Een gehackt autobedrijf is volgens het Gerechtshof Arnhem-Leeuwarden verplicht om te bewijzen dat zij haar e-mailaccount passend beveiligd heeft. Zij moet aantonen dat de beveiliging voldoet aan de eisen van de AVG. Lukt dit niet, dan kan zij schadevergoeding verschuldigd zijn aan een klant die vanwege de hack een bedrag van € 26.900,- naar een Duits rekeningnummer heeft overgemaakt.
Wat was er aan de hand?
Een klant heeft bij het autobedrijf een auto gekocht. Er stond nog een deel van de koopprijs open. Na een e-mail van het autobedrijf met het verzoek om het openstaande bedrag over te maken zodat de volgende dag de auto kon worden opgehaald, volgde een e-mailbericht van de hacker met informatie waar het bedrag naar kon worden overgemaakt. Dit bericht was vanuit hetzelfde e-mailadres verzonden. Na het overmaken van het bedrag volgde een korte e-mailwisseling over de bevestiging van de betaling.
Toen de koper de auto wilde ophalen, kwamen ze erachter dat het bedrag niet aan het autobedrijf was betaald, maar aan een Duits bankrekeningnummer. Het autobedrijf weigert vervolgens de auto mee te geven, waarna de koper schadevergoeding vordert op grond van de AVG.
Schadevergoeding op grond van de AVG en bewijsplicht
Artikel 82 AVG geeft iedereen die materiële of immateriële schade heeft geleden wegens schending van de AVG het recht om schadevergoeding te vorderen van de verwerkingsverantwoordelijke of verwerker. De koper stelt dat het autobedrijf de AVG heeft geschonden door het e-mailaccount niet passend te beveiligen.
Het is in principe aan de eiser (de koper) om aan te voeren waarom er sprake is van een AVG-schending. Vervolgens is het aan de verwerkingsverantwoordelijke (het autobedrijf) om aan te tonen dat zij wél aan de AVG voldoet. Dit past goed binnen het ‘accountability’ beginsel van de AVG. Dit houdt in dat een verwerkingsverantwoordelijke moet kunnen aantonen dat zij aan de AVG voldoet. In dit geval komt het neer op het aantonen dat er sprake is van een passend beveiligingsniveau.
Hoe kan passende beveiliging worden aangetoond?
Volgens de koper volgt de gebrekkige beveiliging onder andere uit de omstandigheid dat de hacker met slechts een paar pogingen toegang kreeg tot het e-mailaccount. Hieruit zou volgen dat het wachtwoord makkelijk kon worden verkregen. Ook zou het autobedrijf het wachtwoord met meerdere personen delen en werd er geen twee-factor-authenticatie toegepast.
Het autobedrijf voert aan dat zij het beheer van het e-mailaccount, inclusief het wachtwoord, uitbesteedt aan Autosociaal. Dit is volgens haar een bedrijf dat binnen de branche van kleine autodealers “dé standaard is”. Het Gerechtshof betwijfelt of hiermee een passende beveiliging van het e-mailaccount aanwezig is. Het autobedrijf moet daarom meer bewijs leveren om aan te tonen dat er een AVG-compliant, passende beveiliging was.
Conclusie
Als het autobedrijf in de bewijslevering slaagt, dan ontloopt zij waarschijnlijk aansprakelijkheid richting de klant. Lukt dit niet, dan is de kans groot dat het autobedrijf op grond van artikel 82 AVG aansprakelijk is voor de geleden schade van de koper.
Deze uitspraak illustreert het belang van het kunnen aantonen dat een bedrijf AVG-compliant is. Het is niet alleen van belang om boetes van de Autoriteit Persoonsgegevens te voorkomen, maar ook om te verweren tegen schadevergoedingsclaims. Wees er daarbij van bewust dat een verwerkingsverantwoordelijke niet blind kan vertrouwen op passende beveiliging door een externe IT-dienstverlener. De verwerkingsverantwoordelijke blijft in principe zelf verantwoordelijk en kan dus aansprakelijk zijn voor schade die voortkomt uit schendingen van de AVG.
Heeft u vragen naar aanleiding van deze blog of heeft u andere vragen, neemt u dan gerust vrijblijvend contact op met Floortje Eijdems, Fatma Pamuk of met één van de andere leden van het Privacy-team.