Datalekken; heb ik recht op schadevergoeding?

Eind januari 2021 werd één van de grootste datalekken van de Nederlandse geschiedenis onthuld. Er bleek een levendige handel te bestaan in de privégegevens van Nederlanders die afkomstig waren uit de IT-systemen van de GGD. Deze gegevens werden doorverkocht aan criminelen. Criminelen hebben veel geld over voor deze data. Door middel van meer persoonlijke informatie kunnen ze namelijk geloofwaardiger frauderen. Het zouden maar net jouw naam, adres en Burgerservicenummer zijn die gebruikt worden om te frauderen. Dat wil natuurlijk niemand. Privacy is een grondrecht dat is vastgelegd in artikel 10 van de Grondwet. Een interessante vraag die daarbij op komt is: heb ik recht op schadevergoeding?

De Algemene Verordening Gegevensbescherming (hierna: AVG) heeft onder andere als doel om persoonsgegevens te beschermen. In artikel 82 AVG is het recht op schadevergoeding voor personen, wiens persoonsgegevens zijn gelekt en hierdoor schade hebben geleden, vastgelegd. Het kan hierbij gaan om materiële of immateriële schade. Om recht te hebben op een vergoeding vanuit dit artikel is het van belang dat de grond een inbreuk op de AVG is. Een datalek staat niet letterlijk gedefinieerd in de AVG, maar artikel 33 AVG benoemt het als een inbreuk in verband met persoonsgegevens. Op basis van de AVG moeten deze persoonsgegevens door de organisaties beschermd worden met passende maatregelen. Indien dit niet of onvoldoende gebeurt, kan de organisatie aansprakelijk worden gesteld.

Daarnaast is uit eerdere rechtspraak gebleken dat voor de toekenning van schadevergoeding voor immateriële schade, alleen het aantonen van inbreuk op de persoonlijke levenssfeer onvoldoende is. Er moet worden aangetoond dat het slachtoffer daadwerkelijk schade heeft geleden. Factoren die hierbij een grote rol spelen zijn de ernst, aard en duur van de inbreuk.

Op dit moment is stichting ICAM aanmeldingen en getuigenissen aan het verzamelen van mensen die zijn getroffen door het datalek van de GGD. Zij zijn een claim aan het voorbereiden die gericht is aan de Nederlandse staat, het ministerie van Volksgezondheid, regionale GGD’s, veiligheidsregio’s en gemeenten. Om de schadevergoeding daadwerkelijk te verkrijgen zal er hard bewijs moeten worden geleverd. Het wordt interessant om te zien of één van de grootste datalekken van de Nederlandse geschiedenis daadwerkelijk tot schadevergoeding zal gaan leiden, hoe hoog deze vergoeding gaat zijn en of dit verdeeld over slachtoffers gaat worden.