Summer Deal
‘Het nieuwe verbintenissenrecht & koop/verkoop’

6 webinars on demand

Summer Deal
‘Soft kills & Legal English’

3 webinars on demand

Summer Deal
‘ICT & Privacy’

5 webinars on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten opstellen en beoordelen

Webinar on demand

Schadevergoeding na een cyberaanval: staan de poorten nu wijd open? (Sirius Legal)

Auteur: Roeland Lembrechts (Sirius Legal)

De GDPR wetgeving bestaat intussen bijna 4 jaar en we mogen stellen dat de Europese databescherming al geregeld haar tanden heeft laten zien. Niet enkel via de nationale autoriteiten met hun administratieve (monster-)boetes, maar stilaan ook via allerhande procedures voor de rechtbank. Personen (of datasubjecten) zijn zich meer en meer bewust van hun rechten en slagen er ook in om deze af te dwingen via de rechtbank.

Het Landgericht van München stelde op 09/12/2021 de aansprakelijkheid bij een cyberaanval nog eens op scherp. Zij oordeelde dat een financiële dienstverlener (Scalable Capital) 2.500 Euro morele schadevergoeding moest betalen aan een datasubject omdat identiteits- en financiële gegevens gestolen waren door een hack bij een vroegere service provider. De discussie met betrekking tot de proportionele technische en organisatorische maatregelen krijgt op die manier weer een tikkeltje meer nuance.

We told you so …

Deze beslissing is opmerkelijk. Ze geeft verder richting aan de uitgebreide aansprakelijkheid  die ondernemingen kunnen ondervinden wanneer zij zelf slachtoffer worden van een cyberaanval.

We geven jullie graag onze bedenkingen mee bij deze beslissing:

  • De ‘hack’ vond plaats bij een derde, namelijk bij een software service provider waar Scalable Capital als verwerkingsverantwoordelijke sedert 2015 geen contract meer mee had. De gestolen accountgegevens werden echter na beëindiging van de overeenkomst bij deze service provider niet verwijderd en de inloggegevens bleven gedurende jaren ongewijzigd.
  • Ondanks de hack bij een derde blijft Scalable Capital aansprakelijk als verwerkingsverantwoordelijke. Haar argument dat zij eigenlijk zelf een slachtoffer is van een cyberaanval, doet niet ter zake.
  • Evenmin het argument dat Scalable Capital een streng selectieproces op de veiligheid van haar leveranciers voert en voor het overige gebruik maakt van een veilige IT-infrastructuur onderworpen aan veiligheidscertificering, is voldoende om haar aansprakelijkheid uit te sluiten.
  • Scalable Capital had daarentegen de verwijdering van deze gegevens moeten verifiëren na beëindiging van de overeenkomst. Het is een eigen verplichting van de verwerkingsverantwoordelijke om toezicht te houden op zijn service providers en desnoods instructies te verlenen met betrekking tot de beschikbaar gestelde gegevens.
  • De rechtbank kende een morele schadevergoeding toe, ook al was er geen bewijs van effectieve schade. Er was geen aanwijzing dat die bewuste gegevens reeds gebruikt waren voor fraudepogingen, etc. De rechtbank geeft dus een ruime interpretatie aan het schadebegrip die reeds aanwezig is bij een loutere identiteitsdiefstal. Het datasubject wordt blootgesteld aan een permanent risico.
  • Naast de morele schadevergoeding acht de rechtbank Scalable Capital aansprakelijk voor eventuele toekomstige materiële schade (vb. er worden op frauduleuze wijze leningen afgesloten op naam van het datasubject).
  • De schadevergoeding moet naast een vergoedend effect ook een afschrikkend effect hebben, waarbij de criteria voor de bepaling van de hoogte van de administratieve geldboetes, ook gebruikt kunnen worden voor de hoogte van de schadevergoeding.

Vanzelfsprekend is dit in het licht van onze vorige blogartikels een bevestiging van een zeer verregaande aansprakelijkheid van een organisatie wanneer zij geconfronteerd wordt met een cyberaanval. Deze uitspraak toont nog maar eens aan dat naast het nemen van een hele reeks technische en organisatorische maatregelen ook het juridisch risicomanagement van cruciaal belang is.

Help?! Wat heb ik nu te vrezen?

Is deze uitspraak reden tot paniek? Moeten we nu vrezen voor allerhande aansprakelijkheidsvorderingen wanneer we de pech hebben om aangevallen te worden?

Het antwoord is ja en neen…

Ja, omdat theoretisch gezien in België ook groepsvorderingen mogelijk zijn voor fouten onder de GDPR. Zo kan de som van de schadevergoedingen al snel oplopen. De GDPR legt je organisatie ook op om te bewijzen dat je op geen enkele manier verantwoordelijk bent voor het cyberincident waardoor je een verzwaarde bewijslast draagt.

Maar neen, omdat in de praktijk voorlopig zo’n groepsvorderingen uitblijven en er naast deze rechtspraak ook andere rechtspraak bestaat die veel terughoudender is.

Veel heeft te maken met vragen rond de correcte interpretatie van de toepasselijke bepalingen onder GDPR. Zo hangen er momenteel een aantal prejudiciële vragen voor het Europees Hof van Justitie, zoals o.a.:

  • Geldt er bij externe hacking een vermoeden dat de technische & organisatorische maatregelen van die organisatie niet voldoende waren?
  • Indien dat vermoeden niet zou gelden: Hoe ver moet de rechterlijke toetsing gaan van de wettigheid van een onderzoek naar proportionele maatregelen?
  • Draagt de verwerkingsverantwoordelijke de volledige bewijslast dat de genomen maatregelen voldoende waren? Kan een rapport van een deskundige hier volstaan?
  • Is externe hacking te beschouwen als een gebeurtenis waar een verwerkingsverantwoordelijke op geen enkele wijze verantwoordelijk kan zijn en dus haar aansprakelijkheid uitgesloten is?
  • Is de loutere angst voor mogelijk misbruik van de gestolen data in de toekomst voldoende om een morele schadevergoeding toe te kennen?

Voorlopig is het wachten op meer duidelijkheid, maar ondertussen raden we aan niet bij de pakken te blijven zitten. En je hoeft niet alleen actie te ondernemen. Vlaio voorziet in een ruime subsidieregeling waar ook Sirius Legal een juridisch deel in het traject met BA nv voorziet, net om onaangename financiële risico’s te vermijden na een cyberaanval. Lees hier meer over een cybersecurity verbetertraject met de steun van Vlaio.

Tijd voor actie

Bij een cyberaanval ben je dus niet enkel slachtoffer, je riskeert ook een uitgebreide aansprakelijkheid. De ruime interpretatie van de aansprakelijkheidsartikels onder GDPR vinden nu ook stilaan hun bevestiging in de rechtbanken. Net daarom is het van belang om bij een goed cyberveiligheidsbeleid de nodige aandacht te vestigen op een degelijk juridisch risicomanagement.

Bron: Sirius Legal