Criminelen betalen graag voor persoonlijke gegevens. Zo kan ook jouw naam, adres of bankrekeningnummer in verkeerde handen vallen. Dat begint bij een datalek, bijvoorbeeld na een hack. Of omdat een medewerker slordig met jouw gegevens omgaat. Kun je een schadevergoeding krijgen als een bedrijf, overheidsinstelling of andere organisatie de controle over jouw gegevens verliest?

Terwijl criminelen geld verdienen door jouw persoonlijke gegevens te verkopen of misbruiken, is het voor slachtoffers van datalekken in de praktijk lastig om financiële compensatie te krijgen.

"Het is een moeilijk verhaal", zegt Tim Walree, die in juni op dit onderwerp promoveerde aan de Radboud Universiteit. Dat komt doordat het moeilijk is om in de rechtbank de daadwerkelijk geleden schade te bewijzen.

"Een datalek leidt in de meeste gevallen niet direct tot aantoonbare, concrete schade die je in een geldbedrag kunt uitdrukken", aldus Walree. "Als je een vergoeding wil, moet je concrete gegevens aanleveren waarmee je immateriële schade aantoont. Dat is heel moeilijk."

"Een datalek zorgt in eerste instantie vaak alleen voor frustratie, ergernis of onzekerheid. Die gevoelens zijn legitiem, maar komen meestal niet voor een schadevergoeding in aanmerking. Pas als het om heel gevoelige persoonlijke informatie gaat, zoals medische gegevens, kan een rechter meegaander zijn."

Slachtoffers zien daadwerkelijke schade ook niet altijd terug

Ook als het niet bij een datalek blijft en een crimineel jouw persoonlijke gegevens gebruikt om je op te lichten, kan het lastig zijn om de daadwerkelijk geleden schade vergoed te krijgen.

Als je geld overmaakt naar een oplichter die zich via WhatsApp voordoet als je kind, ben je dat bedrag meestal kwijt. Maar krijg je zogenaamd een e-mail van je bank waarmee een crimineel zich uiteindelijk toegang verschaft tot je bankrekening, dan wil de bank je nog weleens compenseren.

"Banken zijn in de regel alleen verplicht de schade te vergoeden als de crimineel van jouw bankomgeving geld overmaakt", legt Jelle Wijkstra van de Nederlandse Vereniging van Banken (NVB) uit. "Als je zelf geld overboekt naar een oplichter, vergoedt de bank dat in de meeste gevallen niet."

Dat betekent dat compensatie na misbruik van persoonlijke gegevens uit datalekken vaak uitblijft, ziet Jildau Borwell. Zij onderzoekt de impact van cybercrime op slachtoffers bij de Open Universiteit.

"Het is een extra dreun als de bank zegt dat zij het niet vergoeden", zegt ze. "Terwijl de emotionele gevolgen van criminaliteit kleiner zijn als dat wel gebeurt."

Als slachtoffer aankloppen bij de organisatie die jouw telefoonnummer of e-mailadres in eerste instantie lekte, heeft volgens Walree ook weinig kans van slagen. "Stel, je bent opgelicht en denkt dat het te maken heeft met een datalek van anderhalf jaar geleden. Probeer dat verband dan maar eens aan te tonen. Dat is heel moeilijk, maar wel noodzakelijk als je voor een schadevergoeding in aanmerking wil komen."

Schadevergoeding claimen in de toekomst wellicht makkelijker

Omdat het moeilijk is om schade te verhalen op een partij die jouw gegevens lekt, komen veel organisaties na een datalek ongestraft weg. "De Autoriteit Persoonsgegevens kan als toezichthouder onmogelijk op alle datalekken handhaven", zegt Walree. "Maar je wil wel een stok om mee te slaan."

Hij pleit er daarom voor dat rechters makkelijker een schadevergoeding toekennen als gegevens op straat belanden. Daarvoor kijkt hij uit naar toekomstige uitspraken van het Hof van Justitie van de Europese Unie.

"Oostenrijkse rechters hebben het Hof gevraagd of een datalek op zichzelf al kan leiden tot een schadevergoeding. Dus ook als het niet per se concrete gevolgen heeft gehad."

"Het kan de deur voor veel schadeclaims opendoen of juist dichtgooien als het Hof daar een duidelijk antwoord op geeft. Dat zou een kantelpunt zijn in het claimen van een schadevergoeding als een organisatie nalatig is geweest."

De onderzoeker durft niet te voorspellen hoe het Hof zal redeneren. Vermoedelijk duurt het nog enige tijd voor het antwoord duidelijk is. De zaak is in mei ingediend en het Hof heeft meestal maanden nodig om tot een oordeel te komen.