De Rechtbank Gelderland heeft op 22 augustus 2023 een geschil beslecht tussen een koper (eiser) en een verkoper (gedaagde) van een auto over factuurfraude. Eiser kocht een auto van de gedaagde. De eiser heeft echter een deel van de verkoopprijs aan een derde partij betaald die via een hack toegang had gekregen tot het e-mailaccount van de gedaagde. Deze derde partij stuurde een valse betaalinstructie naar de eiser. Ook is gesuggereerd dat de hacker mogelijk toegang heeft gekregen tot kopieën van onder andere het paspoort van de eiser.
De vraag staat centraal voor wiens rekening het komt dat het geld niet is terechtgekomen op de bankrekening van de verkoper, maar op die van de hacker.
Vordering
Eiser vordert de betaling van € 27.900,00 (koopsom van de auto). Hieraan legt de eiser:
- Primair ten grondslag dat hij schade zou hebben geleden doordat gedaagde in strijd heeft gehandeld met de Algemene Verordening Gegevensbescherming (hierna: AVG) en dat gedaagde de schade die eiser als gevolg daarvan heeft geleden dient te vergoeden.
- Subsidiair ten grondslag dat gedaagde gehouden is tot schadevergoeding wegens een jegens hem gepleegde onrechtmatige daad.
- Meer subsidiair ten grondslag dat gedaagde het bedrag moet betalen uit hoofde van een ongedaanmakingsverplichting omdat de koopovereenkomst door gedaagde is ontbonden.
Oordeel
Ongedaanmakingsverplichting?
De rechtbank bespreekt eerst de meest subsidiaire grondslag van de vordering, namelijk dat sprake zou zijn van een ongedaanmakingsverplichting. Het is volgens de rechtbank niet nodig om vast te stellen of de eiser daadwerkelijk de koopsom heeft overgemaakt, omdat de vordering vanwege onderstaande redenen al niet voor toewijzing in aanmerking komt.
Van eiser mag een normale mate van oplettendheid en voorzichtigheid worden verwacht. Een verstuurde valse betaalinstructie vanuit het e-mailadres van gedaagde en eerdere e-mailcorrespondentie tussen de partijen verandert hier niks aan. Gedaagde had bovendien al eerder duidelijk een andere bankrekening aangewezen voor betaling van de koopsom. Eiser was dus op de hoogte van het juiste bankrekeningnummer. Bij een ander betaaladres had eiser volgens de rechtbank zich op zijn minst moeten afvragen waarom het betaaladres plotseling was gewijzigd. Eiser had daarom voordat hij tot betaling overging de verandering in het betaaladres moeten onderzoeken.
De gedaagde is volgens de rechtbank niet in verwijtbare mate tekortgeschoten in de beveiliging van de systemen door het feit dat er een hack van haar e-mailaccount heeft plaatsvonden. Zelfs met optimale beveiliging kunnen aanvallen door kwaadwillenden namelijk niet volledig kunnen worden voorkomen. Dat gedaagde haar systemen slechts zou hebben beveiligd met ‘standaard tooling van detectieve maatregelen om een netwerk te scannen’ en dat er een (nog) hogere mate van beveiliging mogelijk was, maakt niet dat de vergissing van eiser gelet op de omstandigheden aan gedaagde moet worden toegerekend.
Ook weegt de rechtbank mee dat eiser gelet op zijn beroep en jarenlange ervaring als software engineer, geacht mag worden bekend te zijn met de mogelijkheid dat een e-mailaccount door kwaadwillende hackers wordt aangevallen en gecompromitteerd voor doeleinden zoals de hier gepleegde fraude. Deze grondslag voor de vordering wordt daarom grotendeels afgewezen.
AVG: materiële schadevergoeding?
Volgens eiser is sprake van een ernstige inbreuk in verband met zijn persoonsgegevens wat heeft geleid tot materiële schade voor eiser van € 27.900,00 (dat is de koopsom van de auto). Eiser vordert volledige vergoeding van deze schade op grond van artikel 82 AVG.
Gedaagde zou volgens eiser onvoldoende technische en organisatorische maatregelen hebben genomen in haar ICT-omgeving om een passend niveau van beveiliging te waarborgen. Dit is af te leiden uit het gebruik van een gedeeld e-mailaccount door het personeel, een inadequaat wachtwoordbeleid en het niet toepassen van ‘twee factor authenticatie’ om het e-mailaccount te beveiligen. De gebrekkige beveiliging bij gedaagde zou hebben geleid tot een inbreuk op zijn persoonsgegevens omdat hackers ongeoorloofd toegang hebben gekregen tot zijn persoonsgegevens en hem vervolgens via een e-mailconversatie hebben bewogen tot betaling van de koopprijs op de verkeerde bankrekening.
De rechtbank oordeelt dat de beslissing van eiser om deze betaling te doen ook voortkomt uit zijn eigen handeling en niet uitsluitend het gevolg is van de AVG-inbreuk. Volgens de rechtbank ontbreekt daarom een voldoende causaal verband tussen de AVG-schending en de schade, waardoor een schadevergoeding op grond van artikel 82 AVG niet kan worden toegewezen. Gedaagde hoefde er geen rekening mee te houden dat eiser in de gegeven omstandigheden een valse instructie als deze zonder meer zou opvolgen. Ook heeft de rechtbank benadrukt dat de aard van de aansprakelijkheid van artikel 82 AVG primair is gericht op de bescherming van persoonsgegevens en dat deze geen risicoaansprakelijkheid is voor fouten van degene wiens persoonsgegevens niet goed (zouden) zijn beschermd. De schade kan niet aan gedaagde worden toegerekend en de rechtbank wijst de vergoeding van materiële schade af.
Onrechtmatige daad?
Omdat de schade als gevolg van de normschending van de AVG niet kan worden toegerekend aan de gedaagde, wijst de rechtbank de vordering eveneens niet toe op grond van onrechtmatige daad.
AVG: immateriële schadevergoeding?
Eiser vordert tot slot een immateriële schadevergoeding met betrekking tot de AVG-inbreuk. Het financiële verlies en het verlies van controle over zijn persoonsgegevens zou bij eiser onder andere slapeloosheid, concentratieproblemen en emotionele schade hebben veroorzaakt.
De rechtbank wijst ook deze vordering af, ongeacht of wel of niet sprake is van een inbreuk door gedaagde op de AVG. Het is namelijk niet komen vast te staan dat eiser in zijn persoon is aangetast. De aard van de vermeende geschonden norm, namelijk de op verwerkers en verwerkingsverantwoordelijken rustende beveiligingsverplichtingen voortvloeiend uit de AVG – en de gestelde normschending – het niet voldoende beveiligen van het e-mailaccount van gedaagde, zijn niet zodanig dat zij meebrengen dat de gestelde gevolgen hiervan voor de hand liggen dat een aantasting van de persoon van de eiser kan worden aangenomen. Bovendien ontbreekt een rechtstreeks causaal verband tussen de gestelde normschending en het financiële verlies wat eiser emotionele schade zou hebben berokkend. Ook de zorgen van eiser dat persoonsgegevens van officiële documenten (zoals een kopie paspoort) in handen van de hacker zijn gevallen, levert volgens de rechtbank geen aantasting in de persoon op.
Conclusie
Hoewel de vergissing van de koper niet aan de verkoper kan worden toegerekend, komt uit de uitspraak wel naar voren dat organisaties de AVG-verplichting hebben om voldoende technische en organisatorische maatregelen te nemen om hun ICT-systemen te beschermen.
Het nalaten van deze plicht door een organisatie betekent niet automatisch dat een klant recht heeft op de materiële of immateriële schadevergoeding van artikel 32 AVG in het geval de klant slachtoffer wordt van phishing door een hack van het ICT-systeem van de organisatie. Uit deze uitspraak kan worden meegenomen dat klanten bij het doen van betalingen voorzichtigheid moeten betrachten. In deze zaak had de koper moeten twijfelen aan een verandering in het bankrekeningnummer van de verkoper en hij had deze plotselinge verandering moeten onderzoeken voordat hij overging tot betaling.
Bron: Rechtbank Gelderland, 23 augustus 2023, ECLI:NL:RBGEL:2023:4848.
Dit artikel is op 19 september 2023 gepubliceerd als nieuwsbericht voor Sdu OpMaat Privacyrecht en is geschreven door Justine de Boer
