Kun je miljoenen eisen van de Staat voor GGD-datalekken?

stevepb / Pixabay

De miljoenen slachtoffers van het datalek bij de GGD moeten honderden euro’s schadevergoeding krijgen, zo eist de stichting ICAM die een collectieve rechtszaak tegen het ministerie van Volksgezondheid is gestart. Dat meldde Security.nl onlangs. Eerder dit jaar bleek dat callcentermedewerkers van de GGD privégegevens van ruim 6,5 miljoen Nederlanders te koop aanboden via berichtendienst Telegram. De claim komt neer op 500 euro per potentieel getroffen persoon en €1500 voor bewezen lekken. Kan dat zomaar?

Massaclaims wegens privacyschendingen zijn een relatief nieuw begrip. Sinds de AVG staat vast dat je je schade vergoed kunt krijgen als je persoonsgegevens worden misbruikt of gelekt, maar het grote probleem is nog steeds wat die schade dan moet zijn. Een tientje is een bedrag dat iedere rechter wel zou willen toekennen denk ik, maar daarvoor ga je niet naar de rechter. Vijfhonderd euro is een logischer bedrag, maar dan kijken rechtbanken skeptisch: kunt u dat onderbouwen, het liefst met bonnetjes?

Bonnetjes komen bij zaakschade (de deuk in de auto van de collega) wel aan de orde, maar bij immateriële schade zoals potentiële problemen bij datalekken is dat niet echt een optie. Je zou echt concreet facturen van vervangen pinpassen moeten aandragen, een credit monitoring dienst of noem eens een optie – en daar zit hem het probleem, want wat kún je als je data gelekt wordt? Helemaal niets, en meestal merk je er ook niet (direct) iets van. En heel cru gezegd dan heb je dus geen schade.

Nee, daar klopt iets niet. En dan is het wel logisch om bedrijven bij de les te houden door dit soort claims. Vele kleintjes maken een grote, en hopelijk worden bedrijven die data lekken daar wél bang van. Daarom zijn dit goede stappen.

Natuurlijk is het wat lastig dat het hier gaat om een overheidsinstantie, namelijk de GGD. Stel dat die moet betalen, dan zal dat uit overheidsmiddelen gebeuren. En dan is het logisch te denken dat we dat volgend jaar terugzien in de belastingaanslag. Dus het sentiment “duurbetaalde advocaten pakken 20% van geld dat wij opbrengen” snap ik wel.

Zo direct kun je het wat mij betreft niet stellen. Het is zeker niet zo dat als de GGD een miljoen moet betalen, zij fluitend de hand ophouden bij Financiën die dan de tweede schijf 0,0001% verhoogt om het goed te maken. Eerder gaat dit uit het budget voor volgend jaar, of uit de reserves die de GGD zou hebben. Dat doet ook pijn want dan functioneert de gezondheidsvoorziening nog slechter.

Aan de andere kant: hoe moet je dan wél een overheid bij de les houden als grote groepen mensen schade (kunnen) leiden door hun wan-ICT?

Arnoud

19 reacties

    1. Precies hetzelfde verhaal natuurlijk. Het heeft echter wel een afschrikwekkend effect, en daar gaat het om. Daardoor zal de Belastingdienst (en de GGD) in een volgende soortgelijke situatie een andere (privacyvriendelijkere) risicoafweging maken. Ook private partijen zullen zeker n.a.v. de casus GGD zich twee keer achter de oren krabben voor iedereen alle rechten wordt toegekend.

  1. Wat ik er van begrepen heb (en ook in de link lees) is dat ze 500 euro eisen voor iedereen waarvan persoonsgegevens makkelijk te exporteren waren. Dus die 500 euro is een schadevergoeding zonder dat er überhaupt schade hoeft te zijn. De 1500 euro voor mensen wiens persoonsgegevens ‘gestolen’ zijn lijkt me dan een stuk makkelijker te verdedigen.

    Aan de andere kant: hoe moet je dan wél een overheid bij de les houden als grote groepen mensen schade (kunnen) leiden door hun wan-ICT?

    Dat afschrikken is voor de overheid lastig, zeker gezien dat we het boetes geven slechts door de overwerkte AP gedaan mag worden. Technisch gezien zou volgens mij de tweede kamer er deels voor zijn, maar ja, gezien de recente geschiedenis is de vraag hoe goed dat werkt.

    Misschien een idee voor dit geval: Rechtszaak waarin men van de GGD eist dat ze de problemen verhelpen. Met vervolgens een stok achter de deur (dwangsom?) als ze dat niet doen. Daarboven op zou het ook goed zijn om ze te verplichten om het onafhankelijk te laten controleren.

    1. “Wat ik er van begrepen heb (en ook in de link lees) is dat ze 500 euro eisen voor iedereen waarvan persoonsgegevens makkelijk te exporteren waren. Dus die 500 euro is een schadevergoeding zonder dat er überhaupt schade hoeft te zijn.”

      Ik vind dat ergens een beetje gek, maar ergens ook niet. De overheid gaat ook geld overmaken ter compensatie van de energiekosten waardoor ze anders schade (namelijk het niet kunnen betalen van de rekening) zouden lijden, óók aan mensen die hun energierekening lachend kunnen betalen en dus helemaal geen schade lijden.

  2. Het eindresultaat is: alstublieft, u krijgt 400 euro, de advocaat waar u nooit om gevraagd heeft krijgt 100 euro, en, o ja, uw belasting aanslag gaat met 600 euro omhoog, om dit en de ambtenaar die dit moet uitvoeren te betalen (en die ambtenaar is alleen maar blij met meer werk!).

    Lijkt mij een weinig zinvolle herdistributie van schaarse middelen in tijden waarop de focus ergens anders moet liggen. Mag ik ergens een opt-out voor deze nonsens indienen?

    Laten we iets fijner met de stofkam door het probleem gaan. Wie heeft er precies gelekt? Welk bedrijf heeft de slechte beveiliging geleverd? Wie biedt die gegevens precies aan op telegram, klopt de claim daar, en kunnen we die persoon of personen aanpakken (desnoods via het strafrecht)? Laten we daar de claims neerleggen, en als die personen of bedrijven dan failliet gaat, is dat het einde van de keten.

    1. Ik denk dat dit twee losse dingen zijn. Er zijn personen die misbruik hebben gemaakt van hun mogelijkheden en die data hebben gekopieerd en verkocht. Volgens mij zijn (een aantal van) deze personen al veroordeeld.

      Daarnaast is er een tweede kweste, en dat is dat de GGD organisatie de beveiliging niet op orde had waardoor het kon plaatsvinden. Ze hebben standaarden waaraan ze gehouden zijn genegeerd en algemeen geaccepteerde maatregelen niet genomen. Kortom, ze hebben verwijtbaar gehandeld. Dat is, als ik het tenminste allemaal goed begrepen heb, de basis onder deze claim.

      Hoe je van een overheidsdienst als de GGD geld zou kunnen claimen zonder dat je dat indirect zelf moet ophoesten weet ik ook niet precies, maar het is ook niet rechtvaardig als de verantwoordelijken er zonder gevolgen mee weg komen omdat ze toevallig de GGD zijn en niet een normaal bedrijf. Misschien dit jaar geen kerstpakket….

      1. “Hoe je van een overheidsdienst als de GGD geld zou kunnen claimen zonder dat je dat indirect zelf moet ophoesten weet ik ook niet precies” Je kunt toch zeggen, GGD krijgt minder budget als gevolg, los het op? Dat zal ze leren, en het is overheidsbreed neutraal want er hoeft geen cent bij.

        1. Ja, maar de GGD is een overheidsdienst. Die krijgt (of dat zou toch moeten) precies genoeg, niet teveel en niet te weinig, om zijn door de overheid gewenste werking uit te oefenen.

          Je kunt dus niet knippen in het budget zonder de werking te verminderen, en dat wil je juist niet, want je hebt net zelf gedefinieerd wat voor werking je wenst.

          1. Sterker, je kan zelfs tot de conclusie komen dat de GGD te weinig middelen had voor beveiliging, en ze dus een groter budget toekennen, als je dat dan gelijk weer nodig hebt om die boete te betalen, moet dat budget alleen maar groter.

              1. Je doet een root-cause analysis, en komt tot de conclusie dat er vanuit de politiek te weinig middelen beschikbaar zijn gesteld, en stuurt de verantwoordelijke minister weg. Alleen in de huidige politieke cultuur geld, je kunt wel 10 keer demissionair zijn, daarmee ben je nog niet weg, en iedereen lijkt het prima te vinden zo.

            1. Ja nee, dat gaat niet. Als ze niet voldoende middelen hebben om aan de eisen te voldoen dan kan die IT-dienst dus niet live gezet worden. Als een of andere manager of verantwoordelijk bewindspersoon daartoe toch opdracht heeft gegeven dan zijn die verantwoordelijk.

              Je kan ook niet een tunnel graven en dan daarna niet de brand- en andere veiligheidssystemen installeren en dan toch de tunnel openen voor verkeer. Zonder veiligheidssystemen kan de tunnel niet open, punt.

              1. Ik denk dat je in deze altijd de afweging moet maken tussen de schade van de ingreep en de schade van niets doen, zowel de kool en de geit sparen gaat vaak niet. Medici maken regelmatig dit soort afwegingen. Bestralen is slecht, kanker is nog slechter, dus dan maar bestralen. Privacyinbreuk is slecht, minder effectief pandemie bestrijden slechter, dan maar bestrijden ten koste van wat privacy. Boete is contraproductief en saboteerd het effect, dus boete voor de ICAM voor frustreren pandemiebestrijding.

                1. Dat kan toch niet daadwerkelijk zijn hoe je het wil hebben? Het fundamentele principe van een rechtsstaat is dat de overheid zich ook aan de wet houdt. Ook als dat even wat minder praktisch is. Die zorgvuldigheidseisen zijn vastgelegd in wet- en regelgeving, dus moeten ze zich daaraan houden. Het zal best dat het praktisch en efficient is om je niet aan de wet te houden als overheid maar dan kan je niet meer beweren een rechtsstaat te zijn (of we dat gezien de huidige stand van zaken daaromtrent uberhaupt nog zijn is een andere discussie, maar goed, laten we het niet nodeloos nog complexer maken). De afwegingen die medici maken bij het kiezen tussen behandelingen berusten op hele andere gronden, die kan je niet vergelijken met het wel of niet aan de wet houden. Overigens vind ik het ook een valse tegenstelling om te zeggen dat effectief pandemie bestrijden haaks zou staan op beschermen van de privacy. Bij de inrichting van die systemen zijn gewoon de juiste dingen niet gedaan. Het is echt niet zo dat als je de “laat alle medewerkers alle data mogen exporteren” functionaliteit uitzet dat je dan ineens totaal niet meer in staat bent om de pandemie te bestrijden. De meest essentiele, eenvoudige, basismaatregelen zijn niet genomen, en er was genoeg tijd om dat wel te doen, gewoon tijdens het ontwerpen, bouwen en inrichten van die systemen. Het is niet zo dat er maar een mogelijkheid was om het virus te bestrijden, en dat dat helaas betekende dat alle gegevens van burgers op straat gegooid moesten worden.

                  1. Het aloude principe is toch “nood breekt wet” — waarbij we natuurlijk wel achteraf gaan kijken of wat er gebeurt is wel redelijk, volgens de op dat moment aanwezige kennis, afgehandeld hebben, en bij voorkeur kijken of we de wet voor de toekomst wel flexibel genoeg kunnen maken. In principe hebben we binnen de wet nu al situaties waarin we een noodtoestand kunnen uitroepen, alleen daar zat pandemie nog niet goed genoeg in. Dat moet dus wel een keer (en liefst zo snel mogelijk) een keer gebeuren.

                    1. “Nood breekt wet” is een goed idee bij iets dat totaal onverwachts komt, waar geen wetten voor zijn, of waar de bestaande wetten niet tegen opgewassen zijn. Daar is overigens ook een wet voor, dat is inderdaad die wet die gaat over het uitroepen van de noodtoestand.

                      Bij het ontwikkelprocess van een applicatie waar 9 maanden aan gewerkt is kan je “nood breekt wet” niet meer gebruiken om goed te praten dat alle best practices en regels zijn overtreden.

            2. En als er wél voldoende budget was, maar werknemers zich onverantwoordelijk hebben gedragen?

              Als er langs een weg een bordje 50 hangt en iedereen, of minstens een deel van de weggebruikers, rijdt 80, is er dan te weinig geïnvesteerd in beveiliging om te voorkomen dat er 80 kan worden gereden of zijn de weggebruikers onverantwoordelijk door het bordje te negeren?

  3. In dit soort zaken gaat het niet om miljoenen, maar miljarden. 6 miljoen personen in lek * 500 euro is 3 miljard. Iedereen doet mee, tenzij opt-out, dus niet afhankelijk van inschrijving. Dan klopt die 20% van advocaten niet. 20% is doorgaans wat de investeerder (bijv. hedge fund) krijgt bij toewijzing. Een stichting (zie WAMCA) betaalt de advocaten, de stichtting wordt gefinancierd door het fund. De advocaten, krijgen tien/honderd duizend(en) euro’s, ik denk niet miljoenen.

  4. We kunnen dit geheel benaderen vanuit de privacy wetgeving en volgens mij valt dit ook gewoon onder Informatie Beveiliging en de GGD gaat om met data, die nou niet echt de verkoop data van de plaatselijke groenteboer zijn. Privé en medische data lijken mij onder de allerhoogste BIV/AIC code te vallen. Hoezo lijstjes maken en te koop zetten? Een AIC 333 systeem, die even een .csv produceert. Wat is de doel binding? Dat zijn de vragen, die men van een medewerker van de GGD danwel een inhuur bedrijf zou moeten eisen met een functionaris , die dit gelijk kan beantwoorden. Blijkbaar is het ook een Way of Working met data bij de GGD, dat dit heeft kunnen gebeuren. De Informatie Beveiliging gewoon goed inrichten met alle “lastige ” regeltjes zal het norm besef ( ik zal correct omgaan met andermans gegevens!) wellicht wat beter doen landen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.