opgelegd voor het overtreden van artikel 32 AVG. Daarin is de verplichting opgenomen om passende technische en organisatorische maatregelen te nemen om het verlies van persoonsgegevens of onrechtmatige verwerking tegen te gaan.

Bewijslast

Honderden gedupeerden hebben daarna claims ingediend voor immateriële schade, zo schrijft Van Essen. In de procedures daarover is door de verschillende nationale rechters niet eenduidig geoordeeld.
In de zaak die leidde tot de procedure bij de hoogste bestuursrechter was zo’n vordering afgewezen. De NRA stelde in die zaak slachtoffer te zijn geworden van een hackaanval door mensen die te kwader trouw handelden. De rechter oordeelde dat de NRA als verwerkingsverantwoordelijke geen absolute plicht heeft om ongeoorloofde toegang tot gegevens te voorkomen. De gedupeerde had volgens de rechter bovendien niet voldaan aan de op haar rustende bewijslast, namelijk om aan te tonen dat de door de NRA getroffen beveiligingsmaatregelen ontoereikend waren. Zo had zij duidelijk moeten maken welke technische maatregelen de overheidsinstantie had moeten nemen om de hackaanval te voorkomen. De nationale rechter oordeelde ook dat de psychische schade door de vrees van de vrouw voor mogelijk misbruik van de gelekte gegevens geen immateriële schade rechtvaardigt.

Prejudiciële vragen

De vrouw ging tegen deze beslissing in beroep bij de hoogste bestuursrechter van Bulgarije, die het Europese hof nu verschillende prejudiciële vragen voorlegt. Zo wil de rechter weten of elke inbreuk op persoonsgegevens door een hackeraanval automatisch betekent dat de verwerkingsverantwoordelijke geen passende maatregelen heeft genomen zoals bedoeld in artikel 24 en 32 AVG. Ook wil de rechter weten aan de hand waarvan hij of zij moet bepalen of de beveiligingsmaatregelen adequaat waren en wie moet bewijzen dat de beveiligingsmaatregelen al dan niet passend waren wanneer een verwerkingsverantwoordelijke aansprakelijk wordt gesteld voor immateriële schade. Verder wil de bestuursrechter weten of de term “immateriële schade” ook toepasselijk is bij de zorgen, ongerustheid en angst van betrokkenen over mogelijk toekomstig misbruik van hun persoonsgegevens, zelfs als deze nog niet zijn misbruikt.

Delen:

Share on linkedin
Share on twitter
Share on facebook
Share on whatsapp
Share on email

Het belangrijkste nieuws wekelijks in uw inbox?

Abonneer u op de Mr. nieuwsbrief: elke dinsdag rond de lunch een update van het nieuws van de afgelopen week, de laatste loopbaanwijzigingen en de recentste vacatures. Meld u direct aan en ontvang elke dinsdag de Mr. nieuwsbrief.

Over Mr.

Mr. is hét platform voor juristen. Mr. bericht over actuele zaken in de juridische wereld en belicht en becommentarieert deze vanuit een onafhankelijke positie. Mr. richt zich op alle in Nederland actieve juristen en WO-rechtenstudenten..

Volg MR. op social media

Service menu

Contactgegevens

Uitgeverij Mr. bv
Paul Krugerkade 45
2021 BN Haarlem
Uitgever: Charley Beerman
E-mail: beerman@mr-magazine.nl

Scroll naar top