Vrij vertaald, definieert de AVG een datalek als een inbreuk in de beveiliging waarbij persoonsgegevens onrechtmatig ter beschikking zijn gekomen van een derde. De persoon wiens gegevens zijn gelekt, kan daarvan negatieve gevolgen ondervinden en daardoor schade lijden. Artikel 82 van de Algemene Verordening Gegevensbescherming regelt het recht op materiële én immateriële schadevergoeding als gevolg van een datalek waarbij jouw persoonsgegevens zijn betrokken. De schade moet een gevolg zijn van onzorgvuldig handelen, grove schuld of nalatigheid. Bij materiële schade zal moeten worden aangetoond dat de schade een direct gevolg is van het lekken van jouw gegevens. Immateriële schade is lastiger vast te stellen. De hoofdelijke aansprakelijkheid voor een datalek ligt bij de verwerkingsverantwoordelijke. Dat is de organisatie of instantie die jouw gegevens verwerkt of laat verwerken.
Een voorbeeld van materiële schade is identiteitsfraude, waardoor financiële schade wordt gelden. Als de schade het gevolg is van een datalek, dan moet dit verband worden aangetoond. Daarnaast moet de schade objectief worden vastgesteld. Daarmee kan je een vordering instellen op de verwerkingsverantwoordelijke.
Er kan ook sprake zijn van immateriële schade als gevolg van een datalek. Immateriële schade is lastig vast te stellen. Toch zijn er al uitspraken van rechters die een schadevergoeding van € 500,– hebben toegekend. Het moet dan in ieder geval gaan om een inbreuk waarbij (een combinatie van) gevoelige gegevens zijn betrokken. Gevoelige gegevens zijn bijvoorbeeld financiële gegevens of BSN in combinatie met NAW-gegevens. Wat zwaarder kan wegen is het lekken van bijzondere persoonsgegevens zoals medische- of gezondheidsgegevens. Als kan worden aangetoond dat de privacyschending een gevolg is van schuld of nalatigheid van verwerkingsverantwoordelijke, dan kan het de moeite waard zijn om een vordering voor immateriële schade in te stellen.
