Een datalek kan grote gevolgen hebben. Niet alleen voor uw eigen organisatie, maar zeker ook voor de betrokkenen. Zij kunnen grote schade ondervinden als hun persoonsgegevens op straat komen te liggen. In hoeverre moet hun geestelijk letsel als gevolg van een datalek ook vergoed worden? Aan de hand van een recente rechtszaak tussen de gemeente Heemskerk en een van haar inwoners geven we u het antwoord.
Immateriële schade en geestelijk letsel volgens de wet
Zijn er (gevoelige) persoonsgegevens betrokken bij een datalek?
Dan kan er niet alleen sprake zijn van materiële schade, maar ook van immateriële schade voor de betrokkenen.
Denk bijvoorbeeld aan de verstrekkende gevolgen van identiteitsfraude.
Maar hoe zit het dan met de schadevergoeding hiervan?
Uiteraard is er bij een datalek waarbij persoonsgegevens mogelijk in handen komen van een derde, sprake van een schending van de AVG. In deze wet zelf is echter niets opgenomen over de vergoeding van immateriële schade.
Hiervoor moeten we ons richten tot het Burgerlijk wetboek. Hierin staat dat immateriële schade wordt gezien als ‘ander nadeel dan vermogensschade’.
Om aanspraak te kunnen maken op schadevergoeding wegens immateriële schade, moet er sprake zijn van:
letsel;
aantasting van de eigen eer of goede naam;
aantasting van de eer of goede naam van een overledene; of
bij een andere aantasting van de persoon.
Geestelijk letsel door een datalek kan hier ook onder worden geschaard.
Dit betekent nog niet dat een betrokkene automatisch recht heeft op een schadevergoeding. In de praktijk valt het namelijk niet mee om immateriële schade hard te maken. Zo blijkt ook uit een recente rechtszaak tussen de gemeente Heemskerk en een van haar inwoners.
Inwoonster Heemskerk ervaart stress en angst door datalek
De inwoonster diende in het verleden bij haar gemeente een bezwaarschrift in vanwege een andere zaak. De gemeente stelde hierover een dossier op, dat ook haar medische en persoonsgegevens bevatte.
Dit dossier is vervolgens in juli 2019 met de post zoekgeraakt en daarmee was er sprake van een datalek. De gemeente meldde dit lek zowel bij de Autoriteit Persoonsgegevens als bij de vrouw, omdat dit lek een schending van de AVG betrof.
De vrouw vraagt nu om een vergoeding van 2.000 euro, omdat ze stress- en angstklachten zou hebben als gevolg van het datalek. Zij is bang dat haar gegevens voor criminele doeleinden zullen worden gebruikt.
Heeft zij inderdaad recht op deze schadevergoeding?
De gemeente en de rechter stellen van niet. Het is inmiddels een tijd geleden dat het dossier zoek is geraakt en in die tijd is er geen sprake geweest van misbruik van de persoonsgegevens van de vrouw.
Daarnaast heeft de vrouw onvoldoende kunnen onderbouwen dat haar angst en stress daadwerkelijk veroorzaakt zijn door de vermissing van haar dossier. Hoewel ze kan aantonen dat ze hierover gesproken heeft met onder meer de huisarts en maatschappelijk werk, wil dat nog niet zeggen dat er daadwerkelijk sprake is van geestelijk letsel.
Daarom wijst de rechter het verzoek tot schadevergoeding af.
Kan geestelijk letsel opgelopen door een datalek wel leiden tot een schadevergoeding?
Dat kan zeker, maar de lat hiervoor ligt hoog. Op basis van het Burgerlijk Wetboek kun je aanspraak maken op een schadevergoeding bij immateriële schade, waaronder ook geestelijk letsel valt.
Daarvoor moet het geestelijk letsel echter wel met voldoende concrete feiten worden onderbouwd. In de praktijk is dat niet eenvoudig.
Een andere mogelijkheid is dat de impact van een datalek dusdanig ernstig is, dat geestelijk letsel niet meer dan een logisch gevolg is. Op basis daarvan kan een schadevergoeding ook worden toegekend.
Houd binnen uw organisatie dus rekening met de mogelijke gevolgen van immateriële schade bij (ernstige) datalekken. Heeft u hierover advies nodig? Onze ICT-juristen staan voor u klaar om uw vragen te beantwoorden.
Zeker weten dat u niks mist?
Meldt u zich dan aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.