Een Engelstalige klant koopt een auto bij een autobedrijf. Per Engelstalige e-mail ontvangt de klant de factuur waarin om een aanbetaling van € 1000,00 wordt verzocht op de Nederlandse bankrekening van het autobedrijf. Partijen spreken per e-mail een afleverdatum en tijdstip af.

Daarop ontvangt de klant per Engelstalige e-mail het verzoek om het resterende gedeelte van de koopsom over te boeken naar een IBAN beginnend met DE. Een Duitse bankrekening dus. De klant maakt per direct bijna € 27.000,00 over en mailt een screenshot van de betaling. Wanneer de klant voor de aflevering arriveert zegt de verkoper dat de betaling nog niet is ontvangen en er dus geen aflevering kan plaatsvinden.

Partijen komen al snel tot de ontdekking dat het e-mailaccount van het autobedrijf is gehackt. De hacker heeft ingelogd in het account en nam als het ware het mailverkeer met de klant van het autobedrijf over. Zo volgde de geraffineerde instructie van de hacker om het restbedrag over te boeken naar een Duitse bankrekening. € 27.000,00 weg en geen auto voor de klant.
De klant stelt het autobedrijf aansprakelijk voor alle schade, wegens schending van de AVG. Hij vindt dat het autobedrijf onvoldoende heeft gedaan om zijn persoonsgegevens te beschermen en dat hij daardoor schade heeft geleden.

Het gaat hier om digitale factuurfraude, waarbij de identiteit van het autobedrijf is misbruikt om de klant een bedrag te laten betalen op een bankrekening die niet toebehoort aan het autobedrijf. Volgens de hoofdregel is het autobedrijf daarvoor niet aansprakelijk. De betaalinstructie is immers niet van het autobedrijf afkomstig, maar van een kwaadwillende derde, de hacker.

Op hoofdregels bestaan uitzonderingen. In dit geval kan het van belang zijn of het autobedrijf adequate voorzorgsmaatregelen heeft getroffen om te voorkomen dat iemand anders in staat is om zich voor te doen als het autobedrijf. De rechtbank oordeelt dat de door de klant voor echt gehouden betaalinstructie niet kan worden toegerekend aan het autobedrijf.1 De klant had op zijn minst aan de bel moet trekken bij het autobedrijf waarom de betaling zonder toelichting opeens moest plaatsvinden op een Duitse bankrekening.

De klant gaat in hoger beroep bij het gerechtshof. Het gerechtshof is kritischer: had het autobedrijf het e-mailaccount voldoende beveiligd? Het account werd beheerd en gehost door een derde, zodat tussen autobedrijf en deze partij een verwerkersovereenkomst bestaat. Het gerechtshof geeft het autobedrijf de mogelijkheid om te bewijzen dat zij in overeenstemming met de AVG het e-mailaccount, waarop persoonsgegevens worden verwerkt, passend heeft beveiligd.2

Het autobedrijf schakelt een deskundige in. Het aan het gerechtshof overgelegde rapport gaat voornamelijk in op de gang van zaken en hoe de ‘wachtwoordaanval’ heeft plaatsgevonden. Het gerechtshof mist in het rapport welke maatregelen zijn genomen om een dergelijke hack te voorkomen.

Niet duidelijk is hoeveel medewerkers toegang hadden tot het wachtwoord. Ook is niet bekend waarom het wachtwoord automatisch werd ververst door de provider en niet door het autobedrijf zelf. Het autobedrijf zegt te voldoen aan de ISO 27001-certificering van de provider, maar een certificaat wordt niet overgelegd.

Het gerechtshof oordeelt dat het autobedrijf niet heeft bewezen dat het e-mailaccount passend was beveiligd in de zin van de AVG.3 Ook oordeelt het gerechtshof dat er sprake is van een causaal verband tussen de schade die de koper heeft geleden en de inbreuk op de AVG-bepalingen door het autobedrijf. Het autobedrijf is dus aansprakelijk voor de schade maar doet een beroep op ‘eigen schuld’ aan de zijde van de klant. Partijen mogen zich daar nog over uitlaten. Hopelijk voor het autobedrijf verdeelt het gerechtshof de schade tussen partijen. De strijd is nog niet gestreden.

Hackers gaan ondertussen gestaag door. Neem uw ICT-beveiliging nog eens door met uw leveranciers. Hoe vaak worden wachtwoorden gewijzigd? Door wie? Een al te lichtaardige omgang met de toegang tot uw systemen kan een hoop schade veroorzaken. Zo komt de AVG ineens heel vervelend dichtbij.