Autobedrijf moet passendheid e-mailbeveiliging aantonen na frauduleuze betaalinstructie door hacking

Hof Arnhem-Leeuwarden 5 november 2024, IT 4673; ECLI:NL:GHARL:2024:6812 (appellant tegen geïntimeerde) De koper van een auto had een bedrag overgemaakt naar een Duits bankrekeningnummer op basis van een betaalinstructie die hij ontving via het e-mailadres van het autobedrijf, de verkoper. Later bleek dat een hacker toegang had gekregen tot het e-mailaccount van het autobedrijf en de valse betaalinstructie had verstuurd. De koper vorderde schadevergoeding op grond van artikel 82 AVG, stellende dat het autobedrijf onvoldoende beveiligingsmaatregelen had getroffen.

Het hof oordeelt dat het autobedrijf als verwerkingsverantwoordelijke moet aantonen dat de beveiligingsmaatregelen passend waren volgens de AVG. Het autobedrijf had de beveiliging van haar e-mailaccount uitbesteed aan een ICT-dienstverlener, maar kon niet voldoende onderbouwen hoe de hacker toegang had gekregen. Het hof betwijfelt of de getroffen maatregelen, zoals het beheer van het wachtwoord door een derde partij, passend zijn. Het hof besluit dat het autobedrijf bewijs mag leveren dat haar e-mailaccount passend is beveiligd. Indien het autobedrijf hierin niet slaagt, is er sprake van een inbreuk op de AVG die toerekenbaar is aan het autobedrijf. Dit zou betekenen dat de schade van de koper, veroorzaakt door de betaling op het verkeerde rekeningnummer, aan het autobedrijf kan worden toegerekend. Het hof houdt verdere beslissingen aan in afwachting van de bewijslevering door het autobedrijf.

3.25. [het autobedrijf] heeft als onderbouwing van de door haar getroffen beveiligingsmaatregelen een e-mail overgelegd van Autosociaal (de ICT dienstverlener van haar e-mailaccount) waarin maatregelen staan die deze heeft getroffen om toegang tot het account te beveiligen. Op de mondelinge behandeling bij het hof heeft [het autobedrijf] daarnaast toegelicht dat haar IT-beheerder de hardware op haar kantoor heeft bekeken en dat daar geen malware op is aangetroffen. [het autobedrijf] kon niet toelichten hoe de hacker toegang heeft kunnen krijgen tot haar e-mailaccount en waarom de monitoring- en toegangsmaatregelen die Autosociaal noemt niet hebben kunnen voorkomen dat de hacker toegang kreeg tot haar account. Ook wist [het autobedrijf] niet hoe het kon dat volgens Autosociaal de hacker waarschijnlijk al de beschikking had over het wachtwoord, omdat er kennelijk maar een paar pogingen van de hacker nodig waren om in het e-mailaccount van [het autobedrijf] te komen. Uit de toelichting op de mondelinge behandeling is wel duidelijk geworden dat niet [het autobedrijf] zelf, maar Autosociaal het wachtwoord van haar e-mailaccount beheert en wijzigt. [het autobedrijf] heeft zelf geen ander wachtwoord in hoeven stellen en heeft dat ook niet gedaan. Autosociaal regelde dat het wachtwoord eens in de zoveel tijd werd gewijzigd. Het wachtwoord was volgens haar een heel ingewikkeld wachtwoord: een hele reeks met allerlei symbolen erin. Om in de e-mailbox te komen, hoeft de eigenaar van [het autobedrijf] alleen zijn computer aan te zetten en in te loggen met een ‘voorgeprogrammeerd’ wachtwoord in het Microsoft account van [het autobedrijf] en dan heeft hij direct toegang tot het e-mailaccount.

3.27. Vooruitlopend op de bewijslevering door [het autobedrijf] , wijst het hof op het volgende. Indien [het autobedrijf] niet kan aantonen dat zij heeft voldaan aan de eisen van een passende beveiliging uit de AVG, dan is sprake van een inbreuk op de AVG die in beginsel toerekenbaar is aan [het autobedrijf] (vereiste 1 van artikel 82 lid 1 AVG). Dan is de vervolgvraag of [de koper] schade heeft geleden ten gevolge van deze inbreuk (vereisten 2 en 3 van artikel 82 lid 1 AVG, zie hiervoor in 3.18). Dat [de koper] geen schade heeft geleden, omdat hij niet in zijn vermogen is aangetast, zoals [het autobedrijf] aanvoert, volgt het hof niet. Zoals hiervoor in 3.21 geoordeeld, heeft [de koper] op basis van de instructie van de hacker een bedrag van € 26.900,- overgeschreven naar een Duits rekeningnummer. Dat geld heeft hij niet meer en ook de gekochte auto niet. [het autobedrijf] heeft de koopovereenkomst ontbonden, omdat [de koper] het restantbedrag voor de auto niet aan haar heeft betaald. [de koper] is het bedrag kwijt en heeft daar niets voor in de plaats gekregen, waardoor hij wel degelijk in zijn vermogen is aangetast. Dat daar een recht op levering voor in de plaats is gekomen, waardoor geen sprake is van vermogensschade, zoals [het autobedrijf] aanvoert, is niet juist, want [het autobedrijf] heeft de overeenkomst ontbonden en [de koper] heeft in de ontbinding berust en vordert in plaats daarvan schadevergoeding.