Kun je miljoenen eisen van de Staat voor GGD-datalekken?

| AE 13054 | Privacy | 19 reacties

stevepb / Pixabay

De miljoenen slachtoffers van het datalek bij de GGD moeten honderden euro’s schadevergoeding krijgen, zo eist de stichting ICAM die een collectieve rechtszaak tegen het ministerie van Volksgezondheid is gestart. Dat meldde Security.nl onlangs. Eerder dit jaar bleek dat callcentermedewerkers van de GGD privégegevens van ruim 6,5 miljoen Nederlanders te koop aanboden via berichtendienst Telegram. De claim komt neer op 500 euro per potentieel getroffen persoon en €1500 voor bewezen lekken. Kan dat zomaar?

Massaclaims wegens privacyschendingen zijn een relatief nieuw begrip. Sinds de AVG staat vast dat je je schade vergoed kunt krijgen als je persoonsgegevens worden misbruikt of gelekt, maar het grote probleem is nog steeds wat die schade dan moet zijn. Een tientje is een bedrag dat iedere rechter wel zou willen toekennen denk ik, maar daarvoor ga je niet naar de rechter. Vijfhonderd euro is een logischer bedrag, maar dan kijken rechtbanken skeptisch: kunt u dat onderbouwen, het liefst met bonnetjes?

Bonnetjes komen bij zaakschade (de deuk in de auto van de collega) wel aan de orde, maar bij immateriële schade zoals potentiële problemen bij datalekken is dat niet echt een optie. Je zou echt concreet facturen van vervangen pinpassen moeten aandragen, een credit monitoring dienst of noem eens een optie – en daar zit hem het probleem, want wat kún je als je data gelekt wordt? Helemaal niets, en meestal merk je er ook niet (direct) iets van. En heel cru gezegd dan heb je dus geen schade.

Nee, daar klopt iets niet. En dan is het wel logisch om bedrijven bij de les te houden door dit soort claims. Vele kleintjes maken een grote, en hopelijk worden bedrijven die data lekken daar wél bang van. Daarom zijn dit goede stappen.

Natuurlijk is het wat lastig dat het hier gaat om een overheidsinstantie, namelijk de GGD. Stel dat die moet betalen, dan zal dat uit overheidsmiddelen gebeuren. En dan is het logisch te denken dat we dat volgend jaar terugzien in de belastingaanslag. Dus het sentiment “duurbetaalde advocaten pakken 20% van geld dat wij opbrengen” snap ik wel.

Zo direct kun je het wat mij betreft niet stellen. Het is zeker niet zo dat als de GGD een miljoen moet betalen, zij fluitend de hand ophouden bij Financiën die dan de tweede schijf 0,0001% verhoogt om het goed te maken. Eerder gaat dit uit het budget voor volgend jaar, of uit de reserves die de GGD zou hebben. Dat doet ook pijn want dan functioneert de gezondheidsvoorziening nog slechter.

Aan de andere kant: hoe moet je dan wél een overheid bij de les houden als grote groepen mensen schade (kunnen) leiden door hun wan-ICT?

Arnoud

TikTok voor de rechter: moet het bedrijf miljarden betalen aan kinderen?

| AE 12928 | Privacy | 15 reacties

De Consumentenbond en de stichting Take Back Your Privacy (TBYP) eisen van TikTok een schadevergoeding van 2 miljard euro, zo las ik bij Nutech.nl. Het gaat om een bedrag van 1500 euro per kind onder de dertien, 1250 voor 13-16 jarigen en 1000 euro per zestienplusser (leeftijd toen je begon op TikTok). Het is natuurlijk nog vrij vroeg, maar wat is de kans van slagen?

De kern van de zaak is natuurlijk dat TikTok de AVG heeft overtreden. Bijvoorbeeld door kinderen zomaar toe te laten op haar platform, door niet transparant te zijn over wat ze met kindergegevens doet en door gepersonaliseerde advertenties te vertonen op basis van profielen van die kinderen. Ik geloof niet dat er serieuze discussie is over of TikTok zich aan de wet hield.

De hamvraag is natuurlijk: wat kost dat nou, zo’n schending? Daar geeft de AVG geen antwoord op. Die zegt alleen dat schade moet worden vergoed, maar niet dát er schade is laat staan hoe veel die zal zijn. Dat is iets voor het nationale recht, ieder land moet dat zelf bepalen.

Nederland is terughoudend daarbij. In “Amerikaanse toestanden” hebben wij heel lang geen zin gehad, het is pas vrij recent dat een belangenorganisatie zoals de Consumentenbond geldbedragen kan eisen namens haar achterban. Meer dan een “verklaring voor recht”, een rechterlijke conclusie dat iets niet mag, kon men niet voor elkaar krijgen.

Er is eigenlijk nog geen jurisprudentie over wat privacyschade, immateriële schade, zou moeten kosten. We hebben een aantal probeersels gehad, en daaruit is met name naar voren gekomen dat je meer moet doen dan je dikke duim in de lucht steken en een bedrag roepen. Voor gewone persoonsgegevens zijn diverse claims afgewezen, eigenlijk altijd met het argument dat onderbouwing ontbreekt.

In de context van medische persoonsgegevens is 500 euro eens toegewezen, en zeer recent maar liefst 2.500 euro voor structurele onzorgvuldige omgang met zulke gevoelige gegevens. En dat biedt misschien een haakje: gegevens van kinderen worden ook als gevoelig gezien, dus daar zou je eerder schade mogen aannemen dan bij gewone gegevens van grote mensen. (Maar het is natuurlijk niet zo dat gegevens van kinderen juridisch net zo gevoelig zijn als medische gegevens.)

Ik blijf erbij: tijd voor tabellen met schadebedragen, het liefst jaarlijks gepubliceerd door de Autoriteit Persoonsgegevens.

Arnoud

Mogen winkels preorders van grafische kaarten annuleren omdat de fabrikant de productie stopt?

| AE 12618 | Ondernemingsvrijheid | 21 reacties

Webwinkels als Azerty en Alternate melden klanten die de RTX 3080 Gaming X Trio 10G van MSI besteld hadden, dat ze deze niet meer gaan leveren. Dat las ik bij Tweakers. Alternate geeft aan: “Helaas heeft MSI besloten om de RTX 3080 Gaming X Trio 10G niet meer te produceren. Door dit besluit, dat buiten onze macht ligt, is levering van dit product onmogelijk geworden.” Pijnlijk voor hele hordes mensen die vijf maanden op een wachtlijst hebben gestaan, nadat de eerste batch van deze kaarten snel uitverkocht bleek en er nu dus geen nieuwe gaat komen. Mogen winkels dat, en kun je wat claimen?

Hoofdregel uit het overeenkomstenrecht is natuurlijk dat je moet leveren wat je belooft. (Iedere advocaat leert dat je het pleidooi dan opent met Pacta Sunt Servanda. Rechters weten dan dat het een lange dag gaat worden.) Dat waren die webwinkels natuurlijk ook van plan, alleen als de fabrikant dan vijf maanden lang je aan het lijntje houdt en daarna mededeelt dat ze toch niet meer komen, dan houdt het op.

Je schiet dan tekort, je levert niet wat je had beloofd. Dat is ook onmogelijk, die kaart is er niet meer op de markt. Feitelijk noem je dat overmacht (handelen van fabrikant MSI is geheel buiten de macht van webwinkel Azerty) maar juridisch gezien kun je daar fors wat vraagtekens bij zetten. Een fabrikant lijkt mij formeel een “hulppersoon” en diens handelen wordt jou toegerekend. Anders gezegd, het is niet mijn probleem dat jij het een ander laat produceren en dat jij geen afspraken maakt over gegarandeerde levering.

Maar hoe dan ook, die grafische kaart ga je niet krijgen. Natuurlijk krijg je je geld terug, maar menig Tweaker zal nu denken of er meer te halen is. Schadevergoeding dus. Maar dan krijg je – omdat het consumentenrecht is – meteen de vraag wat je schade is. Dingen als “ik had vijf maanden crypto kunnen minen” of “ik heb niet kunnen thuiswerken als zzp’er” gaan niet op, dat is te speculatief en daar hoeft een winkel geen rekening mee te houden.

Iets reëler is “ik moet nu een andere kopen en die is duurder, compenseer me het prijsverschil”. Juridisch noem je dat vervangende schadevergoeding (art. 6:74 lid 1 BW). Ik zie daar vooral praktische problemen mee: weliswaar zijn andere kaarten duurder (want de hele markt voor grafische kaarten is krankzinnig vanwege milieuvervuilende cryptospeculanten) maar het is per kaart niet zó veel duurder dat een rechtszaak de moeite waard is. Nog even los van hoe je dan bepaalt welke kaart vergelijkbaar genoeg is om als het alternatief te gelden.

(De voorwaarden van die webwinkels zijn verder totaal niet interessant want dit is allemaal dwingend consumentenrecht.)

Arnoud

 

IT’ers die ov-chipkaart kraakten moeten schade vergoeden, maar hoe veel is die dan?

| AE 12021 | Regulering | 41 reacties

Twee mannen die regelmatig reisden met gehackte ov-chipkaarten krijgen een taakstraf van 120 uur, las ik bij Tweakers. Ze hadden bestaande kraaksoftware gevonden en verbeterd, waardoor hun excuus van “geïnteresseerd in hoe dat werkt” niet werd geaccepteerd. Ze reisden ook zo’n anderhalf jaar met de gehackte kaarten, en moeten daarom TLS een schadevergoeding betalen van… Lees verder

Dutch Filmworks gaat in oktober illegale downloaders opsporen en laten betalen

| AE 9632 | Intellectuele rechten | 94 reacties

Filmdistributeur Dutch Filmworks heeft aangekondigd illegale downloaders van films vanaf oktober op te sporen en te laten betalen via een schikkingsvoorstel. Dat meldde Tweakers vorige week. De filmmaatschappij is al eventjes bezig, onder meer begin deze maand met toestemming van de privacytoezichthouder om IP-adressen aan NAW-gegevens te mogen koppelen van mensen die torrenten. Maar ik… Lees verder

KPN aansprakelijk voor verloren clouddata, ondanks algemene voorwaarden

| AE 6739 | Informatiemaatschappij | 18 reacties

Cloudprovider KPN moet een schadevergoeding betalen voor in de cloud (online backup) opgeslagen gegevens die bij een accountmigratie verloren zijn gegaan. Hun algemene voorwaarden die hun aansprakelijkheid beperken, zijn onredelijk bewarend. Dat bepaalde de rechtbank Den Haag in een onlangs gepubliceerd vonnis (via). De eiser uit deze zaak had een eenmanszaak gericht op fysiotherapie, sportmassage… Lees verder

Gebruiksvergoeding bij terugsturen defect product?

| AE 2516 | Ondernemingsvrijheid | 28 reacties

Moet je een gebruiksvergoeding betalen als een aankoop niet goed werkt? Nee, zei het Europese Hof in 2009. Maar veel Nederlandse winkeliers doen alsof hun neus bloedt en rekenen gewoon een vergoeding als je een defect product retourneert. Vorige week wees Alex me op een al wat ouder maar nog steeds interessant vonnis waarin ook… Lees verder

Geen richtprijzen, wel schadevergoeding voor gebruik creatieve pasfoto

| AE 2157 | Intellectuele rechten | 10 reacties

Vijftienhonderd euro voor een pasfoto “die niet geschikt is voor de officiële documenten, maar wel érg leuk is!” Dat moest Ringfoto betalen nadat ze een via Google gevonden pasfoto op haar site had opgenomen. Er was 4500 euro gevorderd exclusief proceskosten. De rechter wijst de “richtprijzen van de Fotografenfederatie” af als basis en wijst 1500… Lees verder