Uitkeringsinstantie UWV moet een slachtoffer van een datalek een schadevergoeding van 500 euro betalen voor de geleden schade. Volgens de rechtbank staat vast dat de eiseres psychische problemen en stress heeft ervaren door fouten van het UWV. Een financiële compensatie van 500 euro is volgens de rechter in deze situatie ‘billijk en passend’.
Voor het begin van deze zaak moeten we terug naar de zomer van 2021. In juli van dat jaar stuurt het UWV een brief naar het slachtoffer, waarin de uitkeringsinstantie zegt dat er vijf brieven die voor haar bestemd waren per ongeluk naar een verkeerd adres zijn gestuurd. Begin augustus stelde de vrouw het UWV aansprakelijk voor het datalek en vroeg ze om een schadevergoeding. De uitkeringsinstantie erkende de aansprakelijkheid en bood aan om een bedrag van 250 euro als compensatie te betalen.
Eind september antwoordde het slachtoffer het bedrag van de schadevergoeding niet te accepteren. Ze dacht zelf aan een bedrag van 3.000 euro. Tevens eiste ze inzage in alle persoonsgegevens die de uitkeringsinstantie van haar bezat, evenals de correspondentie met de Autoriteit Persoonsgegevens over het voorval. In november overhandigde het UWV de gewenste gegevens. In januari 2022 wees het UWV formeel het tegenvoorstel van 3.000 euro af.
Het slachtoffer besloot daarop om naar de rechtbank te stappen. De rechter oordeelt dat het UWV heeft erkend aansprakelijk te zijn voor het ontstaan van het datalek. Het enige punt waarop beide partijen met elkaar verschillen, is de hoogte van de schadevergoeding.
De eiseres zegt dat het geboden bedrag “in geen verhouding staat tot de angsten en depressies” die ze heeft moeten doorstaan. In de vijf brieven die verkeerd zijn bezorgd, staan onder meer medische gegevens. Daardoor heeft ze termijnen overschreden en kreeg ze psychiatrische klachten die een grotere impact op haar hadden dan op gezonde mensen.
Om haar claim te onderbouwen heeft ze een rapport van haar psycholoog aan de rechtbank overhandigd. Daarin staat het volgende: “De problemen met de post van het UWV naar haar oude adres zijn mede stressor geweest in de afgelopen maanden. Patiënt lijkt bij oplopende spanning last te hebben van cognitieve overspoeling, waarbij zij moeite heeft met denken en overzicht houden. In het contact met het UWV gebeurde dit regelmatig.”
De uitkeringsinstantie verdedigde zich met het argument dat de verkeerd verstuurde brieven allemaal ongeopend zijn geretourneerd. Er zijn dan ook geen aanwijzingen dat iemand anders haar medische gegevens heeft ingezien, dan wel dat deze zijn misbruikt door een derde.
“De omstandigheden dat de vijf brieven in gesloten enveloppe retour zijn gekomen en dat niet is gebleken dat de informatie door derden is gebruikt, doen er niet aan af dat eiseres een toename van de al bij haar aanwezige ernstige psychiatrische klachten heeft ervaren en zijn daarom voor de rechtbank niet van doorslaggevend gewicht geweest”, aldus de rechter.
Alles overwegende besloot de rechtbank dat het UWV een schadevergoeding van 500 euro moet betalen aan de eiseres. Dat bedrag is naar eigen zeggen ‘billijk en passend’ en geeft erkenning aan het feit dat het datalek psychische problemen en stress heeft veroorzaakt bij de eiseres. Ook moet het UWV de proceskosten en het betaalde griffierecht aan de eiseres vergoeden.
Dit is de tweede keer in korte tijd dat een rechtbank bepaalt dat een instantie een schadevergoeding moet betalen aan een slachtoffer van een datalek. Vorige week kreeg een oud-student van de Hogeschaal Arnhem-Nijmegen (HAN) te horen dat hij recht heeft op een schadevergoeding van 300 euro vanwege een datalek.
De rechter oordeelde dat het beveiligingsniveau van de HAN ten tijde van het datalek onvoldoende was. Zodoende kon een hacker via een SQL-injectie persoonlijke en privacygevoelige gegevens van honderdduizenden studenten en voormalige studenten inzien. Doordat de aanvaller de medische gegevens van de oud-student heeft kunnen inzien, heeft hij volgens de rechter schade geleden. “Dat de hacker deze specifieke gegevens heeft kunnen inzien/verspreiden, is voldoende voor het aannemen van schade als gevolg van de inbreuk op de AVG”, aldus de rechter.
De oud-student zei ‘superblij’ te zijn met de uitspraak van de rechtbank. “Dat ook de rechter nu oordeelt dat de HAN steken heeft laten vallen, laat zien dat ik het bij het juiste eind had. Ik kan er nu beter een punt achter zetten”, zo zei hij tegen de pers.
