Een lezer vroeg me:
Waarom is het zo lastig om een schadevergoeding te krijgen als je gegevens zijn gelekt of misbruikt? Ondanks alle datalekken die plaatsvinden en AVG-boetes voor bedrijven zoals Meta hoor ik zelden dat gebruikers een vergoeding krijgen, terwijl het toch om hun data gaat.Datalekken en ander misbruik van persoonsgegevens zijn helaas aan de orde van de dag. Dit is onder allerlei wetgeving gereguleerd, van AVG tot NIS2 of CRA, maar juridisch spreken we in alle gevallen van een onrechtmatige daad als gegevens niet beveiligd zijn zoals de wet eist. En algemeen geldt, wie een ander een onrechtmatige daad aandoet, moet de schade daarvan vergoeden.
Er zijn allerlei redenen waarom mensen geen schadeclaims indienen. Het is gedoe, je rechtsbijstandsverzekering dekt het niet, je moet een buitenlandse partij aanspreken of je hebt niet eens door dát je gegevens zijn misbruikt. Ook kun je een verhandeling opzetten of het datalek wel verwijtbaar is en dus geen sprake is van overmacht. In dat laatste geval is namelijk géén sprake van onrechtmatig handelen. En hoe weet jij of het bedrijf adequate beveiliging had gehanteerd?
De belangrijkste voor mij is echter dat de schade niet tot nauwelijks te kwantificeren is. Wat kost een gelekt emailadres? Hoe veel schade heb je bij een medisch dossier op straat? Bij een deuk in je auto of een omgeduwde vaas is het antwoord vrij eenvoudig. Bij letsel en smart (inclusief psychisch) kan een deskundige worden bevraagd en zijn er tabellen (zoals de smartengeldgids) waar je richtinggevende getallen uit kunt halen. Dit ontbreekt bij onrechtmatig gebruik van persoonsgegevens.
In 2023 en 2024 bepaalde het Hof van Justitie in een aantal arresten dat het géén automatisme is dat je recht hebt op geld als je persoonsgegevens onrechtmatig zijn verwerkt. Je moet echt aantonen wat je schade is, dat er concreet iets van schade is opgetreden. Dat hoeft niet hoog te zijn, maar moet er wel zijn. Dus speculatief het vermoeden dat het wel eens gebruikt kán worden door criminelen of dat een collega het zou kunnen lezen en dat dat psychische schade geeft, is allemaal niet genoeg. Toon maar aan wat er is misgegaan – én welk bedrag aan schade je daar aantoonbaar door hebt geleden.
Met name dat laatste is dus het probleem. Welk bedrag heb je geleden door een ongewenste mail of een phishingpoging? Meer dan overlast of irritatie is het vaak niet, en daar kun je geen bedrag op zetten. Misschien een paar tientjes als het frequent is, maar niemand procedeert voor een paar tientjes. Bij de diverse massaclaims rondom datalekken is dit iets minder een probleem, want een miljoen tientjes is wél een leuk bedrag om over te procederen.
In Nederland zijn enkele pogingen geweest om hogere bedragen te claimen. Dat is in een enkel geval gelukt bij een onrechtmatig gebruik van medische gegevens, maar eigenlijk in alle andere gevallen afgewezen wegens gebrek aan onderbouwing. Dus tenzij het gaat om medische gegevens of je héél concreet een factuur van schadeherstel kunt laten zien, is er geen route om geld te krijgen bij misbruik van je persoonsgegevens.
In het verleden heb ik wel gepleit voor een staffel met vaste bedragen. Datalekken kosten dit bedrag tenzij aantoonbaar anders. Ik denk nog steeds dat dat de enige echte oplossing is, maar weet dan weer niet hoe we die bedragen moeten ijken.
Arnoud
Ik ben recentelijk tegen deze blogpost aangelopen waarin geclaimd wordt dat een volledig medisch dossier 1000 Euro waard is op de criminele markt. Voor een setje financiële gegevens zou (volgens de blog) 250 euro betaald worden en voor volledige (kale) persoonsgegevens 50 euro.
Het is mij onbekend waarop het “onderzoek” is gebaseerd en hoe realistisch deze bedragen zijn. Er wordt ook nog gezwaaid met een factor 30, die de bedragen in mijn ogen nog onrealistischer maakt.
Die waardes zijn gebaseerd op die voorbeelden, dat zijn geen richtwaardes. Het voorbeeld gaat over een medisch dossier in de VS dat voor 1000 dollar verhandeld is omdat met behulp van de informatie in dat dossier alleen op recept verkrijgbare opiaten konden worden gekocht. Dat is een situatie die zich bij ons niet zo snel zal voordoen denk ik, dit voorbeeld gaat eigenlijk over het illegaal verkrijgen van verdovende middelen, en dat daar veel geld in om gaat is bekend. Die factor 30 is inderdaad niet realistisch of in elk geval niet representatief, het ging dan om een enkele claim waarbij 30x meer werd geclaimed dan de gestolen data waard zou zijn. Deze blogpost komt van een bedrijf dat adviseert op dit gebied, dus dat ze het financieel risico groot willen laten lijken is niet zo raar.
Wat wel een realistisch bedrag is weet ik ook niet, maar 1000 euro schade in Nederland lijkt me in elk geval niet redelijk tenzij de schade echt aantoonbaar is.
Als er iemand naar de gemiddelde persoon komt en 1000€ biedt voor het medische dossier van die gemiddelde persoon, gaat de gemiddelde persoon daar dan op in?
Zolang het antwoord ‘nee’ is, is de waarde blijkbaar groter dan 1000€
Niet alle waarde is economisch, toch? Ik moet nu denken aan Indecent Proposal (1993).
Laten we eens aannemen dat ik in staat was de (elektronische) archiefkast van een huisarts in Nederland over te kopiëren. Ik heb nu een paar duizend dossiers in handen.
a) Als jouw dossier er tussen zou zitten, hoeveel zou jij betalen om de ongeoorloofde kopie te laten verwijderen?
b) Wat zou ik kunnen verdienen als ik kopieën van de dossiers aanbied (aan derden) op naam van de betrokkene?
c) Welke inkomsten zou ik kunnen genereren aan de verkoop van informatie over bepaalde aandoeningen of medicatie? (selectiecriteria door de klant bepaald.)
Voor a) verwacht ik niet veel; bij b) een honderdtal verkopen tegen 100 Euro, voor bekende Nederlanders zo’n 1000 euro. Bij c), tja, zo’n “opiaten” dossier… een duizendje hier of daar van de farmaceutische industrie.
Eerste conclusie, zo’n diefstal is het niet waard, met programmeren verdien ik genoeg, met minder gezeur. Tweede conclusie, die gegevens zijn wel iets waard en horen dus op gepaste wijze beschermd te worden.
Ja dit is het verschil tussen economische en immateriele waarde. Een schadevergoeding gaat over de economische schade. Als iemand mijn hondje wil kopen en 1000€ biedt dan weiger ik ook, ondanks dat ik bij het asiel gratis een nieuw hondje kan afhalen. Tegelijkertijd, als ik op straat een verwaarloosde hond zie dan neem ik die mee en ga ik die verzorgen, maar ik ga niet naar een fokker om een nieuwe hond te kopen. Ik wil de mijne niet kwijt voor ongeacht wat voor bedrag ook, maar ik wil ook geen nieuwe kopen, ongeacht hoe laag het bedrag is, maar ik wil wel kosten maken voor iets wat ik gratis vond. Dus wat is nu de economische waarde van een hond?
Een nieuwe identiteit kopen is best duur eigenlijk, en dan heb je vaak nog niet eens je originele nederlandse, of je moet opnieuw een inburgering doen. Dat zijn best veel kosten.
Even hypothetisch, als je nu een professionele “scrubber” inhuurt aan de hand van het datalek, en die als opdracht geeft om al jouw gegevens uit dat datalek zo goed en zo kwaad als het kan het het dark-/internet te verwijderen.
Ongeacht hoe effectief, na een tijdje zegt die: “Job’s done!” En je krijgt een factuur waar netjes een aantal uur en een bedrag op staat en je betaalt dat.
Zou je dat dan als schade kunnen indienen?
Ik denk dat over dat “Ongeacht hoe effectief” wel wat discussie kan ontstaan. In het verleden heb ik wel als schadepost een dark web monitoring service gezien, die dan afgenomen moest worden om te zien of de gelekte gegevens daar te koop werden aangeboden. Aanschaf van nieuw identiteitsbewijs is ook een concrete schadepost als het nummer daarvan (dus niet je bsn) is gelekt.
Hoe effectief zou zo’n dienst überhaupt kunnen zijn? Het is per definitie een criminele dienst waar die gegevens liggen, waarom zou die meewerken aan een verzoek van iemand met een nieuwerwets visitekaartje?
Bij een nieuw paspoort moet je mogelijk ook visa aanvragen opnieuw doen en daarmee kan een reis in gevaar komen als die procedure te lang duurt. Terwijl het oude paspoort indien daar bv een kopie van gelekt is eigenlijk zo snel mogelijk ongeldig gemaakt moet worden.
Het lekken van een BSN is in deze mogelijk nog ernstiger. Immers met een BSN (zeker icm een geboortedatum of een adres) kom je in Nederland vrij ver om wat te huren of contracten te sluiten.
Een belangrijk probleem bij schade vergoedingen in Nederland is dat de tijd die het iemand kost vaak gratis is. Terwijl je als ondergrens bv het minimumloon zou kunnen hanteren. Als door een datalek je e-mail adres lijst komt die door veel spammers wordt gebruikt kan dit best wat tijd kosten in de loop van de tijd om alle mails te verwijderen (nog los van wat het verder kost).
Voor standaard gegevens zou een lijstje als hieronder een optie kunnen zijn: – Kopie paspoort/rijbewijs/identiteitskaart/etc.: kosten om die te vervangen verhoogd met 25 euro voor het werk dat je er mee hebt als je een bewijs van vervangen aanlevert (geen vermindering met aangepaste termijn waarvoor deze geldig is). – E-mail adres: 25 euro – Post/huis adres: 25 euro – Naam: 25 euro – Geboortedatum: 25 euro – BSN: 250 euro (lastig een bedrag aan te knopen, maar zeker icm andere gegevens is misbruik ook jaren later nog mogelijk)
Maar voor al deze bedragen ga je niet gauw als individu naar de rechter. De kosten wegen niet op tegen de baten. Dat is bij de relatief kleinere bedragen wel een probleem. En je kunt zeggen je krijgt de kosten vergoed als je wint, maar iemand moet het dan wel voor kunnen schieten en de tegenpartij moet niet failliet gaan.