E-mailfraude via een factuurhack is al lang geen puur technisch incident meer. Dat blijkt opnieuw uit een arrest van het Gerechtshof Arnhem-Leeuwarden in een zaak tussen een koper en een autobedrijf.
Na de aankoop van een auto ontving de koper per e-mail een betaalinstructie, maar die bleek afkomstig van een gehackt account en verwees naar een buitenlandse rekening. De koper betaalde en het geld verdween, het autobedrijf weigerde de auto te leveren omdat geen betaling was ontvangen. De koper stelde het autobedrijf aansprakelijk omdat het e-mailaccount volgens hem in strijd met de AVG onvoldoende was beveiligd en hij ook immateriële schade zou hebben geleden. In het tussenarrest oordeelde het hof dat een e-mailaccount waarop persoonsgegevens worden verwerkt passend moet worden beveiligd (art. 5 lid 1 onder f, 24 en 32 AVG) en dat het autobedrijf moet aantonen dat die maatregelen zijn getroffen. Dat lukte niet: het overgelegde ‘AVG nalevingsrapport’ en verklaringen over de passende beveiligingsmaatregelen waren te algemeen en uitbesteding aan een (ISO-gecertificeerde) IT-dienstverlener neemt de verantwoordelijkheid van de verwerkingsverantwoordelijke niet weg. De vordering tot immateriële schade werd (vooralsnog) afgewezen omdat die onvoldoende concreet was onderbouwd.
In het eindarrest blijft het hof bij het oordeel dat het autobedrijf de AVG schond omdat niet is aangetoond dat het e-mailaccount passend was beveiligd. Maar het hof weegt óók mee dat van een betaler alertheid mag worden verwacht, zeker bij signalen als een onverwachte (buitenlandse) rekeningwijziging. Daarom blijft 30% van de schade van de koper voor rekening van de koper wegens eigen schuld. Vervolgens komt het hof met een billijkheidscorrectie: het autobedrijf is klein, verwerkt in beperkte mate persoonsgegevens en had de beveiliging bewust uitbesteed aan een ISO 27001-gecertificeerde IT-specialist waarop het in beginsel mocht vertrouwen. Maar ook een kleine organisatie had een basale maatregel moeten nemen, zoals het instellen van een eigen wachtwoord, in plaats van de instelling en het beheer daarvan over te laten aan de IT-specialist. Op basis van deze omstandigheden en na een billijkheidscorrectie komt het hof uit op een verdeling waarbij het autobedrijf 50% van de materiële schade van de koper moet vergoeden (plus buitengerechtelijke kosten). De immateriële schade was onvoldoende onderbouwd en wordt afgewezen.
Deze uitspraak is met name interessant omdat het zowel het privacyrecht als het IT-recht raakt. Het hof past het beginsel van accountability in het privacyrecht concreet toe: niet alleen de aanwezigheid van beveiligingsmaatregelen is relevant, maar vooral de aantoonbaarheid daarvan, waarbij een nalevingsrapport en algemene verklaringen over de beveiliging onvoldoende blijken. Daarnaast onderstreept het arrest dat uitbesteding aan een (ISO 27001-gecertificeerde) IT-dienstverlener de eigen verantwoordelijkheid niet opheft.