Jurisprudentie: datalek hogeschool en schadevergoeding
9 juli 2024
Geschreven door: mr. J.S. Buiting
Onlangs werd bekend dat een aantal studenten een schadevergoeding van €300,- hebben gekregen omdat hun gegevens waren buitgemaakt bij aan datalek. Deze schadevergoeding kwam tot stand nadat de rechter eind 2023 al besloot dat de hogeschool hiervoor een vergoeding verschuldigd was. (Rechtbank Gelderland 4 oktober 2023, ECLI:NL:RBGEL:2023:5435).
De zaak in het kort
De student in kwestie was in 2021 afgestudeerd, maar in 2022 werden alsnog zijn persoonsgegevens die zich op een server van de hogeschool bevonden gestolen. Het ging om persoonsgegevens zoals, de naam, het adres, de woonplaats, het mailadres en het telefoonnummer van de student, maar ook om de reden waarom de student studievertraging had opgelopen. Dit waren bijzondere medische persoonsgegevens.
Juridisch kader
De zaak spitst zich toe op de vraag of de hogeschool zich heeft gehouden aan artikel 32 van de Algemene Verordening Gegevensbescherming (AVG). In dit artikel is bepaald dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen moet treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Oordeel van de rechtbank
Bij het beantwoorden van de vraag of de student recht heeft op een schadevergoeding weegt de rechtbank mee dat de hogeschool heeft erkend dat zij gehackt is en dat gebruik is gemaakt van een veel voorkomende hackmethode. Ook was bij de hogeschool bekend dat zij kwetsbaar was op het punt van privacy en cyber. Van de hogeschool had verwacht mogen worden dat zij maatregelen zou treffen die “rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, van haar verwacht konden worden (art. 32 lid 1 AVG).”
Nu de hogeschool niet concreet inzichtelijk heeft gemaakt welke veiligheidsmaatregelen waren genomen om datalekken tegen te gaan, heeft de hogeschool onvoldoende betwist dat er inbreuk is gemaakt op de AVG. Vervolgens is het de vraag of deze inbreuk op de AVG ook moet leiden tot een schadevergoeding voor de student.
Bij het beantwoorden van deze vraag weegt de rechtbank mee dat uit de AVG voortvloeit dat het begrip schade ruim uitgelegd moet worden (overweging 146 van de AVG). Een eventuele schadevergoeding moet recht doen aan de doelstelling van de verordening. De rechter is van oordeel dat het lekken van de algemene persoonsgegevens van de student niet hoeft te leiden tot een schadevergoeding. De hogeschool heeft gemotiveerd gesteld dat die gegevens reeds bij andere lekken waren buitgemaakt of zelf door de student al op het internet waren gezet. Dit is niet het geval bij de bijzondere medische persoonsgegevens. Hoewel niet precies duidelijk is welke gegevens zijn gestolen, is de inbreuk op de AVG voldoende om schade aan te nemen. Daarbij speelt mee dat de student ook toegelicht heeft dat hij hierdoor immateriële schade leidt, onder meer doordat zijn vertrouwen is geschaad en door de emotionele reactie die de diefstal bij hem heeft opgeroepen. De hogeschool moet de student dan ook een schadevergoeding betalen.
