Een hacker stal persoonsgegevens van diverse (oud) studenten van de Hogeschool Arnhem-Nijmegen (HAN). Een oud-student van de hogeschool vroeg om schadevergoeding.
De kantonrechter wijst de schadevergoeding gedeeltelijk toe.
Op 1 september 2022 vond de hack bij de hogeschool plaats. De hogeschool informeerde haar (oud) studenten daarover. Een van de oud-studenten vindt dat de hogeschool aansprakelijk is voor de schade die hij heeft door de hack, een immateriële schade van €1000,-. De hogeschool vergoedde de schade niet. Daarom vroeg de oud-student aan de kantonrechter om de zaak te beoordelen. Volgens hem schond de hogeschool de Algemene Verordening Persoonsgegevens (AVG) door geen passende beveiliging van haar systemen te hebben.
De kantonrechter oordeelt dat de hogeschool inbreuk maakte op de AVG. De hogeschool vertelt namelijk niet concreet hoe ze de persoonsgegevens van de oud-student beveiligde. Ze gaf alleen aan welke algemene maatregelen ze treft om persoonsgegevens te beveiligen. Niet ieder datalek levert een inbreuk op de AVG op. Van belang is of het beveiligingsniveau passend was ten tijde van de hack. Daarover was de hogeschool niet open.
De oud-student krijgt schadevergoeding. Het lekken van de algemene persoonsgegevens van de oud-student levert geen schade op. Het lekken van de bijzondere persoonsgegevens (medische gegevens) wel. Daarbij speelt mee dat de oud-student zelf heel zorgvuldig met zijn medische gegevens omging. Hij deelde zijn gegevens alleen met de hogeschool, omdat die hem verzekerde dat zijn verhaal veilig was. In die zin werd zijn vertrouwen geschaad. De onzekerheid die de hack meebracht, vreet aan hem en maakt dat hij nu nog minder snel gegevens met hulpverleners deelt. Vanwege deze redenen moet de hogeschool een schadevergoeding van €300,- betalen.