Citaat Karl Kraus: “Het gezinsleven is een inbreuk op het privéleven.”
Taxlive 17/1/24 VNVandaag 16/1/24
Bron: Arrest van het Hof (Derde kamer) van 14 december 2023.
VB tegen Natsionalna agentsia za prihodite. ECLI:EU:C:2023:986
https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:62021CJ0340
Samenvatting
Op 15 juli 2019 vindt een cyberaanval plaats waarbij ongeoorloofde toegang wordt verkregen tot het IT-systeem van de NAP, een instantie die ressorteert onder de Bulgaarse Minister van Financiën. Na de cyberaanval worden persoonsgegevens uit dat systeem op internet gepubliceerd. VB stel vervolgens een vordering tegen de NAP in tot vergoeding van de immateriële schade van € 500 die volgens haar uit de bekendmaking van haar persoonsgegevens is voortgevloeid (art. 82 AVG). Haar immateriële schade bestaat uit de vrees voor toekomstig misbruik van haar persoonsgegevens die zonder haar toestemming zijn gepubliceerd of dat zij zelf slachtoffer wordt van afpersing of agressie of zelfs wordt ontvoerd. De Bulgaarse rechter stelt prejudiciële vragen in deze zaak.
Het Hof van Justitie EU oordeelt dat ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens op zich niet volstaat om aan te nemen dat de getroffen technische en organisatorische maatregelen niet ‘passend’ zijn in de zin van artt. 24 en 32 AVG. Verder kan de vrees die een betrokkene na een inbreuk op de AVG koestert voor mogelijk misbruik van zijn persoonsgegevens door derden op zich ‘immateriële schade’ vormen.
Opmerking
De wereld zou te klein zijn, als de Unie rechter niet zou hebben beslist op de prejudiciële vraag van de Bulgaarse rechter, dat ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens – een computer hack dus – op zich niet volstaat om aan te nemen dat de getroffen technische en organisatorische maatregelen niet ‘passend’ zijn in de zin van artt. 24 en 32 AVG. Maar de organisatie moet zich wel verantwoorden, dat er passende maatregelen getroffen zijn. Het gaat om een cyberaanval op een overheidsorganisatie.
Verder kan de vrees die een betrokkene na een inbreuk op de AVG koestert voor mogelijk misbruik van zijn persoonsgegevens door derden op zich ‘immateriële schade’ vormen. Betrokkene – een natuurlijk persoon – heeft het verzoek om een immateriële schadevergoeding van € 500 voorgelegd aan de nationale Bulgaarse rechter (waarvan de prejudiciële vraag), omdat haar persoonsgegevens zijn gelekt na een cyberaanval. De nationale rechter kan nu verder. Maar met haar hebben andere nationale rechters dus nu een ingang om schadeclaims van een Unierechtelijk grondslag te voorzien. Zoiets als immateriële schadevergoeding in fiscale zaken vanwege de spanning en frustratie door het overschrijden van de redelijke termijn (zie de arresten BNB 2011/232 en BNB 2014/200)
Ricky Turpijn
