Het Nederlandse Uitvoeringsinstituut Werknemersverzekeringen moet een schadevergoeding van 500 euro betalen aan een vrouw die schade ondervond vanwege een datalek. Dat las ik bij Tweakers. Het is opzienbarend want het gebeurt zelden, maar in zoverre weinig nieuws want het ging om medische gegevens. Veel méér weten we alsnog niet.
In 2021 stuurde het UWV vijf brieven die voor haar bestemd waren naar een verkeerd adres. Hoe dat kon gebeuren wordt niet duidelijk, maar dat het een datalek was onder de AVG daar waren partijen het wel over eens.
Bij datalekken kun je schade lijden, zeker als het gaat om datalekken van medische gegevens. Onderbouwen om welk bedrag het gaat is een discussie waar het laatste woord nog niet over gezegd is. De vrouw in deze zaak claimde uiteindelijk 3000 euro, het UWV bood 250 euro aan. Daar kwam men dus niet uit, waarna de rechter de knoop moest doorhakken.
De rechter kijkt, zoals dat hoort, naar dit specifieke geval.
De post die verweerder naar een verkeerd adres heeft gestuurd, bevatte procedurele aanschrijvingen en medische gegevens. Eiseres heeft daardoor termijnen overschreden, waar zij angsten door kreeg. De medische gegevens kwamen op straat te liggen. Er dient in het bijzonder rekening te worden gehouden met de psychiatrische klachten die eiseres heeft, waardoor de door de datalek veroorzaakte problemen een grotere impact hadden op eiseres dan zij zouden hebben gehad op gezonde mensen.(De brieven waren ongeopend retour gekomen, maar dat is geen argument; het gaat om de gevolgen van het verkeerd sturen van de post en niet om de gevolgen van het misbruik van de inhoud van de post.)
Met name de impact op deze mevrouw vanwege haar klachten weegt de rechter de schade af naar redelijkheid en billijkheid op 500 euro:
De rechtbank is van oordeel dat een schadevergoeding van € 500,- billijk en passend is. Daarbij heeft zij met name gewicht toegekend aan de gevolgen die het datalek heeft gehad op de psychische problemen van eiseres, zoals eiseres die heeft beschreven in haar verzoek van 3 augustus 2021. De behandelend psycholoog van eiseres bevestigt deze problemen in haar rapport (…).Inderdaad, precies dat bedrag dat die andere persoon ook kreeg in een medisch geval. En daarom is dit in zoverre jammer: er staan geen nieuwe argumenten in waar je wat mee zou kunnen in bijvoorbeeld een massaclaim, die er ondertussen een klein dozijn liggen.
Arnoud
Het kan aan mij liggen, maar dat is toch wel een beetje een vreemd argument.
De overtreding is er, maar omdat het slachtoffer toevallig bij een minderheid met psychiatrische klachten behoorde is de boete hoger? (En sowieso: sinds wanneer geldt: psychatrische problemen = grotere impact van datalek?)
Voelt voor mij wat krom aan.
Ook: De gegevenbeheerafdeling/brievenstuurafdeling van UWV was vast niet op de hoogte van die psychiatrische klachten (mag ik toch hopen), dus ze konden daar toch nooit rekening mee houden?
Als jij een andere auto aanrijdt en dat blijkt toevallig een hele dure om te repareren, dan betaal jij meer schadevergoeding dan wanneer je een oud Fiatje aanrijdt. Schop je een dure Mingvaas om, dan moet je meer betalen dan wanneer het een stenen beeldje van de Blokker was. Het maakt niet uit of jij wist of kon weten dat er een dure auto aankwam of dat de vaas uit de Mingdynastie komt dan wel vorige week afgebakken is. Waarom maakt dat bij psychische klachten dan wel uit?
Het gaat om schade, en daarbij is immaterieel net zo zeer schade als bij materieel. En als je nu denkt, iedereen kan wel roepen psychisch geraakt te zijn: dit gebeurt dus pas na controle en diagnose door een daartoe aangewezen specialist. Net zoals bij autoschade er een specialist komt die zegt dat overspuiten 2.500 euro kost.
Ja, je hebt gelijk. Ik heb die schadevergoeding altijd meer gezien als een tik op de vingers van de overtreder, als een boete dus eigenlijk, dan als een vergoeding van de daadwerkelijke schade van de benadeelde. Tunnelvisie bij mij dus.
Dit komt ook omdat, zoals je zelf al vaak aangegeven hebt, de schade moeilijk in een getal is uit te drukken. Ook van mij zijn er wel eens gegevens gelekt via hacks bij webwinkels etc., die gelukkig nog nooit met succes misbruikt zijn (zover ik weet), maar het feit dat die gegevens rondzwerven, dat iedere email verdacht is, dat ik me moet vrijwel dagelijks moet uitschrijven van mailinglists waar ik me nooit voor heb ingeschreven, dat ik spam krijg die ik moet deleten, dat ik een spamfilter moet hebben (met het kleine risico dat een eerlijke mail ook geblokkeerd wordt), etc, dat is allemaal schade, maar je kunt er geen getal op plakken, en het is ook niet allemaal toewijsbaar aan een enkel lek.
Daarom vind ik dus ook dat er wettelijk forfaitaire schade aan datalekken gehangen moet worden.
Ik zou daar heel erg mee oppassen in verband met het Cobra Effect. Als je een belonging gaat uitloven voor datalekken stimuleer je mensen om overal hun privacygevoelige informatie achter te laten, en dat zal zich vast niet gaan beperken tot alleen hun eigen informatie. Toen gemeenten binnen x tijd op bepaalde vragen moesten gaan reageren kreeg je mensen die daar misbruik van gingen maken.
https://hatrabbits.com/cobra-effect/
Een forfaitaire schadevergoeding bij en datalek zal er ook toe leiden dat beheerders van databases veel kritischer naar hun gegevensbeveiliging gaan kijken. En als we organisaties bij ongerechtvaardigde verweking van gegevens een vergelijkbaar bedrag aan schadevergoeding laten betalen dan zullen de meeste databrokers Nederland links laten liggen.
Maar of die forfaitaire vergoeding wettelijk geregeld moet zijn weet ik niet. Een vergoedingenlijst mag ook vanuit de rechtspraak samengesteld worden.
In dit specifieke geval zie ik geen cobra-effect.
Er zit namelijk een partij tussen (i.e. het bedrijf dat de forfaitaire schade moet gaan betalen) die er belang bij heeft dit te minimaliseren, en het feit dat er mensen cobra’s gaan kweken maakt alleen maar dat die partij nog meer reden heeft om het goed op orde te hebben.