Na diefstal van persoonsgegevens door hackers bij de Hogeschool Arnhem-Nijmegen, vroeg een oud-student om schadevergoeding. De kantonrechter heeft deze gedeeltelijk toegewezen.
Op 1 september 2021 vond de hack bij de hogeschool plaats. De onderwijsinstelling informeerde haar (oud)studenten daarover. Een van de oud-studenten vindt dat de hogeschool aansprakelijk is voor de schade die hij heeft door de hack, een immateriële schade van duizend euro. De hogeschool vergoedde de schade niet. Daarom vroeg de oud-student aan de kantonrechter om de zaak te beoordelen. Volgens hem schond de hogeschool de Algemene Verordening Persoonsgegevens (AVG) door geen passende beveiliging van haar systemen te hebben.
De kantonrechter oordeelt dat de hogeschool inbreuk maakte op de AVG. De hogeschool vertelt namelijk niet concreet hoe ze de persoonsgegevens van de oud-student beveiligde. Ze gaf alleen aan welke algemene maatregelen ze treft om persoonsgegevens te beveiligen. Niet ieder datalek levert een inbreuk op de AVG op. Van belang is of het beveiligingsniveau passend was ten tijde van de hack. Daarover was de hogeschool niet open.
Medische gegevens
De oud-student krijgt schadevergoeding. Het lekken van de algemene persoonsgegevens van de oud-student levert geen schade op. Het lekken van de bijzondere persoonsgegevens (medische gegevens) wel. Daarbij speelt mee dat de oud-student zelf heel zorgvuldig met zijn medische gegevens omging. Hij deelde zijn gegevens alleen met de hogeschool, omdat die hem verzekerde dat zijn verhaal veilig was. In die zin werd zijn vertrouwen geschaad.
De onzekerheid die de hack meebracht, vreet aan hem en maakt dat hij nu nog minder snel gegevens met hulpverleners deelt. Vanwege deze redenen moet de hogeschool een schadevergoeding van driehonderd euro betalen.