Het wordt steeds meer duidelijk: de grootste dreiging is de overheid.

Ik vraag me ten zeerste af waarom de gemeente een dossier had gemaakt (en verspreid) met alle identificerende gegevens van de betreffende vrouw. Waarom heeft een commissie dit soort gegevens nodig om een bezwaarschrift te beoordelen? Dit zou toch altijd geanonimiseerd moeten/kunnen worden? Nu zou het zelfs zo kunnen zijn dat de commissie bevoordoordeeld zou zijn omdat de identiteit van degene die bezwaar maakt bekend is: dit staat potentieel een objectieve beoordeling in de weg.

Het staat ook niet vast dat die gegevens niet zijn misbruikt. Het staat zeker niet vast of die gegevens in de toekomst niet worden misbruikt.

Voor zover ik aan de hand van dit artikel kan beoordelen is de gemeente behoorlijk in de fout gegaan. Ten eerste door een dossier te maken met teveel identificerende persoonlijke informatie (ik vind dat op zich al een datalek), maar dat is tegenwoordig de standaard binnen de overtheid (niet nodig, wel lekker makkelijk). Vervolgens door het blijkbaar op een zodanige manier te behandelen dat het "zoek" kan raken in de (interne of externe) post (ik mag toch hopen dat ze het niet via email hebben verstuurd).

Een schadevergoeding zou op zijn plaats geweest zijn. Wanneer instanties er steeds op deze gronden onderuit kunnen komen dan zal dit nooit veranderen.

Zo lang er nog niet vaststaat dat de gegevens misbruikt zijn is er nog geen aantoonbare schade en is een schadevergoeding nog niet van toepassing. Als dit in de toekomst verandert en er wel duidelijk sprake is van misbruik dan kan op dat moment een rechtzaak over een schadevergoeding gestart worden.

De kwetsbaarsten in de samenleving gaan het eerst eraan: zij zitten uitgebreider in de gemeentelijke databases (verhoogde kans op datalekken) en zij ondergaan in het algemeen meer stress, waartegen ze ook nog eens minder bestand zijn. Armoede vreet aan gezondheid. En financiële buffers om de door identitetsfraude veroorzaakte financiële problemen op te vangen hebben ze al helemaal niet.
De stresstoename is a/ vrijwel niet als zodanig te bewijzen en b/ zelden causaal te relateren aan een (of meerdere) datalek(ken) omdat er in de maatschappij voortdurend nieuwe crises opduiken, die stressverhogend werken. Deze obstakels gelden samenlevingsbreed.
Schadevergoedingen voor geleden immateriële schade, zoals een verslechterde geestelijke gezondheid, zijn dus onbereikbaar - waarbij overigens de vraag gesteld kan worden of financiële tegemoetkomingen veel zoden aan de dijk zetten. Ik denk, dat substantiële hulp van de overheid bij vastgestelde identiteitsfraude, dus hulp in de vorm van actieve probleemoplossende hulpverlening waardoor de gevolgen snel en adequaat worden ingedamd meer effect heeft.
Ook de overige sociaal-economische klassen kunnen hun borst nat maken; de toekomstige series identiteitsfraudes staan op de rails.
Dankzij een (Europese) overheid, die te weinig heeft stilgestaan bij de risico's van een steeds dieper in het persoonlijke leven van burgers ingrijpende digitalisering, in de context van een economie waarin het oogsten van data ten bate van particulier gewin een industrie op zichzelf is geworden.
In de crises waarin onze regering grossiert mis ik er daarom nog één, die genoemd moet worden: de datacrisis.

Dus met andere woorden, het is of een kwestie van tijd, of slachtoffer bakt een koekje van eigen deeg.

En hoe ga je dan bewijzen dat het door dit datalek veroorzaakt is? De gemeente zal dan aanvoeren dat waarschijnlijk een andere instantie gelekt heeft. Een datalek zou in alle gevallen tot een boete moeten leiden. Wanneer het alleen leidt tot boetes/schadevergoedingen op het moment dat het kwaad al is geschiedt zullen de instanties gewoon doorgaan met dit ongebreidelde datagraaien.

Eens.

Het geldt zeker niet voor iedereen, maar af en toe zie ik topics gestart worden door mensen met min of meer "achtervolgingswaanzin" op het forum van deze site. Zo leven is al naar, maar het is ongetwijfeld afschuwlijk als zo iemand (ik weet niet of dat hier het geval is) verneemt dat haar of zijn persoongegevens in verkeerde handen gevallen kunnen zijn. Maar het zou hierbij ook om een BN'er kunnen gaan die een bovengemiddeld groot risico loopt bijvoorbeeld bij publicatie op sociale media.

Min of meer in verband hiermee: Amanda Todd heeft zelfmoord gepleegd mede vanwege de dreiging van publicatie van naaktfoto's. Rechters moeten niet onderschatten hoe mensen kunnen leiden onder een dreiging van iets waar anderen wellicht hun schouders over ophalen.

Ook al is de kans op misbruik van persoonsgegevens, na een "datalek", in de meeste gevallen klein, de impact daarvan kan wél zeer groot zijn (zie wat ik schreef onderin https://security.nl/posting/765078, je zult maar een agressieve student aan je deur krijgen die denkt dat jij een nep kamerverhuurder bent en z'n 1620 Euro terug wil).

Het is voor de betrokkene, maar ook voor rechters, onmogelijk om die kans in te schatten - en zelfs als je denkt dat je dit kunt, blijft het gaan om een inschatting - en bovenal, het blijft een kans. Het zal je maar overkomen.

Als organisaties zelf geen risico's lopen (lees: het hen niet flink geld kost) bij "datalekken", gaat er niets veranderen. Integendeel, alles wijst erop dat het verzamelen van persoonsgegevens, om allerlei disproportionele redenen (bijna altijd met financiële motieven: "besparingen"), alleen maar toeneemt.

Rechters hebben duidelijk niet geleerd van hun geblunder bij de toeslagenaffaire.

Precies zoals majortom schrijft kun je eigenlijk nooit bewijzen dat deze gemeente de fout is van deze datalek en
kunnen ze met een gerust hart verder aanmodderen.

Mijn inziens moet er een boete komen voor ieder datalek en wel voor de verantwoordelijke zodat ze eens gaan
leren hoe het wel moet. Maar waarom zou je eigenlijk als ambtenaar je daar druk over maken wij leven nu in een
maatschappij dat de burger fout is en de overheid, banken en ga zo maar verder door nooit verantwoordelijkheid
over hoeven af te leggen.

zolang je nog niet de grond geraakt hebt als je van de 10e spring is er niets aan de hand...

Zo zie je maar: de plicht om de betrokkene te informeren heeft zeker ook nadelen. In dit geval was het waarschijnlijk
veel beter geweest als de betrokkene niet geinformeerd was, dat had veel psychisch leed bespaard.

Ja... die opmerking zou het ook goed doen in de rechtbank :D vooral sterk onderbouwd...

Ik had niets anders verwacht van rechters, die kiezen in 99.9% van de gevallen voor de overheid, wanneer er een conflict is tussen burger en overheid, dus had echt niets beters verwacht.
Zeker door gebruik te maken van het woord 'schade' heeft de rechter hun get-out-of-shit-free-card kunnen gebruiken door te stellen dat er geen schade is vastgesteld.
De rechter kon ook moeilijk WEL iets geven, want dat zou een precedent scheppen en ineens digitale verantwoordelijkheid bij de overheid neerleggen..
Dat zou de carriere van deze rechter niet ten goede komen zou ik verwachten.

En dan nog het gevalletje van schade.... Dat is het lastige van digitale schade...
Deze kan immers plaats vinden zonder dat je dit weet, dus als je het niet weet, kun je het niet bewijzen.
De rechters zouden hiermee dan ook niet te rechtlijnig moeten zijn en hun handen in onschuld wassen.

Er is immers een datalek geweest, de impact is niet te achterhalen op dit moment.
Gaat er iets fout door het datalek van de overheid (gemeente) is het voor de persoon in kwestie niet meer te doen om daar in actie tegen te komen.
Hence, kun je alleen maar van een rechter met een ruggenwervel verwachten dat hij het risico voor deze klaagster afvangt.
Er is immers geen twijfel dat door toedoen van de incapabele gemeente die mogelijk een illegaal medisch document verzamelt er risico op of daadwerkelijk schade ontstaat voor deze vrouw, zo niet letterlijk, dan wel zeker psychisch.

Er rest mij dan ook geen andere conclusie dat in dit geval de gemeente verplicht zou moeten worden een verzekering af te sluiten voor mevrouw waarbij zij schadeloos gesteld wordt indien zij achteraf slachtoffer wordt van ID fraude enz.
Over de 2000 euro kan ik geen zinvolle uitspraak doen.

Ik zou de vrouw wel adviseren om te kijken bij het slachtofferfonds.

Best byzonder bij vermissing van personen wordt bijna het onderste uit de kan gehaald. Bij vermissing van gegevens over personen is er niets te zien, loopt u maar door.

Naast de brede verzending van complete dossiers...
De rechter mag ( of eigenlijk de WETGEVER ) mag zich wel eens achter de oren krabben. Als de status van gegevens zodanig is dat het belangrijk is voor een oordeel over personen dan is die data dus dezelfde bescherming als de personen waard.

Ben jij, met deze "alternatieve oplossing", verkoper van tapijten en/of vegers, of ben jij de lekkende Heemskerkse ambtenaar of diens verantwoordelijk leidinggevende, lobbyist in Brussel, Karma4-fan, of een andere trol?

P.S. ik verwacht geen eerlijk antwoord

Niet met je eens...

De mens lijdt het meest aan het lijden dat hij vreest...

Niet de tik zelf geeft de pijn, de verwachting dat 'ie komen gaat. Lastig meetbaar, maar wel degelijk schade.

Je bedoelt natuurlijk: bestuursrechters.
Die behandelen zaken ressorterend onder de wet op het bestuursrecht. En neen het is geen kwestie van 'leren van', noch van blunderen want zij conformeren zich star aan deze uit 1994 stammende vernieuwde wetgeving. Er is geen sprake van evaluatie noch medespel van hun zienswijze op de ten uitvoerlegging van hun functie.

Was er voorheen < 1994 nog ruimte voor een persoonlijke 'menselijke' visie die men al of niet zwaarwegend kon laten meetellen - het betreffen nooit halsmisdrijven die zij behandelen - de hernieuwde wet biedt daarvoor geen ruimte meer. Alles moet naar de letter van de wet worden geclassificeerd, zeg maar gerust geradicaliseerd.

Het is niet voor niets dat de voormalige Raadsheer van de Raden van Beroep Prof. T. Tak zelfs uitsprak dat Nederland zich geen rechtstaat meer mocht noemen. In 2011 kon hij niet meer accepteren hoe de burger werd gemangeld en/of aan het lijntje gehouden in procedures tegen de Nederlandse staat en nam ontslag uit deze functie die hij maar liefst ruim 25 jaar bekleedde.
Motivatie: (citaat uit zijn ontslagbrief) "De veelgeprezen rechterlijke blinddoek dient in de huidige bestuursrechtspraak blijkbaar nog alleen om de rechtzoekenden aan het rechterlijk oog te onttrekken.’ De burger en de rechtvaardigheid die hij zoekt zijn ingewisseld voor onder meer algemeen belang, efficiency en kostendekkendheid.

Dat is nu elf jaar geleden.

De Nederlandse staat heeft zich nagenoeg doof verklaard voor de belangen van de burger indien zij een terechte klacht behandeld wensen te zien. Een lijvige studie van Prof. Tak naar de gevolgen voor de burger door de hernieuwde wetgeving vond geen weerklank bij de toenmalige Minister van Justitie.

In 2011 concludeerde Hij (Tak) dat het sinds 1994 niet meer is voorgekomen dat een burger op inhoudelijke gronden in het gelijk werd gesteld.

(edit: fout hersteld die een verkeerd begrip veroorzaakte)

Maar dan ontneem je de betrokkene ook de mogelijkheid om alert te zijn op misbruik. Persoonlijk juich ik de meldplicht aan betrokkene toe. Ik ken deze situatie niet, maar het zal mij niet verbazen als de 'stress- en angstklachten' vooral zijn ingegeven door de mogelijkheid om 2.000 euro te cashen.

Waar ik me meer over verbaas, is dat uit dit artikel wederom blijkt dat - hoewel het niet letterlijk in dit bericht staat - het er sterk op lijkt dat er e-mail wordt gebruikt voor het versturen van gevoelige gegevens, zelfs medische gegevens. Een overheidsinstantie heeft toch zaaksystemen? Sla het dossier daar in op en laat mensen die de info nodig hebben inloggen op het zaaksysteem. Dat heeft vele voordelen, om er een paar te noemen: Je hebt een audit trail, je hebt altijd de actuele informatie, gegevens (kunnen) in het zaaksysteem blijven en staan dan niet op computers - al dan niet buiten je eigen organisatie - en dus ook niet op laptops die in de trein blijven liggen en je raakt het niet kwijt tijdens versturen. Daarbij komt dat je ook zodra iemand geen toegang meer nodig heeft, de toegang tot de informatie beëindigen (intrekken autorisatie).

Als je heden ten dage nog gevoelige privé gegevens (o.a. medische gegevens) via e-mail aan het verspreiden bent, dan voldoe je in mijn ogen niet aan een 'beveiligingsniveau passend bij de stand der techniek'. En dat is dacht ik een eis in de AVG, en zo niet, het is zeker een eis in de Baseline Informatiebeveiliging Overheid (BIO) waar elke overheidsinstantie aan moet voldoen. Ik ben dus heel benieuwd wat dat 'versturen' inhoudt. Als dat e-mail is, dan heeft deze gemeente de informatiebeveiliging op dit punt niet op orde.

@Quink: dank voor jouw informatieve reactie!

Dat verhaal kende ik niet (maar is herkenbaar). Triest voor Nederland.

Persoonlijk denk ik dat we eigenaar moeten worden van gegevens over ons, en zelfs van alle informatie die wij verzamelen (wat niet wil zeggen dat wij daar alles mee mogen doen; dat kan bijvoorbeeld ook de contactenlijst in onze telefoon zijn): onze identiteit bestaat niet alleen uit ons lijf en informatie in onze hersenen. Zolang dat niet gebeurt blijven PII-data-hoarders wegkomen met "deze data is niet uw eigendom en daarom mogen wij ermee doen wat wij willen" - waaronder verkopen.

Als dat (nog) een stap te ver is, hebben we AVG v2 nodig waarin potentiële slachtoffers van een "datalek" (inclusief onbedoelde en opzettelijke beschadiging, niet up-to-date houden, niet tijdig toegankelijk hebben en/of verlies) recht hebben op een schadevergoeding. Want dat identiteitsfraude vóórkomt (in toenemende mate) kunnen rechters niet ontkennen.

Vergelijkbaar vind ik dat rechters wel vonden dat Shell niet genoeg deed tegen klimaatverandering, terwijl het uiteindelijk niet Shell zelf is die olie, benzine en diesel verstookt. Dus moeten ook data-hoarders gedwongen worden om hun verantwoordelijkheid te nemen.

Brainwave: overwogen kan worden om tevens de bewijslast om te draaien bij misbruik: als n partijen mijn data hebben gelekt en ik ondervind schade, moeten die n partijen samen mijn schade vergoeden (ook immaterieel). Als een of meer van hen menen er geen schuld aan te hebben, mogen zij - ten overstaan van de rest van n (als n == 1 wil ik nog wel bij die zitting zijn) - bij de rechter aantonen dat mijn schade niet het gevolg is van hun fout(en) - waarna de rest van die n partijen daarvoor moet opdraaien.

Organisaties nemen alleen maatregelen voor risico's die zij zelf lopen, niet voor risico's die hun klanten, patiënten of burgers lopen van wie zij data opslaan. Deze uitspraak bevestigt dat het risico van dataverzamelaars bijna nul is (mits ze bijtijds de AP inlichten; met de vele datalekken is imagoschade sowieso zeer klein - voor zover deze enige impact heeft op een gemeente). Als we deze risico's niet naar de data-hoarders verplaatsen, zullen onze gegevens steeds vaker op straat belanden.

en dat allemaal vat ikzelf samen als NL is kapot gemanaged, op meerdere vlakken en we krijgen nu de rekening als samenleving.

Maar stel nu dat ze wel slachtoffer wordt dan komt ze daar pas achter als er of een incasso bureau voor de deurstaat, haar uitkering wordt ingehouden of haar baan kwijt is en vele mogelijke gevolgen van identiteitsfraude. Ik zou jouw kop weleens willen zien als straks blijkt dat er misbruik is gemaakt van jouw gegevens en je krijgt achteraf pas te horen dat dit bekend was maar omwille van jouw gemoedsrust heeft iedereen zijn bek maar gehouden. Grote kans dat je dan pas echt ontploft. Behandel een ander hetzelfde als jezelf behandeld wilt worden.

Klinkt allemaal als een gevalletje aanstelleritus dus logisch dat je daar geen schadevergoeding voor krijgt. Wordt niet eens vergoed door het ziekenfonds.

@ Erik,

Daar raak je keihard de kern van de complete problematiek die het ongewenste (her)gebruik van onze persoonlijke gegevens betreft. Indien wij eigenaar zouden worden van onze volledige persoonlijke levenssfeer, dus zowel wat al geldt voor lijf en leden en have en goed, maar ook voor alles dat daar (in)direct mee in verbinding staat; noem het maar stoffelijk én onstoffelijk hoeft er zelfs geen sprake meer te zijn van opt-in of opt-out met betrekking tot veilig stellen en houden van kwetsbare informatie.

Gegevens die je verstrekt krijgt de ontvanger dan in bruikleen, en indien de eigenaar van die gegevens op enigerlei wijze merkt dat zijn gegevens worden vervreemd/ontvreemd of dreigen te worden misbruikt (ook door derden, zoals hier het geval is) dit door de Officier van Justitie wordt behandeld, en niet meer naar aanleiding van een bezwaarschrift - zoals nu nog het geval is gekaderd binnen het bestuursrecht - maar zoals omschreven in het Burgerlijk Wetboek.

Als slachtoffer van diefstal kan dan recht worden gesproken/gedaan gebaseerd op het Wetboek van Strafrecht, dus niet meer - ten overvloede: middels de gebleken uiterst logge Wet Bestuursrecht uit 1994.

Nope. Dat wil je niet. Los van al het werk dat er bij komt kijken, krijg je een zeer ongezonde cultuur.
Een van angst, en heel veel extra maatregelen. Maatregelen die niet gratis zijn. Twee keer raden wie de rekening doorbelast krijgt.
Een datalek gebeurt (helaas) aan de lopende band. Overgrote deel is geen opzet, bijv. iets te snel doen, afwijken van procedures, een onopgemerkte storing. Een lokale overheid krijgt zo goed als zeker meerdere meldingen per maand (beetje afhankelijk in hoeverre medewerkers getrained zijn in herkennen ervan). Vaak post naar verkeerd adres, of bijv verschillende klantgegevens zijn per abuis op een dubbelzijdig afgedrukt formulier terecht gekomen.
Ieder geval meteen sanctioneren gaat het probleem niet verminderen.
Ik snap het gevoel, maar je hebt echt geen idee wat de gevolgen zijn van wat je zegt.

Maar het staat zoooo stoer!

Neen. ik ben het daar niet mee eens. De datasystemen waarmee mensen werken vereisen oplettendheid. Sancties zijn ervoor bedoeld mensen die fouten maken, in dit geval: gevoelige informatie van anderen door onoplettendheid al of niet per abuis te 'lekken' daar gevoelig op te attenderen. Als dat niet gebeurt worden de verantwoordelijken wellicht lui of nonchalant.

Stel je voor dat de handhaving van de WVW (Wegen Verkeers Wetgeving) uitzonderingen uit coulance zou maken.
Meest voor de hand liggend: het rode verkeerslicht negeren, en dan als excuses aanvoeren: "Sorry hoor, heb ik niet gezien (ik was te lui, te slaperig, te nonchalant om goed op te letten)"

Neen die richting willen wij niet uit. en die moeten wij evenzeer ook niet willen inslaan met betrekking tot datalekken.
Alsjeblieft zeg, dan krijg je nog meer vergelijkbare toestanden die er nu al in de Dataverwerking zijn: gegevenslekken door onoplettendheid, of erger nonchalance.

Natuurlijk heb ik wel een idee wat de gevolgen zijn als er intensief gehandhaafd wordt. (Maar niet waar jij de vinger op de zere plek legt.) Strakke handhaving bewijst dan primair hoe deplorabel het misschien wel gesteld is met de gegevensverwerking - waarvan je hier regelmatig leest - door bedrijven, overheid, en uiteraard ook particulieren, maar die blijven onder de radar. (dat is weer een geheel ander verhaal.)

Gewoon de schade claimen bij degenen die van gekweekte angsten leven.
Het beste is de AutoriteitPersoonsgegevens dat schadebedrag laten voorschieten. Die mag het dan verhalen bij de activistische organisaties en activistische personen. Dat is bij veel andere criminaliteit als gewoon.

Dat is compleet buiten de realiteit. Gegevens over een persoon kunnen vaak niet eens toebehoren aan die persoon.
Eigenaarschap onroerend goed is de overheid eigenaar wie wat welke rechten bezit. Je haalt de hele rechtsstaat onderuit als je dat eigenaarschap aan de persoon zelf overlaat. Genoeg andere voorbeelden zoals met contractueel recht waar dat ook opgaat. Je laat je in de luren leggen door figuren die niets om privacy geven maar uit zijn op meer gelijkheid dan gelijken.

Hoezo buiten de realiteit?

Het betreft niet gegevens 'over' een persoon maar van een persoon.

Wat is daar nu irreëel aan?
Het is gewoon een differentiatie tussen twee samenhangende maar verschillende begrippen.

In het voorbeeld van de overheid: zij kan gegevens over mij verzamelen, dus buiten mijn medeweten om volledig legitiem, naar aanleiding van gegevens van mij; mijn gegevens die ik persoonlijk aan de overheid verstrek; dus gegevens die van mij zijn.

Waarom jij het onderuit halen van de rechtstaat erbij betrekt? Raadselachtig. Het is gewoon het uitbreiden van het begrip eigendom met een onstoffelijke niet van de eigenaar rechtmatig! te vervreemden/ontvreemden bezit: je persoonlijke gegevens.
Als dat wel gebeurt wordt het indien die wijziging zou worden doorgevoerd voortaan als diefstal gezien. Daar zou jij ook beter van worden.

Waarom denk jij voor een ander? Kennelijk wil jij dit niet, spreek voortaan s.v.p. voor jezelf.

Nu krijgen in de eerste plaats de individuele slachtoffers van misbruik van hun gegevens (o.a. via phishing en identiteitsfraude met gekopiejatte data) die rekening gepresenteerd en krijgt in elk geval een deel van hen met angst te maken (zoals uit het artikel blijkt).

Daarnaast krijgt uiteindelijk de hele maatschapij de enorme rekening van cybercrime gepresenteerd - die onnodig hoog is, en (als we zo doorgaan) steeds hoger wordt, als gevolg van datalekken. Niet voor niets kopiejatten cybercriminelen eerst vertrouwelijke gegevens (die zij dreigen te publiceren) alvorens zij ransomware uitrollen. Wie denk je dat de rekening van dergelijke catastrofes betaalt (ook als er géén losgeld wordt overgemaakt)?

Het is al veel te lang, en toenemend, economisch voordeliger voor de overheid, bedrijven en andere NGO's om slechter te beveiligen/makkelijker om te gaan met persoonsgegevens, en om meer persoonsgegevens te verzamelen, dan je concurrenten en/of dan proportioneel is (rekening houdend met de risico's van jouw klanten/patiënten/burgers). De -m.i. veel te laffe- AVG leidt tot een grotendeels verwaarloosbaar (en wellicht verzekerbaar) risico voor die organisaties.

Een voorbeeld
In https://www.nza.nl/actueel/nieuws/2022/07/21/nza-hecht-aan-privacy-patienten LIEGT de NZa:
Dat is een leugen, want de NZa vindt het van groter belang om te proberen de gezondheidszorg economisch efficiënter te maken, door zelf patiëntendossiers te verzamelen en die gegevens, naar verluidt, zelfs te delen met derde partijen, waaronder commerciële.

Het gaat hier dus niet om medische wetenschappers die gegevens delen om bijvoorbeeld behandelingen van ziektes te verbeteren, maar puur om economische belangen. Daarbij wordt op zwakke wijze gepseudonimiseerd en bovendien heeft de NZa alle gegevens in huis (lees: in haar database) om die gegevens te dé-pseudonimiseren.

En naar verluidt vindt pseudonimiseren plaats conform de Nederlandse norm NEN7524, zodat verschillende partijen gegevens kunnen koppelen, gebruikmakend van het bekende fabeltje "zonder de privacy van individuen in gevaar te brengen".

Zo zegt Marlou Bijlsma, standaardisatie consultant healthcare bij NEN, in https://www.managementimpact.nl/artikel/nen-7524-versterkt-privacy-bij-onderzoek-met-patientendata/:
Kennelijk heeft deze consultant (nog) niet begrepen dat als je enkele niet uniek identificerende gegevens aan elkaar koppelt, er onverwacht snel wél uniek identificerende -dus naar één persoon herleidbare- informatie ontstaat.

In dat (m.i. zeer enge) artikel staat ook:
OMG. NEN7524 is ontwikkeld door commerciële "TTP's" (trusted door wie?) en consultants die er niets van (willen) snappen en beschrijft kennelijk "geheime" algoritmes - die natuurlijk nooit mogen veranderen (dus ook niet als MD5 gekraakt wordt en sleutellengtes langer moeten worden), want dan werken je koppelingen niet meer. Dankzij "reversible encryption" is dat probleem wat minder groot, we geven dan gewoon iedereen de sleutel. Dit is een enorme zeemijn die wacht op een schip.

[1] https://www.managementimpact.nl/artikel/prof-wil-van-der-aalst-process-mining-maakt-procesmanagement-weer-sexy/ - het woord "algoritme" komt in dit datagraai-artikel 1x voor:
Ah, dat betekent "algoritme". Allemaal zeer vertrouwenwekkend (not), open source dus OK en onafhankelijke wetenschappers die in de adviesraad van verschillende bedrijven zitten. Maar wellicht had ik e.e.a. uit de domeinnaam kunnen afleiden.

M.b.t. dit voorbeeld, zie ook:
https://www.zorgictzorgen.nl/na-het-rom-debacle-nu-op-weg-naar-een-nza-privacy-debacle/

https://www.trouw.nl/binnenland/toezichthouder-verzamelt-ongevraagd-info-over-800-000-ggz-patienten~b68a0bef/

https://www.security.nl/posting/761861/Zorgautoriteit+verzamelt+ongevraagd+gegevens+over+800_000+ggz-pati%C3%ABnten

Conclusie
Er gaat niet eerder beter beveiligd en/of minder persoonsgegevens (met name koppelbare-) verzameld worden, zolang dat de betrokken partijen geen bakken met geld kost - bij datalekken én sowieso: een "DVB" (DataVerzamelBelasting) en/of een vergoeding voor het in bezit hebben van jouw persoonsgegevens is/zijn m.i. noodzakelijk om dit tij (eerder een tsunami) te keren.

Misschien even een stapje terug:
...is niet direct werkelijk een feit, omdat een dossier niet aangekomen is.
Plus, als een dossier wel aangekomen is, is hetzelfde "feit" daarmee dan uitgesloten?

Uit de uitspraak:
Deze uitspraak is gebaseerd op drijfzand, want de rechter heeft geen bewijs dat dit dossier niet in handen van iemand is gevallen die daar misbruik van heeft gemaakt of nog gaat doen.

Sterker, er staat niet eens in op welke wijze het dossier is verzonden: was dit versleuteld en kunnen uitsluitend de bedoelde ontvangers decrypten? Zo niet, betrof het een zwaar bewapend transport, aangetekende brief of een ordinaire e-mail?

Ik gok het laatste, en dat één van de geadresseerden in de Bcc-lijst (of Cc-lijst, of To-lijst) niet de bedoelde geadresseerde is, maar iemand die "oppopte" door "address-completion" na het intikken van één of meer letters waarna de verzender, zonder goed te kijken, op Enter drukte. Dan kan het toevallig om een gemeenteambtebaar gaan, maar bijvoorbeeld ook om een andere burger die in een zelfde soort procedure "zit".

Geenszins. Deze uitspraak is slechts één van vele voorbeelden van het overkoepelende probleem dat er onzorgvuldig met onze gegevens wordt omgesprongen, wat ook deze rechter weigert te veroordelen.

Zolang rechters dat niet doen, verbetert er niks - integendeel: deze rechter zegt tegen de gemeente "u doet niets fout" waaruit je kunt afleiden dat je nog niet op het scherpst van de snede zit en er waarschijnlijk nog wel een tandje (onzorgvuldigheid) bij kan. En/of dat er wellicht straffeloos meer persoonsgegevens verzameld en uitgewisseld kunnen worden.

Maar sowieso dat het rechters duidelijk totaal niet interesseert hoe je persoonsgegevens transporteert, want dat is nou net een belangrijk aspect in deze zaak. Het is pure onwil, gemakzucht en/of bezuinigingsdrift als je dat niet veilig doet - de middelen daarvoor bestaan namelijk allang.

Wat een gezeik. De gemeente schade heeft veroorzaakt en dus is een vergoeding op z'n plaats. Psychische schade hierdoor oplopen is gewoon gelul. Durf te wedden dat ze deze gegevens zelf al meerdere malen op internet heeft gelekt. Welkom in de 21ste eeuw.

Slachtoffer van identiteitsfraude worden is natuurlijk volledig denkbeeldig en daarmee rekening houden zonder dat je enige financiële middelen hebt om de eventuele schade op te vangen, wat leidt tot stress, is natuurlijk ook aanstelleritis.
Inclusief BSN natuurlijk (verplicht bij persoonsgebonden communicatie tussen overheid en burger).