Rechtbank Gelderland, 07-04-2021, ECLI:NL:RBGEL:2021:1888, 8500601
Rechtbank Gelderland, 07-04-2021, ECLI:NL:RBGEL:2021:1888, 8500601
Gegevens
- Instantie
- Rechtbank Gelderland
- Datum uitspraak
- 7 april 2021
- Datum publicatie
- 4 mei 2021
- ECLI
- ECLI:NL:RBGEL:2021:1888
- Zaaknummer
- 8500601
Inhoudsindicatie
Schending artikel 5 AVG en onrechtmatige verwerking persoonsgegevens? Hack website verhuurmakelaar. Vordering immateriële schadevergoeding afgewezen.
Uitspraak
Team kanton en handelsrecht
Zittingsplaats Apeldoorn
Zaakgegevens: 8500601 CV EXPL 20-1672
Grosse aan: mrs. Christianen en Wakker
Afschrift aan: mr. Klatt
Verzonden d.d.
vonnis d.d. 7 april 2021 van de kantonrechter
in de zaak van
[eisende partij] , wonende te [woonplaats] ,
eisende partij,
gemachtigde: mr. S.G. Klatt (PrivacyPunt B.V.),
tegen
de besloten vennootschap NederWoon Verhuurmakelaars B.V.,
gevestigd te Apeldoorn,
gedaagde partij,
gemachtigde: mrs. K. Christianen en S.Y. Wakker.
Partijen worden hierna [eisende partij] en NederWoon genoemd.
1 De procedure
Het verloop van de procedure blijkt uit:
- het vonnis van 18 november 2020 en de daarin genoemde processtukken,
- de conclusie van antwoord, tevens akte overlegging producties van de zijde van NederWoon,
- het tussenvonnis van 13 januari 2021, waarin een mondelinge behandeling is bepaald,
- de akte overlegging en uitlating producties van de zijde van [eisende partij] ,
- de mondelinge behandeling van de zaak op 8 maart 2021, waarvan aantekening is gehouden door de griffier.
Hierna is vonnis bepaald.
2 De feiten
[eisende partij] heeft zich op 8 december 2017 als woningzoekende ingeschreven bij NederWoon. Daarbij heeft hij een gebruikersaccount aangemaakt op de website van NederWoon. [eisende partij] heeft daarbij onder andere persoonsgegevens verstrekt, zoals een kopie paspoort, loonstroken en bankafschriften.2.2. In december 2017 hanteerde NederWoon een Privacy Statement, waarin onder ander stond beschreven:“(...) Indien u als woningzoekende geïnteresseerd bent in het aanbod van een woning die wij publiceren dan dient u een account aan te maken. (...)Wij verwerken alleen gegevens die u zelf aan ons verstrekt en die voor de verhuurder noodzakelijk zijn om te bepalen of u een geschikte kandidaat bent. (...)Welke persoonsgegevens leggen wij vast?
Wij leggen de volgende gegevens van u vast:
• Naam/Voorletters/Tussenvoegsels
• Geslacht
• Adres/Postcode/Woonplaats
• Geboortedatum/Geboorteplaats
• Telefoonnummers
• E-mailadres
• Kopie legitimatiebewijs *
• Gegevens over werk en inkomen
• Verhuurdersverklaring
* Kopie legitimatiebewijs
Bij het aangaan van de huurovereenkomst is uw identiteit gecontroleerd met een kopie van uw ID.
Deze kopie maakt onderdeel uit van uw huurovereenkomst. Wij accepteren alleen een kopie ID
waarop het BSN is afgeschermd.
Op het moment dat u definitief mag huren vragen wij de volgende aanvullende gegevens: (...)
Gebruikersaccount
Iedere woningzoekende heeft een gebruikersaccount via www.nederwoon.nl
Het staat u als woningzoekende vrij om zelf te bepalen welke gegevens u hierin wilt uploaden. Indien
het account te onvolledig is om te bepalen of u voor een woning in aanmerking komt, dan ontvangt u
hierover bericht op het moment dat u uw interesse toont in een specifieke woning.
Het gebruikersaccount kunt u te allen tijde anonimiseren of stopzetten. Dit doet u door in te loggen
en onder ‘instellingen’ te klikken op ‘anonimiseer account’. Uw verzoek wordt binnen 2 werkdagen
opgepakt en verwerkt. Bij het anonimiseren vervallen al uw gegevens inclusief naam en e-mailadres. (...) Indien er een huurovereenkomst tot stand komt blijven de gegevens gedurende 12 maanden
zichtbaar. Dit is nodig voor het uitvoeren van de afspraken uit de huurovereenkomst.(...) Bewaartermijn
NederWoon Verhuurmakelaars bewaart uw persoonsgegevens gedurende de periode dat uw
account actief bij ons is. Na beëindiging van de gebruikersaccount verwijderen we na 12 maanden de
persoonlijke gegevens m.u.v. naam en e-mailadres.
Indien u verzoekt om uw account te anonimiseren zullen wij de persoonsgegevens inclusief naam en
e-mailadres direct verwijderen.(...) Wij hebben passende technische en organisatorische maatregelen genomen om persoonsgegevens
van u te beschermen tegen onrechtmatige verwerking, zo hebben we de volgende maatregelen
genomen;
• Onze website wordt gehost door een extern ICT bedrijf
• Het onderhoud aan de server en webapplicatie is uitbesteed
• Op ons kantoor wordt gebruik gemaakt van een beveiligd systeem. Medewerkers kunnen
hierin alleen op inloggen met verschillende wachtwoorden en beveiligingscodes.
• De website en de Backoffice van NederWoon maken gebruik van een beveiligde
internetverbinding te herkennen aan het slotje in het webadres
• Medewerkers van NederWoon tekenen voor geheimhouding (...)”.
In mei 2019 is het computersysteem van NederWoon gehackt. De hacker is opgepakt en bij vonnis van de Rechtbank Overijssel van 24 december 2019 (ECLI:NL:RBOVE:2019:4909) veroordeeld. In het strafvonnis is als bewezenverklaring onder meer te lezen - waarbij NederWoon is aangeduid als ‘bedrijf 1’- : “hij in de periode van 15 mei 2019 tot en met 20 mei 2019 te Arnhem en/of Zwolle, opzettelijk en wederrechtelijk in een gedeelte van een geautomatiseerd werk, te weten de webserver van en de login pagina van de internetpagina van "www. [bedrijf 1] .nl" is binnengedrongen door het doorbreken van een beveiliging/ door een technische ingreep, immers heeft verdachte - middels het uploaden van PHP codes, welke codes vervolgens webshells (R57.php, WS07.php, K5CNpEZB.php en/of adminer.php) hebben aangemaakt, waardoor toegang en controle is verkregen tot de webserver en website van [bedrijf 1] en hij vervolgens de gegevens die zijn opgeslagen, worden verwerkt of worden overgedragen door middel van voornoemd geautomatiseerd werk waarin hij zich wederrechtelijk bevond voor zichzelf heeft overgenomen, afgetapt en opgenomen (te weten door het exporteren van één of meer gegevens vanuit die website (waaronder emailadressen, bankgegevens, kopieën van identiteitsbewijzen) naar zijn, verdachtes, computer en door de toegang tot die website te blokkeren”. Verder is in het strafvonnis te lezen:(...) Voor een bewezenverklaring van (een poging tot) afpersing in de zin van artikel 317, lid 2 Sr, is vereist dat verdachte dwang heeft uitgeoefend door te dreigen dat hij de gegevens die hij door middel van een geautomatiseerd werk heeft opgeslagen, onbruikbaar of ontoegankelijk zal maken of zal wissen. De rechtbank overweegt dat verdachte weliswaar heeft gedreigd met het openbaar maken van de gegevens dan wel het verkopen van de gegevens aan criminelen, maar verdachte niet heeft gedreigd met het onbruikbaar maken, ontoegankelijk maken of wissen van de gegevens. (...) Op 24 mei 2019 heeft [aangever 1] namens [bedrijf 1] aangifte gedaan van computer-vredebreuk. Op maandag 20 mei 2019 werd door de werknemers van [bedrijf 1] ontdekt dat er niet kon worden ingelogd op de website van [bedrijf 1] . De applicatiebeheerder bevestigde dat alle data van de server waren verwijderd. Later die dag ontving [bedrijf 1] een mail van e-mailadres [e-mailadres] met daarin een boodschap van iemand die schreef dat hij de website van [bedrijf 1] had gehackt en dat hij 10 GB aan data met onder andere ID’s, werkgeversverklaringen en bankafschriften had verwijderd van de website. Als bewijs werd een RAR-bestand met daarop data van [bedrijf 1] meegestuurd. Uit onderzoek bleek dat de hack is verricht door het plaatsen van kwaadaardige programmatuur. De hacker heeft PHP-bestanden geüpload, waardoor een webshellprogramma op de webserver is geplaatst. Door het webshellprogramma heeft de hacker via de website remote toegang tot de server gekregen en kreeg daarmee de volledige controle over de server. De hacker heeft privacygevoelige gegevens gedownload en van de server verwijderd. Korte tijd na de hack heeft [bedrijf 1] 4 emails ontvangen, waarin werd gedreigd de privacygevoelige data van [bedrijf 1] openbaar te maken, dan wel te verstrekken aan criminelen, als [bedrijf 1] niet binnen 72 uur een bedrag van € 10.000,00 aan bitcoins zou betalen.(...) Bij de doorzoeking van het huis van verdachte, [adres 2] te Arnhem is een groot aantal goederen onder verdachte in beslag genomen, waaronder een grote hoeveelheid simkaarten, laptops, telefoons en andere digitale gegevensdragers. De in beslag genomen apparatuur komt overeen met de modus operandi van de hack.(...)Verdachte heeft zich schuldig gemaakt aan computervredebreuk. Hij heeft zich zonder toestemming van rechthebbende de toegang verschaft tot de webserver en website van [bedrijf 1] en daar digitale gegevens gemanipuleerd en gedownload. Door zo te handelen heeft verdachte niet alleen [bedrijf 1] gedupeerd, maar ook ongeveer 18.500 klanten van [bedrijf 1] , die bang moeten zijn dat hun privégegevens op straat komen te liggen of zullen worden gebruikt voor criminele doeleinden. Verdachte heeft zijn kennis van de digitale wereld misbruikt en daarmee het vertrouwen dat iedereen moet hebben in het gebruik van interne systemen en het internet geschaad.”.
De inbeslaggenomen gegevensdragers zijn onttrokken aan het verkeer.
Bij e-mailbericht van 23 mei 2019 heeft NederWoon aan [eisende partij] geschreven:“(...) U heeft in het verleden contact gehad met NederWoon via onze website www.nederwoon.nl.
Helaas zijn wij geconfronteerd met een hacker die in (een deel van) ons beveiligde website heeft
kunnen doordringen. Conform de privacywetgeving informeren wij u hierbij over dit datalek.
Wat is er gebeurd?
Een onbevoegd persoon is binnengedrongen in onze website. Na een eerste onderzoek blijkt dat dit
binnendringen beperkt is gebleven tot het deel waar gegevens van woningzoekenden staan. We
onderzoeken de hack nog verder, om zo nog preciezer in beeld te krijgen wat er is gebeurd. Van deze
hack hebben wij direct aangifte gedaan bij de politie. Welke gegevens zijn gelekt?
De gelekte gegevens betreffen de gegevens over de periode 2017 t/m 2019 die u destijds zelf heeft
ingevuld of heeft geupload via onze website www.nederwoon.nl. We weten niet precies welke
gegevens van u dit betreft. De volgende invulvelden kunnen destijds door u zijn ingevuld:
Naam, adres, woonplaats, telefoonnummer(s) en mailadres(sen);Door u geuploade gegevens en
documenten zoals bijvoorbeeld uw identiteitsbewijs (waarop mogelijk uw BSN nummer staat),
werkgeversverklaring e.d. Wat zijn de mogelijke gevolgen van dit datalek?
Mogelijk ontvangt u zogeheten ‘phishing mails’. Via dergelijke mails wordt geprobeerd om
zogenaamd uit naam van NederWoon uw (financiële) gegevens afhandig te maken. Veelal gebeurt dit
via ‘links’ waarop u kunt klikken.
(...) Op dit moment hebben wij nog geen signalen dat eventueel op andere wijze(n) misbruik gemaakt
wordt of zal worden van uw gegevens. Mochten wij alsnog die signalen krijgen, dan zullen we u
nader informeren.
Welke maatregelen hebben wij genomen? Wij hebben inmiddels een nieuwe server opgezet. Daarbij hebben wij aanvullende technische
maatregelen genomen om de gegevens van woningzoekenden en bestaande klanten extra te
beveiligen.(...)”.
Bij e-mail van 15 juli 2019 heeft PrivacyPunt, namens [eisende partij] , NederWoon aansprakelijk gesteld voor de schade die veroorzaakt is doordat NederWoon vermoedelijk in strijd heeft gehandeld met de Algemene verordening gegevensbescherming (hierna: Avg). De immateriële schade wordt daarbij begroot op € 575,-. NederWoon wordt verzocht dit bedrag binnen veertien dagen te voldoen.
3 De vordering en het verweer
[eisende partij] vordert dat de kantonrechter bij vonnis, uitvoerbaar bij voorraad, I. zal verklaren voor recht dat NederWoon onrechtmatig heeft gehandeld jegens [eisende partij] door inbreuk te maken op het recht op eerbiediging van de persoonlijke levenssfeer en het recht op bescherming van persoonsgegevens van [eisende partij] en/of in strijd te handelen met de Avg door het zonder grondslag verwerken van de persoonsgegevens van [eisende partij] en het treffen van passende technische en organisatorische maatregelen na te laten,II. indien noodzakelijk voor het wijzen van het vonnis, prejudiciële vragen zal stellen aan het Hof van Justitie van de Europese Unie over de betekenis en reikwijdte van het schadebegrip in de Avg en de begroting van de in dat kader eventueel toe te kennen (immateriële) schade,III. primair: NederWoon zal veroordelen om binnen veertien dagen aan [eisende partij] een schadevergoeding te betalen van € 500,00, dan wel een zodanig schadevergoeding als juist geacht wordt, te vermeerderen met de wettelijke rente daarover vanaf 30 april 2020 tot de dag van algeheel voldoening,subsidiair: NederWoon zal veroordelen tot het vergoeden van de door [eisende partij] geleden schade, op te maken bij staat en te vereffenen volgens de wet,IV. NederWoon zal veroordelen in de proceskosten, vermeerderd met de wettelijke rente en in de nakosten.
[eisende partij] stelt daartoe dat NederWoon in strijd met de Avg zijn persoonsgegevens te lang en onrechtmatig heeft verwerkt. Na de totstandkoming van de huurovereenkomst was er geen relevant doel meer voor het bewaren van deze gegevens. Ook heeft NederWoon geen passende technische en organisatorische maatregelen getroffen om de gegevens te beveiligen. Dit is in strijd met de artikelen 5, 6 en 32 van de Avg. [eisende partij] heeft na de hack daadwerkelijk meer phishingmails gekregen, wat aannemelijk maakt dat dit ten gevolge van de hack is geweest. Ook heeft hij te vrezen voor een misbruik van zijn persoonsgegevens, nu er zeer privacygevoelige informatie is gelekt, zoals een kopie paspoort. Dit leidt tot het ondervinden van distress.
NederWoon voert verweer en concludeert primair tot niet-ontvankelijk verklaring, althans afwijzing van de vorderingen, met veroordeling van [eisende partij] , uitvoerbaar bij voorraad, in de proceskosten, met wettelijke rente en nakosten, subsidiair, voor zover de verklaring voor recht toegewezen zal worden, tot vaststelling van de schadevergoeding op nihil, dan wel de zaak te verwijzen naar de schadestaatprocedure. NederWoon betwist met name dat sprake is van schending van de Avg of ander onrechtmatig handelen en betwist dat sprake is van schade bij [eisende partij] .
Op de stellingen en standpunten van partijen zal voor het overige hierna verder worden ingegaan, voor zover relevant voor de beoordeling van de vorderingen.