Arnhem|

Hogeschool moet schadevergoeding betalen aan oud-student vanwege datalek

Een hacker stal persoonsgegevens van diverse (oud) studenten van de Hogeschool Arnhem-Nijmegen (HAN). Een oud-student van de hogeschool vroeg om schadevergoeding. De kantonrechter wijst de schadevergoeding gedeeltelijk toe. 

Passende beveiliging

Op 1 september 2021 vond de hack bij de hogeschool plaats. De hogeschool informeerde haar (oud) studenten daarover. Een van de oud-studenten vindt dat de hogeschool aansprakelijk is voor de schade die hij heeft door de hack, een immateriële schadeSchade die veroorzaakt is door verdriet, smart of geestelijk gemis. Deze schade is (in tegenstelling tot materiële schade) niet direct in geld uit te drukken. De vergoeding die wordt uitgekeerd om immateriële schade te vergoeden heet smartengeld. van 1000 euro. De hogeschool vergoedde de schade niet. Daarom vroeg de oud-student aan de kantonrechter om de zaak te beoordelen. Volgens hem schond de hogeschool de Algemene Verordening Persoonsgegevens (AVG) door geen passende beveiliging van haar systemen te hebben. 

Inbreuk en schade

De kantonrechterDe kantonrechter behandelt zowel civiele zaken als strafzaken. Het is een alleensprekende rechter die zaken als overtredingen uit het strafrecht, arbeidszaken, huurzaken en zaken onder de € 25.000,- behandelt. Vroeger was het kantongerecht een apart gerecht naast de rechtbanken, gerechtshoven en de Hoge Raad. De kantongerechten zijn opgegaan in de rechtbanken. De term 'kantonrechter' is blijven bestaan. oordeelt dat de hogeschool inbreuk maakte op de AVG. De hogeschool vertelt namelijk niet concreet hoe ze de persoonsgegevens van de oud-student beveiligde. Ze gaf alleen aan welke algemene maatregelen ze treft om persoonsgegevens te beveiligen. Niet ieder datalek levert een inbreuk op de AVG op. Van belang is of het beveiligingsniveau passend was ten tijde van de hack. Daarover was de hogeschool niet open.  

Vertrouwen geschaad

De oud-student krijgt schadevergoeding. Het lekken van de algemene persoonsgegevens van de oud-student levert geen schade op. Het lekken van de bijzondere persoonsgegevens (medische gegevens) wel. Daarbij speelt mee dat de oud-student zelf heel zorgvuldig met zijn medische gegevens omging. Hij deelde zijn gegevens alleen met de hogeschool, omdat die hem verzekerde dat zijn verhaal veilig was. In die zin werd zijn vertrouwen geschaad. De onzekerheid die de hack meebracht, vreet aan hem en maakt dat hij nu nog minder snel gegevens met hulpverleners deelt. Vanwege deze redenen moet de hogeschool een schadevergoeding van 300 euro betalen.

Uitspraken

ECLI:NL:RBGEL:2023:5435U verlaat de website

Afzender

Rechtbank Gelderland