ECLI:NL:GHARL:2025:4556 - Gerechtshof Arnhem-Leeuwarden - 22 juli 2025

GERECHTSHOF ARNHEM-LEEUWARDEN

locatie Arnhem

afdeling civiel recht

zaaknummer gerechtshof 200.332.234 zaaknummer rechtbank 416554

arrest van 22 juli 2025

in de zaak van

[appellant] die woont in [woonplaats1] die hoger beroep heeft ingesteld hierna: [de koper] advocaat: mr. B.C. van Bekkum

tegen

[geïntimeerde] B.V. die is gevestigd in [vestigingsplaats] hierna: [het autobedrijf] (in vrouwelijk enkelvoud) advocaat: mr. S.J. Bruins Slot

1 Het verloop van de procedure in hoger beroep

1.1. In het arrest van 5 november 2024[1] (hierna: het tussenarrest) heeft het hof [het autobedrijf] de mogelijkheid geboden om bewijs te leveren dat haar e-mailaccount passend was beveiligd in de zin van de Algemene Verordening Gegevensbescherming (AVG)[2]. Daarop heeft [het autobedrijf] een akte bewijslevering overgelegd. Vervolgens heeft [de koper] met een antwoordakte op die akte gereageerd en heeft het hof arrest bepaald.

2 De kern van de zaak

2.1. [de koper] heeft een auto van [het autobedrijf] gekocht. Na een betaalinstructie vanuit het e-mailadres van [het autobedrijf] heeft [de koper] het grootste deel van de koopprijs betaald op een Duitse bankrekening. Achteraf bleek dat een derde (hierna: de hacker) via het e-mailaccount van [het autobedrijf] een valse betaalinstructie had gestuurd. [het autobedrijf] heeft het bedrag niet ontvangen en heeft geweigerd de auto aan [de koper] te leveren. [de koper] stelt dat hij schade heeft geleden, omdat [het autobedrijf] in strijd met de AVG onvoldoende beveiligingsmaatregelen heeft getroffen om haar e-mailaccount te beschermen, waardoor hij het restantbedrag voor de auto op een verkeerde bankrekening heeft gestort. Hij wil dat [het autobedrijf] dat bedrag betaalt als schadevergoeding samen met een bedrag voor de door hem geleden immateriële schade.

2.2. Het hof heeft in het tussenarrest geoordeeld dat [het autobedrijf] op grond van artikelen 5 lid 1 onder f, 24 en 32 AVG haar e-mailaccount waarop persoonsgegevens - zoals namen en (e-mail)adressen van haar klanten - worden verwerkt, passend moet beveiligen. Het is aan [het autobedrijf] om aan te tonen dat zij daarvoor passende maatregelen heeft getroffen (rechtsoverweging 3.22 tussenarrest). Omdat [het autobedrijf] dat nog niet had aangetoond, heeft het hof haar toegelaten om bewijs daarvan te leveren.

De uitkomst in dit arrest

2.3. Het hof is van oordeel dat [het autobedrijf] niet is geslaagd in haar bewijslevering en dat sprake is van een inbreuk op de AVG door [het autobedrijf] . Zoals aangekondigd in rechtsoverweging 3.30 van het tussenarrest zal het hof partijen de mogelijkheid bieden om zich uit te laten over de vraag of sprake is van ‘eigen schuld’ in de zin van artikel 6:101 BW aan de zijde van [de koper] , waardoor (een deel van) de gevorderde schade voor rekening van [de koper] zou moeten blijven.

3 De toelichting op de beslissing van het hof

Bewijslevering [het autobedrijf]

3.1. Het hof heeft [het autobedrijf] toegelaten te bewijzen dat haar e-mailaccount passend was beveiligd in de zin van artikelen 5 lid 1 onder f, 24 en 32 AVG. [het autobedrijf] heeft daartoe een akte bewijslevering met daarbij een ‘AVG nalevingsrapport’ van Secure !T Inside B.V. (hierna: het rapport) overgelegd. In dat rapport zijn een aantal onderzoeksvragen opgenomen “om te bepalen wat passende maatregelen zijn die het autobedrijf redelijkerwijs had kunnen nemen”. Vervolgens zijn de gegevens chronologisch weergegeven en worden onderzoeksresultaten vermeld. Tot slot worden twee publiek beschikbare rapporten besproken “om de genomen maatregelen in perspectief te kunnen brengen”.

3.2. Volgens [het autobedrijf] heeft zij aangetoond dat zij maatregelen heeft getroffen die in verhouding staan tot de algemene aard van de door haar verwerkte persoonsgegevens en tot de zeer beperkte risico’s voor de betrokkenen (haar klanten), in het licht van de beperkte omvang en inrichting van haar onderneming. Als belangrijkste maatregelen noemt [het autobedrijf] de beveiliging van haar ‘hardware’ en haar keuze om een ISO 27001 (internationale standaard voor informatiebeveiliging) -gecertificeerde ICT-dienstverlener in te schakelen voor haar ICT-omgeving.

3.3. Volgens [de koper] heeft [het autobedrijf] met haar akte en het rapport niet aangetoond dat het e-mailaccount van [het autobedrijf] passend was beveiligd in de zin van de AVG. Daarbij voert [de koper] onder meer aan dat [het autobedrijf] geen inzicht heeft gegeven in haar organisatorische maatregelen en dat de bevindingen in het rapport over de technische maatregelen onvolledig zijn.

Beveiligingsverplichtingen voor [het autobedrijf] onder de AVG

3.4. [het autobedrijf] moet als verwerkingsverantwoordelijke zorgen voor een passende beveiliging van de persoonsgegevens die zij verwerkt en moet kunnen aantonen dat zij aan deze verplichting heeft voldaan. Zij zal daarvoor die technische en organisatorische maatregelen moeten treffen die passen bij onder meer de aard, omvang en context van haar verwerking van persoonsgegevens en de risico’s voor de rechten en vrijheden van de betrokkenen (artikel 5, 24 en 32 AVG). In deze context speelt ook de aard en omvang van het bedrijf van [het autobedrijf] een rol.

3.5. In deze zaak gaat het om de beveiliging van de persoonsgegevens die [het autobedrijf] verwerkt via haar e-mailaccount. Vast staat dat via dat account in ieder geval namen en e-mailadressen van klanten worden verwerkt. Daarnaast verstuurt [het autobedrijf] facturen naar klanten waarop ook het adres van die klant staat vermeld. [de koper] heeft weliswaar ook kopieën van zijn paspoort, verblijfsvergunning en een uittreksel uit de gemeentelijke basisadministratie per e-mail naar [het autobedrijf] gestuurd, maar dat was op eigen initiatief en niet op verzoek van [het autobedrijf] . [het autobedrijf] heeft verklaard dat zij nooit per e-mail om dergelijke gegevens vraagt. Dat [het autobedrijf] ook normaal gesproken via haar e-mailaccount persoonsgegevens van ‘zeer gevoelige aard’ verwerkt, zoals [de koper] aanvoert, volgt niet uit de feiten. Het hof gaat er daarom vanuit dat via het e-mailaccount van [het autobedrijf] hoofdzakelijk namen en (e-mail)adressen van klanten worden verwerkt samen met de gegevens op de factuur, zoals de prijs en het kenteken van het voertuig dat deze klanten kopen of hebben gekocht. [het autobedrijf] moet op grond van de AVG dus die technische en organisatorische maatregelen treffen bij de beveiliging van haar e-mailaccount die passen bij de verwerking van dergelijke persoonsgegevens.

3.6. [het autobedrijf] heeft de inrichting en het beheer van haar e-mailaccount uitbesteed aan Autosociaal. Dat betekent dat Autosociaal in opdracht van [het autobedrijf] de persoonsgegevens op het e-mailaccount verwerkt en daarvoor kwalificeert als verwerker in de zin van de AVG. In artikel 32 AVG staan voorbeelden van maatregelen die zowel de verwerkingsverantwoordelijke (hier: [het autobedrijf] ) als de verwerker (hier: Autosociaal) moeten treffen voor zover die passend zijn voor de risico’s die betrokkenen, zoals de klanten van [het autobedrijf] , kunnen lopen bij onder meer ongeoorloofde toegang tot hun persoonsgegevens. Het is aan [het autobedrijf] om aan te tonen dat haar maatregelen samen met de maatregelen die Autosociaal heeft getroffen passend zijn voor de hiervoor genoemde gegevensverwerking via haar e-mailaccount.[3]

3.7. [het autobedrijf] mag op zichzelf vertrouwen op een ISO 27001-gecertificeerd bedrijf voor de beveiliging van haar e-mailaccount, maar ten opzichte van haar klanten, zoals [de koper] , blijft zij als verwerkingsverantwoordelijke verantwoordelijk voor de beveiligingsmaatregelen die Autosociaal als haar verwerker treft.[4] Dit betekent dat als Autosociaal niet de juiste maatregelen treft, [het autobedrijf] toch aansprakelijk is voor de schade die een klant daardoor lijdt. ( [het autobedrijf] had Autosociaal in vrijwaring kunnen dagvaarden om haar schade voor zover mogelijk af te kunnen wentelen, maar dat is hier niet gebeurd.) Dat is vergelijkbaar met een situatie waarbij [het autobedrijf] een externe monteur zou inschakelen om een auto te repareren voor een klant. Als die monteur een fout maakt, waardoor de klant schade lijdt, dan is [het autobedrijf] ook richting die klant in beginsel aansprakelijk voor de schade.

Niet bewezen dat de getroffen maatregelen passend zijn

3.8. Volgens [het autobedrijf] is het risico van de verwerking van persoonsgegevens via haar e-mailaccount zeer beperkt en spelen bij die verwerking ‘in het geheel geen risico’s voor de grondrechten en fundamentele vrijheden’ van haar klanten. Dat ziet het hof anders. Het gaat in artikel 24 lid 1 en 32 lid 1 AVG niet om grondrechten en fundamentele vrijheden, maar om de risico’s voor de rechten en vrijheden van natuurlijke personen in het algemeen. De gedachte achter de beveiligingsverplichtingen die de AVG oplegt, is dat bij de beoordeling daarvan aandacht wordt besteed aan de risico’s die kunnen leiden tot lichamelijke, materiële of immateriële schade voor betrokkenen.[5] Een mogelijk risico is identiteitsfraude. Als de naam, het e-mailadres en het huisadres van klanten van [het autobedrijf] in verkeerde handen vallen kan een kwaadwillende die gegevens misbruiken door bijvoorbeeld bestellingen te plaatsen bij webshops met betaling achteraf en op naam en met het factuuradres van deze klanten, maar met een ander e-mail- en afleveradres. Dan krijgen die klanten plotseling een aanmaning tot betaling voor producten die zij niet hebben besteld en niet hebben ontvangen. Dat kan grote (financiële) gevolgen hebben voor een klant. De technische en organisatorische maatregelen die [het autobedrijf] moet treffen moeten daarom onder meer gericht zijn op het voorkomen van onrechtmatige toegang tot die klantgegevens op haar e-mailaccount.

3.9. [het autobedrijf] noemt als technische maatregelen hoofdzakelijk het onderbrengen van haar e-mailaccount bij Autosociaal, volgens haar een toonaangevende ISO gecertificeerde ICT-dienstverlener in de branche. In een eerder door [het autobedrijf] overgelegde e-mail van Autosociaal over de genomen maatregelen ter beveiliging van het e-mailaccount van [het autobedrijf] staat onder meer: “3. Toegangscontrole en Monitoring: Autosociaal implementeert strikte toegangscontrolemechanismen en voert voortdurende monitoring uit om verdachte activiteiten te detecteren en te voorkomen. Dit helpt bij het identificeren van potentiële inbreuken en het nemen van proactieve maatregelen om de beveiliging te versterken.”

3.10. In het rapport staat bij onderzoeksresultaten (pag. 8): “Autosociaal zorgt ervoor dat alles 24/7 gemonitord wordt op o.a. het functioneren en security gerelateerde issues.” In de onderzoeksresultaten staat vervolgens “Door Autosociaal zijn er geen afwijkingen waargenomen voorafgaand aan het incident waarop het autobedrijf[ [het autobedrijf] , hof]mogelijk preventief maatregel had kunnen nemen.” Ook staat in de onderzoeksresultaten dat uit de ‘logfiles’ van Autosociaal blijkt dat tussen 27 en 29 juni 2022 een ‘brute force wachtwoordaanval’ heeft plaatsgevonden op het emailadres van [het autobedrijf] vanaf een IP-adres in Australië. De onderzoeker schrijft in het feitenrelaas van het rapport dat de hacker op 30 juni 2022 voor het eerst toegang heeft gekregen tot de e-mail van [het autobedrijf] vanaf een IP-adres in Duitsland. Voorafgaand aan deze eerste toegang zijn er geen foutieve inlogpogingen geweest, wat erop kan duiden dat de hacker het wachtwoord in bezit had bij deze eerste ongeoorloofde toegang tot het e-mailaccount van [het autobedrijf] , aldus de door [het autobedrijf] ingeschakelde onderzoeker.

3.11. In de hierboven weergegeven e-mail van Autosociaal en het rapport wordt weliswaar geschreven dát Autosociaal controlemechanismen heeft ingebouwd en ongeoorloofde toegang tot het e-mailaccount van [het autobedrijf] detecteert, maar hoe zij dat doet en welke maatregelen zij dan treft om ongeoorloofde toegang te voorkomen, is niet toegelicht en dat is precies wat het hof mist. In het rapport ontbreekt een onderbouwing waarom - ondanks die maatregelen - de ‘brute force wachtwoordaanval’ en de ongeoorloofde toegang van de hacker tot het e-mailaccount van [het autobedrijf] tussen 30 juni en 11 juli 2022 wel uit de ‘logfiles’ van Autosociaal volgen, maar op dat moment niet door haar zijn gedetecteerd. Daarnaast ontbreekt een nadere toelichting over het toen ingestelde wachtwoord. De onderzoeker schrijft dat het gebruik van een complex wachtwoord van minimaal 12 tekens een standaard instelling is die ‘door de systemen van de provider worden afgedwongen’. Wat het wachtwoord was op het moment van de eerste toegang door de hacker staat echter niet vermeld. Ook heeft de onderzoeker geen onderbouwd antwoord gegeven op de onderzoeksvraag of het passend is om de instelling en het beheer van het wachtwoord over te laten aan Autosociaal in plaats van het zodanig inregelen van het e-mailaccount dat [het autobedrijf] een eigen wachtwoord moet kiezen dat voldoet aan de genoemde standaardinstelling en waar alleen zij toegang toe heeft. Autosociaal en de onderzoeker geven geen toelichting op de vraag waarom het passend is dat Autosociaal bekend was met het wachtwoord van het e-mailaccount van [het autobedrijf] (zie ook rechtsoverweging 3.26 van het tussenarrest). Ook is niet toegelicht welke medewerkers van Autosociaal toegang hadden tot dat wachtwoord en hoe Autosociaal heeft geregeld dat haar medewerkers daar vertrouwelijk mee om gingen. Het is bovendien niet duidelijk hoe de genoemde maatregelen zich verhouden tot de ISO 27001-certificering van Autosociaal. Het certificaat is niet overgelegd en er is niet toegelicht op welke processen of systemen binnen Autosociaal deze certificering betrekking heeft. Dit brengt mee dat [het autobedrijf] niet heeft bewezen dat zij passende technische maatregelen heeft getroffen om haar e-mailaccount te beveiligen.

3.12. Datzelfde geldt voor de organisatorische maatregelen die [het autobedrijf] noemt en in het rapport vermeld staan. [het autobedrijf] heeft op de mondelinge behandeling bij het hof toegelicht dat haar eigenaar alleen zijn computer hoeft aan te zetten en vervolgens kan inloggen met een ‘voorgeprogrammeerd’ wachtwoord in het Microsoft account van [het autobedrijf] om in haar e-mailbox te komen.[6] In het rapport staat dat alleen medewerkers van [het autobedrijf] toegang hebben tot de computers van [het autobedrijf] . Welke (mondelinge) afspraken [het autobedrijf] met haar medewerkers daarover heeft gemaakt, heeft zij niet toegelicht. Ook stelt [het autobedrijf] dat zij het beleid voert om ‘niet (langer) ter zake doende e-mails’ direct te verwijderen, maar een toelichting waarom dat een passende maatregel is om de persoonsgegevens op haar e-mailaccount te beveiligen, ontbreekt.

Tussenconclusie

3.13. [het autobedrijf] heeft niet bewezen dat haar e-mailaccount passend was beveiligd in de zin van artikelen 5 lid 1 onder f, 24 en 32 AVG.

Verband tussen de inbreuk op de AVG en de schade

3.14. In rechtsoverwegingen 3.27 - 3.29 van het tussenarrest heeft het hof voorshands overwogen dat als [het autobedrijf] niet slaagt in de bewijslevering dat zij haar e-mailaccount passend heeft beveiligd, sprake is van een inbreuk op de AVG die aan haar is toe te rekenen. Het hof komt, mede aan de hand van de akte bewijslevering en het rapport van de onderzoeker van [het autobedrijf] , tot het definitieve oordeel dat deze inbreuk op de AVG aan [het autobedrijf] is toe te rekenen in de zin van artikel 82 lid 1 tot en met 3 AVG. Daarnaast heeft het hof in rechtsoverweging 3.27 van het tussenarrest geoordeeld dat [de koper] schade heeft geleden, omdat hij het restantbedrag voor de auto heeft betaald op basis van een betaalinstructie vanaf het e-mailadres van [het autobedrijf] zonder dat hij de auto heeft verkregen. [het autobedrijf] heeft onvoldoende onderbouwd dat het feit dat de hacker deze betaalinstructie heeft kunnen sturen vanaf haar e-mailaccount niet komt door een gebrek aan passende beveiligingsmaatregelen in de zin van de AVG. Er is daarom sprake van een causaal verband tussen genoemde inbreuk op de AVG en de schade die [de koper] heeft geleden.

Immateriële schade onvoldoende onderbouwd

3.15. [de koper] vordert primair niet alleen het door hem betaalde restantbedrag, maar ook een bedrag van € 5.000 aan immateriële schadevergoeding. Hij is in zijn persoon aangetast doordat derden de beschikking hebben gekregen over zijn bijzondere persoonsgegevens. Er is sprake van geestelijk letsel, waaronder stress, het verlies aan slaap, concentratieproblemen, angstklachten en een afname van sociale activiteiten. Zijn zorgen, emotionele verdriet en stress komen met name door het financiële verlies en het verlies van controle over zijn persoonsgegevens, waardoor hij vreest voor identiteitsfraude. Deze nadelige gevolgen liggen zo voor de hand dat een aantasting in de persoon als bedoeld in artikel 6:106 lid 1, onder b, BW kan worden aangenomen. De combinatie van paspoort, verblijfsvergunning en bankgegevens maakt het risico op (toekomstige) identiteits- en financiële fraude zeer reëel, aldus nog steeds [de koper] .

3.16. [de koper] heeft volgens [het autobedrijf] geen concrete objectieve gegevens overgelegd om geestelijk letsel te kunnen vaststellen. De aard en ernst van de schending van de AVG is niet zodanig dat de nadelige gevolgen zo voor de hand liggen dat een aantasting in de persoon kan worden aangenomen. De vrees voor identiteitsfraude is voorstelbaar, maar dat is niet concreet genoeg om te kunnen concluderen dat er sprake is van een persoonsaantasting, aldus [het autobedrijf] .

3.17. Het hof oordeelt als volgt. Artikel 82 AVG bepaalt dat ook immateriële schade voor vergoeding in aanmerking komt als sprake is van een inbreuk op de AVG. Immateriële schade moet ruim worden uitgelegd en de vrees voor mogelijk misbruik van persoonsgegevens kan daaronder vallen.[7] [de koper] zal daarvoor wel moeten bewijzen dat hij daadwerkelijk dergelijke schade heeft geleden, hoe miniem ook, waarbij een inbreuk op de AVG op zichzelf niet volstaat voor de toekenning van immateriële schadevergoeding. Zijn stelling dat hij vreest voor identiteitsfraude kan alleen aanleiding geven tot immateriële schadevergoeding op grond artikel 82 AVG als hij de negatieve gevolgen van die vrees aantoont.[8] Voor de concrete vaststelling van de schade gelden de nationale regels.[9] In Nederland is dat voor immateriële schadevergoeding artikel 6:106 lid 1, onder b, BW. [de koper] heeft zijn stellingen over onder meer zijn concentratieproblemen en angstklachten niet met concrete gegevens onderbouwd. De persoonsgegevens waar de hacker toegang toe heeft gekregen zijn weliswaar ruimer dan zijn naam- en adresgegevens, maar het zijn geen bijzondere persoonsgegevens in de zin van artikel 9 AVG, zoals gezondheidsgegevens. Om die reden is het hof van oordeel dat de in dit verband relevante nadelige gevolgen voor [de koper] niet zodanig voor de hand liggen, dat een aantasting in de persoon in de zin van artikel 6:106 lid 1, onder b, BW kan worden aangenomen.[10]

Eigen schuld [de koper] ?

3.18. Het hof heeft de stellingen van [het autobedrijf] dat het aan het handelen van [de koper] ligt dat hij het restant van de koopprijs op de verkeerde bankrekening heeft betaald als een beroep op eigen schuld in de zin van artikel 6:101 BW begrepen. Zoals aangekondigd in rechtsoverweging 3.30 van het tussenarrest zal het hof partijen de mogelijkheid bieden om zich daar nog over uit te laten.

De conclusie

3.19. [het autobedrijf] is niet geslaagd in de bewijslevering. Er is sprake van een inbreuk op de AVG door [het autobedrijf] , waardoor [de koper] materiële schade heeft geleden. Het hof biedt partijen de mogelijkheid om zich uit te laten over de vraag of sprake is van ‘eigen schuld’ in de zin van artikel 6:101 BW aan de zijde van [de koper] , waardoor (een deel van) de gevorderde materiële schade voor rekening van [de koper] zou moeten blijven. Omdat [het autobedrijf] een beroep op eigen schuld doet, zal zij eerst een akte mogen nemen. [de koper] mag daar vervolgens op antwoorden.

4 De beslissing

Het hof:

4.1. verwijst de zaak naar de roldatum van 19 augustus 2025 voor een akte van [het autobedrijf] zoals hiervoor omschreven in 3.19; en

4.2. houdt iedere verdere beslissing aan.

Dit arrest is gewezen door mrs. M.P.M. Hennekens, R.A. Dozy en P.E. Lucassen, en is door de rolraadsheer in tegenwoordigheid van de griffier in het openbaar uitgesproken op 22 juli 2025.

ECLI:NL:GHARL:2024:6812.

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG van 27 april 2016, PB 2016 L119/1.

Artikel 5 lid 2 en artikel 24 lid 1 AVG.

Zie artikel 5 lid 2 AVG, artikel 82 AVG en

Zie onder meer overwegingen 75 en 83 van de AVG.

Zie ook rechtsoverweging 3.25 van het tussenarrest.

Zie onder meer HvJ EU 20 juni 2024, ECLI:EU:C:2024:536, AT & BT/PS GbR e.a., punten 31-33; HvJ EU 11 april 2024, ECLI:EU:C:2024:288, juris, punt 42; HvJEU 25 januari 2024, ECLI:EU:C:2024:72, MediaMarkt, punt 66; HvJEU 14 december 2023, ECLI:EU:C:2023:986, VB/Natsionalna agentsia za prihodite, punt 82 en HvJ EU 4 mei 2023, ECLI:EU:C:2023:370, Österreichische Post, punten 46-51.

Zie onder meer HvJ EU 20 juni 2024, ECLI:EU:C:2024:536, AT & BT/PS GbR e.a., punten 34-36 en HvJEU 14 december 2023, ECLI:EU:C:2023:986, VB/Natsionalna agentsia za prihodite, punt 84.

Zie onder meer HvJ EU 20 juni 2024, ECLI:EU:C:2024:536, AT & BT/PS GbR e.a., punt 40.

Vergelijk HR 15 maart 2019, ECLI:NL:HR:2019:376, ro. 4.2.1.

Voetnoten