Een inwoonster van de gemeente Heemskerk krijgt geen schadevergoeding na een datalek in 2019 bij de gemeente. Dat heeft de bestuursrechter van de rechtbank Noord-Holland besloten. De vrouw vroeg om een vergoeding van tweeduizend euro omdat ze stress- en angstklachten zou hebben als gevolg van het incident. De rechtbank vindt dat onvoldoende onderbouwd.
De vrouw had bij de gemeente Heemskerk een bezwaarschrift ingediend op een andere zaak die betrekking had op haar. De gemeente had in die zaak een dossier samengesteld. Daarin stonden haar medische en persoonsgegevens. Voor de behandeling van haar bezwaar had de gemeente dat dossier in juli 2019 naar de leden van de hoor- en adviescommissie gestuurd. Een lid had het dossier echter niet ontvangen, waarmee sprake was van een datalek. De gemeente meldde het datalek bij de Autoriteit Persoonsgegevens en bij de vrouw.
De vrouw stelt dat het idee dat derden over haar medische en overige privégegevens beschikken bij haar tot stress- en angstklachten heeft geleid. Ook vreest ze dat de gegevens voor criminele doeleinden zullen worden gebruikt zoals identiteitsfraude. Zeker nu het dossier vermist is. Zij zal de rest van haar leven extra alert moeten zijn op verdachte brieven, e-mails en pogingen tot phishing, zo stelt zij. Op basis daarvan eiste ze een vergoeding van tweeduizend euro.
Onwaarschijnlijk
Hoewel er een datalek is, vindt de gemeente dat dit niet automatisch tot schade leidt die vergoed moet worden. Ook stelt zij dat het dossier twee jaar geleden zoek raakte en er tot dusver geen aanwijzingen zijn dat gegevens zijn misbruikt. Het is bovendien onwaarschijnlijk dat dat alsnog gebeurd.
De rechtbank gaat er in mee dat niet is gebleken dat de gegevens van de vrouw bij derden terecht zijn gekomen. Zij heeft geen identiteitsfraude ondervonden en geen verdachte brieven, phishingmails of telefoontjes ontvangen die in verband zijn te brengen met het datalek. Ook heeft zij niet met concrete gegevens onderbouwd dat zij door het datalek geestelijk letsel heeft opgelopen. De e-mails van de maatschappelijk werker en de huisarts die de vrouw als onderbouwing heeft aangedragen, zijn onvoldoende. Daarin praat ze alleen over de vermissing van het dossier en de kwestie met de gemeente.
De stelling dat zij stress- en angstklachten heeft waarover zij met derden praat, is onvoldoende om vast te stellen dat er sprake is van geestelijk letsel. Het is zeker onvoldoende om vast te stellen dat haar klachten door de vermissing van het dossier komen. De vrouw had ook al voor de vermissing contact met hulpverleners. De rechtbank concludeert dat de vrouw daarom niet in aanmerking voor een schadevergoeding.
Hier moeten we als de sodemieter van af!
Schadevergoeding uitsluitend ingeval van aantoonbare schade gaat voorbij aan de realiteit.
Een datalek bij de verantwoordelijke dient in alle gevallen afgedaan met een standaardvergoeding van minimaal €250.
Indien sprake is van ‘bijzondere persoonsgegevens’ dient dit bedrag te worden verdubbeld.
Hier dient de civiele rechter geen oordeel te vellen. Deze is al decennia lang uitermate terughoudend tav. schadevergoeding en smartegeld. De AP is hier de aangewezen autoriteit.
In de huidige praktijk is het een loterij zonder nieten. Bedrijfsleven, maar vooral (semi-)overheid, voldoet al jaren lang niet aan hun wettelijke verplichtingen. Want dat is goedkoper.
“Een lid had het dossier echter niet ontvangen, waarmee sprake was van een datalek.” Klinkt als een verkeerde adressering wat een nog altijd veel voorkomend euvel is als het om datalekken gaat, AP telt ondertussen ook alle verkeerd verstuurde poststukken wat tot een aanzienlijk aantal datalekken leidde in 2021. Het hoe en wat aangaande een wettelijke verplichting aangaande het melden is dan ook vooral leuk voor de statistiek. Want de opmerking in het rapport dat er aanzienlijk minder fouten gemaakt worden door het werkproces aan te passen is interessant, privacy-by-design begint tenslotte bij het proces.
Wat betreft de opmerking van P.J. Westerhof leidt een datalek nog niet direct tot schade, velen geven gehoor aan de voetnoot onder e-mail over het verwittigen van de afzender en verwijderen van het bericht als deze verkeerd geadresseerd is. Fouten zijn tenslotte onvermijdelijk hoewel sommige mogelijk wel te voorkomen zijn want goedkoop of niet zijn processen ingesleten en lastig te veranderen. Want misschien moeten we eens stoppen met het rondsturen van dossiers want opslag hiervan laat ook veel te wensen over, een ongeautoriseerde toegang tot informatie wordt veelal niet gemeld omdat het niet waargenomen wordt.