UWV moet werknemer 250 euro schadevergoeding betalen na datalek

Op 28 mei 2019 had Nederland (voor zover bekend) de primeur op het toekennen van een schadevergoeding op grond van de AVG (Algemene verordening gegevensbescherming). Nu, nog geen vier maanden later heeft de kantonrechter van de rechtbank Amsterdam geoordeeld dat ook het UWV een schadevergoeding van € 250,- aan de betrokkene moet betalen.

Primeur schadevergoeding

Op 28 mei van dit jaar heeft de rechtbank Overijssel de gemeente Deventer tot een schadevergoeding van € 500,- veroordeeld. De rechtbank oordeelde in deze zaak dat de gemeente Deventer de persoonsgegevens van betrokkene niet in overeenstemming met de Algemene verordening gegevensbescherming (AVG) heeft verwerkt. Door de onrechtmatigheid van de verwerking heeft de betrokkene schade geleden.

Eerder schreven wij al in “Het recht op schadevergoeding onder de AVG” dat er niet eerder een schadevergoeding op grond van de AVG aan een betrokkene was toegekend. Deze zaak openende volgens velen dan ook de deuren voor meer schadevergoedingclaims onder de AVG.

Op 2 september is dit vermoeden bevestigd. Ook hier ging het om een overheidsinstelling, namelijk het UWV, waarbij op onrechtmatige wijze persoonsgegevens van een betrokkene zijn verwerkt. Het UWV werd in deze zaak veroordeeld tot de betaling van een bedrag van € 250,-.

Onrechtmatige verwerking ex-werkneemster

Een werkneemster raakte voor langere tijd arbeidsongeschikt vanwege een burn-out. Zij werkte toen nog bij haar, inmiddels oude werkgever. Het UWV stuurt de werkneemster op 13 november 2017 een brief waarin staat dat als de werkneemster weer beter is, zij niets hoeft te doen. Op 14 november 2017 treedt de werkneemster in dienst bij een nieuwe werkgever. Bijna een jaar later ontvangt de nieuwe werkgever een brief van het UWV dat zijn werkneemster al anderhalf jaar ziek is. Bij het UWV stond de werkneemster nog steeds als ziek geregistreerd. Haar nieuwe werkgever wist echter nergens van.

Volgens de kantonrechter die uitspraak deed in deze zaak, is er sprake van een mededeling van gevoelige persoonsgegevens. Ook al bevat de mededeling aan de nieuwe werkgever als zodanig geen medische gegevens. De persoonsgegevens zijn zonder toestemming van werkneemster bekend geworden bij derden. Dit betekent dat werkneemster op dat moment geen controle had over haar persoonsgegevens.

Verlies van controle

De AVG heeft tot doel dat organisaties rechtmatig omgaan met persoonsgegevens, zodat de privacy van een natuurlijk persoon wordt beschermd. Dit betekent onder meer dat de betrokkene controle moet hebben over zijn of haar persoonsgegevens. Verlies van controle wordt dan ook beschouwd als een inbreuk en is daarmee onrechtmatig.

Het verlies van controle kan in dit geval leiden tot ernstige nadelige gevolgen voor de werkneemster. In het bijzonder doordat de persoonsgegevens bij een derde bekend zijn geworden zonder de toestemming van de werkneemster.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De rol van de OR bij privacy op de werkvloer
De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.
Het belang van patchmanagement
Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lees je hoe je hier zelf mee aan de slag kan.
De AVG versus de Wet politiegegevens (Wpg)
: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wpg van toepassing zijn op het werk van Boa’s en waar je als gemeente aan moet voldoen bij het verwerken van gegevens.

Meer recente berichten

BoF: Gemeenten hebben AVG basis nog steeds niet op orde
Verder lezen
Incidentresponsplan Ransomware
Verder lezen
Nederlandse datacenters en DNS providers krijgen zorg en meldplicht
Verder lezen
Nederlandse gemeenten sturen onbewust data naar VS
Verder lezen
Overheden kunnen elkaar straks waarschuwen over criminele praktijken
Verder lezen
Wat hebben we geleerd van cyberaanvallen op kritieke infrastructuur?
Verder lezen
NCTV: Risico op ontwrichting groter door scheefgroei dreiging en weerbaarheid
Verder lezen
Een op de vijf IT beslissers heeft weinig vertrouwen in databescherming en privacy van de cloud
Verder lezen
Beschermt de Autoriteit Persoonsgegevens privacy, of verstoort ze de vrije markt?
Verder lezen
Het is geen keuze, beveilig die digitale ramen
Verder lezen