Geen aansprakelijkheid voor gehackte gegevens

Rechtbank Gelderland 7 april 2021, IT 3499, ECLI:NL:RBGEL:2021:1888 (Eiser tegen NederWoon) Eiser heeft zich als woningzoekende ingeschreven bij NederWoon. Daarbij heeft hij een gebruikersaccount aangemaakt op de website van NederWoon. Eiser heeft daarbij onder andere persoonsgegevens verstrekt, zoals een kopie paspoort, loonstroken en bankafschriften. Op een gegeven moment wordt het computersysteem van NederWoon gehackt. De hacker heeft allerlei gegevens van de gebruikers van NederWoon kunnen inzien, maar het is niet bekend welke gegevens dit precies zijn geweest. PrivacyPunt heeft namens eiser NederWoon aansprakelijk gesteld voor de schade die veroorzaakt is doordat NederWoon vermoedelijk in strijd heeft gehandeld met de AVG. De rechtbank wijst deze vordering echter af omdat er niet is gebleken dat er daadwerkelijk misbruik is gemaakt van de gegevens die bij de hack zijn betrokken.

4.5. [eisende partij] stelt dat hij immateriële schade geleden heeft en vordert daarvoor een schadevergoeding van € 500,-, althans een verwijzing naar de schadestaatprocedure.
Hij stelt dat bij schendingen van de Avg een ruime interpretatie gegeven moet worden aan het begrip ‘schade’ en dat ook de toekenning van een vergoeding voor immateriële schade niet beperkt wordt door artikel 6:106 BW, maar dat de Avg hiervoor een zelfstandige grondslag biedt.
Wat daarvan ook zij, ook wanneer [eisende partij] hierin zou moeten worden gevolgd, is het aan hem om te stellen en voldoende te onderbouwen dat er daadwerkelijk (immaterële) schade geleden is. Anders dan [eisende partij] kennelijk meent, is het geen automatisme dat een schending van de Avg leidt tot (immateriële) schade en dus tot schadevergoeding. NederWoon verwijst in dit verband terecht naar het arrest van de Hoge Raad van 15 maart 2019 (ECLI:NL:

HR:2019:376). De enkele stelling dat sprake is geweest van ‘distress’ is onvoldoende als geen onderbouwing wordt gegeven waaruit blijkt dat [eisende partij] hier concreet last van heeft gehad of hoe die ‘distress’ zich bij hem heeft geuit. Niet gebleken is dat [eisende partij] bijvoorbeeld meteen na ontvangst van de brief van NederWoon vragen heeft gesteld of op andere wijze heeft laten merken bezorgd te zijn. Ook andere uitingen van onbehagen zijn gesteld noch gebleken.

4.6. Anders dan in de door [eisende partij] genoemde voorbeelden uit de jurisprudentie waarbij een vergoeding voor immateriële schade is toegekend, is niet gebleken dat daadwerkelijk misbruik gemaakt is van de gegevens die bij de hack zijn betrokken. Integendeel, uit het strafvonnis blijkt, zoals NederWoon ook aanvoert, dat de hacker de persoonsgegevens juist (nog) niet aan derden had verkocht of overgedragen, terwijl alle gegevensdragers die in beslag zijn genomen aan het verkeer zijn onttrokken, zodat de kans dat de gegevens alsnog in verkeerde handen komen nihil is.