Sunweb wil slachtoffers phishing niet compenseren: 'Kort door de

Sunweb wil slachtoffers phishing niet compenseren: 'Kort door de bocht' Sunweb meldde deze week dat gedupeerden van phishingmails, verstuurd uit naam van de reisorganisatie, geen compensatie hoeven te verwachten. Dat terwijl hackers via Sunweb toegang kregen tot verschillende contactgegevens. De reisorganisatie kan de verantwoordelijkheid toch niet zomaar van zich afschudden. Sinds eind september hebben meerdere klanten van Sunweb een mail ontvangen waarin zij werden verzocht een betaling te doen, met de waarschuwing dat hun reis anders zou worden geannuleerd. De berichten bleken afkomstig van cybercriminelen die persoonsgegevens van de reisorganisatie hadden buitgemaakt door in hun systemen te infiltreren. Een onduidelijk aantal klanten is de dupe geworden van het zogenoemde phishing, bleek maandag. Ook hebben meerdere klanten uitgesproken dat ze bang zijn voor inbrekers als ze op vakantie zijn. De in Nederland gevestigde reisorganisatie noemt de hack een "vreselijk incident", maar zegt geen compensatie aan te bieden. Het is alleen de vraag of ze er ook zo makkelijk van afkomen.

Gevolgen voor klanten

Als je klant wordt, zeker binnen een digitale omgeving, mag je verwachten dat je gegevens voldoende gewaarborgd worden. Op het moment dat derden toegang krijgen tot systemen, ligt er een verantwoordelijkheid bij Sunweb. Het is kort door de bocht om naar aanleiding van een datalek te zeggen: we gaan niets betalen. De advocaat verwijst naar artikel 82 van de Algemene Verordening Gegevensbescherming (AVG), waarin staat dat mensen zowel materiële als immateriële schade mogen claimen bij de organisatie die hun gegevens verwerkt zodra er een datalek plaatsvindt. Maar de consument moet wel kunnen aantonen dat hij naar aanleiding van het datalek een betaling heeft verricht.

Rechtelijke consequenties

Zodra je een link kunt aantonen tussen de phishingmail en het datalek bij Sunweb, heeft Sunweb een probleem om zich daartegen te verweren, stelt Lourents. Als een neppe Sunweb-mail gebruikmaakt van informatie die de organisatie van jou heeft gekregen, kan ik me goed voorstellen dat je een rechter kunt overtuigen. Sunweb erkende begin deze week dat hackers hun systemen waren binnengedrongen en waarschuwde klanten in hetzelfde bericht voor phishingmails. "Sunweb heeft de verplichting om zijn klanten hierover in te lichten", zegt Lourents. Maar het waarschuwen van de klanten dekt hen zeker niet in tegen aansprakelijkheid. Het is niet op dezelfde dag ontdekt en kenbaar gemaakt. In die tussenliggende periode is van alles misgegaan. Volgens Lourents is Sunweb verantwoordelijk voor een gedegen toepassing van de AVG. Je kunt niet zeggen: we verzamelen die gegevens en als het goed gaat, heeft de klant er profijt van, en als het misgaat, heeft die klant pech. Ze hebben een scala aan verplichtingen, en technische bescherming is daarvan een groot onderdeel.

Conclusie

Het is de vraag of Sunweb er zo makkelijk van afkomt. De reisorganisatie kan de verantwoordelijkheid niet zomaar van zich afschudden. Als je klant wordt, zeker binnen een digitale omgeving, mag je verwachten dat je gegevens voldoende gewaarborgd worden. Sunweb heeft de verplichting om zijn klanten hierover in te lichten, maar het waarschuwen van de klanten dekt hen niet in tegen aansprakelijkheid.