Nieuws

Slachtoffer datalek Eindhoven houdt gemeente aansprakelijk voor schade

maandag 27 maart 2023, 10:26 door Redactie, 7 reacties

Een slachtoffer van een datalek bij de gemeente Eindhoven houdt de gemeente aansprakelijk voor materiële en immateriële schade die het incident veroorzaakt. Het datalek deed zich eind februari voor bij het versturen van brieven over de Meedoenbijdrage. Het betreft een extraatje voor minima in de gemeente. Bij het sorteren van 339 brieven ging er iets mis, waardoor sommige mensen de brief van iemand anders ontvingen en anderen geen brief kregen.

De gemeente stuurde alle 339 personen opnieuw een brief waarin het excuses maakte en het incident als een datalek bestempelde. De brieven bevatten naam, geboortedatum, geslacht en adresgegevens. Het datalek werd in eerste instantie niet door de gemeente bij de Autoriteit Persoonsgegevens gemeld. Daar besloot de gemeente halverwege maart op basis van "nieuwe inzichten" op terug te komen.

De gemeente Eindhoven staat, mede wegens het niet of te laat melden van datalekken, onder verscherpt toezicht van de Autoriteit Persoonsgegevens (AP). Normaliter moet een datalek binnen 72 uur na ontdekking bij de privacytoezichthouder worden gerapporteerd. In 2021 rapporteerde Eindhoven 52 ernstige datalekken bij de AP. Twintig daarvan werden te laat gemeld.

Een slachtoffer van het datalek stuurde een brief naar de gemeente waarin hij de gemeente verzoekt om zorgvuldig met zijn gegevens om te gaan. "Tevens heb ik de gemeente Eindhoven aansprakelijk gesteld voor de materiële en immateriële schade voortvloeiende uit dit datalek", aldus de briefschrijver (pdf). Onlangs eisten slachtoffers van datalekken bij mobiele provider Delta en de Hogeschool van Arnhem en Nijmegen schadevergoedingen.

Man die fraudeerde met digitale cadeaubonnen ontloopt celstraf in hoger beroep

Logius laat organisaties niet meer betalen voor burgers die via DigiD inloggen

Reacties (7)

27-03-2023, 11:21 door Anoniem

Heel goed bezig!
Als iemand zo stoer is om geen melding te doen van een datalek, dan is ie ook zo stoer om eventuele schade weer te vergoeden!

Als je dat risico niet wilt lopen, dan heb je twee opties:
1. Train je mensen en meld elke datalek die voorkomt, ook al is het pijnlijk.
2. Heb de data gewoon niet. Wat je niet hebt kan ook niet gelekt worden...

Ik adviseer optie 2, maar als iemand optie 1 doet, weet dan waar je aan begint!

27-03-2023, 11:40 door Anoniem

Die burger heeft natuurlijk gelijk.
Ook dat dit een datalek is geweest.
Maar het is niet een datalek geweest die past binnen de normen van de AVG. En dus zou dit (technisch gezien|) niet hoeven te zijn gemeld bij de AP.

Onderbouwing
AVG Artikel 2
Materieel toepassingsgebied
Lid 1 : Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

De fout betreft een foute adressering. Die is op papier geweest. Niet in het geautomatiseerde systeem van waaruit de brieven zijn verstuurd. En de brieven zijn niet bedoeld / bestemd om te worden opgenomen in de geautomatiseerde systemen.

Zwakte in mijn betoog: als de foutieve sortering een gevolg is geweest van de geautomatiseerde verwerking, dan zou dit wel kunnen worden opgevat als AVG-meld-plichtig.

27-03-2023, 11:50 door Anoniem

Wat is die schade dan precies? Dat moet toch worden onderbouwd? Ik vraag me af of een rechter meegaat in "doe maar 500 euro, want hoewel ik nu nog geen schade ervaar, zou het in de toekomst wel eens mis kunnen gaan".
Los van het feit dat de gemeente Eindhoven kwalijk bezig is en daar een boete voor mag krijgen: hoe bepaal je materiële en immateriële schade in dit geval?

27-03-2023, 12:11 door Erik van Straten

Zolang de vervuiler niet dik betaalt gaat er niks veranderen.

27-03-2023, 13:20 door Anoniem

Door Anoniem: Heel goed bezig!
Als iemand zo stoer is om geen melding te doen van een datalek, dan is ie ook zo stoer om eventuele schade weer te vergoeden!

Als je dat risico niet wilt lopen, dan heb je twee opties:
1. Train je mensen en meld elke datalek die voorkomt, ook al is het pijnlijk.
2. Heb de data gewoon niet. Wat je niet hebt kan ook niet gelekt worden...

Ik adviseer optie 2, maar als iemand optie 1 doet, weet dan waar je aan begint!

"Meedoenbijdrage. Het betreft een extraatje voor minima in de gemeente."
Optie 0: Geen extraatjes meer. Dan doe je ook nooit iets fout. Want geen aanschrijvingen.

/s

Het is en blijft mensenwerk.

27-03-2023, 15:37 door Anoniem

Door Anoniem: Maar het is niet een datalek geweest die past binnen de normen van de AVG. En dus zou dit (technisch gezien|) niet hoeven te zijn gemeld bij de AP.

Concludeer dat niet te snel, het woord "bestand" in het artikel dat je citeert is niet hetzelfde als een computerbestand. Artikel 4 (definities), lid 6:

„bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

Die definitie is niet beperkt tot elektronische gegevensverwerking, elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn is voor de AVG een bestand. Overweging 15 bevestigt dat:

Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn te vallen.

Ze hoeven dus maar een adreslijstje op papier te hebben gehad en het is al een bestand voor de AVG. Het moet heel raar lopen wil dit niet onder de AVG vallen.

27-03-2023, 19:19 door Anoniem

Dank,
Goede aanvulling.

Mijn zwakte in het betoog heb ik aangegeven.
De zwakte in uw betoog: indien de persoonsgegevens zijn 'opgeslagen' of 'bedoeld zijn om te worden opgeslagen' in een bestand.

Natuurlijk ben ik met muggenzifterij bezig. Uiteindelijk gaat het er om dat men (dus ook de gemeente Eindhoven) op juiste manier met gegevens om gaat. Overigens: met ruimte voor menselijke fouten.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer