Odido heeft een pagina ingericht om slachtoffers van het datalek te informeren. Op de pagina is een lijst met veelgestelde vragen en antwoorden opgenomen. Daarin valt onder meer te lezen dat een datalek geen automatisch recht geeft op compensatie, aldus Odido. Verder valt te lezen dat Odido op grond van de nu beschikbare informatie geen aanleiding heeft om te denken dat schade van slachtoffers van bijvoorbeeld phishing, het gevolg is van het datalek. In deze blog nemen we de stellingen van Odido onder de loep. Hebben slachtoffers nu wel of geen recht op compensatie, en zo ja, onder welke omstandigheden?
Recht op schadevergoeding
Het Nederlandse recht kent verschillende grondslagen voor het ontstaan van een recht op schadevergoeding. Een recht op schadevergoeding kan bijvoorbeeld ontstaan wanneer je schade lijdt doordat een contractuele wederpartij zijn afspraken niet correct nakomt of wanneer iemand onrechtmatig handelt.
Gedragingen die tot schade leiden kunnen onder meer onrechtmatig zijn wanneer zij in strijd zijn met de wet, maar bijvoorbeeld ook wanneer zij volgens de verkeersopvatting onzorgvuldig zijn. De schadeveroorzakende gedragingen moeten wel aan de schadeveroorzaker kunnen worden toegerekend. Kortgezegd: de schadeveroorzaker moet ten minste enig verwijt kunnen worden gemaakt. In het geval van overmacht is daarvan bijvoorbeeld geen sprake.
Schade kan allereerst bestaan uit zuivere vermogensschade. Maar ook uit immateriële schade, bijvoorbeeld in de vorm van verdriet, smart of geestelijk gemis (de aantasting van iemands persoon). Alleen daadwerkelijk geleden schade komt voor vergoeding in aanmerking. Schade die in de toekomst mogelijk zou kunnen worden geleden telt dus niet mee.
Geleden schade moet tot slot in een voldoende rechtstreeks verband staan met de onrechtmatige gedraging. Wanneer schade in een ver verwijderd verband staat met een bepaalde gedraging, dan kan deze soms niet meer in redelijkheid aan iemand worden toegerekend.
Geen “automatisch” recht op compensatie
De stelling van Odido – inhoudende dat een datalek op zichzelf niet “automatisch” recht geeft op compensatie – is in het licht van de hiervoor opgesomde criteria nogal een open deur. Wil een recht op schadevergoeding ontstaan, dan moet zijn voldaan aan alle genoemde voorwaarden.
Een datalek geeft op zichzelf inderdaad niet automatisch een recht op compensatie. In de eerste plaats omdat het feit dat data is gelekt niet automatisch leidt tot schade. Dat betekent omgekeerd echter níet dat slachtoffers van het datalek onder geen beding schade kunnen lijden. En het is ook niet uitgesloten dat Odido onder omstandigheden aansprakelijk is voor die schade.
Artikel 82 lid 1 van de AVG bepaalt uitdrukkelijk dat schade die het gevolg is van een inbreuk op de AVG voor vergoeding in aanmerking komt:
“Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.”
Schade door phishing en andere nare gevolgen
Slachtoffers van het datalek kunnen zowel materiële als immateriële schade lijden. Vermogensschade kan bijvoorbeeld ontstaan wanneer slachtoffers als (indirect) gevolg van het datalek slachtoffer worden van phishing. Immateriële schade kan ontstaan wanneer iemand in zijn persoon wordt aangetast. Te denken valt aan de situatie waarin een slachtoffer zijn contact- of adresgegevens opzettelijk geheim hield (bijvoorbeeld vanwege stalking), maar die als gevolg van het datalek nu op straat liggen. Het is niet uitgesloten dat de daaruit voortvloeiende (psychische) gevolgen als immateriële schade zijn aan te merken.
Wanneer klanten kunnen aantonen dat zij schade hebben geleden als gevolg van het datalek, dan zijn ze er nog niet. De schade moet immers wel het rechtstreekse gevolg zijn van gedragingen van Odido die als onrechtmatig zijn te bestempelen. Bovendien moet de schade in redelijkheid aan Odido kunnen worden toegerekend.
De Algemene Verordening Gegevensbescherming (de “AVG”)
Net als voor alle andere partijen die persoonsgegevens verwerken, geldt voor Odido de Europese Verordening Gegevensbescherming (kortweg de “AVG”). De AVG kent verschillende algemene beginselen waaraan iedere verwerking van persoonsgegevens moet voldoen. Het verwerken van persoonsgegevens moet onder alle omstandigheden rechtmatig, behoorlijk en transparant gebeuren. Bovendien mogen persoonsgegevens alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Verder geldt het uitgangspunt van dataminimalisatie: men mag nooit meer gegevens verwerken dan strikt noodzakelijk in het licht van het doel van de verwerking.
Een ander belangrijk beginsel is dat van integriteit en vertrouwelijkheid. De AVG vereist dat afdoende technische en organisatorische maatregelen worden genomen, opdat wordt voorkomen dat persoonsgegevens (onopzettelijk) verloren raken. Om te voorkomen dat onbevoegden toegang verkrijgen tot een systeem wordt bijvoorbeeld gebruikgemaakt van twee-factor-authenticatie.
Wanneer een onbevoegde zichzelf echter tóch toegang verschaft, dan valt het grootschalige verlies van persoonsgegevens technisch gezien alsnog goed te voorkomen. Om grootschalig verlies van data te voorkomen wordt bijvoorbeeld gebruikgemaakt van rate limiting. Een systeem werpt in dat geval automatisch een blokkade op wanneer grote aantallen records binnen een bepaald tijdsbestek worden opgevraagd.
Strijd met de AVG?
De vraag is of Odido zich aan de AVG heeft gehouden. Uit de vraag-en-antwoord-pagina van Odido valt af te leiden dat Odido persoonsgegevens standaard voor een termijn van twee jaar bewaart nadat je als klant hebt afgezwaaid. Dat doet Odido naar eigen zeggen voor het geval je binnen deze periode weer klant wil worden. Je kunt je afvragen of deze verwerking wel strikt noodzakelijk is. Immers, wanneer je opnieuw klant wilt worden, kun je jouw persoonsgegevens ook gewoon opnieuw aan Odido verstrekken. Daarmee voldoet Odido dus mogelijk niet aan het beginsel van dataminimalisatie. Verder kun je je afvragen of voor deze verwerking van persoonsgegevens überhaupt een geldige verwerkingsgrondslag bestaat.
Ook de door de AVG vereiste implementatie van afdoende technische en organisatorische maatregelen roept in het geval van Odido vragen op. Kennelijk hebben onbevoegden zich de toegang weten te verschaffen tot het systeem. Dat valt natuurlijk nooit helemaal te voorkomen. Maar het is wel verwonderlijk dat de hackers vervolgens de records van zes miljoen klanten hebben kunnen downloaden. Schijnbaar waren er dus onvoldoende technische maatregelen (zoals rate limiting) geïmplementeerd om dat te voorkomen. Bovendien gaan er geruchten dat Odido reeds was gewaarschuwd voor deze beveiligingslekken.
Conclusie
De stelling van Odido dat slachtoffers van het datalek niet automatisch recht hebben op compensatie is op zichzelf juist. De wet kent niet automatisch een recht op schadevergoeding toe aan slachtoffers van een datalek. Dat sluit echter niet uit dat Odido wel degelijk aansprakelijk kan zijn voor geleden materiële of immateriële schade die het gevolg is van het datalek. Er zijn op basis van wat er nu bekend is over het datalek op zijn minst aanwijzingen dat Odido de AVG niet (volledig) heeft nageleefd. Rechters hebben de afgelopen jaren al meermaals schadevergoedingen toegewezen voor schade ten gevolge van schendingen van de AVG – ook voor datalekken.
Slachtoffers zullen wel moeten bewijzen dat zij als gevolg van het datalek (of als gevolg van de onrechtmatige verwerking van persoonsgegevens) schade hebben geleden. Dat zal niet altijd eenvoudig zijn. Wanneer men bijvoorbeeld slachtoffer wordt van phishing, dan staat niet op voorhand vast dat criminelen de daarvoor gebruikte persoonsgegevens hebben verkregen uit het datalek bij Odido. Het causaal verband is vermoedelijk lastig aan te tonen. In het geval van immateriële schade zal een slachtoffer moeten aantonen dat hij in zijn persoon is aangetast. Van geval tot geval zal moeten worden vastgesteld of daarvan sprake is. Een massaclaim zal om die reden vermoedelijk lastig worden.
Vragen?
Vragen naar aanleiding van deze blog? Neem gerust contact met ons op.
