Heb je recht op een schadevergoeding na een datalek?
Dit jaar zijn verschillende datalekken in het nieuws geweest. Je weet dat het niet goed is dat jouw data op straat ligt, maar wordt ook iets gedaan om dit lek recht te zetten? Radar ontvangt veel vragen van gedupeerden: wanneer heb je recht op schadevergoeding en hoe toon je dat aan?
Datalek bij Sunweb
Het datalek waarover Radar op dit moment klachten binnenkrijgt, is het datalek bij Sunweb. In oktober zijn klantgegevens gestolen, waaronder gegevens over wanneer mensen op vakantie zijn en hun woonadressen. Mensen zijn bang voor inbraak en willen hun vakantie annuleren. De reisorganisatie geeft geen extra coulancemaatregelen aan de getroffenen.
Mag dit wel? Nadia Benaissa, AVG-jurist bij Bits of Freedom vertelt ons wanneer je recht hebt op schade vergoeding. “Wanneer je materiële of immateriële schade hebt geleden, kun je dat verhalen op het bedrijf waar het lek heeft plaatsgevonden. Je moet dan ook kunnen aantonen dat een bedrijf in strijd met de AVG heeft gehandeld. Bijvoorbeeld dat een bedrijf nalatig moet zijn geweest in het beschermen van zijn data.”
Bewijs van nalatigheid
En dat bewijzen is lastig. Een bedrijf moet een datalek melden bij de Autoriteit Persoonsgegevens (AP). Het moet daarin openheid geven over wat er precies gebeurd is, maar hoeft niet alle informatie te verstrekken aan de gedupeerden van het datalek. “Je komt er als consument dus moeilijk achter of je recht hebt op schadevergoeding”, zegt de jurist.
Volgens de jurist zijn er drie manieren om alsnog te weten te komen of een bedrijf nalatig is geweest. Je kunt het bedrijf vragen of ze jouw data goed beveiligd hebben. Als het antwoord niet naar wens is, kun je een rechtszaak starten. Op dat moment moet er openheid gegeven worden over de bescherming van de data, zodat een rechter goed kan controleren of de AVG is nageleefd.
De Autoriteit aan zet
De laatste manier is dat de Autoriteit Persoonsgegevens een onderzoek start. Vorig jaar heeft de Autoriteit bijna 40.000 meldingen van datalekken binnengekregen, hoeveel daarvan onderzocht worden geeft de autoriteit geen openheid over.De autoriteit heeft meerdere keren aangegeven dat zij capaciteitstekorten hebben, terwijl uit eigen onderzoek blijkt dat tweederde van de bedrijven die door datalekken getroffen worden hun bescherming niet op orde hebben.
Nadia Benaissa vindt dit opmerkelijk. “Als de AP haar tanden niet laat zien, geven ze bedrijven geen reden om hun beveiliging goed op orde te krijgen.”