De Algemene Verordening Gegevensbescherming (hierna: AVG) zorgt ervoor dat de verwerking van persoonsgegevens op een verantwoorde manier gebeurt. De gegevens worden beheerd door verwerkingsverantwoordelijken en verwerkers.
De Autoriteit Persoonsgegevens legt uitgebreid het verschil tussen verantwoordelijke en verwerker uit, maar in het kort: Een verwerkingsverantwoordelijke verwerkt persoonsgegevens voor zijn eigen doeleinde, wat zowel door zichzelf als wettelijk bepaald kan zijn. Een verwerker verwerkt persoonsgegevens in opdracht voor een andere organisatie.
Persoonsgegevens worden in artikel 4, lid 1, AVG gedefinieerd als ‘alle informatie over een geïdentificeerde of identificeerbaar persoon’ en omvat onder andere namen en identificatienummers, maar ook fysieke kenmerken.
Zowel verwerkers als verwerkingsverantwoordelijken hebben vanuit de AVG de belangrijke taak deze gegevens op een veilige manier op te slaan en te gebruiken. Maar wat als de persoonsgegevens op een onrechtmatige manier verkregen worden door een cyberaanval?
Artikel 5, lid 1, sub f, van de AVG verplicht de verwerker van gegevens om ‘passende technische of organisatorische maatregelen’ te nemen om persoonsgegevens te behouden van ‘ongeoorloofde of onrechtmatige verwerking’. Als de gegevens echter verkregen zijn door een cyberaanval, heeft de verwerker dan gefaald en is die daardoor aansprakelijk? Kan de persoon wiens persoonsgegevens onrechtmatig zijn verkregen een schadevergoeding eisen van de verwerker?
Zaak
HvJ EU 14 december 2023, C-340/21, ECLI:EU:C:2023:96, Natsionalna agentsia za prohidite
Beleidsdossier en thematiek
Digitale Overheid
Privacy en Data
Feiten
In deze zaak staat de particulier onder acroniem ‘VB’ tegenover het Bulgaarse natsionalna agentsia za prihodite, oftewel het nationaal agentschap voor overheidsinkomsten (hierna: de NAP), dat onderdeel is van het Bulgaarse ministerie van financiën.
Context
In deze zaak staat de particulier onder acroniem ‘VB’ tegenover het Bulgaarse natsionalna agentsia za prihodite, oftewel het nationaal agentschap voor overheidsinkomsten (hierna: de NAP), dat onderdeel is van het Bulgaarse ministerie van financiën.
Basering claim
De immateriële schadeclaim is gebaseerd artikel 82 AVG, lid 1, van deze bepaling stelt dat ‘[e]en ieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op [de AVG], heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade’. Op basis hiervan, eist VB een vergoeding van 1.000 Bulgaarse leva (ongeveer 510 euro) van de NAP.
VB ondersteunt haar argument door middel van het bovengenoemde artikel 5, lid 1, sub f, van de AVG. Hierin staat vastgelegd hoe de beveiliging van persoonsgegevens gewaarborgd moet worden tegen, onder andere, ongeoorloofde en onrechtmatige verwerking. Conform lid 2 van dezelfde bepaling is de verwerkingsverantwoordelijke verantwoordelijk voor het naleven van lid 1.
VB beargumenteert dat de NAP heeft gefaald in het naleven van artikel 5, lid 1, sub f. Dit zou leiden tot een zogenaamde ‘inbreuk in verband met persoonsgegevens’, wat artikel 4, lid 12, van de AVG definieert als ‘een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens’.
In overweging 146 van de AVG wordt verder toegelicht dat verwerkingsverantwoordelijken of verwerkers ‘alle schade [moeten] vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening’. Uit diezelfde bepaling blijkt dat het begrip ‘schade’ ruim geïnterpreteerd moet worden.
In reactie hierop heeft de NAP bewijs overhandigd om aan te tonen dat zij alle benodigde maatregelen heeft genomen om een inbreuk op haar IT-systemen te voorkomen. Daarnaast zijn ook na de inbreuk alle noodzakelijke stappen gezet om de gevolgen van de inbreuk te beperken. Op basis hiervan beargumenteert de NAP dat het wel aan de eisen van de AVG heeft voldaan, ondanks dat er een inbreuk heeft plaatsgevonden. Om deze reden zou er geen causaal verband zijn tussen de gestelde immateriële schade en de inbreuk.
Nationale procedure
Dit geding is begonnen in 2020 bij de Admnistrativen sad Sofia-grad, oftewel de Bulgaarse rechtbank van eerste aanleg in Sofia Deze rechter heeft geoordeeld dat de opgelopen schade inderdaad het gevolg was van de inbreuk, maar dat VB niet heeft kunnen aantonen dat de NAP ontoereikende veiligheidsmaatregelen heeft nageleefd.
VB heeft tegen deze beslissing cassatieberoep ingesteld bij de Varhoven adminstrativen sad, de hoogste bestuursrechter in Bulgarije. Zij beargumenteert dat de NAP niet toereikend heeft aangetoond dat deze de veiligheidsmaatregelen niet zijn verzuimd. Verder stelt de verzoekster in het hoofdgeding dat de vrees voor toekomstig misbruik van haar persoonsgegevens daadwerkelijke immateriële schade vormt en dat dit niet puur hypothetisch is.
De hoogste bestuursrechtelijke rechtscollege acht het feit van de inbreuk al voldoende om te concluderen dat de beveiligingsmaatregelen bedoeld in artikel 5, lid 1, sub f, van de AVG niet ‘passend’ waren in de zin van artikelen 24 en 32 , lid 1, AVG.
Echter, mocht deze conclusie ontoereikend zijn, dan vraagt de rechter zich ten eerste af wat dan wel de omvang van de toetsing van nationale rechters van de beoordeling van betrokken beveiligingsmaatregelen moet zijn. Ten tweede, rijst de vraag welke regels inzake de bewijsvoering in die context toegepast moeten worden, specifiek met het oog op de schadevergoeding vastgesteld in artikel 82 van de AVG.
Hiernaast vraagt de verwijzende rechter zich af of de vrijstelling van verantwoordelijkheid voor de verwerkingsverantwoordelijke of de verwerker, vastgesteld in artikel 82, lid 3, gebaseerd op verantwoordelijkheid voor het schadeveroorzakende feit van toepassing is op deze cyberaanval.
Als laatste speelt ook de vraag of VB haar vrees voor mogelijk misbruik van haar persoonsgegevens in de toekomst geldt als immateriële schade zoals gedefinieerd in artikel 82, lid 1, AVG.
De Varhoven administrativen sad stelt deze vragen daarom de zaak geschorst en doorverwezen naar het Hof van Justitie van de Europese Unie (HvJ EU; hierna: het Hof).
Rechtsvragen
De Varhoven adminstrativen sad stelt het Hof de volgende vijf prejudiciële vragen:
- Moeten artikelen 24 en 32 AVG zo worden uitgelegd dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens in de zin van artikel 4, lid 12, AVG, door buitenstaanders, volstaat om aan te nemen dat de getroffen technische en organisatorische maatregelen niet passend zijn?
- Indien de eerste vraag negatief wordt beantwoord: waarop moet de rechterlijke toetsing van de rechtmatigheid bij het onderzoek van de vraag of de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen passend zijn in de zin van artikel 32 AVG betrekking hebben en welke omvang moet die toetsing hebben?
- Indien de eerste vraag negatief wordt beantwoord: ligt de bewijslast van de vraag of de getroffen technische en organisatorische maatregelen, zoals bepaald in artikel 5, lid 1, sub f, en lid 2 AVG, in het licht van artikel 24 AVG en overweging 74 bij de verwerkingsverantwoordelijke? Kan een deskundigenrapport als noodzakelijk en toereikend bewijsmiddel worden beschouwd om deze vraag te beantwoorden in de context van een ‘cyberaanval’?
- Moet artikel 82, lid 3, AVG zo worden uitgelegd dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens in de zin van artikel 4, punt 12 AVG, een vrijstelling van aansprakelijkheid aan verwerkingsverantwoordelijke geeft, aangezien de inbreuk niet het resultaat is van de acties van de medewerkers van de verwerkingsverantwoordelijke of van een actor onder zijn toezicht?
- Moeten artikel 82, leden 1 en 2, AVG, samen met de overwegingen 85 en 146 van deze verordening zo worden uitgelegd dat, wanneer er sprake is van een inbreuk op de beveiliging van de persoonsgegevens die bestaat in de ongeoorloofde toegang tot en de verspreiding van persoonsgegevens door middel van een ‘cyberaanval’, de bezorgdheid voor mogelijk misbruik van de persoonsgegevens al voldoende is om te vallen onder een ruim begrip van ‘immateriële schade’?
Uitspraak van het Hof
Eerste prejudiciële vraag
Het Hof wijst erop dat de verwijzende rechter met zijn eerste prejudiciële vraag in essentie vraagt of artikelen 24 en 32 AVG zo moeten worden uitgelegd dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens heeft plaatsgevonden door ‘derden’ in de zin van artikel 4, punt 10, voldoende is om te concluderen dat de betrokken verwerkingsverantwoordelijke niet de ‘passende’ technische en organisatorische maatregelen conform artikelen 24 en 32 AVG heeft getroffen.
De term ‘derde’ in deze context verwijst naar ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken’.
Artikel 24, lid 1, AVG stelt een aantal criteria op waardoor herleid kan worden of de getroffen maatregelen passend zijn. Dit zijn de aard, de omvang, de context en het doel van de verwerking, waarbij ook rekening gehouden moet worden met mogelijke risico’s voor de rechten en vrijheden van natuurlijk personen. De bepaling stelt daarnaast dat de genomen maatregelen geëvalueerd en indien nodig geactualiseerd moeten worden.
Artikel 32 licht dit verder toe, door erop te wijzen dat ook rekening gehouden moet worden met de stand van de techniek en de uitvoeringskosten. In lid 2 van deze bepaling wordt verder duidelijk gemaakt dat de beoordeling van het passende beveiligingsniveau in het licht van de verwerkingsrisico’s moet worden gezien, ook als het aankomt op de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens.
Uit artikelen 24 en 32 blijkt dat zij de verwerkingsverantwoordelijke enkel verplichten technische en organisatorische maatregelen vast te stellen om elke inbreuk op persoonsgegevens zo vele mogelijk te voorkomen. Of deze maatregelen passend zijn, moet beoordeeld worden door te onderzoeken of dezen rekening hebben gehouden met de genoemde criteria.
Het Hof legt hierbij uit dat de ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens door een derde op zich niet voldoende is om te concluderen dat de door de verwerkingsverantwoordelijke getroffen maatregelen niet passend zijn.
Daarbij wijst het Hof erop dat artikel 24 AVG duidelijk voorschrijft dat de verwerkingsverantwoordelijke moet kunnen aantonen dat de maatregelen passend waren, in overeenstemming met verordening. Deze mogelijkheid zou worden ontnomen wanneer onweerlegbaar bewijs, zoals het plaatsvinden van de inbreuk, op zich kan voldoen als bewijs van ontoereikendheid.
Uit artikel 5, lid 2, AVG blijkt dat de verwerkingsverantwoordelijke moet kunnen aantonen dat hij de in artikel 5, lid 1, van de verordening genoemde beginselen in acht heeft genomen. Artikel 24, lid 1, AVG bepaalt verder dat de door de verwerkingsverantwoordelijke genomen maatregelen ‘geëvalueerd’ moeten kunnen worden. Dit is nodig om eventuele nalatigheid bij een inbreuk te kunnen bepalen en daarmee de mogelijke verantwoordelijkheid van een verwerkingsverantwoordelijke vast te stellen.
Hiernaast volgt uit artikel 82, leden 2 en 3, AVG dat de verwerkingsverantwoordelijke aansprakelijk is voor de opgelopen schade bij inbreuk op de bescherming van persoonsgegevens, tenzij deze kan aantonen op geen enkele wijze verantwoordelijk te zijn voor het schadeveroorzakende feit. Er moet daarom ook een mogelijkheid zijn dat de inbreuk niet de verantwoordelijkheid kan zijn van de verwerkingsverantwoordelijke.
Ook overweging 83 AVG is hier relevant want daarin is beschreven dat dat maatregelen tegen inherente risico’s genomen moeten worden om deze risico’s te beperken. Met de woordkeuze ‘beperken’ bevestigt deze passage dus dat de risico’s niet weggenomen kunnen worden.
Om deze reden, beantwoord het Hof de eerste prejudiciële vraag negatief
Tweede prejudiciële vraag
Door middel van de tweede prejudiciële vraag wil de verwijzende rechter vernemen of en hoe een rechterlijke instantie moet toetsen of de door de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen passend zijn in de zin van artikel 32 AVG.
Zoals eerder al benoemd eist artikel 32 AVG van verwerkingsverantwoordelijken en verwerkers om technische en organisatorische maatregelen af te stemmen op de risico’s met passende beveiligingsniveaus en daarbij rekening te houden met de beoordelingscriteria uit artikel 32, lid 1.
Het Hof geeft aan dat hieruit een beoordeling volgt, waarin in twee stappen gekeken moet worden of de technische en organisatorische maatregelen passend zijn:
- Ten eerste moeten de risico’s van een inbreuk voor de verwerkte gegevens en de mogelijke gevolgen daarvan voor de rechten en vrijheden van natuurlijke personen worden vastgesteld. Hiermee kan de waarschijnlijkheid en de ernst van de risico’s worden gedefinieerd.
- Ten tweede moet worden nagegaan of de door de verwerkingsverantwoordelijke getroffen maatregelen voldoende zijn afgestemd op de risico’s, waarbij rekening gehouden moet worden met de stand van de techniek, uitvoeringskosten, en met de aard, de omvang, de context en de doeleinden van de verwerking.
Artikel 32, lid 1, AVG laat een beoordelingsmarge voor de verwerkingsverantwoordelijke. Maar ook nationale rechterlijke instanties moeten de ingewikkelde beoordelingen kunnen uitvoeren, waarbij de nadruk moet liggen op de door de verwerkingsverantwoordelijke laatst gekozen maatregelen voor een passend veiligheidsniveau.
Het Hof benadrukt dat een nationale rechterlijke instantie niet alleen moet vaststellen of de verwerkingsverantwoordelijke heeft willen voldoen aan artikel 32 AVG, maar moet ook inhoudelijk vaststellen of de genomen maatregelen effectief zijn. Dit vereist een analyse van de aard, toepassing en praktische gevolgen van de maatregelen.
Het antwoord op de tweede prejudiciële vraag is dat rechters inderdaad moeten beoordelen of de getroffen technische en organisatorische maatregelen passend zijn in de zin van artikel 32 en dat dit zowel op basis van de inspanningen van de verwerkingsverantwoordelijke als effectiviteit van de maatregelen moet worden gedaan.
Derde prejudiciële vraag
Het eerste deel van deze vraag gaat over de bewijslast en overweegt in hoeverre het aantonen dat de door de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen passend zijn in het licht van artikel 5, lid 1, sub f, en lid 2, AVG en artikel 24, bij de verwerkingsverantwoordelijke? In andere woorden: moet de verwerkingsverantwoordelijke zelf aantonen dat hij passende maatregelen in het kader van de AVG heeft genomen?
Het verantwoordelijkheidsbeginsel van de AVG wordt gedefinieerd in artikel 5, lid 2, waarbij de focus ligt op het naleven van lid 1 van dezelfde bepaling. Het kunnen aan tonen dat deze bepaling is nageleefd is in beginsel van verantwoordelijkheid van deze verordening.
Het Hof wijst in het bijzonder op artikel 5, lid 1, sub f, waarin de passende beveiliging voor persoonsgegevens tegen ongeoorloofde of onrechtmatige verwerking door middel van technische en organisatorische maatregelen is vastgelegd.
Naast artikel 5, lid 2, blijkt ook uit artikel 24, lid 1, en artikel 32, lid 1, AVG, dat de verwerkingsverantwoordelijke in staat moet zijn om te bewijzen dat de verwerking van persoonsgegevens veilig gebeurt en dat daarmee de beginselen uit de verordening worden gewaarborgd. Deze drie artikelen moeten ook toegepast worden in de context van een schadevergoeding op grond van artikel 82 AVG.
Op de eerste helft van de derde prejudiciële vraag is het antwoord dat de verantwoordelijkheid bij de verwerkingsverantwoordelijke ligt om aan te tonen dat de genomen maatregelen passend zijn voor de geformuleerde doeleinden.
Het tweede deel van de vraag luidt of een deskundigenrapport een noodzakelijk en toereikend bewijsmiddel kan vormen om te boordelen of de getroffen beveiligingsmaatregelen door de verwerkingsverantwoordelijke passend zijn.
Het Hof legt uit dat de AVG geen voorschriften bevat over de toelating en de bewijskracht van een bewijsmiddel, zoals een deskundigenrapport. Bij het ontbreken van Europese voorschriften, is het aan de rechtsorde binnen een lidstaat om de regels vast te stellen ter bescherming van de rechten vastgelegd in de verordening.
Daarbij is de vraag of dergelijk bewijsmiddel noodzakelijk niet een Unierechtelijke bepaling, maar een verantwoordelijkheid van de lidstaat zelf. Het antwoord op de tweede helft van vraag drie is dus negatief.
Vierde prejudiciële vraag
In de vierde vraag verzoekt de verwijzende rechter om duidelijkheid over de mogelijkheid van vrijstelling voor schadevergoeding voor een door een persoon geleden schade als gevolg van ongeoorloofde verstrekking of toegang van persoonsgegevens door derden gedefinieerd in artikel 4, lid 10, AVG?
Het Hof wijst op artikel 82, lid 2, AVG, dat bepaalt dat de verwerkingsverantwoordelijke betrokken bij de verwerking aansprakelijk is voor de schade veroorzaakt door verwerking die inbreuk maakt op de AVG. Lid 3 van dezelfde bepaling schrijft voor dat de verwerkingsverantwoordelijke vrijgesteld kan worden van aansprakelijkheid, indien deze bewijst ‘op geen enkele manier verantwoordelijk te zijn voor het schadeveroorzakende feit’.
Dit betekent dat een verwerkingsverantwoordelijke in beginsel de schade moet vergoeden die het gevolg is van elke verwerking die inbreuk maakt op de verordening. De verwerkingsverantwoordelijke kan worden vrijgesteld van deze vergoeding, indien hij zelf bewijst op geen enkele wijze verantwoordelijk te zijn voor het schadeveroorzakende feit.
In het geval van het geding waarin de onrechtmatige verwerking is veroorzaakt door derden, kan de inbreuk an sich niet toegerekend worden aan de verwerkingsverantwoordelijke. Wel is het dan van belang dat de verwerkingsverantwoordelijke alle passende technische en organisatorische maatregelen conform artikel 5, lid 1, sub f, AVG heeft genomen.
Het Hof beantwoordt de vierde prejudiciële vraag door uit te leggen dat op basis van artikel 82, lid 3, AVG, de verwerkingsverantwoordelijke zich vrij kan verklaren van verantwoordelijkheid indien hij kan aantonen dat er geen causaal verband is tussen zijn mogelijke niet-nakomingen en de door de natuurlijke persoon geleden schade.
Vijfde prejudiciële vraag
De laatste prejudiciële vraag betreft is artikel 82, lid 1, AVG zo moet worden uitgelegd dat de angst voor mogelijk misbruik van persoonsgegevens na onrechtmatige verwerking en inbreuk door derden op zich een ‘immateriële schade’ in de zin van de bepaling kan vormen.
Artikel 82, lid 1, bepaalt dat ieder die materiële of immateriële schade oploopt recht heeft op een vergoeding voor ‘geleden schade’ van de verwerkingsverantwoordelijke of de verwerker. De woordkeuze ‘geleden schade’ suggereert dat ook in dit geval een causaal verband tussen de inbreuk en de schade. Het Hof heeft in een eerdere zaak, C-300/21, uitgelegd dat ‘immateriële schade’ slechts vergoed kan worden als de geleden schade een bepaalde mate van ernst bereikt.
Het Hof legt uit dat uit artikel 82, lid 1, AVG vloeit dat de angst voor mogelijk toekomstig misbruik van de onrechtmatig verkregen persoonsgegevens niet per sé verschilt van daadwerkelijk misbruik van deze gegevens. Overweging 85 van de AVG wijst erop dat immateriële schade onder andere kan ontstaan door het verlies van controle over persoonsgegevens.
In het geval van de onrechtmatige verwerking van persoonsgegevens door derden, zoals het geval is in het hoofdgeding, acht het Hof dat dit een geval is waarbij verlies van controle van toepassing is. Hieruit kan dus immateriële schade ontstaan, ondank dat er geen concreet misbruik heeft plaatsgevonden.
Hierbij plaatst het Hof wel de kanttekening dat het beroep op ‘vrees’ op zichzelf niet voldoet om te kwalificeren als immateriële schade. Het is daarom van belang dat de persoon die wordt getroffen door een inbreuk op de AVG met negatieve gevolgen, het bestaan daarvan dient te bewijzen door de negatieve gevolgen in de zin van artikel 82 aan te tonen.
De nationale rechter zal dus moeten nagaan of het beroep op vrees voor toekomstig misbruik gegrond is op de specifieke omstandigheden van de betrokkene in het licht van de inbreuk.
Het Hof beantwoordt de laatste prejudiciële vraag de vrees voor mogelijk misbreuk van persoonsgegevens in de toekomst een vorm van immateriële schade zoals begrepen in het kader van de AVG kan zijn.
Decentrale relevantie
Decentrale overheden zijn verwerkeringsverantwoordelijken. De gegevens die zij van inwoners hebben, zoals hun adressen en Burgerservicenummers, zijn vertrouwelijk en vallen onder de definitie van persoonsgegevens zoals gevonden in artikel 4, lid 1, AVG.
Om deze reden, is het cruciaal dat decentrale overheden de ‘passende technische of organisatorische maatregelen’ nemen om inwoners hun persoonsgegevens tegen onrechtmatige verwerking te bescherming. Zo is het belangrijk dat medewerkers zorgvuldig omgaan met de persoonsgegevens waar zij toegang tot hebben en is het hebben van goed beveiligde systemen essentieel. Hiermee worden de inwoners beschermd, maar ook de decentrale overheden tegen eventuele aanklachten van nalatigheid bij een mogelijke inbreuk.
Meer informatie
Persbericht, Hof van Justitie
Österreichische Post C-300/21 over immateriële schade, Hof van Justitie.