ECLI:NL:GHARL:2024:6812

Uitspraak

GERECHTSHOF ARNHEM-LEEUWARDEN

locatie Arnhem, afdeling civiel

zaaknummer gerechtshof 200.332.234

zaaknummer rechtbank 416554

arrest van 5 november 2024

in de zaak van

[appellant]

die woont in [woonplaats1]

die hoger beroep heeft ingesteld

hierna: [de koper]

advocaat: mr. B.C. van Bekkum

tegen

[geïntimeerde] B.V.

die is gevestigd in [vestigingsplaats]

hierna: [het autobedrijf] (in vrouwelijk enkelvoud)

advocaat: mr. S.J. Bruins Slot

1.Het verloop van de procedure in hoger beroep

1.1.

Naar aanleiding van het arrest van 23 januari 2024 heeft op 22 augustus 2024 een mondelinge behandeling bij het hof plaatsgevonden. Daarvan is een verslag (het proces-verbaal) gemaakt dat aan het dossier is toegevoegd en aan partijen is toegestuurd. Hierna hebben partijen het hof gevraagd opnieuw arrest te wijzen.

2.De kern van de zaak

2.1.

[de koper] heeft een auto van [het autobedrijf] gekocht. Na een betaalinstructie vanuit het e-mailadres van [het autobedrijf] stelt [de koper] het grootste deel van de koopprijs te hebben betaald op een Duitse bankrekening. Achteraf bleek dat een derde via het e-mailaccount van [het autobedrijf] een valse betaalinstructie had gestuurd. [het autobedrijf] heeft het bedrag niet ontvangen en heeft geweigerd de auto aan [de koper] te leveren. [de koper] wil zijn geld terug van [het autobedrijf] . Hij stelt dat hij schade heeft geleden, omdat [het autobedrijf] in strijd met de Algemene Verordening Gegevensbescherming (AVG)^[1]onvoldoende beveiligingsmaatregelen heeft getroffen om haar e-mailaccount te beschermen, waardoor hij geld op een verkeerde bankrekening heeft gestort.

2.2.

[de koper] heeft bij de rechtbank onder meer gevorderd [het autobedrijf] te veroordelen tot betaling van de koopprijs als materiële schadevergoeding op grond van overtreding van de AVG, alsmede een vergoeding van de door hem geleden immateriële schade. [het autobedrijf] was niet verschenen in die procedure en de vorderingen van [de koper] werden toegewezen (de verstekprocedure). [het autobedrijf] heeft in verzet onder meer gevorderd dat het verstekvonnis wordt vernietigd en dat [de koper] wordt veroordeeld het bedrag dat [het autobedrijf] naar aanleiding van het verstekvonnis aan hem heeft betaald terug te betalen.

2.3.

De rechtbank heeft bij vonnis in verzet van 23 augustus 2023 het verstekvonnis grotendeels vernietigd, de vorderingen van [de koper] grotendeels afgewezen en [de koper] veroordeeld tot onder meer terugbetaling van het door [het autobedrijf] naar aanleiding van het verstekvonnis teveel betaalde bedrag. De bedoeling van het hoger beroep van [de koper] is dat zijn afgewezen vorderingen alsnog worden toegewezen. Op de mondelinge behandeling heeft [de koper] het bedrag van € 27.900,- in haar primaire vordering verlaagd tot € 26.900,-.

3.Het oordeel van het hof

De uitkomst

3.1.

Het hof zal [het autobedrijf] toelaten om haar stelling te bewijzen dat zij in overeenstemming met de AVG haar e-mailaccount - waarop onder meer de persoonsgegevens van [de koper] werden verwerkt - passend had beveiligd. Het hof zal hierna toelichten hoe het tot dit oordeel komt.

De feiten

3.2.

Het hof gaat uit van de feiten zoals beschreven in de rechtsoverwegingen 3.1 tot en met 3.21 van het vonnis van 23 augustus 2023 van de rechtbank Gelderland, zittingsplaats Arnhem^[2], behalve rechtsoverweging 3.14, omdat [de koper] daar bezwaren tegen heeft. De volgende feiten zijn in hoger beroep van belang.

3.3.

[het autobedrijf] is een kleinschalig autobedrijf. [de koper] heeft op 4 juli 2022 contact gezocht met [het autobedrijf] over een door [het autobedrijf] te koop aangeboden auto. Na telefonisch contact zijn partijen een kooprijs voor de auto overeengekomen van € 27.900,-.

3.4.

Op 5 juli 2022 hebben partijen een e-mailwisseling in het Engels (omdat [de koper] , die afkomstig is uit Australië, geen Nederlands kan lezen of schrijven) over de aanbetaling en het ophalen van de auto. Eén van de vragen van [het autobedrijf] was of [de koper] een Nederlands rijbewijs of paspoort heeft. In reactie daarop stuurde [de koper] per e-mail een kopie van zijn paspoort, zijn verblijfsvergunning en een uittreksel uit de gemeentelijke basisadministratie naar [het autobedrijf] . Daarnaast betaalde [de koper] op verzoek van [het autobedrijf] een bedrag van € 1.000,- als voorschot op de Rabobankrekening van [het autobedrijf] .

3.5.

Op 6 juli 2022 stuurde [het autobedrijf] de factuur voor de auto per e-mail naar [de koper] . Op 7 juli 2022 informeerde [de koper] [het autobedrijf] dat hij wacht op financiering van de ING, maar dat hij ook cash kan betalen. Daarop schreef [het autobedrijf] dat zij geen cash aanvaarden, maar alleen bankoverschrijvingen. [de koper] reageerde later die dag aan dat hij het geld kan overschrijven. Partijen spraken af dat [de koper] de auto op dinsdagochtend 12 juli 2022 zou komen halen.

3.6.

Op maandag 11 juli 2022 om 9.30 schreef [het autobedrijf] aan [de koper] :

“
Hi [de koper] ,

if you come to pick up the car tomorrow I would like to receive payment today. what time suits you best? let me know.”

3.7.

Op diezelfde dag om 11.13 ontving [de koper] de volgende e-mail van het e-mailadres van [het autobedrijf] :

“
Hello [de koper] ,

Please transfer the rest of the amount to:

Account Name: [het autobedrijf] BV

IBAN: [nummer1] - BIC: SOBKDEB2XXX

After you make the transfer send me the confirmation.

Please Iet me know if you will come tomorrow or Wednesday morning

and what time suits you best.”

3.8.

In reactie daarop schreef [de koper] om 11.20:

“
Thanks. Will do. It will be transferred after 3pm today.

I would like to collect the car on Tuesday morning, please.

Thanks!

[de koper]”

3.9.

Om 11.43 ontving [de koper] de volgende reactie van het e-mailadres van [het autobedrijf] :

“
okay see you tomorrow then [de koper] , around 10 am something like that?”

3.10.

Om 16.14 diezelfde dag mailde [de koper] aan het e-mailadres van [het autobedrijf] :

“
Money has been transferred.

See attached receipt.”

3.11.

Vanuit het e-mailadres van [het autobedrijf] ontving [de koper] om 16.18 die dag:

“
Hello [de koper] ,

Thank you for confirmation.”

3.12.

Om 22.00 uur die avond ontving [de koper] een e-mail vanuit het e-mailadres van [het autobedrijf] dat de auto dinsdag door persoonlijke omstandigheden niet voor 16.00uur in de middag kon worden opgehaald, waarop [de koper] even later terug mailde dat woensdagochtend ook goed was.

3.13.

Toen [de koper] de auto op woensdag 13 juli 2022 kwam ophalen werd hem door [het autobedrijf] gezegd dat hij de auto niet mee kreeg, omdat het restant niet was betaald. Daarop heeft [de koper] de hiervoor geciteerde e-mails van 11 juli 2022 laten zien. [het autobedrijf] heeft toen contact opgenomen met de beheerder van haar e-mailaccount en de politie en [de koper] heeft zijn bank gebeld. [het autobedrijf] heeft [de koper] een leenauto meegegeven.

3.14.

Op 14 juli 2022 hebben partijen via Whatsapp contact gehad en heeft [het autobedrijf] een bericht van de beheerder van haar e-mailaccount (vertaald in het Engels) in de Whatsapp conversatie geplakt met onder meer de tekst:

“
We have done research on the server into the mail traffic and can share the following about this: we see that the mail was sent from a user who is logged in with the account [het autobedrijf] .nl from the IP address(…)
. This comes out to the environment of Hetzner in Germany, a hosting party. We see that the user who logged in from that address most likely already knew the password beforehand. Only a few failed attempts can be seen.”

3.15.

Op 18 juli 2022 heeft de advocaat van [de koper] een brief aan [het autobedrijf] gestuurd waarin hij [het autobedrijf] verzoekt om de auto alsnog te leveren. Na een schriftelijke discussie tussen de advocaten van partijen, heeft de advocaat van [het autobedrijf] per e-mail van 16 september 2022 meegedeeld dat [het autobedrijf] de koopovereenkomst ontbindt en de terug te betalen aanbetaling verrekent met de boetes die zij heeft betaald voor verkeersovertredingen van [de koper] met de leenauto. De leenauto is ingeleverd en de advocaat van [de koper] heeft de advocaat van [het autobedrijf] geschreven dat hij de ontbindingsverklaring heeft ontvangen en begrepen, maar dat de kwestie daarmee niet is afgedaan omdat [de koper] substantiële schade heeft geleden.

Primaire grondslag van de vordering: artikel 82 AVG

3.16.

[de koper] vordert primair een bedrag van € 26.900,- aan materiële schadevergoeding en € 5.000,- aan immateriële schadevergoeding op grond van artikel 82 AVG. Tijdens de mondelinge behandeling bij het hof heeft [het autobedrijf] nog aangevoerd dat deze grondslag zich niet verdraagt met eerdere standpunten en ondubbelzinnige erkenningen van [de koper] . Nog afgezien van de vraag of dit betoog van [het autobedrijf] toelaatbaar is in verband met de zogenaamde twee-conclusie-regel die geldt in hoger beroep, gaat het hof voorbij aan dit betoog. Uit het feit dat [de koper] heeft berust in de ontbinding van de koopovereenkomst volgt nog geen erkenning van de zijde van [de koper] dat [het autobedrijf] de overeenkomst ook rechtsgeldig
mochtontbinden. Dat volgt al uit de reactie van de advocaat van [de koper] op die ontbindingsverklaring, waarin hij niet alleen schrijft dat [de koper] substantiële schade heeft geleden (zie hiervoor in 3.15), maar ook dat [de koper] vindt dat de ICT-beveiliging van [het autobedrijf] onvoldoende was. Bovendien kondigt hij in die brief een schadevergoedings-procedure aan.

3.17.

Het eerste lid van artikel 82 AVG luidt:

“
Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.”

3.18.

Voor toewijzing van deze vordering moet aan drie vereisten zijn voldaan; er moet (1) sprake zijn van een schending van de AVG, (2) van schade en (3) de schade moet door die schending van de AVG zijn veroorzaakt.

Schending van de AVG?

[het autobedrijf] mag bewijs leveren dat haar e-mailaccount passend is beveiligd

3.19.

Volgens [de koper] had [het autobedrijf] geen adequate ICT/e-mailbeveiliging. Dat blijkt onder meer uit de opmerking van de externe beheerder van [het autobedrijf] dat toegang tot het e-mailaccount werd verkregen met slechts een paar pogingen, wat betekent dat het wachtwoord door de hacker makkelijk kon worden verkregen. Ook deelde [het autobedrijf] haar wachtwoord met meerdere personen, gebruikte zij geen twee-factor-authenticatie, gebruikte zij alleen standaard ‘tooling’ om het netwerk te scannen en is er geen bewijs dat het wachtwoord complex was of ooit is gewijzigd, aldus nog steeds [de koper] .

3.20.

[het autobedrijf] stelt dat haar beveiligingsmaatregelen passend zijn vanwege de beperkte hoeveelheid persoonsgegevens die zij via haar e-mailaccount verwerkt en omdat zij geen bijzondere of gevoelige persoonsgegevens verwerkt. Het beheer van haar e-mailaccount is uitbesteed aan een gespecialiseerd bedrijf, Autosociaal, wat binnen de branche van [het autobedrijf] (kleine autodealers) dé standaard is. Dat het e-mailaccount van [het autobedrijf] is gehackt brengt op zichzelf nog niet mee dat [het autobedrijf] is tekortgeschoten in haar verplichting tot gegevensbescherming, aldus steeds [het autobedrijf] .

3.21.

Het hof oordeelt als volgt. Vast staat dat een kwaadwillende derde (hierna: de hacker) toegang heeft gekregen tot het e-mailaccount van [het autobedrijf] en vanuit dat e-mailaccount een e-mail met een betaalinstructie heeft gestuurd op basis waarvan [de koper] een bedrag van € 26.900,- heeft overgemaakt naar een Duits bankrekeningnummer van een onbekende derde. Het hof gaat voorbij aan de betwisting van [het autobedrijf] dat [de koper] deze betaling heeft verricht. [de koper] heeft naast een schermafdruk van de overschrijving ook een bankafschrift overgelegd waarop deze betaling vanuit zijn bankrekening staat vermeld. De juistheid van dat bankafschrift is op zichzelf niet betwist door [het autobedrijf] . Het hof gaat ook voorbij aan de suggestie van [het autobedrijf] dat deze Duitse bankrekening een eigen bankrekeningnummer van [de koper] zou zijn. Uit de stukken en de gang van zaken zoals hiervoor weergegeven bij de feiten, is voldoende aannemelijk dat [de koper] het geld naar een bankrekening heeft overgemaakt van een kwaadwillende derde. Dit wordt ook ondersteund door het bericht dat [het autobedrijf] op 14 juli 2022 via WhatsApp naar [de koper] heeft gestuurd. [het autobedrijf] heeft op de mondelinge behandeling bij het hof toegelicht dat dit een Engelse vertaling is van de e-mail die zij na navraag over het voorval van de beheerder van haar e-mailaccount heeft ontvangen. Uit dat bericht volgt dat er een derde is ingelogd in het e-mailaccount van [het autobedrijf] , die berichten vanuit een IP-adres in Duitsland heeft verstuurd met het e-mailadres van [het autobedrijf] (zie hiervoor in 3.14). In dat bericht staat ook een overzicht van de e-mails die vanuit dat IP-adres (dat niet het IP-adres is van [het autobedrijf] zelf) zijn verstuurd. Onder deze e-mails bevindt zich onder meer de e-mail met de betaalinstructie die [de koper] heeft overgelegd en op basis waarvan hij het restantbedrag van de koopprijs van de auto heeft overgeschreven naar het daarop vermelde Duitse bankrekeningnummer.

3.22.

Tussen partijen is niet in geschil dat [het autobedrijf] verwerkingsverantwoordelijke is ten aanzien van de persoonsgegevens die via haar e-mailaccount worden verwerkt. Op grond van artikelen 5 lid 1 onder f, 24 en 32 AVG dient [het autobedrijf] haar e-mailaccount waarop persoonsgegevens - zoals in ieder geval namen en e-mailadressen van haar klanten - worden verwerkt, passend te beveiligen. Op grond van artikel 5 lid 2 en artikel 24 lid 1 AVG is het bovendien aan [het autobedrijf] als verwerkingsverantwoordelijke om aan te tonen dat zij daartoe (voor haar bedrijfsvoering) passende technische en organisatorische maatregelen heeft getroffen. In artikel 32 AVG zijn de verplichtingen omtrent de beveiliging van persoonsgegevens verduidelijkt. De artikelen 24 en 32 AVG verplichten [het autobedrijf] technische en organisatorische maatregelen te nemen die passen bij haar bedrijfsvoering en bij de daarbij horende verwerking van persoonsgegevens om een inbreuk op persoonsgegevens zoveel mogelijk te voorkomen. Het feit dat een kwaadwillende derde toegang had tot het e-mailaccount van [het autobedrijf] is nog niet voldoende om al tot de conclusie te komen dat de maatregelen die [het autobedrijf] heeft getroffen niet passend waren.^[3]

3.23.

In het kader van de vordering van [de koper] tot schadevergoeding op grond van artikel 82 AVG, is het weliswaar aan [de koper] om aan te voeren dat en waarom sprake is van een inbreuk op de AVG, maar het is aan [het autobedrijf] als verwerkingsverantwoordelijke om aan te tonen dat de beveiligingsmaatregelen die zij heeft getroffen, passend zijn voor haar bedrijfsvoering en de in dat kader verwerkte persoonsgegevens.^[4]Het ligt ook in het domein van [het autobedrijf] om te kunnen aantonen dat haar e-mailaccount passend is beveiligd. Vervolgens is het aan het hof om concreet te toetsen of de door [het autobedrijf] getroffen technische en organisatorische maatregelen passend zijn, rekening houdend met de aan de verwerking van persoonsgegevens via haar e-mailaccount verbonden risico’s.^[5]

3.24.

[het autobedrijf] heeft aangevoerd dat het risico op de inbreuk op persoonsgegevens uitermate beperkt is, vanwege onder meer de aard en omvang van de persoonsgegevens die via haar e-mailaccount worden verwerkt en de context waarin zij worden verwerkt. Het e-mail account wordt vrijwel uitsluitend gebruikt voor informatieverzoeken en de aanvraag van een bezichtiging of proefrit. Tijdens de mondelinge behandeling bij het hof heeft [het autobedrijf] nog toegelicht dat zij bij de aankoop van een auto wel standaard een factuur per e-mail stuurt naar de klant, maar dat zij haar klanten niet vraagt om persoonlijke stukken toe te sturen. Tussen partijen is ook niet in geschil dat [de koper] de kopieën van zijn paspoort, verblijfsvergunning en een uittreksel uit de gemeentelijke basisadministratie op eigen initiatief per e-mail aan [het autobedrijf] heeft gestuurd (zie hiervoor in 3.4).

3.25.

[het autobedrijf] heeft als onderbouwing van de door haar getroffen beveiligingsmaatregelen een e-mail overgelegd van Autosociaal (de ICT dienstverlener van haar e-mailaccount) waarin maatregelen staan die deze heeft getroffen om toegang tot het account te beveiligen. Op de mondelinge behandeling bij het hof heeft [het autobedrijf] daarnaast toegelicht dat haar IT-beheerder de hardware op haar kantoor heeft bekeken en dat daar geen malware op is aangetroffen. [het autobedrijf] kon niet toelichten hoe de hacker toegang heeft kunnen krijgen tot haar e-mailaccount en waarom de monitoring- en toegangsmaatregelen die Autosociaal noemt niet hebben kunnen voorkomen dat de hacker toegang kreeg tot haar account. Ook wist [het autobedrijf] niet hoe het kon dat volgens Autosociaal de hacker waarschijnlijk al de beschikking had over het wachtwoord, omdat er kennelijk maar een paar pogingen van de hacker nodig waren om in het e-mailaccount van [het autobedrijf] te komen. Uit de toelichting op de mondelinge behandeling is wel duidelijk geworden dat niet [het autobedrijf] zelf, maar Autosociaal het wachtwoord van haar e-mailaccount beheert en wijzigt. [het autobedrijf] heeft zelf geen ander wachtwoord in hoeven stellen en heeft dat ook niet gedaan. Autosociaal regelde dat het wachtwoord eens in de zoveel tijd werd gewijzigd. Het wachtwoord was volgens haar een heel ingewikkeld wachtwoord: een hele reeks met allerlei symbolen erin. Om in de e-mailbox te komen, hoeft de eigenaar van [het autobedrijf] alleen zijn computer aan te zetten en in te loggen met een ‘voorgeprogrammeerd’ wachtwoord in het Microsoft account van [het autobedrijf] en dan heeft hij direct toegang tot het e-mailaccount.

3.26.

Het hof is van oordeel dat [het autobedrijf] met wat zij tot nu toe heeft aangevoerd en onderbouwd niet heeft aangetoond dat haar e-mailaccount - waarop onder meer de persoonsgegevens van [de koper] werden verwerkt - passend waren beveiligd in de zin van artikelen 5 lid 1 onder f, 24 en 32 AVG. Uit de toelichting van [het autobedrijf] blijkt dat zij in ieder geval de instelling en het beheer van het wachtwoord van haar e-mailaccount heeft overgelaten aan Autosociaal in plaats van zelf een (moeilijk te achterhalen) wachtwoord te kiezen en te beheren. Het hof betwijfelt of dit een passende maatregel is voor de beveiliging van haar e-mailaccount. Gelet op het bewijsaanbod van [het autobedrijf] zal het hof haar toelaten om te bewijzen dat zij haar e-mailaccount in overeenstemming met de AVG passend heeft beveiligd.

Gevolgen als [het autobedrijf] niet slaagt in bewijslevering

3.27.

Vooruitlopend op de bewijslevering door [het autobedrijf] , wijst het hof op het volgende. Indien [het autobedrijf] niet kan aantonen dat zij heeft voldaan aan de eisen van een passende beveiliging uit de AVG, dan is sprake van een inbreuk op de AVG die in beginsel toerekenbaar is aan [het autobedrijf] (vereiste 1 van artikel 82 lid 1 AVG). Dan is de vervolgvraag of [de koper] schade heeft geleden ten gevolge van deze inbreuk (vereisten 2 en 3 van artikel 82 lid 1 AVG, zie hiervoor in 3.18). Dat [de koper] geen schade heeft geleden, omdat hij niet in zijn vermogen is aangetast, zoals [het autobedrijf] aanvoert, volgt het hof niet. Zoals hiervoor in 3.21 geoordeeld, heeft [de koper] op basis van de instructie van de hacker een bedrag van € 26.900,- overgeschreven naar een Duits rekeningnummer. Dat geld heeft hij niet meer en ook de gekochte auto niet. [het autobedrijf] heeft de koopovereenkomst ontbonden, omdat [de koper] het restantbedrag voor de auto niet aan haar heeft betaald. [de koper] is het bedrag kwijt en heeft daar niets voor in de plaats gekregen, waardoor hij wel degelijk in zijn vermogen is aangetast. Dat daar een recht op levering voor in de plaats is gekomen, waardoor geen sprake is van vermogensschade, zoals [het autobedrijf] aanvoert, is niet juist, want [het autobedrijf] heeft de overeenkomst ontbonden en [de koper] heeft in de ontbinding berust en vordert in plaats daarvan schadevergoeding.

3.28.

Als het e-mailaccount van [het autobedrijf] niet passend was beveiligd, is het naar voorlopig oordeel van het hof aannemelijk dat de hacker door deze inbreuk op de AVG de betaalinstructie via het e-mailaccount van [het autobedrijf] naar [de koper] kon versturen. Dat leidt tot de voorshandse conclusie dat sprake is van een zogenoemd ‘condicio sine qua non-verband’ tussen de schade die [de koper] heeft geleden door geld te betalen op de rekening die de hacker hem heeft meegedeeld en genoemde inbreuk op de AVG.

3.29.

[het autobedrijf] is van mening dat de schade niet aan haar kan worden toegerekend, omdat [de koper] (onder meer) niet zonder contact met haar op te nemen had moeten betalen op het door een hacker meegedeeld Duits bankrekeningnummer, terwijl hij de aanbetaling op haar Nederlandse bankrekeningnummer had gedaan, welk rekeningnummer ook op haar factuur stond. Zoals [het autobedrijf] terecht aanvoert, kan zij zich op grond van artikel 82 lid 3 AVG bevrijden van haar aansprakelijkheid door te bewijzen dat zij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.^[6]Het hof is voorshands van oordeel dat als [het autobedrijf] niet kan aantonen dat zij passende beveiligingsmaatregelen heeft getroffen om te voorkomen dat de hacker toegang kreeg tot de persoonsgegevens van [de koper] (waaronder zijn e-mailadres), [het autobedrijf] daarmee niet heeft bewezen dat zij op geen enkele wijze verantwoordelijk is voor de betaalinstructie die [de koper] heeft ontvangen en op basis waarvan hij op een foutief rekeningnummer het restant van de koopprijs voor de auto heeft betaald.

3.30.

Tijdens de mondelinge behandeling bij het hof heeft de advocaat van [het autobedrijf] toegelicht dat het verweer dat de schade niet aan [het autobedrijf] kan worden toegerekend ook betrekking heeft op de bepaling in artikel 6:98 BW. Deze bepaling is onderdeel van afdeling 6.1.10 BW waarin het gaat om de vaststelling van de omvang van de schade. Het hof begrijpt het betoog van [het autobedrijf] over de toerekenbaarheid van de schade echter zo dat [het autobedrijf] een beroep doet op ‘eigen schuld’ als bedoeld in artikel 6:101 BW (dat ook is opgenomen in afdeling 6.1.10 BW). Zij stelt namelijk dat het om verschillende redenen aan het handelen van [de koper] ligt dat hij het restant van de koopprijs op de verkeerde bankrekening heeft betaald (zie ook hiervoor in 3.29). Als [het autobedrijf] niet slaagt in haar bewijslevering mogen partijen - in het kader van de omvang van de schadevergoeding - zich hierover nog uitlaten.

Gevolgen als [het autobedrijf] slaagt in bewijslevering

3.31.

Als [het autobedrijf] slaagt in het leveren van bewijs dat de maatregelen die zij had getroffen om haar e-mailaccount te beveiligen passend waren in de zin van de AVG, dan ligt het voor de hand dat de vordering van [de koper] zal worden afgewezen. Niet alleen op de primaire grondslag, maar ook op de subsidiaire en de meer subsidiaire grondslag. Het hof zal echter de beslissing daarover en over de overige stellingen van partijen aanhouden tot na de bewijslevering.

De conclusie

3.32.

Het hof zal [het autobedrijf] toelaten tot het leveren van bewijs van haar stelling dat zij haar e-mailaccount passend heeft beveiligd in de zin van de AVG en houdt iedere verdere beslissing aan.

4.De beslissing

4.1.

Het hof laat [het autobedrijf] toe te bewijzen dat haar e-mailaccount passend was beveiligd in de zin van artikelen 5 lid 1 onder f, 24 en 32 AVG.

4.2.

Bepaalt dat, als [het autobedrijf] bewijs wil leveren door middel van schriftelijke stukken, zij deze stukken op
dinsdag 7 januari 2025over moet leggen.

4.3.

Als [het autobedrijf] (ook) getuigen wil horen moet zij moet op
dinsdag 7 januari 2025laten weten hoeveel getuigen zij wil laten horen met opgave van de verhinderdagen van die getuigen, van partijen en van hun advocaten over de periode van januari 2025 tot en met mei 2025. Daarna stelt het hof de dag en het tijdstip van het verhoor vast. Dat gebeurt ook als de opgave onvolledig is.

4.4.

Als getuigen worden gehoord, zal raadsheer-commissaris mr. M.P.M. Hennekens de getuigen verhoren in het Paleis van Justitie aan de Walburgstraat 2-4 in Arnhem. Partijen moeten daar zelf bij aanwezig zijn.

4.5.

[het autobedrijf] moet in dat geval de namen en woonplaatsen van de getuigen ten minste een week voor het getuigenverhoor aan de wederpartij en de griffier van het hof opgeven.

4.6.

Een partij die tijdens het getuigenverhoor nieuwe stukken wil indienen, moet het hof en de wederpartij daarvan uiterlijk twee weken voor de dag van het getuigenverhoor een kopie sturen.

4.7.

Iedere verdere beslissing wordt aangehouden.

Dit arrest is gewezen door mrs. M.P.M. Hennekens, R.A. Dozy en P.E. Lucassen, en is door de rolraadsheer in tegenwoordigheid van de griffier in het openbaar uitgesproken op 5 november 2024.