Immateriële schade toegekend bij hack bijzondere persoonsgegevens van oud student hogeschool

Rechtbank Gelderland 4 oktober 2023, IT 4392; ECLI:NL:RBGEL:2023:5435 (Eiser tegen Stichting Hogeschool Arnhem en Nijmegen). Eiser is in 2021 afgestudeerd van de hogeschool met enige studievertraging vanwege persoonlijke omstandigheden. Begin 2022 heeft eiser een bericht van de hogeschool ontvangen dat zijn gegevens gestolen zijn bij een hack, waarbij ook de reden van zijn studievertraging in handen is gekomen van de hacker. Begin december heeft eiser de hogeschool verzocht schadevergoeding te betalen wegens diefstal van zijn persoonsgegevens. De hogeschool heeft aangegeven deze schadevergoeding niet te zullen betalen.  

Eiser vordert bij de rechtbank vergoeding van de geleden schade. Eiser legt aan zijn vorderingen ten grondslag dat de hogeschool inbreuk heeft gemaakt op de AVG en hij hierdoor immateriële schade heeft geleden. De school is volgens eiser tekortgeschoten in haar plicht om de veiligheid van de gegevens van eiser te waarborgen en passende maatregelen hiertoe te treffen. Eiser stelt dat geen sprake is van adequate beschermingsmaatregelen, omdat de gegevens niet versleuteld waren opgeslagen. Daarnaast stelt eiser dat bekend was dat kwetsbaarheden waren gevonden in een verouderd webformulier op de site van de school. Ook staat vast dat de hackmethode die gebruikt werd een veelvoorkomende methode is. De school heeft zich verweerd door maatregelen op te sommen die zij op grond van haar veiligheidsbeleid heeft getroffen en acht deze maatregelen passend als verwerkingsverantwoordelijke. De rechter oordeelt dat in deze situatie wel sprake is van een schending van de AVG, omdat van de school verwacht kon worden betere maatregelen te treffen ten aanzien van de bijzondere persoonsgegevens zoals gezondheidsgegevens. De school weerspreekt niet dat de hack heeft plaatsgevonden via de bekende methode, waardoor de school duidelijk had moeten maken welke veiligheidsmaatregelen zij getroffen heeft ten tijde van het datalek.

De rechter is van oordeel dat het lekken van algemene persoonsgegevens niet heeft geleid tot schade bij eiser, maar dat wel sprake van is van schade ten aanzien van het lekken van bijzondere persoonsgegevens van eiser. Eiser heeft voldoende concreet gemaakt last te ondervinden van de gevolgen van het datalek, omdat hij in eerste instantie al moeite had om de gegevens met de hogeschool te delen en zich nu nog minder open durft te stellen. De rechter oordeelt dat alleen sprake is van immateriële schade ten aanzien van de gelekte bijzondere persoonsgegevens en veroordeelt Stichting Hogeschool Arnhem en Nijmegen deze schade te vergoeden. Het schadebedrag is € 300,00.

4.4.

Niet ieder datalek levert een inbreuk op de AVG op; van belang is of het beveiligingsniveau passend was ten tijde van de hack. Het is correct dat het aan de verwerkingsverantwoordelijke zelf is om te bepalen wat passende en effectieve maatregelen zijn, maar dat betekent enkel dat de hogeschool niet alle maatregelen hoefde te treffen die er maar mogelijk waren. Van haar mocht wel verlangd worden dat ze die maatregelen zou treffen die, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, van haar verwacht konden worden (art. 32 lid 1 AVG). De hogeschool heeft volstaan met een verwijzing naar de maatregelen die zij, dan wel Surfsoc, in het algemeen treft. Zij heeft niet concreet/inzichtelijk gemaakt wat zij ten tijde van het datalek aan veiligheidsmaatregelen had getroffen op de betreffende applicatie (het webformulier) en/of de achterliggende server. Gelet op de in rechtsoverweging 4.3. genoemde omstandigheden had dit wel op haar weg gelegen. Daarvoor is niet vereist dat zij informatie verstrekt over de oorzaak van het datalek en/of welke maatregelen ze daarná heeft genomen, welke gegevens de hogeschool uit veiligheidsredenen niet openbaar wil maken. De enkele stelling dat versleuteling en/of pseudonimisering geen passende maatregel was is in dit kader niet voldoende. Niet duidelijk is immers wat dan wél passend was en of de hogeschool daaraan voldeed.

Omdat de hogeschool dit heeft nagelaten, is de kantonrechter van oordeel dat zij onvoldoende heeft betwist dat ze inbreuk heeft gemaakt op de AVG. De inbreuk komt daarmee vast te staan en de gevorderde verklaring voor recht die hierop ziet zal worden afgegeven.