AVG Compliance: Hoe één e-mail een autodealer €27.000 kost
Wat hebben persoonsgegevens, e-mailbeveiliging en het verkopen van auto’s met elkaar gemeen? Wellicht meer dan zou je denken. Dat blijkt uit een recente uitspraak van het Gerechtshof Arnhem-Leeuwarden. Een autodealer stevent af op flinke financiële en reputatieschade, simpelweg omdat het niet duidelijk is of hun e-mailaccount wel goed genoeg beveiligd was volgens de AVG.
Wat ging er mis? Een klant uit Australië kocht een auto bij een Nederlandse dealer en betaalde, na een instructie per e-mail, het resterende bedrag van €26.900 op een Duits rekeningnummer. De e-mail kwam écht van het e-mailadres van de dealer, maar bleek achteraf verzonden door een hacker die toegang had gekregen tot het account van de autodealer. Resultaat: de klant betaalde, het autobedrijf ontving niets, en leverde uiteindelijk ook de auto niet. Dat levert niet alleen een flinke deuk in de reputatie van de autodealer op, maar waarschijnlijk ook aanzienlijke financië schade. Artikel 82 van de AVG bepaalt namelijk dat elke persoon recht heeft op vergoeding van materiële of immateriële schade die is geleden als gevolg van een inbreuk op de AVG. In dit geval stelt de opgelichte koper dat het autobedrijf onvoldoende beveiligingsmaatregelen heeft genomen om zijn persoonsgegevens te beveiligen.
Het Hof stelde vast dat het aan het autobedrijf is om bewijzen dat zij haar e-mailaccount passend had beveiligd conform de AVG. Lukt dat niet? Dan wordt het autobedrijf aansprakelijk gesteld voor de volledige schade. Dit maakt één ding duidelijk: AVG compliance is geen papieren tijger, maar kan heel concreet het verschil betekenen tussen betalen of niet betalen.
Wat betekent dit voor jou als ondernemer? Je bent volgens de AVG verplicht om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beschermen. Denk hierbij aan sterke wachtwoorden, twee-factor-authenticatie en bewustwordingstraining voor personeel. Maar nóg belangrijker: je moet kunnen aantonen dat je deze maatregelen daadwerkelijk hebt getroffen. Doe je dit niet, dan kun je bij een incident geconfronteerd worden met aansprakelijkheid voor aanzienlijke schadevergoedingen.
Hoe is de zaak afgelopen? Het Hof heeft de autodealer de gelegenheid gegeven om alsnog aan te tonen dat het haar technische en organisatorische beveiligingsmaatregelen ten tijden van de hack op orde had. Het ziet er echter niet goed uit, omdat het bedrijf tot nog toe niet heeft kunnen aantonen dat het haar register van verwerkingen en beveiligingsmaatregelen op orde had. Daarbij mag het dit natuurlijk niet ‘met terugwerkende kracht’ in orde brengen: het moet aantonen dat het ten tijde van de hack haar zaakjes op orde had.
Bij Blueline Privacy willen we organisaties helpen om dit soort vervelende situaties te voorkomen. Daarom hebben wij Blueline+ ontwikkeld: hiermee kunnen organisaties alle eisen van onder andere de AVG en NIS2 implementeren, en minstens net zo belangrijk: aantonen dat ze dit hebben gedaan. Zo voorkom je niet alleen problemen, maar toon je ook aan dat je persoonsgegevens serieus neemt. En in het geval van een geschil sta jij sterk, in plaats van onzeker.
Afbeelding: Car Dealer Stock photos by Vecteezy
