In Nederland groeit de roep om schadeclaims na een recente hack bij een grote dienstverlener. Slachtoffers willen geld zien voor risico op fraude en stress door gelekte gegevens. Juristen waarschuwen dat dit juridisch lastig is en veel bewijs vraagt. De inzet raakt direct aan de AVG en, voor organisaties die met algoritmen en datamodellen werken, ook aan de Europese AI-verordening en de gevolgen voor overheid en bedrijven.
Claimkans vaak beperkt
Onder de Algemene Verordening Gegevensbescherming (AVG) mag iedereen schade eisen bij een datalek. Dat kan gaan om materiële schade, zoals fraude, en om immateriële schade, zoals angst of stress. Het Hof van Justitie van de EU heeft bevestigd dat immateriële schade kan meetellen, maar wél aantoonbaar moet zijn. Een AVG-overtreding op zichzelf is dus niet genoeg voor geldelijke vergoeding.
Boetes van de Autoriteit Persoonsgegevens (AP) gaan naar de staatskas en niet naar slachtoffers. Wie geld wil zien, moet een aparte civiele claim starten of meedoen aan een collectieve actie. Dat kost tijd en vergt bewijs van schade en oorzaak. Veel zaken eindigen daarom in schikkingen zonder grote uitbetalingen.
Bedrijven die dataminimalisatie toepassen en gegevens versleutelen, lopen minder risico op hoge claims. Dataminimalisatie betekent: alleen verzamelen wat nodig is. Ook korte bewaartermijnen verkleinen de kans op misbruik na een hack. Zulke keuzes worden onderdeel van het risicobeheer dat de AI-verordening straks eist voor hoogrisico-systemen.
Artikel 82 AVG: iedereen kan schadevergoeding eisen bij een overtreding, ook voor immateriële schade — mits schade en causaliteit aantoonbaar zijn.
Bewijs blijft de hobbel
De grootste barrière is bewijs van causaliteit. Slachtoffers moeten laten zien dat hún lek leidde tot concrete schade, zoals identiteitsfraude of phishing met meetbaar verlies. Dat is lastig als gegevens al eerder elders zijn uitgelekt. Rechters vragen vaak om tijdlijnen, screenshots, bankafschriften en meldingen bij instanties.
Bedrijven hebben forensische rapporten nodig die duidelijk maken wat is buitgemaakt en hoe. Zulke rapporten zijn niet altijd volledig, bijvoorbeeld door versleutelde logbestanden of ontbrekende monitoring. Zonder gedetailleerde logdata is herleidbaarheid beperkt. Dat kan de hoogte van een claim drukken of tot afwijzing leiden.
Ook immateriële schade vergt onderbouwing. Denk aan medische verklaringen of duidelijke documentatie van klachten. Algoritmen die risicoscores maken voor fraude kunnen helpen om verbanden te duiden, maar zijn niet beslissend bewijs. Rechters wegen menselijke uitleg en context nog altijd het zwaarst.
Collectieve acties onder WAMCA
Sinds 2020 maakt de Wet afwikkeling massaschade in collectieve actie (WAMCA) groepsclaims mogelijk. Een stichting kan namens alle Nederlandse gedupeerden optreden, met opt-out voor ingezetenen. De rechtbank toetst streng op representativiteit, financiering en bestuur. Dit moet voorkomen dat claimclubs vooral eigen winst najagen.
Bij datalekken draait het vaak om structurele verbeteringen plus beperkte compensatie. Denk aan gratis kredietmonitoring of geld voor bewezen schade. Rechters stimuleren schikkingen om lange procedures te vermijden. Voor slachtoffers is dat snel, maar zelden royaal.
Europese samenloop speelt mee. In andere EU-landen lopen soms parallelle procedures over hetzelfde lek. Dan telt waar de verwerkingsverantwoordelijke is gevestigd en waar de schade zich voordoet. Coördinatie met leidende toezichthouders onder de AVG kan het tempo drukken of juist versnellen.
Verzekering dekt niet alles
Cyberverzekeringen vergoeden vaak incidentrespons, zoals forensisch onderzoek en communicatie. Dekking voor aansprakelijkheid richting klanten is er soms, maar met lage sublimieten. Boetes van toezichthouders zijn meestal uitgesloten. Dat geldt ook voor opzet of grove nalatigheid.
Kleine bedrijven denken geregeld dat een polis alle schade afvangt. In de praktijk vallen reputatieschade en langlopende claims buiten de boot. Verzekeraars eisen bovendien basismaatregelen, zoals multifactor-authenticatie en patchbeleid. Wie daar niet aan voldoet, riskeert afwijzing.
Nieuwe polissen koppelen premies aan meetbare weerbaarheid. Denk aan continu scannen op kwetsbaarheden en streng toegangsbeheer. Zulke eisen sluiten aan op NIS2, de Europese cybersecurityrichtlijn die strengere beveiligingsnormen en meldplichten brengt. Nederlandse sectorale toezichthouders bereiden op het moment van schrijven de handhaving voor.
Strengere regels op komst
NIS2 en de AI-verordening leggen meer nadruk op risicobeheer en logging. Voor AI-systemen met hoog risico vereist de AI Act onder meer data-governance en kwaliteitscontroles. Als trainingsdata uit datalekken komen, kan dat zowel een AVG- als een AI-Act-risico zijn. Overheden en vitale aanbieders moeten daarom datastromen en algoritmeketens beter documenteren.
De meldplicht datalekken binnen 72 uur aan de AP blijft onverminderd gelden. Bij hoog risico voor betrokkenen is ook directe communicatie nodig. Duidelijke uitleg helpt paniek en nodeloze claims te beperken. Transparantie over welke velden zijn gelekt is cruciaal, zeker bij gevoelige data.
Voor de overheid zijn de gevolgen concreet. Inkoopcontracten moeten beveiliging, logging en auditrechten afdwingen bij leveranciers. Ook moeten impactassessments voor privacy en, waar nodig, voor AI-risico’s op orde zijn. Dat verkleint claimrisico en versnelt herstel na incidenten.
Wat slachtoffers nu kunnen
Change wachtwoorden en zet waar mogelijk tweestapsverificatie aan. Houd banktransacties en inlogmeldingen extra in de gaten. Pas op voor gerichte phishing die lijkt op eerlijke serviceberichten. Gebruik een wachtwoordmanager en hergebruik geen wachtwoorden.
Meld verdachte transacties direct bij de bank en doe aangifte bij de politie. Neem contact op met de Fraudehelpdesk voor advies over identiteitsfraude. Dien bij klachten over de afhandeling van het lek een klacht in bij de Autoriteit Persoonsgegevens. Bewaar alle documenten, e-mails en screenshots als mogelijk bewijs.
Overweeg deelname aan een zorgvuldige collectieve actie als die verschijnt. Let op transparantie over financiering en kosten. Vraag altijd naar het verwachte resultaat: geld, maatregelen of beide. Dat voorkomt teleurstelling over “leuke kreten” die juridisch moeilijk waar te maken zijn.
