GGD’s bieden 1250 slachtoffers van datalek schadevergoeding van 500 euro aan

GGD GHOR Nederland heeft via een brief 1250 mensen een schadevergoeding van 500 euro aangeboden, zo las ik bij Tweakers vrijdag. Het gaat om slachtoffers van een enorm datalek bij de GGD van vorige zomer, waar onder meer claimstichting ICAM bovenop sprong. Het bedrag van 500 euro hebben we eerder gezien bij de rechter, maar wordt hier als schikkingsvoorstel aangeboden. Hoe zit dat juridisch?

Massaclaims wegens privacyschendingen zijn een relatief nieuw begrip. Sinds de AVG staat vast dat je je schade vergoed kunt krijgen als je persoonsgegevens worden misbruikt of gelekt, maar het grote probleem is nog steeds wat die schade dan moet zijn. Een tientje is een bedrag dat iedere rechter wel zou willen toekennen denk ik, maar daarvoor ga je niet naar de rechter. Vijfhonderd euro is een logischer bedrag, maar dan kijken rechtbanken sceptisch: kunt u dat onderbouwen, het liefst met bonnetjes?

Specifiek bij datalekken met medische gegevens is daar sinds een tijdje een weerwoord op: de Raad van State bepaalde in april 2020 dat 500 euro voor zo’n lek best billijk is:

Voor de verwerking van bijzondere (gevoelige) persoonsgegevens als bedoeld in artikel 9 van de AVG, is in de AVG een hoger beschermingsniveau is neergelegd dan voor gewone persoonsgegevens. De nadelige gevolgen van de verstrekking van de gevoelige persoonsgegevens liggen voor de hand.
Dit was dan weer een uitzondering op de hoofdregel dat je echt moet hardmaken dat je schade hebt geleden, en alleen “de AVG is geschonden” of “die beveiliging was zo enorm prut” of zelfs “ik lees overal dat deze data op het dark web verhandeld gaat worden” gaat je niet helpen.

In maart werd 250 euro toegekend voor een datalek met financiële gegevens. Daar zaten ook weinig bonnetjes bij de onderbouwing, maar de rechter vond het ook hier logisch dat schade te verwachten is gezien de ernst van deze gegevens. Kennelijk is het criterium dus meer hoe gevoelig de gegevens zijn dan iets anders.

Je kunt als getroffene dit bedrag accepteren. Maar let op: je bent dan voor eeuwig klaar met deze zaak – in juridische taal ‘finale kwijting’, als later blijkt dat je meer of andere schade hebt dan krijg je die niet meer vergoed.

Arnoud

16 reacties

  1. Ik vind het een best forse vergoeding. Wij werken dagelijks met de gegevens van honderduizenden mensen en heel zorgvuldig maar als daar onverhoed een lek mee zou voor komen dan was het onbetaalbaar. Dit gaat issues opleveren met verzekeringen en dergelijke. Ik weet niet of organisaties die zeer privacygevoelige gegevens van de overheid beheren daar nog wel mee om kunnen gaan.

    1. Ik vind het helemaal niet zoveel. Dit gaat niet over een theoretische mogelijkheid dat iemand aan je telefoonnummer zou kunnen komen of zou kunnen weten of je drie jaar geleden een nieuw dekbed besteld bebt, maar over het daadwerkelijk actief stelen van medische dossiers.

      De GGD (overheid notabene!!) heeft ten eerste de mensen die aan de gegevens kunnen onvoldoende gescreend (als je daar de goedkoopste call-centre medewerkers op een minimumloon opzet, kun je verwachten dat er wat rotte appels tussen zitten), en ten tweede veel te weinig toezicht gehouden (hoe kun je in hemelsnaam 150 foto’s van dossiers nemen op een dag zonder dat je baas of collega’s dat in de gaten hebben?).

      Dit lijkt voor mij niet op een professionele organisatie die toevallig nog een lekje had, maar meer op bewuste nalatigheid.

      Als je je mensen goed betaalt en goed traint, zodat ze niet zwichten voor de eerste de beste die ze een paar honderd Euro aanbiedt, ben je al een heel eind. En als je je mensen KENT, in plaats van uitzendkrachten aan te nemen met wie weet wat voor financiele problemen of criminele connecties, ben je ook al een stuk verder.

      1. Het gaat niet om volledige medische dossiers maar om persoonsgegevens met betrekking tot testafspraken en vaccinaties voor Corona met BSN en NAW gegevens. Ik zie weinig schade ontstaan door deze specifieke medische informatie in een tijd waarin al heel heel veel mensen getest en gevaccineerd zijn. Eigenlijk is het lekken van de niet medische informatie misschien wel het ergste aan deze diefstal en die informatie ligt op honderden, zo niet duizenden plekken vast in Nederland. https://ggdghor.nl/thema/vragen-antwoorden-datadiefstal/

        1. Onafhankelijk van wat er precies gelekt is, blijft het signifant veel info.

          Het blijft het er voor mij toch naar uitzien dat de GGD niet bepaald voorzichtig is geweest in het screenen en controleren van tijdelijke medewerkers en dat ze nu dan maar op de blaren moeten zitten.

          Als er een Rus of Chinees via een trojan toegang had gekregen tot de data van alle mensen, ipv slechts 1250, had ik dat minder verwijtbaar gevonden dan dit geval. Dat er ergens een Rus of Chinees dat doet, verwacht je bijna.

          Dat de GGD gewoon iemand foto’s laat nemen is voor mij veel onrustwekkender: Het schaadt namelijk mijn vertrouwen in de overheid.

          1. Maar dit is allemaal van de categorie ‘het had niet mogen gebeuren’. Dat is de GGD volledig met je eens, maar daar houdt het op. Iedereen is het met je eens maar dat is niet hetzelfde als dat iedereen vindt dat jij nu een schadevergoeding mag vaststellen.

            1. Ik mag geen schadevergoeding vaststellen, maar ik mag wel een mening hebben of die hoog of laag is.

              Ik denk dat je aan directe schade gemakkelijk die 500 Euro kunt verantwoorden. Je gegevens zijn immers niet in de handen van buitenlandse overheden gekomen die ‘gewoon’ een dataverzameling aanleggen omdat het ooit wel eens handig zou kunnen zijn, maar van bewezen criminelen. Reken een standaard loodgieters-zzp tarief van 50€ per uur. Ik denk dat die mensen er al lang 10 uur in hebben zitten om kennis te nemen van de zaak en de gevolgen te minimaliseren, en dat zal dan nog maar zo-zo gelukt zijn.

              En dan nog jaren in de stress zitten, en iedereen die je benadert wantrouwen? Is dat geen schade?

              Stel de vraag eens andersom: Hoeveel zou een crimineel jou moeten betalen om de gegevens, die de GGD gelekt heeft, van jou te krijgen?

              Wel, dan is bedrag dat je schade.

              1. Ik zou nooit bewust gegevens aan een crimineel verstrekken maar mijn vaccinatiestatus en of wanneer ik getest ben vertel ik tegen iedereen die er naar vraagt. Ik heb overigens alleen de 1e twee prikken gehad want ik december ben ik positief getest voor Corona.

                1. Volgense de ggd info pagina: ‘Deze persoonsgegevens betreffen onder meer naam, adres, telefoonnummer(s), e-mailadres, Burgerservicenummer (BSN), nationaliteit en geboortedatum’

                  Met dat setje kan een crimineel al heel wat. Alles behalve het BSN kan hij waarschijnlijk via social engineering toch wel voor elkaar krijgen.

                  Als die crimineel het wil kopen, weet je dat hij dat met een paar duizend Euro, via open bronnen en een beetje omkoperij, toch wel voor elkaar krijgt. Dus als hij jou, noem eens wat, 5000 € biedt, dan is dat voor jou een goede deal, want jij hebt het geld (en je gegevens zal hij toch wel krijgen, met jouw medewerking of zonder jouw medewerking) en voor hem ook (want hij hoeft geen gemeenteambtenaar om te kopen en vermijdt dus een criminele activiteit).

                  Win-Win! Objectief gesproken dan. (want ik zou het ook niet doen voor 5000€, maar aan de andere kant: ik zie niet zo snel het gat in mijn redenering)

  2. Maar als je stelt ‘500 is te weinig’, dan kan de GGD zeggen ‘oh nee, wat erg, kom maar met de onderbouwing waarom dit jou méér schade dan 500 heeft opgeleverd’. En zoals Arnoud al zegt ‘ik vind het niet fijn’ of ‘het zou kunnen dat’ is niet genoeg.

    Daarom vind ik de stelling dat 500 niet veel is, te snel. Want tenzij je het kunt onderbouwen, is zo’n stelling veel te algemeen.

  3. Ik denk dat ICAM te hoog heeft ingezet met de claim van €1500 per persoon waarvan gegevens gelekt zijn; de €500 die de GGD biedt is (naar mijn gevoel) ook aan de hoge kant van wat een rechter in dit geval zou toekennen. Een vergoeding vragen voor mensen van wie de gegevens niet gestolen zijn wekt op mijn lachspieren… ik heb moeite om het bij giechelen te laten.

    Mijn advies (niet juridisch) is om het aanbod van die €500 te pakken, als je niet kunt aantonen meer schade dan dat geleden te hebben.

      1. De gestolen gelekte gegevens zijn van een beperktere omvang dan in het eerdere vonnis dat €500 schadevergoeding toekende. In dat vonnis werden de gegevens ook actief gebruikt en daarmee was schade aannemelijk gemaakt. Als je de schikking afwijst en meegaat met ICAM loop je het risico dat de rechter een kleiner bedrag toekent (en je bent een deel van de vergoeding kwijt aan juridische kosten.)

        1. Precies dit. We kunnen allemaal roepen dat het vreselijk is, maar onderbouwen dat je méér dan 500 euro schade hebt geleden is echt een ander verhaal. Begin eens met een scenario waarbij iemand met deze gegevens 500 euro aan jou verdient.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.