De uitdaging van cyberaanvallen: risico’s en aansprakelijkheid
23 mei 2024In 2023 ontving de Autoriteit Persoonsgegevens (hierna: de ‘AP’) meer dan 25.000 meldingen van een datalek. Hierbij ging het ruim 1.300 keer om een cyberaanval. Organisaties zijn wettelijk verplicht om mensen te waarschuwen als er persoonlijke gegevens zijn gelekt - bijvoorbeeld bij een cyberaanval - als sprake is van een hoog risico voor de rechten en vrijheden van betrokkenen. Immers, criminelen kunnen de gestolen persoonlijke gegevens gebruiken om aanzienlijke schade toe te brengen. Ondanks die verplichting blijken organisaties die waarschuwing in de praktijk vaak niet te geven. De AP wijst er dan ook op dat de risico’s van dergelijke cyberaanvallen vaak veel te laag worden ingeschat.
Zoals de AP terecht heeft gewaarschuwd, wordt er in de praktijk vaak te lichtvaardig gedacht over de gevolgen van een dergelijke aanval. Het is een misvatting om te snel aan te nemen dat een verwerkingsverantwoordelijke niets te verwijten valt bij een dergelijke (cyber)aanval van buitenaf. De schade die hieruit voortvloeit voor een betrokkene (wat ook immateriële schade wegens vrees voor misbruik kan zijn) kan daarom wel degelijk voor rekening komen voor de verwerkingsverantwoordelijke. Het Europese Hof van Justitie (hierna: het ‘Hof’) onderstreept het belang van een kritische benadering van cyberaanvallen in de volgende uitspraak.
Europese Hof
Op 14 december 2023 heeft het Hof zich gebogen over het recht op immateriële schadevergoeding wegens een inbreuk op de algemene verordening gegevensbescherming (hierna: de ‘AVG’) na een cyberaanval en de verplichtingen die organisaties in dat verband hebben.
Waar gaat de zaak over?
De Natsionalna agentsia za prihodite (hierna: de ‘NAP’), een instantie die onderdeel uitmaakt van de Bulgaarse minister van Financiën, is geconfronteerd met een cyberaanval waarbij de persoonsgegevens van miljoenen Bulgaren op het internet zijn gepubliceerd. Enkele honderden van hen hebben een vordering ingesteld tegen de NAP tot vergoeding van de immateriële schade ter hoogte van ongeveer € 500 wegens schending van de AVG. Zij zijn van mening dat de NAP de AVG heeft geschonden omdat zij geen (passende) veiligheidsmaatregelen heeft getroffen. Door de cyberaanval zijn hun persoonsgegevens immers gestolen. De immateriële schade bestaat uit de angst voor toekomstig misbruik van de gepubliceerde persoonsgegevens of dat zij daardoor zelf slachtoffer worden van afpersing, agressie of zelfs ontvoering. De NAP heeft hiertegen aangevoerd dat zij alle nodige maatregelen had genomen om een inbreuk te voorkomen en dat zij na de inbreuk alle nodige maatregelen had genomen om de gevolgen van deze inbreuk te beperken en de burgers gerust te stellen. Daarnaast voert de NAP aan dat er geen causaal verband bestaat tussen de gestelde immateriële schade en de inbreuk. Ten slotte stelt de NAP dat zij niet verantwoordelijk kan worden gehouden voor de schadelijke gevolgen van die inbreuk, omdat de NAP zelf het slachtoffer is geworden van misbruik door hackers.
Wettelijk kader
Op grond van de AVG zijn verwerkers en verwerkingsverantwoordelijken bij de verwerking van persoonsgegevens verplicht om passende technische en organisatorische beveiligingsmaatregelen te nemen zodat een passende beveiliging van die gegevens kan worden gewaarborgd. De verwerkingsverantwoordelijke is aansprakelijk voor de geleden schade bij een inbreuk op de bescherming van persoonsgegevens, tenzij de verwerkingsverantwoordelijke kan bewijzen dat hij op geen enkele manier verantwoordelijk is voor het schadeveroorzakende feit. De verwerkingsverantwoordelijke moet hierbij rekening houden met de aard, omvang, context en het doel van de verwerking, evenals met het risico voor de rechten en vrijheden van natuurlijke personen. De verwerkingsverantwoordelijke moet de maatregelen die hij heeft genomen om de gegevens te beveiligen, periodiek evalueren en zo nodig actualiseren. Hierbij moet rekening worden gehouden met de stand van de techniek, de uitvoeringskosten en met de aard, de omvang, de context en de doeleinden van de betrokken verwerking.
Overwegingen Hof
In de onderhavige zaak zijn verschillende prejudiciële vragen gesteld aan het Hof. Bij de beantwoording van de prejudiciële vragen overweegt het Hof dat een cyberaanval door hackers niet direct betekent dat de getroffen technische en organisatorische maatregelen niet ‘passend’ waren. Om aansprakelijkheid vervolgens af te wenden zal de verwerkingsverantwoordelijke (hier de NAP) moeten aantonen dat de inbreuk niet aan hem kan worden toegerekend en dat hij alle passende technische en organisatorische maatregelen heeft genomen om de inbreuk te voorkomen en de gevolgen ervan te beheersen. Tot slot overweegt het Hof dat de angst die een betrokkene na een inbreuk op de AVG heeft voor toekomstig misbruik van persoonsgegevens door derden immateriële schade kan vormen en dus voor schadevergoeding in aanmerking kan komen.
Tot slot
Het is essentieel dat organisaties niet alleen de kans op cyberaanvallen erkennen, maar ook de ernst ervan begrijpen. Het nemen van passende maatregelen is cruciaal om de veiligheid van betrokkenen te waarborgen. Dit begint bij dataminimalisatie en het implementeren van passende technische en organisatorische beveiligingsmaatregelen, maar omvat ook het snel en adequaat reageren op inbreuken om verdere schade te voorkomen. Door proactief te zijn en adequaat te reageren, kunnen organisaties niet alleen hun wettelijke verplichtingen nakomen, maar ook hun reputatie en klantrelaties beschermen.
Als u behoefte heeft aan juridisch advies om uw bedrijf te beschermen tegen de gevolgen van cyberaanvallen, aarzel dan niet om contact met ons op te nemen. Samen kunnen we de juiste juridische maatregelen treffen om uw onderneming te beschermen en risico's te minimaliseren.
Meer informatie of vragen?
Neem gerust contact op met Xander Alders of Levi Stoffels, telefonisch bereikbaar via 088 – 627 22 87 of per e-mail via xander.alders@pellicaan.nl of levi.stoffels@pellicaan.nl, of een van onze andere collega’s van het privacyteam van Pellicaan Advocaten.
