De rechtbank in Den Haag heeft recentelijk bepaald dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een schadevergoeding van 500 euro moet betalen aan een slachtoffer van een datalek, om de geleden schade te vergoeden. De rechter oordeelde dat de eiseres psychische problemen en stress heeft ervaren als gevolg van fouten gemaakt door het UWV en dat een financiële vergoeding van 500 euro in deze situatie “billijk en passend” is. Het vonnis van de rechtbank is onlangs openbaar gemaakt.
Terug naar de Zomer van 2021: Slachtoffer Eist Schadevergoeding van 3.000 Euro
In juli 2021 stuurde het UWV een brief naar het slachtoffer, waarin de organisatie toegaf dat vijf brieven die voor haar bestemd waren per abuis naar een verkeerd adres waren gestuurd. In augustus van dat jaar stelde de vrouw het UWV aansprakelijk voor het datalek en vroeg ze om een schadevergoeding. Het UWV erkende de aansprakelijkheid en bood aan om een bedrag van 250 euro als compensatie te betalen.
In september wees het slachtoffer dit bedrag af en eiste ze een schadevergoeding van 3.000 euro. Ze verzocht ook om inzage in al haar persoonsgegevens die in het bezit waren van het UWV, evenals alle correspondentie met de Autoriteit Persoonsgegevens met betrekking tot het incident. In november leverde het UWV de gevraagde informatie. In januari 2022 verwierp het UWV formeel het tegenvoorstel van 3.000 euro.
Besluit om Naar de Rechtbank te Stappen
Als reactie op het besluit van het UWV besloot het slachtoffer naar de rechtbank te stappen. De rechter oordeelde dat het UWV de aansprakelijkheid voor het datalek heeft erkend. Het enige twistpunt tussen beide partijen was de hoogte van de schadevergoeding.
De eiseres beweerde dat het voorgestelde bedrag “in geen verhouding staat tot de angsten en depressies” die ze heeft moeten doorstaan. De vijf verkeerd bezorgde brieven bevatten medische gegevens, waardoor ze termijnen overschreed en psychische klachten ontwikkelde die voor haar ernstiger waren dan voor gezonde mensen.
Om haar claim te onderbouwen, diende ze een rapport van haar psycholoog in bij de rechtbank. Hierin stond dat de problemen met de post van het UWV naar haar oude adres stressveroorzakers waren in de afgelopen maanden. Het rapport meldde dat de patiënt bij toenemende spanning last had van cognitieve overspoeling, wat leidde tot moeite met denken en overzicht houden. Dit gebeurde regelmatig in het contact met het UWV.
Rechtbank Stelt Schadevergoeding van 500 Euro Vast
Het UWV verdedigde zich met het argument dat de verkeerd verzonden brieven allemaal ongeopend waren geretourneerd, en er geen aanwijzingen waren dat iemand anders haar medische gegevens had ingezien of misbruikt door een derde.
De rechter oordeelde echter dat de omstandigheid dat de brieven ongeopend retour waren gekomen en dat er geen bewijs was van misbruik door derden, niet afdeed aan het feit dat de eiseres ernstige psychiatrische klachten had ontwikkeld als gevolg van het datalek. Daarom besloot de rechtbank dat het UWV een schadevergoeding van 500 euro aan de eiseres moet betalen, wat als “billijk en passend” werd beschouwd. Bovendien moet het UWV de proceskosten en het betaalde griffierecht aan de eiseres vergoeden.
Oud-student van HAN Krijgt Schadevergoeding voor Datalek
Dit is niet de enige zaak waarin een rechtbank heeft bepaald dat een organisatie een schadevergoeding moet betalen aan een slachtoffer van een datalek. Onlangs oordeelde de rechtbank dat een oud-student van de Hogeschool Arnhem-Nijmegen (HAN) recht heeft op een schadevergoeding van 300 euro vanwege een datalek.
De rechter stelde vast dat het beveiligingsniveau van de HAN op het moment van het datalek onvoldoende was. Hierdoor kon een hacker via een SQL-injectie persoonlijke en privacygevoelige gegevens van honderdduizenden studenten en voormalige studenten inzien. De oud-student beweerde schade te hebben geleden omdat de hacker zijn medische gegevens had kunnen inzien. De rechter was het daarmee eens en oordeelde dat er sprake was van schade als gevolg van de inbreuk op de Algemene Verordening Gegevensbescherming (AVG). De oud-student was verheugd met het oordeel van de rechtbank en benadrukte dat dit aantoonde dat de HAN tekortgeschoten was in de beveiliging van persoonsgegevens.
