Inleiding
Op grond van de Algemene Verordening Gegevensbescherming (AVG) hebben verwerkers en verwerkingsverantwoordelijken de taak om op een veilige manier om te gaan met persoonsgegevens. Het is verplicht om ‘passende technische of organisatorische maatregelen’ te nemen om ervoor te zorgen dat persoonsgegevens op een dusdanige manier worden verwerkt dat een 'passende beveiliging ervan' gewaarborgd is, en dat zij onder meer beschermd zijn tegen ‘ongeoorloofde of onrechtmatige verwerking’ (artikel 5, lid 1, sub f AVG).
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving en kan deze aantonen. Dat is de verantwoordingsplicht (artikel 5, lid 2, AVG).
Maar hoe zit dat als de persoonsgegevens op onrechtmatige wijze zijn verkregen bij een cyberaanval? Is het dan (automatisch) zo dat de genomen technische en organisatorische maatregelen niet passend waren en de verwerker dus aansprakelijk is? Geeft dit de persoon wiens gegevens onrechtmatig zijn verkregen een recht op schadevergoeding op basis van artikel 82 AVG?
Op deze en andere vragen heeft het Hof antwoord gegeven in het arrest van 14 december 2023 (C-340/21, Natsionalna agentsia za prihodite).
Achtergrond
In de zaak die aan het arrest ten grondslag ligt gaat het om een cyberaanval op het IT-systeem van het Bulgaarse nationaal agentschap voor overheidsinkomsten (NAP, het Natsionalna agentsia za prihodite) op 15 juli 2019. Na die cyberaanval zijn persoonsgegevens van miljoenen mensen op internet gepubliceerd. Veel mensen hebben vervolgens NAP aangesproken vanwege een inbreuk op de AVG.
Een van de personen die een gerechtelijke procedure start tegen het NAP wordt daarin aangeduid als 'VB'. VB stelt dat zij immateriële schade heeft geleden vanwege de angst dat haar persoonsgegevens die op internet zijn gepubliceerd kunnen worden misbruikt. Zij vordert een schadevergoeding van omgerekend iets meer dan EUR 500 van NAP.
Zij onderbouwt haar vordering met het argument dat NAP onvoldoende veiligheidsmaatregelen heeft genomen als bedoeld in artikel 5, lid 1, sub f AVG om de inbreuk te voorkomen. NAP stelt daar tegenover dat het alle benodigde maatregelen heeft genomen om een inbreuk op haar IT-systemen te voorkomen. Daarnaast zijn ook na de inbreuk alle noodzakelijke stappen gezet om de gevolgen van de inbreuk te beperken. Volgens NAP is wel aan de eisen van de AVG voldaan, ondanks dat er een inbreuk heeft plaatsgevonden. Het vereiste causaal verband tussen de gestelde immateriële schade en de inbreuk zou ontbreken.
Nationale procedure in Bulgarije
De Bulgaarse rechtbank oordeelt vervolgens dat de gestelde schade inderdaad het gevolg was van de inbreuk, maar dat VB niet heeft kunnen aantonen dat de NAP ontoereikende veiligheidsmaatregelen heeft genomen.
Tegen deze beslissing stelt VB cassatieberoep in bij de hoogste bestuursrechter in Bulgarije. VB stelt zich op het standpunt dat het NAP niet toereikend heeft aangetoond dat de veiligheidsmaatregelen passend waren. Daarnaast is zij van oordeel dat de angst voor mogelijk toekomstig misbruik van haar persoonsgegevens daadwerkelijke immateriële schade vormt die voor vergoeding in aanmerking komt.
De Bulgaarse rechter twijfelt over de uitleg van de betrokken bepalingen uit de AVG en stelt prejudiciële vragen aan het Hof.
Prejudiciële vragen
De hoogste Bulgaarse bestuursrechter stelt vervolgens de volgende vijf prejudiciële vragen aan het Hof:
- Moeten artikelen 24 en 32 AVG zo worden uitgelegd dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens in de zin van artikel 4, lid 12, AVG, door buitenstaanders, volstaat om aan te nemen dat de getroffen technische en organisatorische maatregelen niet passend zijn?
- Indien de eerste vraag negatief wordt beantwoord: waarop moet de rechterlijke toetsing van de rechtmatigheid bij het onderzoek van de vraag of de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen passend zijn in de zin van artikel 32 AVG betrekking hebben en welke omvang moet die toetsing hebben?
- Indien de eerste vraag negatief wordt beantwoord: ligt de bewijslast van de vraag of de getroffen technische en organisatorische maatregelen, zoals bepaald in artikel 5, lid 1, sub f, en lid 2 AVG, in het licht van artikel 24 AVG en overweging 74 bij de verwerkingsverantwoordelijke? Kan een deskundigenrapport als noodzakelijk en toereikend bewijsmiddel worden beschouwd om deze vraag te beantwoorden in de context van een ‘cyberaanval’?
- Moet artikel 82, lid 3, AVG zo worden uitgelegd dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens in de zin van artikel 4, punt 12 AVG, een vrijstelling van aansprakelijkheid aan verwerkingsverantwoordelijke geeft, aangezien de inbreuk niet het resultaat is van de acties van de medewerkers van de verwerkingsverantwoordelijke of van een actor onder zijn toezicht?
- Moeten artikel 82, leden 1 en 2, AVG, samen met de overwegingen 85 en 146 van deze verordening zo worden uitgelegd dat, wanneer er sprake is van een inbreuk op de beveiliging van de persoonsgegevens die bestaat in de ongeoorloofde toegang tot en de verspreiding van persoonsgegevens door middel van een ‘cyberaanval’, de bezorgdheid voor mogelijk misbruik van de persoonsgegevens al voldoende is om te vallen onder een ruim begrip van ‘immateriële schade’?
Beantwoording prejudiciële vragen door het Hof
Het Hof beantwoordt de prejudiciële vragen in het arrest als volgt.
1. Ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens maakt niet dat vaststaat dat maatregelen niet passend waren
Artikel 24, lid 1, AVG geeft een aantal criteria om te beoordelen of getroffen maatregelen passend zijn. Dit zijn de aard, de omvang, de context en het doel van de verwerking, waarbij ook rekening gehouden moet worden met mogelijke risico’s voor de rechten en vrijheden van natuurlijk personen. Daarnaast moeten de genomen maatregelen geëvalueerd en indien nodig geactualiseerd worden.
Dit wordt uitgewerkt in artikel 32 AVG op grond waarvan bij de te nemen veiligheidsmaatregelen rekening gehouden moet worden met de stand van de techniek en de uitvoeringskosten. Verder moet de beoordeling van het passende beveiligingsniveau in het licht van de verwerkingsrisico’s worden gezien, ook als het aankomt op de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens.
Daarnaast volgt uit artikel 82, leden 2 en 3, AVG dat de verwerkingsverantwoordelijke aansprakelijk is voor de opgelopen schade bij inbreuk op de bescherming van persoonsgegevens, tenzij deze kan aantonen op geen enkele wijze verantwoordelijk te zijn voor het schadeveroorzakende feit. Er moet daarom ook een mogelijkheid zijn dat de inbreuk niet de verantwoordelijkheid kan zijn van de verwerkingsverantwoordelijke.
In geval van ongeoorloofde openbaarmaking van persoonsgegevens of ongeoorloofde toegang tot die gegevens, kan de rechter uit dit feit alleen dus niet afleiden dat de door de verwerkingsverantwoordelijke getroffen beschermingsmaatregelen niet passend waren. De nationale rechter moet de geschiktheid van die maatregelen concreet beoordelen aan de hand van de criteria van artikel 24 AVG.
2. Risico’s van een inbreuk voor de verwerkte persoonsgegevens en de mogelijke gevolgen daarvan moeten worden vastgesteld en beoordeeld moet worden of de getroffen maatregelen voldoende zijn afgestemd op de risico's
Artikel 32 AVG eist, zoals benoemd, van verwerkingsverantwoordelijken en verwerkers om technische en organisatorische maatregelen af te stemmen op de risico’s met passende beveiligingsniveaus en daarbij rekening te houden met de beoordelingscriteria uit artikel 32, lid 1, AVG. Vervolgens moet in twee stappen worden beoordeeld of de technische en organisatorische maatregelen passend zijn:
1. De risico’s van een inbreuk voor de verwerkte persoonsgegevens en de mogelijke gevolgen daarvan voor de rechten en vrijheden van natuurlijke personen moeten worden vastgesteld. Hiermee kan de waarschijnlijkheid en de ernst van de risico’s worden gedefinieerd.
2. Daarnaast moet worden nagegaan of de door de verwerkingsverantwoordelijke getroffen maatregelen voldoende zijn afgestemd op de risico’s, waarbij rekening gehouden moet worden met de stand van de techniek, uitvoeringskosten, en met de aard, de omvang, de context en de doeleinden van de verwerking.
Het Hof benadrukt dat een nationale rechterlijke instantie niet alleen moet vaststellen of de verwerkingsverantwoordelijke heeft willen voldoen aan artikel 32 AVG, maar moet ook inhoudelijk vaststellen of de genomen maatregelen effectief zijn.
3. Een deskundigenrapport is dus geen noodzakelijk en toereikend bewijsmiddel
Op (het eerste deel van) de derde prejudiciële vraag is het antwoord dat het aan de verwerkingsverantwoordelijke is om te bewijzen dat de getroffen beschermingsmaatregelen passend waren.
Op het tweede deel van de vraag of een deskundigenrapport als noodzakelijk en toereikend bewijsmiddel worden beschouwd kan worden, antwoordt het Hof dat de AVG daar geen voorschriften voor bevat en het daarom aan de rechtsorde binnen een lidstaat is om de regels vast te stellen ter bescherming van de rechten vastgelegd in de verordening.
4. Verwerkingsverantwoordelijke moet ontbreken causaal verband bewijzen
Artikel 82, lid 3, AVG moet volgens het Hof zo worden uitgelegd dat de verwerkingsverantwoordelijke niet aan zijn verplichting tot schadevergoeding kan ontkomen op de enkele grond dat de schade het gevolg is van het feit dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens heeft plaatsgevonden door „derden” in de zin van artikel 4, punt 10, van die verordening. Die verantwoordelijke moet daartoe bewijzen dat hij op geen enkele wijze verantwoordelijk is voor het betrokken schadeveroorzakende feit.
5. Angst voor misbruik kan immateriële schade vormen
Tot slot beantwoordt het Hof de vijfde vraag zo dat de angst die een betrokkene na een inbreuk op de AVG heeft voor mogelijk misbruik van zijn persoonsgegevens door derden op zich immateriële schade in de zin van artikel 82, lid 1, AVG kan vormen.
Let wel, niet iedere schending van de AVG levert een succesvolle schadeclaim op. Ik verwijs in dat verband graag naar een blog van mijn collega's Milou Janssen en Sven Wakker over het Österreichische Post-arrest van 4 mei 2023. In die zaak heeft het Hof onder andere bepaald dat niet iedere schending van de AVG leidt tot een recht op schadevergoeding. Ook heeft het Hof daarin geoordeeld dat het een zaak van de nationale rechtsorde is om regels vast te stellen voor de vorderingen die worden ingediend onder artikel 82 AVG, en in het bijzonder de criteria ter bepaling van de omvang van de in dat verband verschuldigde schadevergoeding.
Relevantie voor de praktijk
Met het arrest bevestigt het Hof dat het enkele feit dat een datalek heeft plaatsgevonden als gevolg van een cyberaanval niet zonder meer betekent dat de AVG is overtreden en dat een betrokkene recht heeft op vergoeding van schade. Verder is nader toegelicht hoe moet worden bepaald wat een 'passend' veiligheidsniveau is.
Ook maakt het Hof inzichtelijk wie in kwesties als deze wat moet bewijzen. De verwerkingsverantwoordelijke moet bewijzen dat de getroffen maatregelen in het concrete geval passend waren. De betrokken persoon die wordt getroffen door de inbreuk moet bewijzen dat sprake is van gevolgen voor hem of haar die immateriële schade opleveren. Die immateriële schade kan ook bestaan uit angst voor misbruik in de toekomst, maar het is aan de nationale rechter om te bepalen of die vrees in de specifieke omstandigheden en ten aanzien van deze betrokkene gegrond kan worden geacht. Daarbij moet aansluiting worden gezocht bij het nationale, civiele schadevergoedingsrecht.
Tot slot
Heeft u vragen over het arrest van het Hof? Of heeft u te maken met een claim van betrokkene(n) voor de toekenning van schadevergoeding wegens een inbreuk op de AVG? Neem gerust contact met mij of een van de andere leden van ons multidisciplinaire privacyteam op. Wij wisselen op basis van onze (proces)ervaring graag vrijblijvend met u van gedachten over dit onderwerp.