Op 28 mei 2019 had Nederland (voor zover bekend) de primeur op het toekennen van een schadevergoeding op grond van de AVG (Algemene verordening gegevensbescherming). Nu, nog geen vier maanden later heeft de kantonrechter van de rechtbank Amsterdam geoordeeld dat ook het UWV een schadevergoeding van € 250,- aan de betrokkene moet betalen.
Op 28 mei van dit jaar heeft de rechtbank Overijssel de gemeente Deventer tot een schadevergoeding van € 500,- veroordeeld. De rechtbank oordeelde in deze zaak dat de gemeente Deventer de persoonsgegevens van betrokkene niet in overeenstemming met de Algemene verordening gegevensbescherming (AVG) heeft verwerkt. Door de onrechtmatigheid van de verwerking heeft de betrokkene schade geleden.
Eerder schreven wij al in “Het recht op schadevergoeding onder de AVG” dat er niet eerder een schadevergoeding op grond van de AVG aan een betrokkene was toegekend. Deze zaak openende volgens velen dan ook de deuren voor meer schadevergoedingclaims onder de AVG.
Op 2 september is dit vermoeden bevestigd. Ook hier ging het om een overheidsinstelling, namelijk het UWV, waarbij op onrechtmatige wijze persoonsgegevens van een betrokkene zijn verwerkt. Het UWV werd in deze zaak veroordeeld tot de betaling van een bedrag van € 250,-.
Een werkneemster raakte voor langere tijd arbeidsongeschikt vanwege een burn-out. Zij werkte toen nog bij haar, inmiddels oude werkgever. Het UWV stuurt de werkneemster op 13 november 2017 een brief waarin staat dat als de werkneemster weer beter is, zij niets hoeft te doen. Op 14 november 2017 treedt de werkneemster in dienst bij een nieuwe werkgever. Bijna een jaar later ontvangt de nieuwe werkgever een brief van het UWV dat zijn werkneemster al anderhalf jaar ziek is. Bij het UWV stond de werkneemster nog steeds als ziek geregistreerd. Haar nieuwe werkgever wist echter nergens van.
Volgens de kantonrechter die uitspraak deed in deze zaak, is er sprake van een mededeling van gevoelige persoonsgegevens. Ook al bevat de mededeling aan de nieuwe werkgever als zodanig geen medische gegevens. De persoonsgegevens zijn zonder toestemming van werkneemster bekend geworden bij derden. Dit betekent dat werkneemster op dat moment geen controle had over haar persoonsgegevens.
De AVG heeft tot doel dat organisaties rechtmatig omgaan met persoonsgegevens, zodat de privacy van een natuurlijk persoon wordt beschermd. Dit betekent onder meer dat de betrokkene controle moet hebben over zijn of haar persoonsgegevens. Verlies van controle wordt dan ook beschouwd als een inbreuk en is daarmee onrechtmatig.
Het verlies van controle kan in dit geval leiden tot ernstige nadelige gevolgen voor de werkneemster. In het bijzonder doordat de persoonsgegevens bij een derde bekend zijn geworden zonder de toestemming van de werkneemster.
Verder lezen bij de bronDeze versturen we 3-4x per jaar.
NCSC helpt met centraal securitymeldpunt: security.txt | Verder lezen | |
Kwart organisaties handelt inzageverzoeken niet goed af | Verder lezen | |
Passend beveiligen, hoe doe je dat? | Verder lezen | |
Deze lessen leerde Ticketcounter na datalek en afpersing | Verder lezen | |
NCSC ontvouwt plannen voor 2023 | Verder lezen | |
WODC onderzoek: overheden blijven privacywetgeving overtreden | Verder lezen | |
Dataprivacy is geen ICT feestje: weet waarom je het doet en zoek de juiste mensen erbij | Verder lezen | |
Recordjaar voor cryptohackers die enkele miljarden aan dollars stelen | Verder lezen | |
Na een jaar oorlog in Oekraine trekt het NCSC vier belangrijke cybersecuritylessen | Verder lezen | |
Utrecht doet aangifte van niet bezorgde stempassen | Verder lezen |
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap