Zorgvuldige verwerking persoonsgegevens
De Wet bescherming persoonsgegevens (Wbp) is de algemene privacywet van Nederland. Deze wet komt er in de kern op neer dat bedrijven en instellingen die persoonsgegevens verwerken dat op zorgvuldige wijze moeten doen. Die vereiste zorgvuldigheid is uitgesplitst in allerlei deelverplichtingen, zoals omtrent bewaarduur, doelbinding, transparantie en beveiliging. Bezoek onze gratis online privacycheck eens om de verschillende verplichtingen langs te lopen.
Aansprakelijkheid bij onzorgvuldige verwerkingen
Artikel 49 Wbp bepaalt dat indien iemand schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met een van de bepalingen uit de Wbp, dat deze schade kan worden verhaald op de partij die de wet schendt.
Die partij zal veelal de partij zijn die de persoonsgegevens voor eigen doeleinden verwerkt (bijv. de werkgever, de leverancier waarmee de betrokkene een overeenkomst heeft, etc. in privacytermen: de "verantwoordelijke"). Het is echter ook denkbaar dat de betrokkene de derde partij aanspreekt die gegevens namens deze derde partij verwerkt, zoals de IT-leverancier (in privacytermen: de bewerker). Ook zouden beide partijen kunnen worden aangesproken (de bewerker voor de fout en de verantwoordelijke voor het onvoldoende toezicht houden op de bewerker).
Let wel: mogelijke claims kunnen niet alleen betrekking hebben op aansprakelijkheid wegens het "op straat liggen" van persoonsgegevens (schending beveiligingsplicht artikel 13 Wbp), maar ook wegens schending van de andere verplichtingen uit de Wbp, zoals het te lang bewaren van gegevens, het gebruiken van gegevens voor doeleinden die niet met het verzameldoel te verenigen zijn, het onvoldoende inspannen voor de juistheid en volledigheid van gegevens, enz.. Om de blog overzichtelijk te houden, beperk ik me tot de schending van de beveiligingsplicht.
De vraag daarbij is wel steeds of in strijd is gehandeld met de Wbp. Om bij het voorbeeld van de hack te blijven: de wet vereiste dat er "passende" beveiligingsmaatregelen zijn genomen, geen "perfecte". Het enkele feit dat gegevens "op straat liggen", wil dus niet zeggen dat de gehackte organisatie ook een fout heeft gemaakt. In het vervolg van dit bericht ga ik er vanuit dat van een schending van de wet wel sprake is en dat de beveiliging dus onvoldoende passend was.
Bepaling van de hoogte van de schade
Welke schade kan de betrokkene dan verhalen? Hierbij moet worden onderscheid worden gemaakt tussen verschillende soorten schade:
- Materiele schade;
- Immateriele schade;
- Vergoeding van redelijke kosten.
Ad. 1. Materiële schade
Bij materiële schade moet worden gedacht aan vermogensschade. Dit omvat zowel geleden verlies als gederfde winst. Bij een onrechtmatige verwerking van persoonsgegevens kan bijvoorbeeld worden gedacht aan de schade die voortvloeit uit identiteitsfraude. Indien het slachtoffer van identiteitsfraude kan aantonen dat deze fraude (mede) veroorzaakt is door het slecht beveiligen van persoonsgegevens door een bedrijf of instelling (en dus artikel 13 Wbp geschonden is), zal die schade (in ieder geval deels) op die partij verhaald kunnen worden. De vraag is wel of in de praktijk voor een slachtoffer die bewijslast niet (te) zwaar is. Mogelijk echter dat de bewijslast wordt omgekeerd.
Ad. 2 Immateriële schade
Het algemene Nederlandse schadevergoedingsrecht is heel terughoudend in het vergoeden van immateriële schade (vgl. artikel 6:106 BW). Het is in dat kader opvallend dat in artikel 49 lid 2 Wbp juist ongeclausuleerd staat dat het slachtoffer van een onrechtmatige verwerking van persoonsgegevens ter compensatie van het aldus geleden nadeel recht heeft "op een naar billijkheid vast te stellen schadevergoeding".
Wat hieronder moet worden verstaan is niet geheel duidelijk, nu een toelichting in de wetsgeschiedenis ontbreekt. De privacyrichtlijn maakt het onderscheid tussen materiële en immateriële schade ook niet. Wel vermeldt de richtlijn dat recht op schadevergoeding bestaat.
In de praktijk wordt immateriële schade bij privacykwesties in ieder geval wel eens toegewezen (zie bijv. een kwestie voor de Rechtbank Zwolle-Lelystad uit 2011). In dat geval werd een bedrag van 5.000 euro toegekend wegens onrechtmatig verzamelen van persoonsgegevens. Daar staat weer een zaak tegenover van de Rechtbank Utrecht uit 2008, waar de rechtbank overwoog dat "enig psychisch onbehagen" wegens onterechte opname in een register nog onvoldoende grond is voor toekenning van immateriële schadevergoeding.
Er is al met al nog maar weinig rechtspraak over dit wetsartikel. Het is dus nog maar de vraag of dit wetsartikel terughoudend of juist ruimhartig moet worden geïnterpreteerd. Gelet op de specifieke vermelding in de Wbp en het gegeven dat het wetsartikel in de Wbp minder voorwaarden kent dan artikel 6:106 BW, lijkt het op voorhand echter wel dat er onder de Wbp meer ruimte voor immateriële schadevergoeding bestaat als onder het civiele recht (anders vervult artikel 49 lid 2 Wbp geen zelfstandige functie meer). Het is m.i. uiteindelijk aan het Hof van Justitie om over het schadevergoedingsrecht in het privacyrecht te oordelen (de richtlijn vermeldt immers uitdrukkelijk het recht op schadevergoeding).
Ad. 3. Vergoeding redelijke kosten
De wet bepaalt verder dat de partij die aansprakelijk is voor schade van een ander, ook de met die schade in verband staande redelijke kosten moet vergoeden, mits het maken van die kosten ook redelijk was (zie artikel 6:96 BW). Te denken valt aan de kosten voor juridische bijstand (bijv. sturen sommatiebrief), de kosten voor onderzoek of advies door deskundigen (wat te doen nu gegevens op straat liggen?) en kosten ter beperking van verdere schade (genomen maatregelen om schade te beperken).
Het is vaste lijn van de Hoge Raad dat voor vergoeding van die redelijke kosten er niet per se schade hoeft te zijn geleden (zie recent nog ECLI:NL:HR:2015:586). Of anders gezegd: de schade kan nul euro zijn, terwijl er toch kosten gemaakt zijn die voor vergoeding in aanmerking komen. Het is verder vaste lijn dat ook de interne kosten voor vergoeding in aanmerking komen. Wel is steeds de vraag of de kosten redelijk zijn en of het redelijk was om de kosten te maken (zie voor de precieze voorwaarden r/o 3.5 van voornoemd arrest van de Hoge Raad).
Mogelijke explosie van schade bij datalek
Nu de mogelijke schadeposten in beeld zijn, is ook duidelijk te maken waar de mogelijke explosie van schade bij een datalek in gelegen is.
Stel: u bent slachtoffer van een stevige hack op een gevoelige database
Stel dat u een database beheert waarin gevoelige gegevens van 100.000 personen zijn opgenomen. Dat klinkt wellicht als een fors aantal, maar een beetje succesvolle app-bouwer, een wat groter ziekenhuis, ondernemingen uit het MKB+, etc. zullen toch al snel dergelijk omvangrijke databases beheren.
Stel ook dat deze database gehackt wordt omdat deze onvoldoende goed beveiligd was. Laten we eens zien wat er vervolgens gebeurt.
1. Forse (interne) kosten voor feitelijke afhandeling incident wegens meldplicht
Waarschijnlijk bent u op grond van de komende meldplicht datalekken verplicht dit incident bij de toezichthouder te melden. Gelet op de gevoelige aard van de gegevens bent u waarschijnlijk ook verplicht de betrokkene te informeren.
Reken allereerst dus op (forse) kosten aan bijstand van diverse adviseurs, aan het opzetten van een call-center / website voor de informatiecampagne, etc. om dit proces rondom analyse en verwerking van het incident op zichzelf al goed te kunnen managen. Er moet in korte tijd heel veel werk verzet gaan worden.
2. Verdere interne kosten wegens verdere afhandeling correspondentie e.d.
Vervolgens is het niet ondenkbaar dat, wakker geschud door de brief die u op grond van de wet moet sturen, de betrokkenen wiens gegevens op straat liggen uw organisatie aansprakelijk gaan stellen. Mogelijk ook dat een aansprakelijkheidstelling gecombineerd wordt met een inzageverzoek.
Stel dat (slechts) 5% van de betrokkenen dit doet, dan komen er dus 5.000 brieven op uw organisatie af. 5.000 brieven die u tijdig moet beantwoorden. Die reacties zijn weliswaar deels te standaardiseren (zo origineel zullen al die aansprakelijkheidsstellingen nu ook weer niet zijn), maar toch zal iedere brief wel enige eigen aandacht vergen.
Stel dat die tijd op gemiddeld 2 uur per brief komt, dan levert uw organisatie dit dus een piek van 10.000 manuren aan extra werk op. Het wegwerken van die piek in 4 weken vergt tijdelijk meer dan 60 FTE. Een behoorlijke extra personeelslast, waarbij het inwerken/trainen e.d. van die mensen nog niet eens is meegenomen.
3. Schadepost wegens vergoeding redelijke incassokosten
Mogelijk dat de betrokkenen zelf deskundige bijstand hebben gezocht voor het schrijven van de brief met aansprakelijkheidsstelling. De vraag is of die stap redelijk is, maar in de regel verwacht ik dat die vraag bevestigend beantwoord zal worden.
Gelet op het rapport BGK-integraal wordt voor de hoogte van die vergoeding waarschijnlijk aansluiting gezocht bij het Besluit vergoeding voor buitengerechtelijke incassokosten. Die regeling stelt de hoogte van de vergoeding afhankelijk van de hoogte van de claim, met een minimum-/basisvergoeding van € 40,--. Alleen die basisvergoeding leidt bij 5.000 brieven dus al tot een kostenpost van € 200.000,--.
Stel echter dat al die 5.000 betrokkenen 5.000 euro schadevergoeding eisen (zoals is toegekend in de hiervoor aangehaalde uitspraak), dan zou deze vergoeding al oplopen tot 625 euro per brief. Indien die vergoeding 5.000 maal moet worden uitbetaald, spreken we al over een kostenpost van € 3.125.000,--.
Ik verwacht overigens wel dat het redelijk karakter van de kosten voor die brieven (tot op zekere hoogte) kan worden weggenomen door in uw eigen mediacampagne het publiek zeer goed voor te lichten en alvast te anticiperen op mogelijke aansprakelijkheidsstellingen. Indien u de boodschap "heb heel even geduld, we komen bij u terug" goed voor het voetlicht weet te brengen, kunt u immers mogelijk niet alleen voorkomen dat er 5.000 brieven op u afkomen, maar ook dat u voor die brieven moet gaan betalen.
4. Schadepost wegens schadebeperkende maatregelen
Mogelijk dat de slachtoffers deskundige hulp hebben gezocht om de schade die door het datalek optreedt verder te beperken. In beginsel komen ook dergelijke kosten voor vergoeding in aanmerking. Ook deze kosten kunnen dus, gelet op de vermenigvuldigingsfactor vanwege de omvang van de database, snel oplopen.
Ook hier ligt dus een belang om direct aan het begin van de mediacampagne de slachtoffers goede adviezen mee te geven over het beperken van schade. Iedere tip die u aan de slachtoffers geeft, hoeven ze immers niet meer "in te kopen" bij een deskundige. De kans bestaat dat hierdoor de te vergoeden schade (dus) ook lager uitvalt.
5. Schadepost wegens vergoeding (im)materiele schade
Bij dit alles hebben we het nog niet over de schade zelf gehad.
Stel dat inderdaad de hiervoor al eens genoemde immateriële vergoeding van 5.000 euro per betrokkene wordt toegekend, en stel dat nog steeds (slechts) 5.000 betrokkenen gaan procederen, dan spreken we al over een kostenpost van € 25.000.000,--.
Zelfs al zou een (meer symbolisch) bedrag van € 250,-- worden toegekend, dan spreken we nog steeds over € 1.250.000,-- aan totale vergoeding.
Wellicht dat (terughoudende) rechters niet genegen zijn veel geld toe te kennen. Juist gelet op de zelfstandige functie van artikel 49 lid 2 Wbp zou ik menen dat toch in ieder geval enige schadevergoeding zou moeten worden toegekend.
De materiële schade - die er wellicht ook wel is (bijv. bij misbruik van de gehackte gegevens) - is hierbij dan nog niet eens in ogenschouw genomen. Het is lastig om maar een schatting te maken van de kosten die daarmee gemoeid zijn, omdat persoonsgegevens in hele diverse context worden gebruikt. Bovendien kom je bij dergelijke schade waarschijnlijk ook weer wat sneller terecht in discussies over "eigen schuld" en causaliteit, zeker wanneer de schade juist is opgelopen omdat de betrokkene niet heeft gehandeld conform de instructies om de schade te beperken.
Verder moet rekening worden gehouden met de proceskosten. Uitgaande van een eenvoudige procedure en het liquidatietarief voor procedures met een belang onder de 10.000 euro, zouden die kosten 768 euro per zaak bedragen (2 punten liquidatarief). Bij 5.000 procederende partijen hebben we het dan over € 3.840.000,--.
6. Oplopen schade zodra anderen kans ruiken
De vraag bij dit alles is echter of slechts 5% van de betrokkenen gaat procederen, zodra ontdekt wordt dat dit geld "te halen" valt. Niet uit te sluiten valt dat claimstichtingen e.d. zich op dergelijke kwesties gaan storten.
Oplossingen?
Is het voorgaande te voorkomen? Voorop staat het (cliché) adagium: voorkomen is beter dan genezen. Zorg dat uw beveiliging op orde is en dat u ook overigens persoonsgegevens alleen rechtmatig verwerkt. Behalve claims van betrokkenen voorkomt u zo ook (hoge) boetes van de toezichthouder.
Met alle consumenten afspreken dat u niet aansprakelijk bent voor schendingen van de privacy (bijv. in uw algemene voorwaarden), zal vermoedelijk in ieder geval niet helpen. Het met een standaardbeding beperken van aansprakelijkheid wordt namelijk vermoed onredelijk bezwarend te zijn (vgl. artikel 6:237 BW). Bovendien zou een dergelijk beding, dat afbreuk doet aan (nota bene) een grondrecht, m.i. al snel in strijd met de redelijkheid en billijkheid zijn.
Mocht al deze schade nu veroorzaakt zijn door een fout van uw leverancier, dan is het ook maar de vraag of die schade op hem te verhalen is. Die kwestie ligt genuanceerd, zoals ik een eerder blog al uiteen heb gezet. Bovendien geldt natuurlijk ook hier dat van een kale kip weinig te plukken valt.
Wat wel helpt is voorbereid zijn op hoe te handelen bij een dergelijk incident. U kunt immers veel kosten en claims vermoedelijk in de kiem smoren, door direct strategisch handig te communiceren. De eerste klap is hier echt een daalder waard. Heeft uw organisatie al een goed draaiboek datalekken klaar?
Verder zal het afsluiten van een goede verzekering welhaast noodzakelijk zijn. Er zullen immers maar weinig organisaties zijn die (in potentie exponentieel oplopende) schadeclaims als hiervoor beschreven zelf (volledig) kunnen opvangen.
En als uw organisatie een dergelijke klap inderdaad niet kan opvangen en er bovendien geen adequate verzekeringen hiervoor zijn afgesloten, dan komt de discussie op of de bestuurder daarmee op grond bestuurdersaansprakelijkheid persoonlijk aansprakelijk is te houden. Er is al rechtspraak die zegt dat het niet afsluiten van gebruikelijke verzekeringen tot bestuurdersaansprakelijkheid kan leiden. We gaan de komende ongetwijfeld jaren zaken zien over de vraag of een verzekering voor datalekken/cyberrisico's ook "gebruikelijk" is.
