Het standaardvoorbeeld van een “datalek in het klein”: een Excelbestand met een berg mensen hun gegevens, rondgemaild naar die hele berg. Ergerlijk, vervelend maar “in het klein” want het zal zelden meer zijn dan een paar honderd mensen en gaat meestal om basale gegevens. Zoals je naam, 06 en huisadres naar de dertig mede-ouders van de schoolklas. Maar wat nu als het gaat om 1100 mensen en dan ook je jaarinkomen, eigen vermogen en hypotheek van een te kopen huis? Dat kan dus 250 euro kosten, aldus de rechtbank Rotterdam.
Aanleiding was het nieuwbouwproject ‘Koningskwartier’ in Zevenhuizen in 2021. Ongeveer 1100 mensen hadden zich met interesse gemeld, en daarbij allerlei financiële gegevens verstrekt zoals gewenste koopsom, maximaal te lenen bedrag en jaarinkomen, naast natuurlijk naam en contactgegevens. En toen kwam een dikke vinger:
Op 12 april 2021 heeft [gedaagde] een e-mail verzonden aan alle personen die zich hebben ingeschreven voor het project Koningskwartier. Bij deze e-mail heeft [gedaagde] een onbeveiligd Excelbestand gevoegd met daarin de gegevens van alle ongeveer1100 personen die zich hebben ingeschreven voor het nieuwbouwproject.Auw. Ja, een minuut later probeerde men dit in te trekken maar dat werkt eigenlijk nooit buiten de eigen organisatie. Datalek dus. Diezelfde avond is iedereen nagemaild met de vraag het bestand te wissen, maar dan is het kwaad natuurlijk al geschied.
Een van de getroffenen ondervoer naar eigen zeggen zo veel overlast dat hij een nieuwe mobiele telefoon moest aanschaffen. De kosten daarvan (750 euro) claimde hij als schade bij de organisatie. Die wilde dat niet betalen, waarop een rechtszaak ontstond. Kern van die zaak was natuurlijk hoe je de schade nu precies onderbouwt. Die 750 euro wordt bijvoorbeeld afgewezen, omdat een nieuwe telefoon het probleem niet oplost (immers met nummerbehoud overgestapt) en het nummer van de man bovendien op onder meer zijn Linkedin vermeld stond.
Eerder hadden we een duidelijke afwijzing, geen 500 euro schadeclaim enkel omdat de AVG is geschonden. Je moet nog steeds aantonen dat er schade is. Dat lukte in één zaak, omdat het daar ging om medische gegevens en het dan “voor de hand lag” dat dit tot schade zou lijden. De rechtbank hier noemt deze zaken niet, maar lijkt wel hetzelfde te redeneren: omdat het gaat om gevoelige financiële gegevens die ook nog eens bij (waarschijnlijk) toekomstige buren terechtgekomen zijn. Dan is schade (reputatieschade, lastig gevallen worden met verzoeken om geld, kwetsbaarheid) wel te voorzien. Daarom kent de rechtbank hier 250 euro schadevergoeding toe.
Een kleine opsteker dus weer voor al die mensen die dachten dat schadevergoeding er onder de AVG niet in zit. Het kan wel, maar het moet wel echt om een pijnlijk datalek gaan. En hoe je dat precies onderbouwt, dat blijft nog onduidelijk.
Arnoud
…dat dit tot schade zou lijden?
Heb het het nog gekker meegemaak: -Kreeg in een dagvaarding over een energieschuld en A4 meegestuurd met namen, schuldbedragen, bankrekening nummers, email adressen en telefoonnummers etc. Allemaal van mensen die in bij de zelfde schuld opkoop ronde gekocht waren. Heb er stampij van gemaakt, tijdens de zaak vroeg de tegenpartij of ik daar nu stil over zou blijven. Toen ik aangaf dat het bij een journalist lag en dat er niets zou gebeuren als het niet vaker voorkwam trokken ze wit weg. -Bij een andere civiele zaak kreeg ik ook het dossier van een willekeurige andere persoon bij de dagvaarding.
Beide keren vermoedelijk “juridische dozen schuivers”, maar de onzorgvuldigheid vond ik beschamend.
Hmm. Er is geen bijzondere omstandigheid waarom alleen deze specifieke eiser aanspraak op €250 mag maken. Dus dan kunnen de andere 1099 eenzelfde claim gaan leggen?
Dit kost dus NU nog maar €250, maar zou op kunnen lopen tot meer dan €250000.
ik vind het eigenlijk nog weinig, die 250 €. Als iemand je 250€ biedt om te weten wat je inkomen en vermogen is, ga je daar dan op in? 99% van de mensen ongetwijfeld niet, dus de schade is veel groter.
Schade is iets anders dan waarde, of niet?
Nou nee. De schade is het niet-ontvangen van waarde die je als je het had aangeboden op de vrije markt wel had kunnen ontvangen.
Als ik een Van Gogh van jou kapot maak, is jou schade miljoenen, niet slechts 1000€ voor een doek en wat tubes verf en 8 uur van een vakbekwame kunstschilder.
‘En toen kwam een dikke vinger:’
Nee, die dikke vinger was niet de fout. De fout was de managementbeslissing om een excelsheet met alle info te maken. Daar was ten eerste vast geen AVG grond voor en ook geen toestemming.
En ten tweede is dat natuurlijk het afroepen van ellende. Is het niet door een emailfout, dan wel door een uitzendkracht die de excelsheet kopieert, of door cut-and-paste fouten die daarmee gemaakt kunnen worden (een rijtje te hoog of te laag)
Ik denk echt: hoe kun je zo dom zijn, een excelsheet maken met de inkomens en vermogens van 1100 met name genoemde mensen!
Moet een betrokkene dan toestemming geven om in een Excel-bestand opgenomen te worden?
Ik vind er wat voor te zeggen. Bij inbreuk op auteursrecht is de gederfde licentie-opbrengst ook de gebruikelijke schatting van de schade.
Lijkt me wel. Ik citeer uit het vonnis:
‘ In 2021 konden personen die belangstelling hadden voor de eventuele koop van een nieuwbouwwoning zich via een website inschrijven als kandidaat-koper. Ongeveer 1100 personen, onder wie [eiser] , hebben van die mogelijkheid gebruik gemaakt. Bij deze inschrijving werden diverse vertrouwelijke, persoonlijke gegevens van de belangstellenden verzameld. ‘
In zo’n geval verwacht je redelijkerwijs als kandidaat koper dat de door jou aangeleverde gegevens geanalyseeerd worden en dat je op een ja-stapel, een nee-stapel, of een misschien-stapel wordt neergelegd (of desnoods een score van 1 tot 100 krijgt), niet dat de gegevens tot in de eeuwigheid bewaard en geanalyseerd worden.
Je geeft ze met als doel dat de verkoper jouw aantrekkelijkheid als kandidaat-koper kan evalueren. Meer niet. Als die analyse gedaan is, moeten de gegevens, wegens: geen doelbinding, sowieso gedeleet worden. En voor die analyse is het niet nodig de gegevens in een excel sheet op te nemen samen met de gegevens van alle andere kandidaten.
Het enkele feit dat Piet Jansen een aankoop overweegt is al vertrouwelijk (want potentieel marktverstorend). En al de rest is dat driedubbelop.
Die verkoper die heeft, voor zover ik kan inschatten, een extreem ouderwetse en verdorven houding over netjes en beschaafd zakendoen. Ik zou al niet eens meer een huis van hem WILLEN kopen.
M’n punt was dat men toestemming geeft voor de verwerking onafhankelijk van of dit ik een database of in een Excel-bestand is.
Dat is maar helemaal de vraag.
Hebben ze wel expliciet toestemming gegeven, of hebben ze de gegevens alleen gegeven omdat het nu eenmaal nodig was voor het (waarschijnlijk) opgegeven doel: geschikheid als kandidaat-koper evalueren.
En hebben ze wel echt toestemming gegeven? Toestemming moet vrijwillig, goed geinformeerd, en op elk moment terug te trekken (zonder nadelige gevolgen) zijn, ander is het geen toestemming onder de AVG. Dus het lijkt me sterk dat de verkoper toestemming heeft gevraagd. Want dan zou de kandidaat-koper die toestemming kunnen terugtrekken zonder nadelige gevolgen (zoals: niet mee in aanmerking komen om te kopen)
En waarvoor hebben ze dan precies toestemming gegeven? Onder de AVG moet toestemming specifiek zijn, niet van ‘hier heb je mijn gegevens, doe er mee wat je wilt’.
Toestemming zonder duidelijke aanduiding waarvoor die toestemming geldt, is geen toestemming onder de AVG, om het maar zwart-wit te stellen.
Als gegevensverwerker moet je in theorie IEDERE detailverwerking kunnen verantwoorden: binnenkrijgen, kopieren in een ander bestandsformaat, samenvoegen met andere gegevens, inzien door medewerker X, reclamemailing sturen, bewaren langer dan strikt nodig is, archiveren, deleten, noem maar op. Je mag eigenlijk niks, tenzij je een goede, en bovendien gedocumenteerde reden hebt.
Ik reageerde enkel op de post die suggereerde dat er toestemming nodig is voor het maken van een Excelletje. Toestemming is één van de grondslagen voor rechtmatige gegevensverwerking. Ik heb niet gezegd of toestemming de grondslag was en zo ja, of de toestemming op de juiste manier verkregen is.
Fundamenteel is er natuurlijk geen verschil tussen een Excel en een database (behalve dat de gemiddelde leek zonder probleem info uit een excel haalt en niet uit een database).
Of er toestemming nodig is, dat ligt er natuurlijk aan wat het gecommuniceerde doel is, maar mijn basis-standpunt is dat je gemakkelijk de geschiktheid van een kandidaatkoper kunt evalueren ZONDER de info van iedereen bij elkaar te zettten, maar door de info van iedereen individueel op te slaan en te verwerken tot een score (en desnoods over een maand nog eens via een andere berekening.)
Samen in een excel zetten is gewoon de goden verzoeken.