RECHTBANK GELDERLAND
Team kanton en handelsrecht
Zittingsplaats Apeldoorn
Zaakgegevens: 8500601 CV EXPL 20-1672
Grosse aan: mrs. Christianen en Wakker
Afschrift aan: mr. Klatt
Verzonden d.d.
vonnis d.d. 7 april 2021 van de kantonrechter
in de zaak van
[eisende partij] ,
wonende te [woonplaats] ,
eisende partij,
gemachtigde: mr. S.G. Klatt (PrivacyPunt B.V.),
tegen
de besloten vennootschap NederWoon Verhuurmakelaars B.V.,
gevestigd te Apeldoorn,
gedaagde partij,
gemachtigde: mrs. K. Christianen en S.Y. Wakker.
Partijen worden hierna [eisende partij] en NederWoon genoemd.
1De procedure
1.1
Het verloop van de procedure blijkt uit:
- het vonnis van 18 november 2020 en de daarin genoemde processtukken,
- de conclusie van antwoord, tevens akte overlegging producties van de zijde van NederWoon,
- het tussenvonnis van 13 januari 2021, waarin een mondelinge behandeling is bepaald,
- de akte overlegging en uitlating producties van de zijde van [eisende partij] ,
- de mondelinge behandeling van de zaak op 8 maart 2021, waarvan aantekening is gehouden door de griffier.
1.2
Hierna is vonnis bepaald.
2De feiten
2.1.
[eisende partij] heeft zich op 8 december 2017 als woningzoekende ingeschreven bij NederWoon. Daarbij heeft hij een gebruikersaccount aangemaakt op de website van NederWoon. [eisende partij] heeft daarbij onder andere persoonsgegevens verstrekt, zoals een kopie paspoort, loonstroken en bankafschriften.
2.2. In december 2017 hanteerde NederWoon een Privacy Statement, waarin onder ander stond beschreven:
“(…) Indien u als woningzoekende geïnteresseerd bent in het aanbod van een woning die wij publiceren dan dient u een account aan te maken. (…)Wij verwerken alleen gegevens die u zelf aan ons verstrekt en die voor de verhuurder noodzakelijk zijn om te bepalen of u een geschikte kandidaat bent. (…)
Welke persoonsgegevens leggen wij vast?
Wij leggen de volgende gegevens van u vast:
• Naam/Voorletters/Tussenvoegsels
• Geslacht
• Adres/Postcode/Woonplaats
• Geboortedatum/Geboorteplaats
• Telefoonnummers
• E-mailadres
• Kopie legitimatiebewijs *
• Gegevens over werk en inkomen
• Verhuurdersverklaring
* Kopie legitimatiebewijs
Bij het aangaan van de huurovereenkomst is uw identiteit gecontroleerd met een kopie van uw ID.
Deze kopie maakt onderdeel uit van uw huurovereenkomst. Wij accepteren alleen een kopie ID
waarop het BSN is afgeschermd.
Op het moment dat u definitief mag huren vragen wij de volgende aanvullende gegevens: (…)
Gebruikersaccount
Iedere woningzoekende heeft een gebruikersaccount via www.nederwoon.nl
Het staat u als woningzoekende vrij om zelf te bepalen welke gegevens u hierin wilt uploaden. Indien
het account te onvolledig is om te bepalen of u voor een woning in aanmerking komt, dan ontvangt u
hierover bericht op het moment dat u uw interesse toont in een specifieke woning.
Het gebruikersaccount kunt u te allen tijde anonimiseren of stopzetten. Dit doet u door in te loggen
en onder ‘instellingen’ te klikken op ‘anonimiseer account’. Uw verzoek wordt binnen 2 werkdagen
opgepakt en verwerkt. Bij het anonimiseren vervallen al uw gegevens inclusief naam en e-mailadres.
(…)
Indien er een huurovereenkomst tot stand komt blijven de gegevens gedurende 12 maanden
zichtbaar. Dit is nodig voor het uitvoeren van de afspraken uit de huurovereenkomst.(…) Bewaartermijn
NederWoon Verhuurmakelaars bewaart uw persoonsgegevens gedurende de periode dat uw
account actief bij ons is. Na beëindiging van de gebruikersaccount verwijderen we na 12 maanden de
persoonlijke gegevens m.u.v. naam en e-mailadres.
Indien u verzoekt om uw account te anonimiseren zullen wij de persoonsgegevens inclusief naam en
e-mailadres direct verwijderen.(…)
Wij hebben passende technische en organisatorische maatregelen genomen om persoonsgegevens
van u te beschermen tegen onrechtmatige verwerking, zo hebben we de volgende maatregelen
genomen;
• Onze website wordt gehost door een extern ICT bedrijf
• Het onderhoud aan de server en webapplicatie is uitbesteed
• Op ons kantoor wordt gebruik gemaakt van een beveiligd systeem. Medewerkers kunnen
hierin alleen op inloggen met verschillende wachtwoorden en beveiligingscodes.
• De website en de Backoffice van NederWoon maken gebruik van een beveiligde
internetverbinding te herkennen aan het slotje in het webadres
• Medewerkers van NederWoon tekenen voor geheimhouding (…)”.
2.2.
In mei 2019 is het computersysteem van NederWoon gehackt. De hacker is opgepakt en bij vonnis van de Rechtbank Overijssel van 24 december 2019 (ECLI:NL:RBOVE:2019:4909) veroordeeld. In het strafvonnis is als bewezenverklaring onder meer te lezen - waarbij NederWoon is aangeduid als ‘bedrijf 1’- :
“hij in de periode van 15 mei 2019 tot en met 20 mei 2019 te Arnhem en/of Zwolle, opzettelijk en wederrechtelijk in een gedeelte van een geautomatiseerd werk, te weten de webserver van en de login pagina van de internetpagina van "www. [bedrijf 1] .nl" is binnengedrongen door het doorbreken van een beveiliging/ door een technische ingreep, immers heeft verdachte - middels het uploaden van PHP codes, welke codes vervolgens webshells (R57.php, WS07.php, K5CNpEZB.php en/of adminer.php) hebben aangemaakt, waardoor toegang en controle is verkregen tot de webserver en website van [bedrijf 1] en hij vervolgens de gegevens die zijn opgeslagen, worden verwerkt of worden overgedragen door middel van voornoemd geautomatiseerd werk waarin hij zich wederrechtelijk bevond voor zichzelf heeft overgenomen, afgetapt en opgenomen (te weten door het exporteren van één of meer gegevens vanuit die website (waaronder emailadressen, bankgegevens, kopieën van identiteitsbewijzen) naar zijn, verdachtes, computer en door de toegang tot die website te blokkeren”.
Verder is in het strafvonnis te lezen:
(…) Voor een bewezenverklaring van (een poging tot) afpersing in de zin van artikel 317, lid 2 Sr, is vereist dat verdachte dwang heeft uitgeoefend door te dreigen dat hij de gegevens die hij door middel van een geautomatiseerd werk heeft opgeslagen, onbruikbaar of ontoegankelijk zal maken of zal wissen. De rechtbank overweegt dat verdachte weliswaar heeft gedreigd met het openbaar maken van de gegevens dan wel het verkopen van de gegevens aan criminelen, maar verdachte niet heeft gedreigd met het onbruikbaar maken, ontoegankelijk maken of wissen van de gegevens.
(…) Op 24 mei 2019 heeft [aangever 1] namens [bedrijf 1] aangifte gedaan van computer-vredebreuk. Op maandag 20 mei 2019 werd door de werknemers van [bedrijf 1] ontdekt dat er niet kon worden ingelogd op de website van [bedrijf 1] . De applicatiebeheerder bevestigde dat alle data van de server waren verwijderd. Later die dag ontving [bedrijf 1] een mail van e-mailadres [e-mailadres] met daarin een boodschap van iemand die schreef dat hij de website van [bedrijf 1] had gehackt en dat hij 10 GB aan data met onder andere ID’s, werkgeversverklaringen en bankafschriften had verwijderd van de website. Als bewijs werd een RAR-bestand met daarop data van [bedrijf 1] meegestuurd. Uit onderzoek bleek dat de hack is verricht door het plaatsen van kwaadaardige programmatuur. De hacker heeft PHP-bestanden geüpload, waardoor een webshellprogramma op de webserver is geplaatst. Door het webshellprogramma heeft de hacker via de website remote toegang tot de server gekregen en kreeg daarmee de volledige controle over de server. De hacker heeft privacygevoelige gegevens gedownload en van de server verwijderd. Korte tijd na de hack heeft [bedrijf 1] 4 emails ontvangen, waarin werd gedreigd de privacygevoelige data van [bedrijf 1] openbaar te maken, dan wel te verstrekken aan criminelen, als [bedrijf 1] niet binnen 72 uur een bedrag van € 10.000,00 aan bitcoins zou betalen.(…) Bij de doorzoeking van het huis van verdachte, [adres 2] te Arnhem is een groot aantal goederen onder verdachte in beslag genomen, waaronder een grote hoeveelheid simkaarten, laptops, telefoons en andere digitale gegevensdragers. De in beslag genomen apparatuur komt overeen met de modus operandi van de hack.(…)
Verdachte heeft zich schuldig gemaakt aan computervredebreuk. Hij heeft zich zonder toestemming van rechthebbende de toegang verschaft tot de webserver en website van [bedrijf 1] en daar digitale gegevens gemanipuleerd en gedownload. Door zo te handelen heeft verdachte niet alleen [bedrijf 1] gedupeerd, maar ook ongeveer 18.500 klanten van [bedrijf 1] , die bang moeten zijn dat hun privégegevens op straat komen te liggen of zullen worden gebruikt voor criminele doeleinden. Verdachte heeft zijn kennis van de digitale wereld misbruikt en daarmee het vertrouwen dat iedereen moet hebben in het gebruik van interne systemen en het internet geschaad.”.
De inbeslaggenomen gegevensdragers zijn onttrokken aan het verkeer.
2.3.
Bij e-mailbericht van 23 mei 2019 heeft NederWoon aan [eisende partij] geschreven:
“(…) U heeft in het verleden contact gehad met NederWoon via onze website www.nederwoon.nl.
Helaas zijn wij geconfronteerd met een hacker die in (een deel van) ons beveiligde website heeft
kunnen doordringen. Conform de privacywetgeving informeren wij u hierbij over dit datalek.
Wat is er gebeurd?
Een onbevoegd persoon is binnengedrongen in onze website. Na een eerste onderzoek blijkt dat dit
binnendringen beperkt is gebleven tot het deel waar gegevens van woningzoekenden staan. We
onderzoeken de hack nog verder, om zo nog preciezer in beeld te krijgen wat er is gebeurd. Van deze
hack hebben wij direct aangifte gedaan bij de politie.
Welke gegevens zijn gelekt?
De gelekte gegevens betreffen de gegevens over de periode 2017 t/m 2019 die u destijds zelf heeft
ingevuld of heeft geupload via onze website www.nederwoon.nl. We weten niet precies welke
gegevens van u dit betreft. De volgende invulvelden kunnen destijds door u zijn ingevuld:
Naam, adres, woonplaats, telefoonnummer(s) en mailadres(sen);Door u geuploade gegevens en
documenten zoals bijvoorbeeld uw identiteitsbewijs (waarop mogelijk uw BSN nummer staat),
werkgeversverklaring e.d.
Wat zijn de mogelijke gevolgen van dit datalek?
Mogelijk ontvangt u zogeheten ‘phishing mails’. Via dergelijke mails wordt geprobeerd om
zogenaamd uit naam van NederWoon uw (financiële) gegevens afhandig te maken. Veelal gebeurt dit
via ‘links’ waarop u kunt klikken.
(…)
Op dit moment hebben wij nog geen signalen dat eventueel op andere wijze(n) misbruik gemaakt
wordt of zal worden van uw gegevens. Mochten wij alsnog die signalen krijgen, dan zullen we u
nader informeren.
Welke maatregelen hebben wij genomen?
Wij hebben inmiddels een nieuwe server opgezet. Daarbij hebben wij aanvullende technische
maatregelen genomen om de gegevens van woningzoekenden en bestaande klanten extra te
beveiligen.(…)”.
2.4.
Bij e-mail van 15 juli 2019 heeft PrivacyPunt, namens [eisende partij] , NederWoon aansprakelijk gesteld voor de schade die veroorzaakt is doordat NederWoon vermoedelijk in strijd heeft gehandeld met de Algemene verordening gegevensbescherming (hierna: Avg). De immateriële schade wordt daarbij begroot op € 575,-. NederWoon wordt verzocht dit bedrag binnen veertien dagen te voldoen.
3De vordering en het verweer
3.1
[eisende partij] vordert dat de kantonrechter bij vonnis, uitvoerbaar bij voorraad,
I. zal verklaren voor recht dat NederWoon onrechtmatig heeft gehandeld jegens [eisende partij] door inbreuk te maken op het recht op eerbiediging van de persoonlijke levenssfeer en het recht op bescherming van persoonsgegevens van [eisende partij] en/of in strijd te handelen met de Avg door het zonder grondslag verwerken van de persoonsgegevens van [eisende partij] en het treffen van passende technische en organisatorische maatregelen na te laten,
II. indien noodzakelijk voor het wijzen van het vonnis, prejudiciële vragen zal stellen aan het Hof van Justitie van de Europese Unie over de betekenis en reikwijdte van het schadebegrip in de Avg en de begroting van de in dat kader eventueel toe te kennen (immateriële) schade,
III. primair: NederWoon zal veroordelen om binnen veertien dagen aan [eisende partij] een schadevergoeding te betalen van € 500,00, dan wel een zodanig schadevergoeding als juist geacht wordt, te vermeerderen met de wettelijke rente daarover vanaf 30 april 2020 tot de dag van algeheel voldoening,
subsidiair: NederWoon zal veroordelen tot het vergoeden van de door [eisende partij] geleden schade, op te maken bij staat en te vereffenen volgens de wet,
IV. NederWoon zal veroordelen in de proceskosten, vermeerderd met de wettelijke rente en in de nakosten.
3.2.
[eisende partij] stelt daartoe dat NederWoon in strijd met de Avg zijn persoonsgegevens te lang en onrechtmatig heeft verwerkt. Na de totstandkoming van de huurovereenkomst was er geen relevant doel meer voor het bewaren van deze gegevens. Ook heeft NederWoon geen passende technische en organisatorische maatregelen getroffen om de gegevens te beveiligen. Dit is in strijd met de artikelen 5, 6 en 32 van de Avg. [eisende partij] heeft na de hack daadwerkelijk meer phishingmails gekregen, wat aannemelijk maakt dat dit ten gevolge van de hack is geweest. Ook heeft hij te vrezen voor een misbruik van zijn persoonsgegevens, nu er zeer privacygevoelige informatie is gelekt, zoals een kopie paspoort. Dit leidt tot het ondervinden van distress.
3.3.
NederWoon voert verweer en concludeert primair tot niet-ontvankelijk verklaring, althans afwijzing van de vorderingen, met veroordeling van [eisende partij] , uitvoerbaar bij voorraad, in de proceskosten, met wettelijke rente en nakosten, subsidiair, voor zover de verklaring voor recht toegewezen zal worden, tot vaststelling van de schadevergoeding op nihil, dan wel de zaak te verwijzen naar de schadestaatprocedure. NederWoon betwist met name dat sprake is van schending van de Avg of ander onrechtmatig handelen en betwist dat sprake is van schade bij [eisende partij] .
3.4.
Op de stellingen en standpunten van partijen zal voor het overige hierna verder worden ingegaan, voor zover relevant voor de beoordeling van de vorderingen.
4De beoordeling
4.1
De Avg is in mei 2016 in werking getreden. Organisaties kregen tot 25 mei 2018 de tijd om hun bedrijfsvoering met de Avg in overeenstemming te brengen. Ten tijde van de inschrijving van [eisende partij] bij NederWoon kon het dus voorkomen dat de verwerking van persoonsgegevens door NederWoon niet geheel in overeenstemming was met de Avg. Uiteraard had NederWoon wel de plicht om dit uiterlijk 24 mei 2018 in orde te brengen.
NederWoon stelt onbetwist dat [eisende partij] , om zich te registreren als woningzoekende, bij het aanmaken van een gebruikersaccount onder andere heeft moeten ‘aanvinken’ dat hij akkoord ging met het verwerken van zijn persoonsgegevens en met het Privacy Statement. Hij heeft daarbij het onder 2.2. genoemde Privacy Statement ook kunnen inzien.
4.2.
Artikel 5 van de Avg bepaalt onder andere dat persoonsgegevens moeten worden verwerkt op rechtmatige, behoorlijke en transparante wijze en niet langer mogen worden
bewaard dan noodzakelijk is. Ook moeten de gegevens ‘door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging’.
4.3.
Nu [eisende partij] stelt dat NederWoon in strijd heeft gehandeld met artikel 5 Avg is en NederWoon dit gemotiveerd betwist, is het aan [eisende partij] om te onderbouwen en - zo nodig - te bewijzen dat hiervan sprake is. Anders dan [eisende partij] meent, kan uit het enkele feit dat een hacker er in is geslaagd bij de persoonsgegevens te komen, nog niet worden afgeleid dat NederWoon in strijd heeft gehandeld met artikel 5 Avg. Immers, ook bij de meest optimale beveiliging zal helaas niet volledig uit te sluiten zijn dat technisch (zeer) bekwame kwaadwillenden zich toegang verschaffen.
4.4. Bij een vordering tot verkrijging van een verklaring voor recht is het uitgangspunt dat daarbij belang moet bestaan. Voor dat belang is noodzakelijk dat, degene die de verklaring vordert, daarbij baat heeft en de wederpartij erdoor gebonden wordt. Het belang kan gelegen zijn in een schadevergoeding die wordt gevorderd. Daarvoor moet echter wel vast staan, dat er ook schade geleden is, die voor vergoeding in aanmerking komt.
4.5.
[eisende partij] stelt dat hij immateriële schade geleden heeft en vordert daarvoor een schadevergoeding van € 500,-, althans een verwijzing naar de schadestaatprocedure.
Hij stelt dat bij schendingen van de Avg een ruime interpretatie gegeven moet worden aan het begrip ‘schade’ en dat ook de toekenning van een vergoeding voor immateriële schade niet beperkt wordt door artikel 6:106 BW, maar dat de Avg hiervoor een zelfstandige grondslag biedt.
Wat daarvan ook zij, ook wanneer [eisende partij] hierin zou moeten worden gevolgd, is het aan hem om te stellen en voldoende te onderbouwen dat er daadwerkelijk (immaterële) schade geleden is. Anders dan [eisende partij] kennelijk meent, is het geen automatisme dat een schending van de Avg leidt tot (immateriële) schade en dus tot schadevergoeding. NederWoon verwijst in dit verband terecht naar het arrest van de Hoge Raad van 15 maart 2019 (ECLI:NL:
HR:2019:376). De enkele stelling dat sprake is geweest van ‘distress’ is onvoldoende als geen onderbouwing wordt gegeven waaruit blijkt dat [eisende partij] hier concreet last van heeft gehad of hoe die ‘distress’ zich bij hem heeft geuit. Niet gebleken is dat [eisende partij] bijvoorbeeld meteen na ontvangst van de brief van NederWoon vragen heeft gesteld of op andere wijze heeft laten merken bezorgd te zijn. Ook andere uitingen van onbehagen zijn gesteld noch gebleken.
4.6.
Anders dan in de door [eisende partij] genoemde voorbeelden uit de jurisprudentie waarbij een vergoeding voor immateriële schade is toegekend, is niet gebleken dat daadwerkelijk misbruik gemaakt is van de gegevens die bij de hack zijn betrokken. Integendeel, uit het strafvonnis blijkt, zoals NederWoon ook aanvoert, dat de hacker de persoonsgegevens juist (nog) niet aan derden had verkocht of overgedragen, terwijl alle gegevensdragers die in beslag zijn genomen aan het verkeer zijn onttrokken, zodat de kans dat de gegevens alsnog in verkeerde handen komen nihil is.
4.7.
Nu [eisende partij] de gestelde schade niet heeft onderbouwd en dus om die reden al geen toewijzing kan volgen van de vorderingen, kan in het midden blijven of sprake is geweest van een schending van de Avg op de door [eisende partij] gestelde wijze.
4.8.
[eisende partij] zal als de in het ongelijk gestelde partij worden veroordeeld in de proceskosten, die aan de zijde van NederWoon tot en met vandaag worden vastgesteld op
€ 166,00 aan salaris van de gemachtigde. De hierover gevorderde rentevergoeding is eveneens toewijsbaar.
5
5. Beslissing
De kantonrechter:
5.1.
wijst de vorderingen af,
5.2.
veroordeelt [eisende partij] in de proceskosten, die aan de zijde van NederWoon tot en met vandaag worden vastgesteld op € 166,00 aan salaris van de gemachtigde, te vermeerderen met de wettelijke rente indien betaling niet binnen veertien dagen na betekening van het vonnis is voldaan,
5.3.
verklaart dit vonnis ten aanzien van de veroordeling uitvoerbaar bij voorraad.
Dit vonnis is gewezen door mr. M. Engelbert-Clarenbeek en uitgesproken op de openbare zitting van 7 april 2021 in aanwezigheid van de griffier.
