Schadeclaims voor inbreuken op de Algemene Verordening Gegevensbescherming (GDPR) van de EU nemen toe. Voor 2023 staan er meerdere rechterlijke uitspraken gepland die bepalend zullen zijn of we een heuse industrie zullen zien voor claims wegens datalekken die zich toelegt op schadeclaims in verband met cyberincidenten..
De meeste cyberincidenten hebben gevolgen voor de dataprivacy. Ransomware-criminelen exfiltreren vaak gegevens voordat ze de aangetaste systemen versleutelen. Deze gegevens omvatten vrijwel zeker persoonsgegevens, in veel gevallen zeer gevoelige informatie over klanten of werknemers. In verband met verplichtingen inzake kennisgeving van inbreuken ten aanzien van gegevensbeschermingsautoriteiten en getroffen personen kan de aangevallen organisatie verplicht zijn bekend te maken dat de GDPR niet wordt nageleefd, bijv. het ontbreken van passende beveiligingsmaatregelen. Dit kan leiden tot schadeclaims van de getroffen personen op grond van artikel 82 GDPR.
We zien al pogingen van een alliantie van ervaren eisende advocatenkantoren, financiers van rechtszaken en juridische techbedrijven om cyberincidenten te commercialiseren door grote hoeveelheden individuele claims te verzamelen. In Duitsland hebben we de eerste rechtbanken gezien die 1.200 tot 2.500 euro immateriële schadevergoeding per getroffen persoon toekenden. De rechtbanken koppelden de schade aan het risico dat geëxfiltreerde gegevens konden worden gebruikt voor identiteitsdiefstal. De eisers hoefden geen daadwerkelijke identiteitsdiefstal of fraude te bewijzen. Het verlies van de controle over persoonsgegevens was voldoende.
Of deze zaken na elk groter cyberincident de deur kunnen openzetten voor rechtszaken over schadeclaims hangt af van hoe het Europees Hof van Justitie (EHJ) zich opstelt ten aanzien van fundamentele vragen over de interpretatie van schadeclaims uit hoofde van de GDPR. In totaal zijn er momenteel negen zaken over artikel 82 GDPR aanhangig bij het Hof van Justitie. Centraal in deze zaken staat de vraag of een GDPR-inbreuk alleen voldoende is om immateriële schadevergoeding toe te kennen dan wel of er een minimale drempel is waarbij de eiser moet aantonen dat hij of zij zorgen, angsten of zorgen heeft ontwikkeld door het verlies van de controle over zijn of haar persoonsgegevens.
Andere belangrijke vragen betreffen de bewijslast met betrekking tot de verschillende vereisten van artikel 82 GDPR. Ook al neigt de advocaat-generaal bij het Hof in zijn conclusie over de eerste zaak naar een restrictieve interpretatie van immateriële schade, deze benadering is niet bindend voor de rechters. Hoe het Hof van Justitie in 2023 zal beslissen over schadeclaims op grond van de GDPR, zal van groot belang zijn voor geschillen over datalekken in de hele EU.
