Schadevergoeding na een cyberaanval: staan de poorten nu wijd open?

We told you so …

Deze beslissing is opmerkelijk. Ze geeft verder richting aan de uitgebreide aansprakelijkheid  die ondernemingen kunnen ondervinden wanneer zij zelf slachtoffer worden van een cyberaanval.

We geven jullie graag onze bedenkingen mee bij deze beslissing:

• De ‘hack’ vond plaats bij een derde, namelijk bij een software service provider waar Scalable Capital als verwerkingsverantwoordelijke sedert 2015 geen contract meer mee had. De gestolen accountgegevens werden echter na beëindiging van de overeenkomst bij deze service provider niet verwijderd en de inloggegevens bleven gedurende jaren ongewijzigd. 
• Ondanks de hack bij een derde blijft Scalable Capital aansprakelijk als verwerkingsverantwoordelijke. Haar argument dat zij eigenlijk zelf een slachtoffer is van een cyberaanval, doet niet ter zake.
• Evenmin het argument dat Scalable Capital een streng selectieproces op de veiligheid van haar leveranciers voert en voor het overige gebruik maakt van een veilige IT-infrastructuur onderworpen aan veiligheidscertificering, is voldoende om haar aansprakelijkheid uit te sluiten.
• Scalable Capital had daarentegen de verwijdering van deze gegevens moeten verifiëren na beëindiging van de overeenkomst. Het is een eigen verplichting van de verwerkingsverantwoordelijke om toezicht te houden op zijn service providers en desnoods instructies te verlenen met betrekking tot de beschikbaar gestelde gegevens.
• De rechtbank kende een morele schadevergoeding toe, ook al was er geen bewijs van effectieve schade. Er was geen aanwijzing dat die bewuste gegevens reeds gebruikt waren voor fraudepogingen, etc. De rechtbank geeft dus een ruime interpretatie aan het schadebegrip die reeds aanwezig is bij een loutere identiteitsdiefstal. Het datasubject wordt blootgesteld aan een permanent risico.
• Naast de morele schadevergoeding acht de rechtbank Scalable Capital aansprakelijk voor eventuele toekomstige materiële schade (vb. er worden op frauduleuze wijze leningen afgesloten op naam van het datasubject).
• De schadevergoeding moet naast een vergoedend effect ook een afschrikkend effect hebben, waarbij de criteria voor de bepaling van de hoogte van de administratieve geldboetes, ook gebruikt kunnen worden voor de hoogte van de schadevergoeding.

Vanzelfsprekend is dit in het licht van onze vorige blogartikels een bevestiging van een zeer verregaande aansprakelijkheid van een organisatie wanneer zij geconfronteerd wordt met een cyberaanval. Deze uitspraak toont nog maar eens aan dat naast het nemen van een hele reeks technische en organisatorische maatregelen ook het juridisch risicomanagement van cruciaal belang is.

Help?! Wat heb ik nu te vrezen? 

Is deze uitspraak reden tot paniek? Moeten we nu vrezen voor allerhande aansprakelijkheidsvorderingen wanneer we de pech hebben om aangevallen te worden?

Het antwoord is ja en neen…
Ja, omdat theoretisch gezien in België ook groepsvorderingen mogelijk zijn voor fouten onder de GDPR. Zo kan de som van de schadevergoedingen al snel oplopen. De GDPR legt je organisatie ook op om te bewijzen dat je op geen enkele manier verantwoordelijk bent voor het cyberincident waardoor je een verzwaarde bewijslast draagt.
Maar neen, omdat in de praktijk voorlopig zo’n groepsvorderingen uitblijven en er naast deze rechtspraak ook andere rechtspraak bestaat die veel terughoudender is. 

Veel heeft te maken met vragen rond de correcte interpretatie van de toepasselijke bepalingen onder GDPR. Zo hangen er momenteel een aantal prejudiciële vragen voor het Europees Hof van Justitie, zoals o.a.:

• Geldt er bij externe hacking een vermoeden dat de technische & organisatorische maatregelen van die organisatie niet voldoende waren?
• Indien dat vermoeden niet zou gelden: Hoe ver moet de rechterlijke toetsing gaan van de wettigheid van een onderzoek naar proportionele maatregelen?
• Draagt de verwerkingsverantwoordelijke de volledige bewijslast dat de genomen maatregelen voldoende waren? Kan een rapport van een deskundige hier volstaan?
• Is externe hacking te beschouwen als een gebeurtenis waar een verwerkingsverantwoordelijke op geen enkele wijze verantwoordelijk kan zijn en dus haar aansprakelijkheid uitgesloten is?
• Is de loutere angst voor mogelijk misbruik van de gestolen data in de toekomst voldoende om een morele schadevergoeding toe te kennen?

Voorlopig is het wachten op meer duidelijkheid, maar ondertussen raden we aan niet bij de pakken te blijven zitten. En je hoeft niet alleen actie te ondernemen. Vlaio voorziet in een ruime subsidieregeling waar ook Sirius Legal een juridisch deel in het traject met BA nv voorziet, net om onaangename financiële risico’s te vermijden na een cyberaanval. Lees hier meer over een cybersecurity verbetertraject met de steun van Vlaio.