Autobedrijf schendt AVG na hack e-mailaccount

Hof Arnhem-Leeuwarden 22 juli 2025, IT 4934 ([appellant] tegen [geïntimeerde] B.V.) Het Gerechtshof Arnhem-Leeuwarden behandelt op 22 juli 2025 in hoger beroep een zaak tussen een koper en een autobedrijf over schade na betaling van een deel van de koopprijs van een auto aan een hacker. De koper heeft dit bedrag overgemaakt op basis van een betaalinstructie vanaf het e-mailadres van het autobedrijf. Een derde heeft via dat e-mailaccount een valse instructie gestuurd, waardoor het autobedrijf het bedrag niet heeft ontvangen en de auto niet heeft geleverd. In een tussenarrest van 5 november 2024 is het autobedrijf opgedragen te bewijzen dat het e-mailaccount passend is beveiligd in de zin van de artikelen 5 lid 1 onder f, 24 en 32 AVG. Het bedrijf overlegt een akte met een nalevingsrapport van Secure !T Inside B.V., waarin onder meer wordt verwezen naar de inschakeling van een ISO 27001-gecertificeerde ICT-dienstverlener. Het hof oordeelt dat niet is toegelicht hoe brute-forceaanvallen en ongeoorloofde toegang onopgemerkt blijven, hoe het wachtwoordbeleid is ingericht, waarom de verwerker het wachtwoord kent en welke organisatorische maatregelen gelden.

Het hof concludeert dat het autobedrijf niet heeft bewezen dat het e-mailaccount passend is beveiligd. Daarmee is sprake van een inbreuk op de AVG die aan het autobedrijf is toe te rekenen, met causaal verband tot de materiële schade van de koper. De vordering tot vergoeding van € 5.000 aan immateriële schade wordt afgewezen, omdat de koper geen concrete gegevens overlegt waaruit blijkt dat hij geestelijk letsel heeft geleden. De persoonsgegevens die de hacker heeft verkregen, zijn geen bijzondere persoonsgegevens in de zin van artikel 9 AVG. Het hof biedt partijen de gelegenheid zich uit te laten over de vraag of sprake is van eigen schuld van de koper in de zin van artikel 6:101 BW. Het autobedrijf mag hierover eerst een akte nemen, waarna de koper mag reageren. Verdere beslissingen worden aangehouden.

3.8. Volgens [het autobedrijf] is het risico van de verwerking van persoonsgegevens via haar e-mailaccount zeer beperkt en spelen bij die verwerking ‘in het geheel geen risico’s voor de grondrechten en fundamentele vrijheden’ van haar klanten. Dat ziet het hof anders. Het gaat in artikel 24 lid 1 en 32 lid 1 AVG niet om grondrechten en fundamentele vrijheden, maar om de risico’s voor de rechten en vrijheden van natuurlijke personen in het algemeen. De gedachte achter de beveiligingsverplichtingen die de AVG oplegt, is dat bij de beoordeling daarvan aandacht wordt besteed aan de risico’s die kunnen leiden tot lichamelijke, materiële of immateriële schade voor betrokkenen.5 Een mogelijk risico is identiteitsfraude. Als de naam, het e-mailadres en het huisadres van klanten van [het autobedrijf] in verkeerde handen vallen kan een kwaadwillende die gegevens misbruiken door bijvoorbeeld bestellingen te plaatsen bij webshops met betaling achteraf en op naam en met het factuuradres van deze klanten, maar met een ander e-mail- en afleveradres. Dan krijgen die klanten plotseling een aanmaning tot betaling voor producten die zij niet hebben besteld en niet hebben ontvangen. Dat kan grote (financiële) gevolgen hebben voor een klant. De technische en organisatorische maatregelen die [het autobedrijf] moet treffen moeten daarom onder meer gericht zijn op het voorkomen van onrechtmatige toegang tot die klantgegevens op haar e-mailaccount.