Uitspraak
RECHTBANK GELDERLAND
Civiel recht
Kantonrechter
Zittingsplaats Arnhem
Zaaknummer: 10357013 \ CV EXPL 23-1488
Vonnis van 4 oktober 2023
in de zaak van
[eiser],
te [woonplaats] ,
eisende partij,
hierna te noemen: [eiser] ,
gemachtigde: De vereniging Studentenvakbond AKKU,
tegen
STICHTING HOGESCHOOL VAN ARNHEM EN NIJMEGEN,
te Arnhem,
gedaagde partij,
hierna te noemen: de hogeschool,
gemachtigde: mr. S.Y. Wakker.
1.De procedure
1.1.
Het verloop van de procedure blijkt uit:
- het tussenvonnis van 10 mei 2023;
- de akte houdende producties ten behoeve van de mondelinge behandeling van [eiser] ;
- de mondelinge behandeling van 7 september 2023, waarvan door de griffier aantekeningen zijn gemaakt. Op deze mondelinge behandeling hebben beide partijen spreekaantekeningen overgelegd.
1.2.
Ten slotte is vonnis bepaald.
2.De feiten
2.1.
[eiser] is alumnus van de hogeschool. In februari 2021 heeft hij zijn opleiding afgerond, met enige studievertraging vanwege persoonlijke omstandigheden.
2.2.
Op 1 september 2022 heeft een hacker een deel van de persoonsgegevens, die zich op de server van de hogeschool bevonden, buit gemaakt.
2.3.
[eiser] heeft op 5 oktober 2022 bericht van de hogeschool ontvangen dat mogelijk ook enkele van zijn persoonsgegevens bij de hack zijn gestolen. De hogeschool schreef in een e-mail: “
Daarbij gaat het om algemene persoonsgegevens zoals naam, adres, woonplaats, e-mailadres, telefoonnummer, maar in jouw geval ook om je melding van de reden van studievertraging.
Daarbij gaat het om algemene persoonsgegevens zoals naam, adres, woonplaats, e-mailadres, telefoonnummer, maar in jouw geval ook om je melding van de reden van studievertraging.
Dat weten we omdat deze gegevens waren opgeslagen op de plek waar de hacker heeft ingebroken. We weten niet of hij daadwerkelijk al deze gegevens in handen en/of gepubliceerd heeft.”
2.4.
Op 9 december 2022 heeft [eiser] de hogeschool verzocht om een schadevergoeding vanwege de diefstal van zijn (bijzondere) persoonsgegevens (het datalek). De hogeschool heeft op 19 januari 2023 aan [eiser] laten weten geen schadevergoeding te zullen betalen.
3.Het geschil
3.1.
[eiser] vordert, voor zover mogelijk uitvoerbaar bij voorraad:
I. een verklaring voor recht dat de hogeschool heeft gehandeld in strijd met
primairde artikelen 5 lid 1 onder f en art. 32 AVG Pro,
subsidiairde artikelen 6:162 BW en 6:163 BW en
meer subsidiairartikel 6:74 BW Pro;
primairde artikelen 5 lid 1 onder f en art. 32 AVG Pro,
subsidiairde artikelen 6:162 BW en 6:163 BW en
meer subsidiairartikel 6:74 BW Pro;
II. de hogeschool te veroordelen tot betaling van € 1.000,00 aan schadevergoeding aan [eiser] dan wel een in goede justitie vast te stellen bedrag aan schadevergoeding, te vermeerderen met de wettelijke rente vanaf de datum van het vonnis tot aan de dag van de algehele voldoening, althans verwijzing naar de schadestaat;
met veroordeling van de hogeschool in de proceskosten en de nakosten, te vermeerderen met de wettelijke rente over deze kosten.
3.2.
Voorwaardelijk, indien en voor zover de feiten en omstandigheden zoals in de dagvaarding gesteld de kantonrechter onvoldoende aanleiding geven tot (gedeeltelijke) toewijzing van de vorderingen, heeft [eiser] gevorderd de beslissing aan te houden en de hogeschool te bevelen tot vrijgave aan [eiser] van:
1) het rapport van beveiligingsbedrijf Fox-IT over de oorzaak en toedracht van het datalek;
2) de notulen van het interne (crisis)overleg van de CERT van de hogeschool naar aanleiding van het beveiligingsincident in september 2021.
3.3.
Aan zijn vorderingen legt [eiser] primair ten grondslag dat de hogeschool, als verwerkingsverantwoordelijke, inbreuk heeft gemaakt op de AVG en dat hij daardoor immateriële schade heeft geleden (art. 82 AVG Pro). De hogeschool heeft namelijk zijn gegevens niet op een dusdanige manier verwerkt dat een passende beveiliging ervan gewaarborgd is door het nemen van passende technische of organisatorische maatregelen en dat die gegevens beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (art. 5 lid 1 onder Pro f AVG) en ze heeft nagelaten passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen (art. 32 lid 1 aanhef Pro en onder a, b en d AVG). Daardoor heeft [eiser] schade geleden.
3.4.
Aan zijn subsidiaire vordering legt [eiser] ten grondslag dat de door de hogeschool begane schendingen van de AVG een onrechtmatige daad vormen, die de hogeschool kan worden toegerekend, dat [eiser] als gevolg daarvan schade heeft geleden en dat voldaan is aan de relativiteitseis. Aan zijn meer subsidiaire vordering legt [eiser] ten grondslag dat tussen hem en de hogeschool sprake is van een verbintenis. Als ingeschreven student heeft [eiser] destijds zijn persoonsgegevens ter beschikking van de hogeschool gesteld en werd de hogeschool verwerkingsverantwoordelijke. De verbintenis tot het dusdanig verwerken van persoonsgegevens dat een passende beveiliging ervan gewaarborgd is, is door de hogeschool geschonden. Deze tekortkoming in de nakoming heeft schade opgeleverd, aldus [eiser] .
3.5.
De voorwaardelijke vordering heeft [eiser] gebaseerd op art. 843a Rv. Hij stelt dat hij een rechtmatig belang heeft bij inzage, afschrift of uittreksel van de twee genoemde bescheiden. Hij heeft informatie nodig over de oorzaak en toedracht van het datalek om zijn stellingen nader te kunnen onderbouwen.
3.6.
De hogeschool voert verweer. Zij concludeert tot niet-ontvankelijkheid van [eiser] , dan wel tot afwijzing van de vorderingen van [eiser] , met uitvoerbaar bij voorraad te verklaren veroordeling van [eiser] in de kosten van deze procedure te vermeerderen met de wettelijke rente. Voor wat betreft de op art. 843a Rv gebaseerde vordering wil de hogeschool primair dat deze wordt afgewezen en subsidiair dat de kantonrechter bepaalt dat de stukken eerst alleen onder berusting bij/ter inzage van de kantonrechter worden gebracht, om daarna pas te beslissen over de vraag of en zo ja, onder welke voorwaarden de inzagevordering kan worden toegewezen. Voor het geval de inzagevordering (gedeeltelijk) wordt toegewezen wil de hogeschool dat er een of meer voorwaarden aan de toewijzende veroordeling worden verbonden.
3.7.
Op de stellingen van partijen wordt hierna, voor zover nodig, nader ingegaan.
4.De beoordeling
Is inbreuk gemaakt op de AVG?
4.1.
[eiser] heeft zijn stelling dat de hogeschool inbreuk heeft gemaakt op de AVG omdat geen sprake was van een passend beschermingsniveau als volgt onderbouwd. Zijn gegevens waren niet gepseudonimiseerd of versleuteld opgeslagen. Dit had niet voorkomen dat zijn gegevens werden buitgemaakt, maar wel dat de buitgemaakte gegevens door de hacker (op eenvoudige wijze) gelezen konden worden. Die maatregel had de hogeschool niet genomen en wel kunnen nemen. Verder heeft [eiser] aangegeven dat door de Concern Information Security Officer van de hogeschool op een bijeenkomst is gemeld dat de hacker kwetsbaarheden heeft ontdekt in een ‘verouderd’ webformulier, welke term duidt op de afwezigheid van een passende technische maatregel. Ten derde heeft [eiser] erop gewezen dat de hack heeft plaatsgevonden door middel van een SQL-injectie. Dat is een veelvoorkomende hacktechniek waartegen de hogeschool bestand had moeten zijn.
4.2.
De hogeschool heeft zich tegen de stellingen van [eiser] verweerd door de maatregelen op te sommen die zij op grond van haar veiligheidsbeleid treft. Ze heeft onder andere gewezen op: een autorisatiebeleid per applicatie, de inrichting van een expertteam Informatiebeveiliging en Privacy, een wachtwoordenbeleid voor medewerkers en studenten met verplichte wachtwoordwijziging, tweetrapsverificatie als authenticatiemiddel, back-up voorzieningen en audits om inzicht te krijgen in de volwassenheid van informatiebeveiliging/ privacymaatregelen. De Surf coöperatie (Surfsoc) is verantwoordelijk voor de beveiliging van hogescholen en voor de monitoring van het beveiligingssysteem. De getroffen maatregelen zijn volgens de hogeschool passend. Daarbij heeft de hogeschool benadrukt dat het aan de verwerkingsverantwoordelijke zelf is om te bepalen wat passende en effectieve maatregelen zijn.
4.3.
De kantonrechter overweegt als volgt. De hogeschool heeft erkend dat de hack via een SQL-injectie heeft plaatsgevonden, waarvan tussen partijen vaststaat dat dit een veel voorkomende hackmethode is. Verder is in de door de hogeschool zelf overgelegde “Leerevaluatie datalek september 2021” als aandachtspunt vermeld dat het volwassenheidsniveau van de hogeschool met betrekking tot de privacy/AVG aandacht verdient. Ook staat daarin dat “de crisis enkele kwetsbaarheden van de hogeschool toont in relatie tot het thema privacy en cyber”. Op de stelling van [eiser] dat hem is medegedeeld dat het webformulier verouderd was en dat dit niet duidt op een passende technische maatregel, heeft de hogeschool slechts gereageerd dat daarmee is bedoeld dat het onderdeel niet recentelijk nog was aangepast en dat het formulier sinds 2018 online staat en niet eerder is gehackt. Verder betreft het (ook) bijzondere persoonsgegevens (gegevens over de gezondheid van [eiser] ), die naar hun aard een hoger beschermingsniveau verlangen.
4.4.
Niet ieder datalek levert een inbreuk op de AVG op; van belang is of het beveiligingsniveau passend was ten tijde van de hack. Het is correct dat het aan de verwerkingsverantwoordelijke zelf is om te bepalen wat passende en effectieve maatregelen zijn, maar dat betekent enkel dat de hogeschool niet alle maatregelen hoefde te treffen die er maar mogelijk waren. Van haar mocht wel verlangd worden dat ze die maatregelen zou treffen die, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context, de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, van haar verwacht konden worden (art. 32 lid 1 AVG Pro). De hogeschool heeft volstaan met een verwijzing naar de maatregelen die zij, dan wel Surfsoc, in het algemeen treft. Zij heeft niet concreet/inzichtelijk gemaakt wat zij ten tijde van het datalek aan veiligheidsmaatregelen had getroffen op de betreffende applicatie (het webformulier) en/of de achterliggende server. Gelet op de in rechtsoverweging 4.3. genoemde omstandigheden had dit wel op haar weg gelegen. Daarvoor is niet vereist dat zij informatie verstrekt over de oorzaak van het datalek en/of welke maatregelen ze daarná heeft genomen, welke gegevens de hogeschool uit veiligheidsredenen niet openbaar wil maken. De enkele stelling dat versleuteling en/of pseudonimisering geen passende maatregel was is in dit kader niet voldoende. Niet duidelijk is immers wat dan wél passend was en of de hogeschool daaraan voldeed.
Omdat de hogeschool dit heeft nagelaten, is de kantonrechter van oordeel dat zij onvoldoende heeft betwist dat ze inbreuk heeft gemaakt op de AVG. De inbreuk komt daarmee vast te staan en de gevorderde verklaring voor recht die hierop ziet zal worden afgegeven.
Heeft [eiser] recht op schadevergoeding?
4.5.
[eiser] heeft recht op vergoeding van zijn immateriële schade als hij schade heeft geleden ten gevolge van de inbreuk op de AVG (causaal verband). Het begrip “schade” moet ruim worden uitgelegd (overweging 46 AVG). Niet elke inbreuk op de AVG resulteert in een recht op schadevergoeding. Echter, het recht op schadevergoeding geldt ook niet enkel voor immateriële schade die een bepaalde drempel van ernst heeft bereikt (HvJ EU 4 mei 2023, ECLI:EU:C:2023:370). De door [eiser] gestelde immateriële schade wordt alleen vergoed als hij voldoende heeft onderbouwd dat hij in zijn persoon is aangetast (art. 6:106 aanhef Pro en onder b BW). In voorkomend geval kunnen de aard en de ernst van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen (HR 15 maart 2019, ECLI:NL:HR:2019:376).
4.6.
De hogeschool heeft er op gewezen dat de door de Hoge Raad genoemde voorbeelden (de arresten bekend als ‘Ouderjaarsrellen’ en ‘Wrongful life’) uitzonderlijk ernstige situaties betreffen die niet te vergelijken zijn met dit geval. Elk geval zal echter apart moeten worden beoordeeld. Het zal van de geschonden norm en de daardoor beschermde belangen afhangen of sprake is van een schending die naar zijn aard of vanwege de ernst daarvan zodanig is dat een noemenswaardige aantasting in de persoon kan worden aangenomen. Als uitgangspunt moet in dit geval gelden dat de AVG bepaalt dat het begrip schade ruim moet worden uitgelegd, op een wijze die recht doet aan de doelstellingen van de verordening. Het belang waar [eiser] in is getroffen is een belang dat in de voorschriften van de AVG juist beoogd wordt te beschermen.
4.8.
De kantonrechter is van oordeel dat het lekken van de algemene persoonsgegevens Van [eiser] (naam, adres, woonplaats, e-mail, telefoonnummer), hoe vervelend ook, bij [eiser] niet tot schade heeft geleid. De hogeschool heeft gemotiveerd gesteld dat deze gegevens van [eiser] ook bij andere datalekken buit zijn gemaakt, ofwel dat hij ze zelf op internet openbaar heeft gemaakt. Verder heeft [eiser] zijn stelling dat hij sinds het datalek bij de hogeschool meer spam en buitenlandse telefoontjes van onbekenden ontvangt onvoldoende onderbouwd, nog daargelaten dat dit niet zonder meer tot schade leidt omdat enkel ergernis die hierdoor ontstaat niet voor vergoeding in aanmerking komt.
4.7.
In deze zaak gaat het echter niet alleen om het lekken van algemene persoonsgegevens, maar ook om bijzondere persoonsgegevens (medische gegevens).
In dat geval kan eerder worden aangenomen dat sprake is van schade, omdat het bij uitstek gegevens zijn waarvan niet gewenst is dat ze “op straat” komen te liggen. De nadelige gevolgen daarvan liggen voor de hand. Daarbij maakt het niet uit, zoals de hogeschool heeft betoogd, dat niet precies duidelijk is geworden wat de hacker met de gegevens van [eiser] heeft gedaan. Dat de hacker deze specifieke gegevens heeft kunnen inzien/verspreiden, is voldoende voor het aannemen van schade als gevolg van de inbreuk op de AVG.
De kantonrechter volgt de hogeschool niet in haar stelling dat zij de gegevens zo discreet heeft opgetekend, dat daardoor geen sprake kan zijn van schade. Niet in geschil is immers dat in het webformulier gevoelige gegevens staan vermeld.
Daar komt bij dat [eiser] zijn schade concreet heeft toegelicht. Hij heeft op zitting een verklaring voorgelezen waarin hij heeft verteld dat hij in eerste instantie al veel moeite had om persoonlijke medische gegevens met de hogeschool te delen. Hij gaat zelf heel zorgvuldig met dit soort gegevens om. Omdat hem werd verzekerd dat zijn verhaal veilig was, heeft hij uiteindelijk die gegevens toch gedeeld. Zijn vertrouwen heeft dus een flinke deuk opgelopen. Ook heeft hij aangegeven dat hij (sterke) emotionele reacties had op het gebeurde (boosheid, spanning en vernedering) en dat hij zich zorgen maakt over wat er met de gegevens wordt gedaan als iemand ze in handen krijgt. Die onzekerheid vreet aan hem. Dit heeft hij ook vanaf het moment dat hij van het datalek op de hoogte was meerdere keren aan de hogeschool kenbaar gemaakt. Tot slot heeft het lekken van deze gegevens invloed op hoe hij zich nu opstelt/voelt, onder meer bij het delen van bijzondere persoonsgegevens met bijvoorbeeld (andere) hulpverleners, aldus [eiser] .
4.8.
Gelet op het voorgaande is de kantonrechter van oordeel dat [eiser] schade heeft geleden. Gezien het feit dat het gevoelige (medische) gegevens betreft, het verlies aan controle over de gegevens blijvend is, afgezet tegen de omstandigheid dat niet is gebleken dat het datalek tot concrete negatieve gevolgen heeft geleid, komt de kantonrechter op een schadebedrag van € 300,00. Voor een sanctie met een punitief karakter is geen plaats. Het toegewezen bedrag zal worden vermeerderd met de wettelijke rente vanaf de datum van dit vonnis tot de dag van volledige betaling.
De voorwaardelijke vordering (art. 843a Rv)
4.9.
Aan behandeling van de door [eiser] voorwaardelijk ingestelde vordering komt de kantonrechter niet toe, omdat de voorwaarde niet in vervulling is gegaan. De overige vorderingen van [eiser] worden namelijk (gedeeltelijk) toegewezen.
De proceskosten
4.10.
De hogeschool is de partij die ongelijk krijgt en zij zal daarom in de proceskosten worden veroordeeld. Tot aan dit vonnis worden de proceskosten aan de zijde van [eiser] als volgt vastgesteld:
- kosten van de dagvaarding
€
132,29
- griffierecht
€
86,00
- salaris gemachtigde
€
264,00
(2,00 punten × € 132,00)
Totaal
€
482,29
4.11.
De rente over de proceskosten wordt toegewezen vanaf veertien dagen na de datum van het vonnis.
4.12.
De gevorderde veroordeling in de nakosten is toewijsbaar voor zover deze kosten op dit moment kunnen worden begroot. De nakosten zullen dan ook worden toegewezen op de wijze zoals in de beslissing vermeld.
5.De beslissing
De kantonrechter
5.1.
verklaart voor recht dat de hogeschool heeft gehandeld in strijd met de artikelen
5 lid 1 onder f en art. 32 AVG Pro,
5.2.
veroordeelt de hogeschool tot betaling aan [eiser] van een schadevergoeding van € 300,00, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW Pro over het toegewezen bedrag, met ingang van 4 oktober 2023 tot de dag van volledige betaling,
5.3.
veroordeelt de hogeschool in de proceskosten, aan de zijde van [eiser] tot dit vonnis vastgesteld op € 482,29, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW Pro over dit bedrag met ingang van de vijftiende dag na deze uitspraak tot de dag van volledige betaling,
5.4.
veroordeelt de hogeschool in de na dit vonnis ontstane kosten, begroot op € 66,00 aan salaris gemachtigde, te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW Pro over de nakosten met ingang van de vijftiende dag na deze uitspraak tot de dag van volledige betaling,
5.5.
verklaart dit vonnis uitvoerbaar bij voorraad,
5.6.
wijst het meer of anders gevorderde af.
Dit vonnis is gewezen door mr. R.M. Schoo en in het openbaar uitgesproken op 4 oktober 2023.