Datalekken zijn aan de orde van de dag. Tegenwoordig zit daar steeds vaker een vervolgvraag bij: hoeveel kan ik vangen? Menige claimstichting is er groot mee geworden, of is dat van plan. Maar hoeveel schade lijd je nu echt bij een AVG-schending, zoals een datalek? Is het wel de bedoeling dat mensen daar claims over indienen? En wat is de rol van massaclaimstichtingen hierbij?
Terug naar de basis: de schadeclaim
Juridisch gezien is ‘schade’ een breed begrip. Als we het hebben over schadeclaims of schadevergoeding, dan bedoelen we meestal geleden schade door een onrechtmatige daad of een wanprestatie onder een overeenkomst. Als iemand inbreuk pleegt op andermans recht, de wet schendt of zich 'maatschappelijk onzorgvuldig' gedraagt, dan noemen we dat een onrechtmatige daad (art. 6:162 BW) en moet hij de schade vergoeden die daaruit voortvloeit. Althans: die schade die hem toe te rekenen is en als de norm beoogt dit soort schade te reguleren. Bij de overeenkomst geldt iets vergelijkbaars, maar daar kijken we primair naar toerekenbaarheid versus overmacht (art. 6:74 BW), of je in verzuim bent en nog een paar van die randzaken.
Een datalek past in dit systeem; het is een wetsschending, namelijk het niet adequaat geregeld hebben van je beveiliging (artikel 32 AVG). Maar pas op, er zijn ook datalekken waar niet voor geclaimd kan worden; dat zijn lekken die ontstaan ondanks een goede beveiliging. De AVG eist niet dat datalekken altijd tegengehouden moeten worden of dat daarvan de schade altijd vergoed moet worden. Heel formeel claim je dus niet voor het datalek, maar voor de beveiligingsfouten die het lek tot gevolg hadden. Maar ik geef toe: dat bekt een stuk minder lekker.
Ander nadeel
Goed, dan hebben we dus een onrechtmatige daad. En bij andere situaties wellicht een contractuele claim. En dan is het mooie van ons Burgerlijk Wetboek dat er één regeling is (Boek 6, Titel 1, Afdeling 10 BW) die vervolgens bepaalt wat schade is, hoe je de verdeling daarvan afweegt en hoe je als rechter tot een bedrag, of andere vordering, zoals rectificatie, komt. Hier kunnen we een hele beslisboom van tekenen, maar ik houd het even simpel. Schade kan bestaan uit vermogensschade en 'ander nadeel', waarbij vermogensschade in principe alleen omzetverlies, gederfde winst en beredderingskosten omvat. Die moeten dus worden vergoed, waarbij de rechter goed moet kijken of deze écht door het handelen van die ander komt. Eventuele eigen schuld, je had het kunnen voorkomen, kan ertoe leiden dat je vergoeding omlaaggaat, maar ook profiteren van de aanleiding, is niet de bedoeling.
In een alweer wat oudere zaak (2008) liet de rechter zien hoe dat gaat bij ict-kwesties. Overheidsautomatiseerder ICTU had een enorme schadeclaim ingediend bij de (strafrechtelijk veroordeelde) daders van een serie grote ddos-aanvallen op overheidsdiensten. ICTU moest noodmaatregelen nemen, zoals extra bandbreedte inkopen en een extra router inzetten om te kunnen filteren, en had ook de nodige structurele maatregelen genomen om te zorgen dat dit niet nog een keer kon gebeuren. Dit laatste blijft buiten beschouwing: als jouw oude infrastructuur stukging, dan heb je recht op opruimkosten daarvan, maar niet op een gloednieuwe extra sterke vervanger.
Bij 'ander nadeel' komen we bij wat juristen de immateriële schadevergoeding noemen. Zaken waar niet direct een bedrag op te prikken is, en die vaak een stuk minder hard zijn. Ook daar kun je een schadeclaim voor indienen, maar dat ligt iets ingewikkelder. De reden daarvoor is vooral een stuk conservatisme.
:strip_exif()/i/2005763050.jpeg?f=imagenormal)
Hondjes in de magnetron en andere toestanden
'Wij willen geen Amerikaanse toestanden', is de standaardfrase waarmee menig juridische analyse van schadeclaims begint. Heel vaak komt dan dat hondje in de magnetron langs, of die mevrouw die McDonald’s aanklaagde omdat haar koffie te heet was. Zo iemand krijgt dan miljoenen mee naar huis, en jezelf verrijken omdat je toevallig een paar euro schade had, dat vinden wij niet de bedoeling, helemaal niet met de huidige praktijk in de Joenaited Steets. Daar starten professionele claimclubs voor ieder wissewasje een classactionlawsuit op, halen ze honderden miljoenen binnen waarvan het grootste deel naar de advocaten gaat en krijgen de in theorie benadeelde personen een iTunes-cadeaubon als het even zo uitkomt.
Ik chargeer, maar dit is wel de kern van ons schadevergoedingsrecht. Overigens is van die Amerikaanse verhalen veel niet waar of gebaseerd op een heel ander punt, onder meer dat mensen vaak niet verzekerd (kunnen) zijn voor zulke schade of omdat er veel meer gebeurde dan enkel 'de koffie was heet'. In die McDonald's-koffiezaak bijvoorbeeld was de koffie véél heter (90 graden) dan gebruikelijk, er waren voordien honderden klachten geweest en de eiseres was uitgelachen door de manager toen ze verhaal kwam halen. Dat weegt mee in de VS: een jury mag dan punitive damages, oftewel een civielrechtelijke boete opleggen om het ongewenste gedrag te corrigeren.
:strip_exif()/i/2005763052.jpeg?f=imagenormal)
In Nederland is vooral dat idee van arbitraire bedragen, en dan vooral als boete, iets waar veel weerstand tegen bestaat. Schade moet worden vergoed, maar die schade moet aantoonbaar hard te maken zijn. Kom maar met bonnetjes van een herstelbedrijf of een inschatting van een expert over de kosten van de renovatie. Laat maar een boekhouder opdraven die berekent hoeveel gemiste omzet deze baksteenmakende update het bedrijf heeft gekost. Reken maar uit wat het koersverschil was tussen de dag dat die bitcoin geleverd zou worden en de dag dat je hem werkelijk kreeg, enzovoorts.
Materiële schade
Dit zijn allemaal ook nog eens voorbeelden van schade die een soort van objectief aan te tonen is, de materiële schade. Bij meer immateriële schade ligt dit nog moeilijker: welk bedrag hoort er bij verdriet, pijn en verlies aan levensvreugde? Nu is die regel van schade onderbouwen niet keihard; de rechter mag schatten als er geen andere optie is. In andere rechtsgebieden doen rechters dat ook, zoals bij letselschade bij verkeersongevallen. Hier is een hele compilatie van, het Smartengeldboek van de ANWB. Een paar voorbeelden: 7500 euro voor beenletsel waardoor je niet meer zelfstandig kunt wonen met je dochtertje, of 8868 euro voor jarenlang zwaar trillend geluid van een langsrijdende trein.
Dat laatste voorbeeld is overigens indirect een privacykwestie: dat gedreun en getril in je huis raakt je in je persoonlijke levenssfeer. Dus dan zou je zeggen dat dit ook toepasbaar moet zijn bij een AVG-schending, zoals een datalek. En dat klopt helemaal, en er is zelfs een precedent: in april 2020 kreeg een man 500 euro aan smartengeld voor de gevolgen van een datalek waarin medische gegevens, psychiatrische rapporten van het Pieter Baan Centrum, met derden waren gedeeld. Het bedrag werd 'naar billijkheid vastgesteld', oftewel kon niet nader worden onderbouwd, maar leek verder niet heel bezwaarlijk. Een latere zaak met langdurig lekken van medische gegevens leverde maar liefst 2500 euro schadevergoeding op.
In een andere zaak in die periode leidde echter een vergelijkbaar datalek, maar dan van niet-medische gegevens, tot géén vergoeding. Niet omdat deze rechter een stuk strenger was op die billijkheid, maar omdat er een fundamenteler probleem was in deze zaak. Er moet wel schade aangetoond zijn. Het enkele feit dat de AVG geschonden is, of zelfs dat een van je grondrechten geschonden is (bescherming persoonsgegevens, art. 10 lid 2 Grondwet), maakt nog niet dat je dus automatisch voor een vergoeding in aanmerking komt. Je moet apart onderbouwen dat er nadelige gevolgen zijn ontstaan. De enige uitzondering is als 'de in dit verband relevante nadelige gevolgen daarvan voor de benadeelde voor de hand liggen', wat dus het geval was in die zaak met medische gegevens.
Dus samenvattend: ja, het is mogelijk om schade door een datalek te claimen (als de beveiliging niet op orde was). Dat kan zowel materiële als immateriële schade zijn. Een voorbeeld van materiële schade bij een datalek is een nieuw paspoort aanvragen, iets dat in september 2021 gebeurde na een datalek bij de provincie Gelderland. Immateriële schade kan ook, en je hoeft daarvoor geen bonnetje of schade-expert te hebben. Maar het moet wel duidelijk zijn dat er schadelijke gevolgen zijn. Bij medische zaken is daar een verhaal van te maken, maar in andere gevallen lijkt dit lastig.
De opkomst van de massaclaim
Massaclaims zijn sinds 2020 in Nederland toegestaan.
Weet je wat ook Amerikaanse toestanden zijn? Massaclaims. Neem een heleboel mensen die ongeveer dezelfde klacht hebben, start één rechtszaak en dien namens allemaal tegelijk een claim in. Inderdaad, dan kan het hard gaan met de totale schadeclaim, en als je dan in een jurisdictie gevestigd bent waar je als advocaat een percentage van de toegewezen vergoeding mag pakken als jouw tarief, dan kan dit zeer lucratief zijn. Mede vanwege de zorg over deze praktijk mogen in Nederland advocaten niet werken met no cure no pay of een percentage van de claim als vergoeding. In de VS wel, omdat ze daar vinden dat het een prikkel geeft voor advocaten om overal achteraan te gaan als er geld zit.
Een andere regel tegen massaclaims is vrij recent afgeschaft. Deze verbood verenigingen en stichtingen die namens een achterban optraden, een vergoeding van schade te incasseren bij derden. Ze mochten alleen zaken als een verbod, rectificatie en dwangsommen eisen wanneer de rechten van hun achterban werden geschonden. Ik hoef denk ik niet uit te leggen wie stichting Brein is, maar die opereerde dus precies binnen dit stramien en mocht dus geen schadevergoeding vorderen bij de platforms die ze heeft gesloten. Maar ook de Consumentenbond, een vereniging, mocht alleen zulke claims indienen en geen geld vragen.
Op 1 januari 2020 trad de Wet afwikkeling massaschade in collectieve actie (WAMCA) in werking. Deze brak scherp met de oude regels: collectieve organisaties zoals de Consumentenbond of stichting Brein mogen nu ook een schadevergoeding eisen. Wel gelden er een aantal eisen, zoals eerst geprobeerd te hebben in overleg eruit te komen. De belangrijkste is die van representativiteit: de organisatie moet voldoende representatief zijn voor de achterban. Dit laatste is waar de eerste ict-massaclaim op strandde: de rechtbank vond 75.000 likes op de pagina van de club niet voldoende bewijs van representativiteit.
GGD-datalek
Let op dat het hier dus niet gaat om een collectieve actie van een groep gedupeerden. Of zelfs maar om een actie voor iedereen die zich heeft aangemeld als slachtoffer. De constructie is echt abstract: 'personen waarvan onzeker is of hun persoonsgegevens als gevolg van het GGD-datalek zijn ontvreemd' en 'personen waarvan [dit] vaststaat', zoals stichting ICAM het formuleert in hun dagvaarding tegen de staat. Het onderscheid is relevant omdat die eerste groep de onzekerheid wil opheffen. De stichting eist voor beide categorieën een schadevergoeding, en omdat het gaat om mogelijk 6,5 miljoen mensen, kan dat om enorme bedragen gaan.
/i/2004163374.png?f=imagenormal)
Niemand uit deze groep heeft een contract met ICAM getekend om vertegenwoordigd te zijn. Dat hoeft dus ook niet: als ICAM kan laten zien voldoende representatief te zijn en aan zekere kwaliteitseisen te voldoen, zoals een band met Nederland hebben, dan kan zij gewoon die eis indienen. De rechter zal dan over de gehele achterban oordelen, en dus, als alles voor ICAM gunstig uitpakt, een claim toewijzen die dan tot 6,5 miljoen keer 500 euro zou zijn. Wie niet mee wil doen, kan zich via een opt-out afmelden, en het dan zelf proberen als daar behoefte aan is.
In Nederland mogen advocaten dus geen deel van dat geld opstrijken. Zij factureren gewoon voor hun werk, meestal op uurtarief. Dit doen ze ook bij massaclaims, ongeacht of de uitkomst nou positief of negatief is. Tegelijkertijd is het een en ander gratis voor de gedupeerden. De constructie is die van procesfinanciering: een externe partij, in dit geval Liesker Procesfinanciering, betaalt de advocaat, maar mag vervolgens wel weer geld uit de eventuele schadevergoeding halen wanneer de zaak gewonnen wordt (20 procent tot maximaal vijf keer de kosten). Als iemand verliest of als er geen bedrag wordt toegekend, dan draagt Liesker dat verlies.
Er is vanaf de invoering van de WAMCA veel gediscussieerd over procesfinanciering, en de GGD-zaak maakte extra veel bezwaren los: massaclaims moesten gaan over 'beperkte groepen' en niet 6,5 miljoen mensen, als ik het even kort door de bocht samen mag vatten. En toegegeven, het is een enorme groep en daarmee een enorme claim. Maar daar staat tegenover dat bij datalekken er ook dergelijke enorme aantallen gegevens gelekt mogen worden. Het lijkt me raar dat je wel een massaclaim mag indienen over miljoenen auto’s met sjoemelsoftware, maar niet over tientallen miljoenen persoonsgegevens.
Gaat een bedrag haalbaar zijn?
Hoe je het ook wendt of keert, ook bij massaclaims moet er op een zeker moment een bedrag gezet worden op de schade. Die 500 euro duikt vaak op, maar dat is volgens mij meer conservatisme dan iets anders: als velen roepen dat 500 redelijk is, dan zal ik het ook maar roepen (haha, ja, llm's lijken wel llm's, inderdaad, grappig). En zoals gezegd, rechters willen er niet echt aan. Ik denk dat je voor ‘gewone’ lekken er rustig een nul af mag halen, waardoor het nauwelijks interessant wordt om je schade individueel te gaan verhalen, met het oog op de kosten, want die komen voor je eigen rekening. Die 'gewone' lekken zijn voor een massaclaim nog steeds interessant: 6,5 miljoen keer 50 euro is ook nog een leuk bedrag.
Wanneer is een bedrag hoog genoeg?
Ook andere nieuwe wetgeving zal dit soort claims mogelijk maken. Er wordt nu bijvoorbeeld gewerkt aan de Cyber Resilience Act, die gaat eisen dat internet-of-thingsapparaatjes veilig moeten zijn. Naast bestuursrechtelijke handhaving zit daar ook een massaclaimconstructie bij: een apparaat dat niet veilig is, wordt geacht ‘defect’ te zijn, net zoals een tv die ontploft als hij te lang in stand-by staat. Hier is de schade wellicht iets makkelijker vast te stellen dan de prijs van het apparaat. Maar als de onveiligheid hem zit in datalekken, dan komen we weer bij dezelfde discussie terug.
Het is voor mij meer de vraag of een financiële claim het middel is om het probleem, prutsbeveiliging en slordig werken, op te lossen. Organisaties zullen vast schrikken van zo’n bedrag, maar gaan ze daardoor de ict helemaal opnieuw doen: autorisaties herzien, e-mail in de ban, supplychain auditen, zulke dingen? Ik heb er een hard hoofd in: organisaties zijn naar hun aard hardleers. Een financiële aanslag is pijnlijk, maar leidt vooral tot financiële maatregelen om het op te vangen. De prijs wat omhoog, intern wat bezuinigen en het moet maar verder. De link tussen die bedragen en de bedrijfsprocessen waar het schadebrengende feit uit komt, is net iets te los.
De AVG kent meerdere instrumenten die je als betrokkene, als slachtoffer dus, kunt inzetten. Je kunt bijvoorbeeld ook verwijdering van je data eisen, of juist een bepaalde verwerking laten verbieden omdat die je schade oplevert. Moet je je voorstellen: een massaclaim waarin álle gebruikers van Salesforce komen eisen dat hun data bij álle afnemers in Nederland wordt gewist. Volgens mij is dat veel meer een dreun dan ‘slechts’ een paar miljoen euro betalen. Net zoals je onder de CRA dan zou kunnen eisen dat die onveilige apparaten van de markt gehaald worden. Dat zou een nuttige eis voor claimorganisaties kunnen zijn, wat een goed compromis geeft tussen 'alleen maar geld willen verdienen' en 'iedereen moet individueel 50 euro schade claimen'.
:strip_exif()/i/2006310576.jpeg?f=fpa)
:strip_icc():strip_exif()/i/2006310574.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2006268478.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2006145452.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005929956.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005818550.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005692078.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005685150.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005644466.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005536330.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005476196.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2005425482.jpeg?f=fpa_thumb)
/i/2004648026.png?f=fpa)
/i/2004609692.png?f=fpa)
:strip_exif()/i/2004806902.jpeg?f=fpa)
:strip_icc():strip_exif()/u/78991/Image2.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/269054/crop6064049cee9ab_cropped.jpg?f=community){kind=small}
/u/8/oog3.png?f=community){kind=small}
zeker wanneer het gaat om je naam en e-mailadres.
/u/151149/crop5fde11d32f663_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/745575/crop5de1181b59fc4_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/81611/headcrop.jpg?f=community){kind=small}
/u/314383/crop5dc6a4144d574_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/61340/125281113_256.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/335350/crop61a63ee1f224f.jpg?f=community){kind=small}