Autobedrijf is onvoldoende erin geslaagd te bewijzen dat het voldoet aan vereisten van 'passende beveiliging'. Les van het hof over verplichtingen artikelen 5(1)(f) jo. 24 jo 32 AVG.

Vervolg op ECLI:NL:GHARL:2024:6812. Autobedrijf ontvangt ook ongevraagd gevoelige informatie, dat is het niet aan te rekenen (r.o. 3.5). De inrichting en beheer van het e-mailaccount is uitbesteed aan Autosociaal (r.o. 3.6). Hof geeft aan dat het autobedrijf op zichzelf mag vertrouwen op een ISO 27001-gecertificeerd bedrijf voor de beveiliging van haar e-mailaccount, maar t.o.v. de klanten, 'blijft zij als verwerkingsverantwoordelijke verantwoordelijk voor de beveiligingsmaatregelen die Autosociaal als haar verwerker treft'. "Dit betekent dat als Autosociaal niet de juiste maatregelen treft, [het autobedrijf] toch aansprakelijk is voor de schade die een klant daardoor lijdt. ( [het autobedrijf] had Autosociaal in vrijwaring kunnen dagvaarden om haar schade voor zover mogelijk af te kunnen wentelen, maar dat is hier niet gebeurd.)" (r.o. 3.7). Hof komt tot andere conclusie over het risico voor de grondrechten en fundamentele vrijheden van de klanten van het autobedrijf bij de verwerking van pgg via het e-mailaccount van het autobedrijf dan het autobedrijf zelf. (r.o. 3.8). Mooi lesje van het Hof over de invulling van de beoordeling van de risico's (r.o. 3.8) en de vereisten aan duidelijkheid over de concreetheid van de getroffen maatregelen (r.o. 3.11). Het rapport uitgevaardigd door het autobedrijf door de externe partij is onvoldoende concreet over de specifieke genomen maatregelen en welk gevolg daaraan werd gegeven in de specifieke casus. (r.o. 3.11). Ook de organisatorische maatregelen waren onvoldoende overtuigend (toegelicht), zie r.o. 3.12. Dit heeft als gevolg (zoals beschreven in ECLI:NL:GHARL:2024:6812, r.o. 3.27-3.29) dat het de inbreuk op de AVG aan het autobedrijf is toe te rekenen in de zin van