De Hogeschool van Arnhem en Nijmegen (HAN) moet een oud-student een schadevergoeding van € 300 betalen wegens een AVG-inbreuk. Door inadequate beveiliging bij de HAN konden hackers zijn persoonsgegevens bemachtigen. De kantonrechter van de rechtbank Gelderland oordeelt dat de oud-student schade heeft geleden en dat de HAN daarvoor aansprakelijk is.
Wat is er gebeurd?
De HAN-student voltooide zijn opleiding in 2021 met studievertraging wegens persoonlijke omstandigheden. In september 2022 werd de hogeschool gehackt via een SQL-injectie in een verouderd webformulier, waardoor een datalek plaatsvond. Vervolgens werd de student geïnformeerd dat zijn persoonsgegevens mogelijk waren gelekt, waaronder ook de reden van zijn studievertraging.
Inbreuk op de AVG
De kantonrechter stelt vast dat sprake is van een AVG-inbreuk.
De student had daartoe aangevoerd dat de hogeschool geen passende beveiligingsmaatregelen had getroffen. Allereerst waren de gegevens van de student niet gepseudonimiseerd of versleuteld. Hoewel dit niet had voorkomen dat zijn gegevens werden bemachtigd, het had er wel voor kunnen zorgen dat de gegevens door de hacker niet eenvoudig gelezen konden worden. Bovendien was sprake van een “verouderd” webformulier, hoewel uit het vonnis niet blijkt in hoeverre dit heeft bijgedragen aan de kwetsbaarheid. Tot slot had de hack plaatsgevonden door middel van een SQL-injectie, hetgeen een veelvoorkomende hacktechniek is waartegen de hogeschool bestand had moeten zijn.
De hogeschool volstaat met een verwijzing naar de algemene beveiligingsmaatregelen. Zij heeft niet concreet gemaakt wat zij ten tijde van het datalek aan veiligheidsmaatregelen had getroffen op het webformulier of de achterliggende server. De kantonrechter oordeelt daarom dat de hogeschool de inbreuk onvoldoende heeft betwist.
Immateriële schade
Vervolgens beoordeelt de kantonrechter of sprake is van vergoedbare immateriële schade. Daarvoor is het volgende van belang. Er bestaat recht op schadevergoeding indien immateriële schade het gevolg is van een inbreuk op de AVG. Met andere woorden, er dient sprake te zijn van een causaal verband. Het begrip “schade” moet ruim worden uitgelegd. Niet elke inbreuk resulteert in een recht op schadevergoeding. Echter, het recht op schadevergoeding geldt ook niet enkel voor immateriële schade die een bepaalde drempel van ernst heeft bereikt. De door de student gestelde immateriële schade wordt alleen vergoed indien hij voldoende heeft onderbouwd dat hij in zijn persoon is aangetast. Sommige normschendingen zijn echter zo ernstig, dat een aantasting in de persoon kan worden aangenomen.
Vertrouwen geschaad
Het lekken van de algemene persoonsgegevens van de student (naam, adres, woonplaats, e-mail, telefoonnummer), hebben volgens de rechter niet tot schade geleid. Er zijn echter ook bijzondere, medische persoonsgegevens gelekt. De student had in het webformulier namelijk gedeeld waarom hij studievertraging had opgelopen, hetgeen kennelijk een medische reden had. De kantonrechter stelt voorop dat eerder kan worden aangenomen dat sprake is van schade als er medische gegevens zijn gelekt, omdat het bij uitstek gegevens zijn waarvan niet gewenst is dat ze “op straat” komen te liggen. De nadelige gevolgen van het lekken van zulke gegevens liggen voor de hand. Daarbij maakt niet uit wat de hacker met de gegevens heeft gedaan. Alleen het feit dat de hacker deze specifieke gegevens heeft kunnen inzien of verspreiden, is al voldoende voor het aannemen van schade.
Daarbij speelt volgens de rechter mee dat de student al veel moeite zou hebben gehad om persoonlijke medische gegevens met de hogeschool te delen. Omdat hem werd verzekerd dat zijn verhaal veilig was, heeft hij uiteindelijk die gegevens toch gedeeld. Zijn vertrouwen heeft dus een flinke deuk opgelopen. Ook heeft hij aangegeven dat hij (sterke) emotionele reacties had op het gebeurde (boosheid, spanning en vernedering) en dat hij zich zorgen maakt over wat er met de gegevens wordt gedaan als iemand ze in handen krijgt. Vanwege deze redenen moet de hogeschool een schadevergoeding van € 300 betalen.