Privacy- en IT-advocaat Thomas van Essen van Solv. schrijft hierover in een blog.
Enorm datalek
De Bulgaarse belastingdienst NRA meldde in 2019 dat haar bestanden waren gehackt. Daarbij zou gevoelige financiële informatie van naar schatting vijf miljoen belastingplichtigen zijn ontvreemd. Bulgarije heeft nog geen zeven miljoen inwoners. Het datalek betrof dan ook de persoonsgegevens van bijna alle volwassen Bulgaren. Onder de gedupeerden zouden ook ongeveer 2.400 Nederlanders zijn met bijvoorbeeld een bankrekening in Bulgarije, zo liet de NRA weten. De gelekte informatie betrof onder andere belastingaangiften en betalingen aan ziekteverzekeringen.
Onvoldoende beveiligingsmaatregelen
De NRA meldde het lek aan de Bulgaarse toezichthouder en wetshandhavingsinstanties en kreeg uiteindelijk een boete van 2,6 miljoen euro opgelegd voor het overtreden van artikel 32 AVG. Daarin is de verplichting opgenomen om passende technische en organisatorische maatregelen te nemen om het verlies van persoonsgegevens of onrechtmatige verwerking tegen te gaan.
Bewijslast
Honderden gedupeerden hebben daarna claims ingediend voor immateriële schade, zo schrijft Van Essen. In de procedures daarover is door de verschillende nationale rechters niet eenduidig geoordeeld.
In de zaak die leidde tot de procedure bij de hoogste bestuursrechter was zo’n vordering afgewezen. De NRA stelde in die zaak slachtoffer te zijn geworden van een hackaanval door mensen die te kwader trouw handelden. De rechter oordeelde dat de NRA als verwerkingsverantwoordelijke geen absolute plicht heeft om ongeoorloofde toegang tot gegevens te voorkomen. De gedupeerde had volgens de rechter bovendien niet voldaan aan de op haar rustende bewijslast, namelijk om aan te tonen dat de door de NRA getroffen beveiligingsmaatregelen ontoereikend waren. Zo had zij duidelijk moeten maken welke technische maatregelen de overheidsinstantie had moeten nemen om de hackaanval te voorkomen. De nationale rechter oordeelde ook dat de psychische schade door de vrees van de vrouw voor mogelijk misbruik van de gelekte gegevens geen immateriële schade rechtvaardigt.
Prejudiciële vragen
De vrouw ging tegen deze beslissing in beroep bij de hoogste bestuursrechter van Bulgarije, die het Europese hof nu verschillende prejudiciële vragen voorlegt. Zo wil de rechter weten of elke inbreuk op persoonsgegevens door een hackeraanval automatisch betekent dat de verwerkingsverantwoordelijke geen passende maatregelen heeft genomen zoals bedoeld in artikel 24 en 32 AVG. Ook wil de rechter weten aan de hand waarvan hij of zij moet bepalen of de beveiligingsmaatregelen adequaat waren en wie moet bewijzen dat de beveiligingsmaatregelen al dan niet passend waren wanneer een verwerkingsverantwoordelijke aansprakelijk wordt gesteld voor immateriële schade. Verder wil de bestuursrechter weten of de term “immateriële schade” ook toepasselijk is bij de zorgen, ongerustheid en angst van betrokkenen over mogelijk toekomstig misbruik van hun persoonsgegevens, zelfs als deze nog niet zijn misbruikt.
