Meldplicht datalekken: effectief of niet?

Beeld: Pixabay

Nu bijna al onze gegevens digitaal worden opgeslagen, is het niet langer de vraag óf er een datalek zal plaatsvinden, maar wannéér. De kans wordt steeds groter dat door een beveiligingsprobleem onze persoonlijke gegevens in de handen kunnen vallen van partijen die hier misbruik van kunnen maken. Om de schade te beperken, is het van belang dat de wetgever een effectieve wetgeving in het leven roept. Gelukkig hebben zowel de nationale als de Europese wetgever hier gehoor aan gegeven door onder andere een meldplicht voor datalekken in te voeren. Dit houdt in dat bedrijven in Nederland tegenwoordig een melding moeten maken bij de Autoriteit Persoonsgegevens (AP) als er sprake is van een datalek. Omdat een datalek (vaak) gepaard gaat met een inbreuk op de privacy van consumenten, moet het bedrijf ook de consumenten inlichten.

In Amerika bestaat een vergelijkbare meldplicht voor datalekken al sinds 2007. Helaas hebben vele studies aangetoond dat deze meldplicht niet effectief is.¹ De vraag is in hoeverre de Nederlandse meldplicht datalekken wél effectief zal blijken voor de consument.

De Amerikaanse meldplicht schiet zijn doel voorbij

De inefficiënties in de huidige data breach laws in de VS kennen veel verschillende oorzaken. Ten eerste bestaan er significante verschillen tussen de data breach laws op statelijk niveau.² Dit is niet gunstig voor bedrijven die actief zijn in verschillende staten, want dit maakt het lastig om alle meldplichten na te komen.³ Ten tweede heeft een consument een beperkt aantal middelen tot zijn beschikking om het bedrijf dat verantwoordelijk is voor een datalek aansprakelijk te stellen. Dit komt mede doordat veel staten consumenten niet in de gelegenheid stellen om op grond van de data breach law een claim in te dienen. De grondslag voor een vordering moet dus gezocht worden in gerelateerde regelingen zoals consumentenbeschermingsrecht, oneerlijk handelen of fraude.⁴ Als gevolg hiervan stranden de meeste procedures bij de federale rechtbank, omdat er niet is voldaan aan de standing en injury requirement: dit komt erop neer dat het slachtoffer niet kan aantonen dat er schade is geleden. Omdat het bij een datalek vaak om toekomstige schade gaat, is het lastig om de rechtbank te overtuigen. Meestal vinden de rechtbanken in de VS een toekomstige vordering voor schadevergoeding niet voldoende om een zaak aan te spannen.

Daarnaast vallen datalekken niet onder de privacywetten in de VS, waardoor consumenten noodgedwongen een beroep moeten doen op andere regelgevingen, zoals het consumentrecht of de class action, oftewel de ‘collectieve actie’. Dit houdt in dat de gedupeerde consumenten hun krachten bundelen om hun schade vergoed te krijgen.⁵ Helaas zijn de collectieve acties ook niet altijd succesvol omdat in dergelijke gevallen de opbrengsten onvoldoende zijn om elk slachtoffer een adequate vergoeding te geven. Daarnaast is het begroten van de schade al een probleem: het is namelijk een kostbaar en tijdrovend proces. In de VS worden deze kosten gedekt doordat de claim kantoren vaak op basis van ‘no cure, no pay’-principe werken of gebruik maken van third-party funding.

Op dit moment kan een slachtoffer van een datalek in de VS niet zoveel doen om zijn schade te verhalen

Hieronder is schematisch weergeven welke breach laws momenteel van kracht zijn in de VS. Tevens is aangegeven onder welke wetgeving het slachtoffer een procedure kan starten en bij welke rechtbank dat mogelijk is.

(Klik op illustratie voor vergroting)

Zoals het plaatje hierboven illustreert, zijn er te veel regels over datalekken die naast elkaar bestaan. Dit zorgt er niet alleen voor dat consumenten niet weten wat ze moeten doen, maar het veroorzaakt ook problemen voor bedrijven. Mede daarom is de vraag naar een overkoepelende wet op federaal niveau die voor alle sectoren geldt nu groter dan ooit.⁶ Op dit moment kan een slachtoffer van een datalek in de VS niet zoveel doen om zijn schade te verhalen. Dit was echter wel één van de belangrijkste redenen om überhaupt een meldplicht in het leven te roepen. Kortom, de meldplicht in de VS schiet zijn doel voorbij.⁷

De vraag is nu hoe ver de bescherming in Nederland strekt. Kan een consument na een melding wél efficiënte stappen ondernemen om schade te voorkomen en/of te verhalen op de verantwoordelijke? Of vervalt de bescherming, net als in de VS, op het moment dat de gegevens zijn gelekt?

Nederland versus de VS

Één van de belangrijkste problemen in de VS is dat de breach laws op statelijk niveau inhoudelijk enorm verschillen, wat voor veel onduidelijkheid bij bedrijven zorgt. Dit probleem doet zich niet direct in Nederland voor omdat Nederland alleen wetgeving op nationaal niveau heeft waardoor de meldplicht van toepassing is op alle organisaties die persoonsgegevens verwerken. Nederland loopt wat dat betreft vooruit op de regelgeving die gaat gelden onder de nieuwe privacywet Algemene Verordening Gegevensbescherming (AVG). Deze wet stelt strengere eisen maar zorgt niet voor onduidelijkheid. Bedrijven in Nederland weten bij welke instantie een lek moet worden gemeld en binnen welke termijn dat moet gebeuren.

Wat wel tot inefficiëntie leidt, is het proces tot het verhalen van schade als een consument slachtoffer is geworden van identiteitsfraude door een datalek. Een consument zou in dit geval een beroep moeten doen op wanprestatie of onrechtmatige daad. Helaas zal het beroep waarschijnlijk stranden bij het vraagstuk rondom de oorzaak en gevolg van de schade.⁸ Dit oorzaak-gevolgverband is in het bijzonder moeilijk aan te tonen als het een toekomstige schade betreft.⁹ Ook wanneer er daadwerkelijk sprake is van identiteitsfraude, is het niet eenduidig vast te stellen dat de schade is veroorzaakt door een datalek.

Het gevolg van bovenstaande bewijsproblemen is dat de betrokkene met lege handen komt te staan. Dit is het gevolg van het alles-of-niets-principe dat in het Nederlandse aansprakelijkheidsrecht geldt. In dit geval leidt het tot een onbevredigende uitkomst. Er zijn echter twee opties die Het leerstuk van verlies van een kans zou eventueel uitkomst kunnen bieden, namelijk ‘het leerstuk van verlies van een kans’ en de ‘omkeringsregel’. Het leerstuk van verlies van een kans komt in beeld in gevallen waarin vaststaat dat er sprake is van een onrechtmatigheid, of een toerekenbare tekortkoming. De fout heeft geleid tot een verminderde kans op een beter eindresultaat. Onduidelijk in deze gevallen is echter, of er schade is die voor vergoeding in aanmerking komt en wat de omvang daarvan is. In het geval van een datalek hoeft het slachtoffer dus niet aan te tonen dat elke schadepost (zoals onrechtmatige publicatie, aantasting in eer en goede naam, identiteitsfraude, discriminatie) ontstaan is door een datalek, maar hij of zij kan volstaan met het aantonen van oorzaak en gevolg verband tussen het datalek en het verlies van een kans op een beter eindresultaat. Naar alle waarschijnlijkheid kan de betrokkene namelijk wel aantonen dat, door het datalek, hem in ieder geval de kans op een beter resultaat is ontnomen. Bij dit leerstuk gaat men er ook vanuit dat de kans op schade een waarde heeft die op geld waardeerbaar is. Helaas is dat niet altijd het geval bij een schade naar aanleiding van een datalek omdat het vaak toekomstige schade betreft. Hierdoor zal een beroep op dit leerstuk zeer waarschijnlijk niet slagen.

De andere kans op een betere uitkomst, de omkeringsregel, loopt op hetzelfde vereiste stuk. Deze regel brengt met zich mee dat de bewijslast wordt omgekeerd. In geval van een datalek zou de tegenpartij aannemelijk moeten maken dat de schade (zoals identiteitsfraude) ook zonder het datalek zou hebben plaatsgevonden. In gevallen waarin nog geen sprake is van daadwerkelijke schade, gaat deze regel niet op.

Zowel de omkeringsregel als het leerstuk verlies van een kans, bieden dus lang niet altijd een uitkomst; vereist is namelijk dat schade al zichtbaar moet zijn. Toekomstige schade kan dus niet op basis van genoemde leerstukken worden gevorderd.¹⁰ In gevallen waarin sprake is van identiteitsfraude kunnen deze leerstukken wel een uitkomst bieden, omdat de schade al zichtbaar is.¹¹ In dat geval komt het volgende probleem om de hoek kijken: het aanwijzen van de dader, wat als consument erg moeilijk aan te tonen is.

Een slachtoffer kan ook, net als in de VS, gezamenlijk met andere gedupeerde een massaclaim starten. Een vereiste hiervoor is echter dat er sprake moet zijn van uniformiteit tussen de vorderingen. In Nederland zal in geval van een datalek niet aan dit vereiste worden voldaan, omdat de schade per betrokkene té verschillend is. Daarnaast worden in Nederland de omstandigheden van het geval betrokken bij het vaststellen van de hoogte van de schadevergoeding en ook dit verschilt per betrokkene.¹² Indien wel wordt voldaan aan de uniformiteitstoets of indien de rechter in het belang van efficiënte afwikkeling van zoveel mogelijk geschillen de uniformiteitstoets versoepeld, kan de daarop volgende gerechtelijke procedure langdurig, complex en kostbaar zijn.¹³ In de VS worden dergelijke procedures bekostigd door advocaten die op basis van ‘no cure, no pay’ werken en third-party financing.¹⁴ Dit fenomeen is uitdrukkelijk verboden in Nederland, waardoor consumenten zelf voor de kosten moeten opdraaien. Bovendien biedt het Nederlandse rechtstelsel lagere schadevergoedingsbedragen, waardoor consumenten waarschijnlijk zullen afzien van het starten van een procedure.¹⁵

Conclusie

Mijn bevindingen leiden tot de zorgelijke conclusie dat de huidige meldplicht datalekken in Nederland voor de betrokken benadeelde consument weinig effectief zal zijn. Na een datalek kan een slachtoffer in Nederland net als een slachtoffer in de VS nauwelijks effectieve gerechtelijke stappen nemen. Een consument zal bij zowel een individuele procedure als bij een massaclaim veel moeite ondervinden met het aantonen van een oorzaak –en gevolg verband en ook met het aanwijzen van de aansprakelijke partij. Daarnaast ontbreekt de uniformiteit bij de massaclaims, waardoor een vordering niet zal slagen. Anders dan in de VS worden de persoonsgegevens in Nederland veel beter beschermd, maar dit zorgt er niet voor dat een consument een geslaagd beroep kan doen op de beschikbare rechtsmiddelen. De maatregelen die een betrokkene in Nederland kan nemen om zelf invloed uit te oefenen en de schade te beperken, is net als in de VS nihil. Als de gegevens al gelekt zijn, kan een gedupeerde alleen de betaalpas blokkeren, inloggegevens veranderen en alert zijn op vreemde transacties op de bankrekening.

Het komt erop neer dat een consument na een melding zelf moet uitzoeken welke wegen hij/zij moet inslaan om de schade te verhalen. De Autoriteit Persoonsgegevens en de verantwoordelijk instantie bieden hierbij geen tot weinig steun. Gezien het feit de kans op een datalek bijna 100 procent is, is dit een zeer ongunstige positie voor een betrokkene. De doelstelling van de Wet bescherming persoonsgegevens en Algemene Verordening Gegevensbescherming worden dus niet ten volle gerealiseerd, en er is nog veel ruimte voor verbetering.

Nandenie Lachman (1991) studeerde Internet, Intellectuele eigendom en ICT aan de Vrije Universiteit in Amsterdam. In 2016 schreef zij haar masterscriptie over de effectiviteit van de meldplicht datalekken in Nederland. Haar scriptie werd genomineerd voor de Joop Bautz Information Security Award. Het afgelopen jaar is zij werkzaam geweest in de dataprotectiepraktijk van een internationaal advocatenkantoor in Rotterdam. Nu is het tijd voor een hele andere soort uitdaging. Momenteel is zij voor een paar maanden de andere kant van de wereld aan het ontdekken in Australië, Fiji en Nieuw Zeeland.

Dit artikel is eerder geplaatst op de website van De Focus, een landelijk onderzoeksplatform dat scriptieschrijvers de mogelijkheid biedt om hun scripties om te vormen tot een kort, toegankelijk artikel.“

¹ The Deloitte Consumer Review Consumer data under attack: the growing threat of cybercrime. P.13- 17 & Federal Trade Commission 2014 Privacy And Data Security Update’ Federal Trade Commission, 2014.

² D.H. Meal, Private Data Security Breach Litigation in the United States, Thomson Reuters/Aspatore 2014, p. 6-10.

³ Gina Stevens, Data security breach notification laws, congressional research service, 10 April 2012.

⁴ L. Blon, P. Heaton, D.C. Lavery & S. Romanosky, Consumer attitudes towards data breach notification and loss of personal Information. RAND corporation March 2016.

⁵ P. Cave, Giving Consumers a Leg to Stand on: Finding Plaintiffs a Legislative Solution to the Barrier from Federal Courts in Data Security Breach Suits, 62 Cath. U. L. Rev. 765 2014, p. 772.

⁶ Jill Joerling, Data Breach Notification Laws: An Argument for a Comprehensive Federal Law to Protect Consumer Data, 32 Wash. U. J. L. & Poly 467 (2010) p. 468-470.

⁷ Alana Maurushat, Disclosure of Security Vulnerabilities: Legal and Ethical Issues, Springer 2013, p. 53.

⁸ Akkermans, A.J. (1996). Noot bij: Rechtbank Amsterdam. (1993, December 15), Aansprakelijkheid verzekering 1996-3, p. 67-71. & K.J.O. Jansen ’commentaar op artikel 163 Boek 6’ in C.J.J.M. Stolker e.a. Groene Serie onrechtmatige daad, Deventer: Kluwer (online in Kluwer Navigator).

⁹ A.S. Hartkamp, C.H. Sieburgh, Mr. C. Assers Handleiding tot de beoefening van het Nederlands burgerlijk recht. 6 Verbintenissenrecht. Deel IV De verbintenis uit wet, Deventer Kluwer 2011.

¹⁰ A.T. Bolt, ’commentaar op artikel 105 Boek6’ in: A.T. Bolt e.a. Groene Serie schadevergoeding, Deventer: Kluwer
(online in Kluwer Navigator).

¹¹ Mr. P.H.A. Boshouwers en M.M. Janssen ‘over privacy en aansprakelijkheid waar liggen de grenzen’, Rechtspraak zorgverzekering afl. 6 2008, p. 49.

¹² G.J.M. Verburg, Vaststelling van Smartengeld, Meijer-reeks deel 157, Deventer: Kluwer 2009.

¹³ T.F.E. Tjong Tjin Tai, ‘Aansprakelijkheid bij datalekken’, WPNR 7110 (2016), p. 459-464.

¹⁴ R.M. Peters, So you have been notified, now what? The problem with current data breach notification law, 2015, Arizona Law review vol. 564.

¹⁵ A.W. Opderbeck, Cybersecurity, Data Breaches, and the Economic Loss Doctrine in the Payment Card Industry, Maryland Law Review vol 75 issue 4, 2016, p. 936-938.