Een vrouw uit Heemskerk die het slachtoffer is van een datalek die door de gemeente is veroorzaakt, heeft geen recht op een schadevergoeding. De stress- en angstklachten als gevolg van het lek zijn onvoldoende onderbouwd. De rechter heeft daarom het verzoek voor een schadevergoeding van 2.000 euro afgewezen.
Dat blijkt uit het vonnis van de rechtbank Noord-Holland, dat donderdag openbaar is gemaakt.
In de uitspraak staat dat de vrouw een bezwaarschrift had ingediend bij de gemeente in een niet-nader gespecificeerde zaak. In het dossier dat de gemeente voor deze kwestie had samengesteld, stonden de persoons- en medische gegevens van de vrouw. Om het bezwaarschrift te behandelen, werd een hoor- en adviescommissie aangewezen door het college.
Eén van de leden van deze commissie had het dossier van de vrouw niet ontvangen. Volgens de Algemene Verordening Gegevensbescherming (AVG) is er dan sprake van een datalek. Het college besloot daarop om het lek te melden bij de Autoriteit Persoonsgegevens.
De vrouw zegt dat door het datalek haar adresgegevens, burgerservicenummer, contactgegevens en medische gegevens toegankelijk zijn geweest voor onbevoegden. Ze stelt dat ze door het datalek immateriële schade heeft geleden, namelijk stress- en angstklachten. Volgens artikel 82.1 AVG en artikel 6:106 van het Burgerlijk Wetboek betekent dit dat ze recht heeft op een schadevergoeding. Ze vond een bedrag van 2.000 euro op zijn plaats.
Het college verweerde zich door te zeggen dat de vrouw niet aannemelijk heeft gemaakt dat het datalek haar rechtstreeks heeft getroffen. “Het feit dat sprake is van een datalek brengt niet automatisch met zich dat daarmee ook schade is ontstaan die vergoed moet worden. Het gaat niet om ernstig verwijtbaar gedrag met zo ernstige gevolgen, dat aantasting van de persoon kan worden aangenomen. De kans dat er daadwerkelijk een onbevoegde toegang heeft gekregen tot haar gegevens is zeer gering”, zo staat er in het vonnis.
Tevens is er geen bewijs dat haar gegevens zijn misbruikt. De postverwerker raakte het dossier van de vrouw in juli 2019 kwijt. “Als de gegevens nu nog niet zijn misbruikt is het onwaarschijnlijk dat dat op enig moment nog gaat gebeuren”, aldus het college.
Tot slot zou de eiseres niet met objectieve criteria enige psychische schade hebben kunnen aantonen. “De stelling dat zij stress- en angstklachten heeft waarover zij met derden praat is onvoldoende om vast te stellen dat van deze klachten sprake is”, zo betoogde het college.
De rechtbank oordeelde in het voordeel van het college. Volgens de rechter was er geen bewijs dat de vrouw geestelijk letsel had opgelopen door het datalek. De e-mails van de maatschappelijk werker en de huisarts die de vrouw als onderbouwing aandroeg, zijn in de ogen van de rechtbank onvoldoende.
“De stelling dat zij stress- en angstklachten heeft waarover zij met derden praat, is onvoldoende om vast te stellen dat van deze klachten sprake is. Het is zeker onvoldoende om vast te stellen dat deze door de vermissing komen. Eiseres had ook al voor de vermissing contact met hulpverleners. Uit de e-mails blijkt niet waarvoor zij bij hen is. De hulpverleners schrijven zeer summier over het onderwerp. Er kan daarom niet naar objectieve maatstaven worden vastgesteld dat sprake is van geestelijk letsel”, aldus de rechter
Evenmin was er bewijs dat haar gegevens in de verkeerde handen zijn beland. “Eiseres heeft geen identiteitsfraude (2) ondervonden en geen verdachte brieven, fishing mails [sic] of telefoontjes ontvangen die in verband kunnen worden gebracht met het datalek”, zo staat er in het vonnis.
Om die redenen heeft de vrouw geen recht op een schadevergoeding.
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBNHO:2022:7329
https://www.vpngids.nl/veilig-internet/cybercrime/identiteitsfraude/
