|||
FR NL EN
-
Reglementering
15 februari 2024

AVG: de aansprakelijkheid van een gehackte werkgever

Een onderneming die getroffen wordt door een cyberaanval kan verplicht worden om de veroorzaakte schade te vergoeden.

Volgens het Hof van Justitie ontslaat een cyberaanval het gedupeerde bedrijf niet van zijn aansprakelijkheid, noch van de verplichting om de daaruit voortvloeiende schade te vergoeden.

Deze schade kan bestaan uit de vrees voor mogelijk misbruik van persoonsgegevens.

Feiten

Een Bulgaarse overheidsinstantie wordt gehackt, waardoor de persoonsgegevens van meer dan zes miljoen mensen op het internet worden verspreid.

Ten gevolge hiervan vordert een particulier van de overheid een vergoeding voor morele schade. Hij vreest namelijk dat zijn gegevens in de toekomst misbruikt zullen worden.

De Bulgaarse rechtbank stelt het Hof van Justitie twee prejudiciële vragen in dit verband.

Beslissing van het Hof van Justitie

Ten eerste bevestigt het Hof dat de verwerkingsverantwoordelijke niet van zijn verplichting tot schadeloosstelling is bevrijd omwille van het loutere feit dat « derden » zich op ongeoorloofde wijze toegang hebben verschaft tot persoonsgegevens.

Om bevrijd te zijn, moet de verwerkingsverantwoordelijke bewijzen dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

Wanneer de inbreuk is gepleegd door cybercriminelen (« derden »), dan is de verwerkingsverantwoordelijke aansprakelijk als hij de inbreuk mogelijk heeft gemaakt door niet te voldoen aan een verplichting ingevolge de AVG.

Wat de schade betreft die voortvloeit uit de gegevenslek, bevestigt het Hof dat het begrip « schade » ruim moet worden geïnterpreteerd. De geleden schade hoeft niet bijzonder ernstig te zijn.

Zo kan bijvoorbeeld de geleden schade veroorzaakt worden door de vrees dat persoonsgegevens in de toekomst door derden misbruikt zullen worden. Uit de tekst van de AVG blijkt bovendien dat de Uniewetgever "verlies van controle" over eigen gegevens onder het begrip schade plaatst, ook al heeft er nog geen concreet misbruik plaatsgevonden.

De persoon die op deze basis hiervan een schadevergoeding eist, moet evenwel bewijzen dat zijn angst gegrond is en dat er dus sprake is van morele schade.

Te onthouden ?

Een verwerkingsverantwoordelijke kan gehouden worden om schade te vergoeden ingevolge een gegevenslek door derden, tenzij hij bewijst dat hij niet verantwoordelijk is voor het schadeveroorzakende feit. Zo moet worden nagegaan of de verwerkingsverantwoordelijke de inbreuk mogelijk heeft gemaakt door niet te voldoen aan een verplichting ingevolge de AVG.

De gegronde vrees dat persoonsgegevens in de toekomst door derden misbruikt kunnen worden, kan aanleiding geven tot het betalen van een morele schadevergoeding.

Bron: HvJ 14 december 2023, zaak C-340/21, www.curia.be

We use cookies to track usage and preferences Legal terms I Understand