Het grote datalek uit 2021, waarbij de vertrouwelijke gegevens van 6,5 miljoen mensen op straat zijn beland, blijft voor de Nederlandse staat zonder financiële consequenties. De Amsterdamse rechter heeft bepaald dat betrokken burgers geen recht hebben op een schadevergoeding. Het ging hierbij om mensen die tijdens de Covid-19-pandemie met de GGD te maken hebben gehad, bijvoorbeeld voor een vaccinatie.
De Stichting Icam had het ministerie van VWS als verantwoordelijke instantie voor de it-systemen van de GGD voor de rechter gedaagd. Vastgesteld is dat medewerkers van de GGD in die systemen hebben zitten neuzen. Nog kwalijker is dat ze de persoonsgegevens van zeker 1.250 Nederlanders via het darkweb en andere ondergrondse marktplaatsen hebben doorverkocht.
Beperkte groep
Icam wilde via een massaclaim een schadevergoeding, niet alleen voor de mensen van wie vast staat dat hun persoonsgegevens aan derden zijn verstrekt, maar ook voor iedereen die moet vrezen dat zijn persoonsgegevens in verkeerde handen zijn gevallen. Maar de vrees dat gegevens verkeerd terecht zouden zijn gekomen, zonder dat vast staat dat dit het geval is, kan geen reden zijn voor compensatie. Volgens Europese rechtspraak is dat niet mogelijk.
En aan de mensen die daadwerkelijk zijn gedupeerd, is een financiële tegemoetkoming aangeboden. De meeste slachtoffers hebben dit geaccepteerd. Er blijft slechts een beperkte groep van benadeelden over. Icam heeft niet aannemelijk kunnen maken dat zij voor die groep representatief is, aldus het vonnis.
Oneens
Icam en de GGD’en zijn het oneens over de omvang van het datalek bij CoronIT en HPZone Lite. ICAM baseert zich voornamelijk op berichten van RTL, die gebaseerd zijn op contacten met personen die zeggen te beschikken over bij de GGD’en gestolen persoonsgegevens. Of de persoonsgegevens waarover die personen zeggen te beschikken daadwerkelijk afkomstig zijn uit de systemen van de GGD’en is nimmer vastgesteld, omdat RTL, die over een voorbeeldbestand zegt te hebben beschikt, dit heeft gewist.
Het enige onderzoek dat is gedaan naar het datalek is het politieonderzoek, waarin een aantal verdachten naar voren is gekomen. Deze verdachten zijn vervolgd en veroordeeld. Grootschalige diefstal van persoonsgegevens is uit dat onderzoek niet gebleken, aldus het vonnis.
De financiële tegemoetkoming lijkt €500 te zijn, een bedrag wat de dader als billijk heeft vastgesteld voor een ‘ongemak’ waarvan de grenzen niet bekend zijn. Omgekeerd geldt ook dat de (gevolg)schade niet aangetoond is waardoor er een juridisch catch-22 in uitspraak zit. Paradox zit in de situatie dat een wederzijds uitsluiten van oorzaak en gevolg lastig is omdat het verhandelen van persoonsgegevens op ondergrondse marktplaatsen om een handel in identiteiten gaat. Tips van politie zijn leuk maar de cijfers laten zien dat misdaad niet alleen loont maar ook onbestraft blijft doordat een fraude met identiteiten niet door een paar plaatselijke boefjes gedaan wordt. De vertrouwelijke gegevens van 6,5 miljoen burgers op straat of de declaratie van één bestuurder geeft wel aan waar de prioriteiten van onze rechtsstaat liggen.
Wat betreft een rammelend personeelsbeleid was GGD te goed van vertrouwen want het ging niet alleen om een nieuwsgierigheid als medewerkers de gegevens van 1.250 Nederlanders hebben verkocht. Ik vind de lijst namen van (publiek rechtelijke) rechtspersonen opmerkelijk als ik kijk naar gegevensverstrekking vanuit de overheid zonder een rechtmatig doel. Rechter oordeelt misschien anders maar Europese rechtspraak kan me gestolen worden door een juridische paradox in artikel 11 en 10 van de grondwet. En never waste a good crisis kan ik me voorstellen dat niet iedereen de 500 zilverlingen accepteerde in de aflaat omdat je als proefkonijn het viervoudige kunt krijgen.