Stichting wil duidelijkheid over schadevergoeding voor GGD-datalek

Stichting ICAM wil dat het ministerie van Volksgezondheid binnen twee weken laat weten of gedupeerden van het datalek bij de GGD een schadevergoeding krijgen. Als dit niet het geval is, dan stapt de stichting naar de rechter.

De stichting is in december vorig jaar begonnen met een 'collectieve actie', waarbij ruim 80.000 mensen zich hebben aangesloten. Die actie draait om twee IT-systemen van de GGD, waarmee onder meer bron- en contactonderzoekers de medische gegevens van Nederlanders konden bijhouden. Medewerkers konden deze systemen echter ook gebruiken om de gegevens van Nederlanders eenvoudig te verzamelen en te downloaden. Het gaat om de systemen CoronIT en HPzone Light, gegevens uit deze systemen werden daadwerkelijk illegaal verhandeld, bleek in januari 2021. Sindsdien heeft de GGD stappen ondernomen om dit verzamelen en verhandelen tegen te gaan, zoals het uitschakelen van printfuncties.

Volgens ICAM zijn er meer dan 6,5 miljoen gedupeerden in de zaak. Bij sommigen zijn privégegevens gestolen en bij anderen 'had dit kunnen gebeuren', schrijft onder meer De Limburger. De GGD-koepelorganisatie GGD-GHOR zegt dat er ongeveer 1.250 gedupeerden zijn.

De stichting eist een schadevergoeding van drie miljard euro. De deelnemers aan de actie kunnen in aanmerking komen voor minimaal 500 per persoon. Als de gedupeerde bewijs heeft dat zijn gegevens zijn gestolen, dan vordert de stichting 1.500 euro. De schadeclaim is gericht tegen het ministerie van Volksgezondheid, omdat die volgens de initiatiefnemers 'verantwoordelijk is voor het ontwerp van de IT-systemen die de GGD’en gebruiken'.

Daarnaast is het gat in de systemen volgens ICAM nog altijd niet helemaal verholpen. Binnen acht weken wil de stichting uitleg van het ministerie over de aanpak daarvan.

IT-banen

Reacties (123)

Godson-2 9 februari 2022 18:57

Ik kan hen wel duidelijkheid geven: er is echt geen kans dat men 3 miljard schadevergoeding gaat krijgen. Geen enkele rechter in dit land zal dat toekennen.

Los daarvan zijn er helemaal geen 6,5 miljoen gedupeerden, want men had niet de hele database gestolen, en zelfs dan vermoed ik dat de rechter geen hoge schadevergoeding had toegekend vanwege de crisissituatie.

Dus deze hele aanklacht is niets anders dan geldklopperij.

Marco076 @Godson-2 • 9 februari 2022 20:30

Misschien moeten we eens een class action starten namens alle belastingbetalers tegen die stichting die over onze ruggen zijn zakken wil vullen.
Toen ik zocht op die stichting kwam ik op de site datalek-ggd.nl uit. Die site probeerde ook een verbinding te maken met de site daccs.nl van Digital Advanced Collective Claim Services BV, een professionele zakkenvuller middels collectieve claims. DACCS heeft ook qollect.nl, dat ook in de business van het op gemakkelijke wijze uitbuiten van andermans leed zit. En dat zou even gemakkelijk 20% van 3,2 miljard belastinggeld binnen mogen harken...?

Fritsje_p @Marco076 • 9 februari 2022 22:17

Hier zat ik gisteren ook aan te denken. Hoewel ik me niet heb aangemeld bij deze stichting als slachtoffer, claimen ze wel in mijn naam een schadebedrag (aangezien ik in de GGD database sta).

Wat mij betreft valt dit onder onrechtmatige vertegenwoordiging. Ik heb immers geen volmacht aan ze gegeven om namens mij een claim in te dienen.

Ik sluit me graag aan bij een claim tegen deze stichting.

(Ik ben het overigens niet oneens met de ingediende claim, maar puur de statement die ze maken dat ze namens alle Nederlanders claimen, ongeacht of deze zich bij hun hebben aangesloten).

bbob

Rechtszaak
Nederland
Politiek en recht

@Fritsje_p • 10 februari 2022 09:52

Ach dat is typisch Amerikaans gedrag. Je brult heel heel hard, claimt miljarden en mocht er dan toch een paar miljoen komen zijn de dames/heren die uurtarieven van xxx euro schrijven ook weer tevreden. Op naar de volgende claim.

Baps @Fritsje_p • 10 februari 2022 11:39

Wat mij betreft valt dit onder onrechtmatige vertegenwoordiging. Ik heb immers geen volmacht aan ze gegeven om namens mij een claim in te dienen.

En precies dit is wat ze naar ik verwacht zal gaan nekken bij de rechter. De wet collectieve afwikkeling in massaschade vereist namelijk dat als je een collectieve claim indient, je dit doet namens een voldoende bepaalbare groep mensen. In de zaak tegen Oracle en Salesforce liep het om die reden ook al stuk. Hier hebben ze daar misschien beter over nagedacht, maar een succesvolle claim indienen namens 6,5 miljoen mensen, terwijl 6,4 miljoen daarvan niet eens weten van het bestaan van de stichting zal natuurlijk nooit lukken.

amigob2 @Baps • 10 februari 2022 13:09

In Nederland moet je ook aantonen wat je schadden is en dat is collectief niet te doen, want iedereen heeft andere kosten als ze al schadden hebben opgelopen. Je kunt niet eventuele schadden claimen. En dit is dus ook meteen de reden dat het helemaal geen kans van slagen heeft en dat de mensen gewoon geld weg gooien, en iedereen in Nederland op kosten jagen.

Verwijderd @Godson-2 • 9 februari 2022 19:25

Los daarvan zijn er helemaal geen 6,5 miljoen gedupeerden, want men had niet de hele database gestolen,
Dat is dan wel aan de GGD om dat te bewijzen. Er is data gelekt, dat is meer dan bewezen. Dus waarom niet de gehele database? Er zat gewoon een print en export knop in het programma voor iedereen te gebruiken, dus een script is zo geschreven om dit te automatiseren. Zie ook:
Ook konden GGD'en via de knop exports van gegevens die in hun regio getest of gevaccineerd zijn ontvangen, zodat die gebruikt kunnen worden voor het maken van rapporten voor bijvoorbeeld gemeenten. NOS meldde gisteren dat de functie ook gebruikt werd om gegevens naar andere systemen over te dragen, maar die toepassing noemt GGD GHOR zelf niet.
De verdere afhandeling is ook niet transparant, de AP heeft zelfs geklaagd en voorspelt dat schadeclaims kunnen komen. Daarna bleek het nog steeds niet in orde te zijn.

Dus deze hele aanklacht is niets anders dan geldklopperij.
Hoewel ik het daar mee eens ben, is de manier waarop de GGD met deze software live is gegaan ook absoluut absurd. Iedereen met enig verstand had kunnen weten dat dit zou gebeuren. Of de GGD hier nalatig is geweest zal de rechter dan ook (blijkbaar) moeten bepalen.

Cergorach @Verwijderd • 9 februari 2022 19:34

Dat is dan wel aan de GGD om dat te bewijzen.

Is dat zo? Is dat niet aan de aanklagende partij?

Verwijderd @Cergorach • 9 februari 2022 19:40

Als ik zeg dat data gelekt is en bewijs aanvoer dan is het niet raar om te stellen dat alle gegevens gelekt zijn. Ik neem aan dat de rechter dan bewijs eist dat de GGD er alles aan heeft gedaan om dit te voorkomen. Gezien er in het begin niet eens logging aan stond zal de GGD dat, volgens mij, onmogelijk kunnen bewijzen.

Dat zal niet 'het' bewijs zijn dat de zaak rond maakt maar wel helpen in de algehele zaak.

sympa @Verwijderd • 9 februari 2022 21:04

Als je er over nadenkt is het eigenlijk best wel raar. Stel dat ik een lek vind in een applicatie. Waardoor alle gegevens gelekt hadden kunnen zijn. Moet de beheerder van de applicatie dan "bewijzen" dat er niets gelekt is?

Liberteh @sympa • 9 februari 2022 22:06

Aangezien het beheer steeds meer vergemakkelijkt is en men moeite moet doen om dit tegenwoordig niet te hebben, naast het feit dat logging bij dit soort applicaties waarbij later moet worden kunnen bewezen dat er volgens de letters van de wet gehandeld is, zeg ik: ja.

Als ze dit niet aannemelijk kunnen maken dan moeten ze toestaan dat een extern en onafhankelijk bureau hier verder onderzoek naar doet.

sympa @Liberteh • 9 februari 2022 22:11

Okee, jij hebt vorige maand nog je OS gepatched. Mijn mailadres staat bij jou op de computer (want ik had je gemaild).
Maar jouw computer was vorige maand lek.
Ga jij nou bewijzen dat je mijn mailadres niet hebt laten lekken? Of betaal je me liever meteen 50 euro om van het gezeik af te zijn?

Verwijderd @sympa • 9 februari 2022 23:05

Ter eerste moet er een incident zijn. Daarna bekijkt de rechter of je nalatig bent geweest. Dat zal gebeuren door een onafhankelijke instantie die bijvoorbeeld kijkt of je Windows Update aan had staan. Als je deze moedwillig hebt uitgeschakeld dan ben je nalatig geweest. Als dit gebeurd is door een systeemfout of bijvoorbeeld malware dan kan het zijn dat het als 'overmacht' gezien wordt.

Maar als jij bijvoorbeeld met medische persoonsgegevens werkt, de hoogst mogelijk vertrouwelijke gegevens waar we hier over praten, dan dien je een goede virusbescherming te hebben en een up2date systeem te onderhouden. Zaken hieromtrent zijn vrij duidelijk:

https://autoriteitpersoon...gevens-te-beveiligen-7395

Verantwoordingsplicht
De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens van uw patiënten te beveiligen. En dat uw gegevensverwerkingen aan de AVG voldoen.

https://autoriteitpersoon...eiligingsmaatregelen-6385
Voorbeelden van technische maatregelen:

Logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur (denk niet alleen aan kluizen en portiers, maar ook aan firewalls en netwerksegregatie);[/li]
Technisch beheer van de (zo beperkt mogelijke) autorisaties en bijhouden van logbestanden;
Beheer van technische kwetsbaarheden (patch management);
Software, zoals browsers, virusscanners en operating systems up-to- date houden;
Back-ups maken waarmee u de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt;
Automatisch verwijderen van verouderde gegevens:
Versleuteling van gegevens;
Hashing. Organisaties kunnen hashing gebruiken als methode om persoonsgegevens te pseudonimiseren;
Minder gegevens op uw servers verwerken en meer gegevensverwerkingen laten plaatsvinden op de apparatuur van de gebruiker zelf, zoals een smartphone.[/i]

[Reactie gewijzigd door Verwijderd op 23 juli 2024 07:16]

Dutch2007 @sympa • 10 februari 2022 07:47

Windows update houdt bij wanneer welke update geïnstalleerd werd en daar kan je cross reference op toepassen wanneer de update beschikbaar is gesteld door de leverancier.

Beschikbaar op 5 januari en je installeert 'm op 9 augustus, ja dan ben je nalatig geweest.

J_van_Ekris @Cergorach • 9 februari 2022 19:42

Is dat zo? Is dat niet aan de aanklagende partij?

Volgens mij is het aan de klagende partij om aan te tonen hoeveel mensen hoeveel schade hebben geleden.

Renoir @J_van_Ekris • 9 februari 2022 20:15

Inderdaad. Als ik 1 gegeven heb van jou is het niet per se aannemelijk dat ik alle gegevens van jou heb. Dat zal ik toch echt moeten bewijzen.

R4gnax

Datalek

@Cergorach • 10 februari 2022 07:43

Is dat zo? Is dat niet aan de aanklagende partij?

Heeft de klagende partij eigenlijk ook al gedaan.

De wettelijke definitie die hier van belang is, is niet een data lek in de zin van daadwerkelijk buitgemaakte gestolen data, maar een "inbreuk in verband met persoonsgegevens." Bij wet: "een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens."

Dus enkel het feit dat er ongeoorloofde toegang was, is al afdoende om een geval als inbreuk te classificeren. Het feit of er ook bewijs of een gereden vermoeden is dat er gegevens daadwerkelijk buitgemaakt zijn of niet, is enkel van belang voor de meldplicht.

Je bent als betrokkene wiens data ongeoorloofd toegankelik was sowieso gedupeerde en je kunt een schadeclaim indienen. Je moet dan wel schade kunnen aantonen; maar de EU heeft eerder al duidelijk gemaakt dat onder deze soort claims ook emotionele schade mag vallen. Dus bijv. de stress; onzekerheid; piekermomenten; paniekaanvallen; slapeloze nachten; etc. van niet weten of en wat er met jouw gegevens mogelijk kan gaan gebeuren.

Daar komt ook het lagere claimbedrag van 500 EUR p.p. vandaan wat deze stichting wil opvoeren: dat bedrag is zo ongeveer de standaardmaat wat rechtbanken in het verleden bij dit soort emotionele schade uitgekeerd hebben.

[Reactie gewijzigd door R4gnax op 23 juli 2024 07:16]

sympa @R4gnax • 10 februari 2022 08:16

In een betere wereld zou de rechter kunnen oordelen dat die stress in dit geval veroorzaakt is door het claimbedrijf. En dus het claimbedrijf die 500 euro p.p. laten uitbetalen.
Zonder claimbedrijf was er ongetwijfeld minder stress geweest.

Godson-2 @Verwijderd • 9 februari 2022 19:29

De rechter zal altijd rekening houden dat het een crisissituatie was en dat het systeem snel ingevoerd moest worden.

Tevens heeft de GGD later wijzigingen aangebracht dus je kan ze maar beperkt nalatigheid aanrekenen.

Deze hele rechtszaak gaat op niets uitlopen en die 80.000 die een gokje dachten te wagen zijn hun geld kwijt (ik weet niet zeker of ze moesten betalen of te kunnen deelnemen aan de claim maar meestal is dit wel het geval).

Verwijderd @Godson-2 • 9 februari 2022 19:36

De rechter zal altijd rekening houden dat het een crisissituatie was en dat het systeem snel ingevoerd moest worden.
Aha, dus alles mag maar als het een crisis situatie is? Alle regels mogen dan het raam uit?

Tevens heeft de GGD later wijzigingen aangebracht dus je kan ze maar beperkt nalatigheid aanrekenen. De export knop heeft letterlijk enkele maanden aangestaan zonder enige aandacht:
Pas na alle media aandacht heeft men gekeken en actie ondernomen. Daarna zeiden ze dat het in orde was terwijl de printknop nog gewoon actief was:
Dat de functie voor al die gebruikers is ingeschakeld, druist in tegen eerdere beloftes van de GGD dat de mogelijkheid om lijsten van personen te exporteren grotendeels is uitgezet. Die rechten zouden aan minder mensen zijn toegekend. Dat geldt dus niet voor de printknop.
De AP heeft de GGD zelfs onder verscherpt toezicht gesteld.

Het zal inderdaad nergens op uitlopen. Maar als dit een commerciële partij was geweest hadden ze de boel op kunnen doeken. Het punt is wel dat overheid hier (blijkbaar) boven de wet staat.

J_van_Ekris @Verwijderd • 9 februari 2022 19:55

Het zal inderdaad nergens op uitlopen. Maar als dit een commerciële partij was geweest hadden ze de boel op kunnen doeken. Het punt is wel dat overheid hier (blijkbaar) boven de wet staat.

Hier zit een hele duidelijke maatschappelijke belangenafweging achter. Niet het systeem snel optuigen had mensenlevens gekost, het snel (en slordig?) optuigen heeft dat wellicht voorkomen.

Je kunt ook niet bij de brandweer voor schadevergoeding aankloppen als ze je tuinhek platrijden als ze je uit een branden huis moeten komen redden.

singingbird @J_van_Ekris • 9 februari 2022 23:37

Beetje offtopic, maar als je op een eerste hulp wordt binnengebracht en ze je daar je kleren openknippen om je te onderzoeken of om iets levensreddend te doen, dan heb je wel recht op vergoeding van de schade aan je kleding. Dat voorbeeld van jou met dat hek zou dus zomaar wel kunnen (maar dat weet ik dus niet zeker).

Dennisb1 @singingbird • 10 februari 2022 09:24

Daar zie ik graag een bron van.

singingbird @Dennisb1 • 10 februari 2022 18:58

https://ehbo-stedebroec.n...elijkheid-ehbo-er-gedekt/

Voor ziekenhuizen geldt ook iets vergelijkbaars, maar daar heb ik geen goede bron van kunnen vinden.

Martijn033 @singingbird • 10 februari 2022 10:13

Dat vraag ik me af.
Wanneer ik - als BHV-er - iemands shirtje openknip omdat ik ga reanimeren, ben ik daar niet verantwoordelijk voor. Mijn werkgever ook niet trouwens. Sterker nog, zelfs als iemand een niet-reanimeren verklaring op zijn borst heeft getatoeëerd (ja, dat komt voor), en ik start toch met reanimeren, moet ik doorgaan totdat de ambulance er is, én ben ik niet verantwoordelijk voor het eindresultaat. Het simpele feit dat ik bezig ben met een levensreddende handeling, is genoeg om mij uit te sluiten van die verantwoordelijkheid.
Ik weet niet of een organisatie zoals de GGD zich ook daarop kan beroepen.

Doornekamp33 @Martijn033 • 10 februari 2022 11:49

Als jij een shirt openknipt en een niet reanimeren tattoo aantreft mag je niet starten met reanimeren, ben je begonnen met reanimeren en kom je daarna de tattoo tegen mag je niet meer stoppen.
Toch een klein verschil.

[Reactie gewijzigd door Doornekamp33 op 23 juli 2024 07:16]

Martijn033 @Doornekamp33 • 13 februari 2022 19:42

Ook als ik wel begin, kan ik er niet voor worden vervolgd.

unaco @J_van_Ekris • 9 februari 2022 22:17

Flauwekul, overheid staat niet boven de wet als het gaat om gegevensbescherming.

Echter, deze claim moet als niet ontvankelijk verklaard worden omdat het gewoon niets anders is dan proberen ergens slaatje uit te slaan.

Mijn werk is letterlijk het adviseren van bedrijven en overheden over IT databescherming en beleidsvorming / voering en over de mogelijke juridische impacts en deze case is flauwekul.. heb er totaal geen begrip voor.

AVG en GDPR zijn ook duidelijk; indien een organisatie (initiële) maatregelen genomen heeft om gegevens te bescherming en of adequate actie ondernomen heeft om herhaling te voorkomen zal worden afgezien van strafrechtelijke maatregelen. Een civiele case kan altijd maar die gaat geen stand houden. De GGD is niet eens verplicht om mee te werken hieraan..

Dit is zonde van de belastinggelden. Beter ziet deze ‘stichting’ af van de zaak en vragen ze de betrokkenen om een bijdrage te storten in een fonds waar bijv. een diepgaande (non-profit) security audit gerealiseerd wordt op de systemen, applicaties en medewerkers van de GGD om alles futureproof te maken ipv de GGD verder financieel uit te kleden.

Verwijderd @J_van_Ekris • 9 februari 2022 22:57

Hier zit een hele duidelijke maatschappelijke belangenafweging achter. Niet het systeem snel optuigen had mensenlevens gekost, het snel (en slordig?) optuigen heeft dat wellicht voorkomen.
Ik zou het daar helemaal mee eens zijn was het niet dat dit maanden heeft gedraaid, zelfs na herhaaldelijk waarschuwen. De oplossingen waren ook binnen dagen doorgevoerd...

Je kunt ook niet bij de brandweer voor schadevergoeding aankloppen als ze je tuinhek platrijden als ze je uit een branden huis moeten komen redden.
Dit is eerder een brand melden en de brandweer komt niet opdagen. Diverse kranten melden de brand en worden genegeerd. Pas maanden later, als er een item op nieuws uur uitgezonden wordt, komt men de brand blussen. Al die tijd liggen al je privé gegevens op straat en is zelfs de AP langs de kazerne geweest om aan te geven dat ze niet tolereren dat er privé gegevens op straat liggen en zet de brandweer onder verscherpt toezicht.

R4gnax

Datalek

@J_van_Ekris • 10 februari 2022 07:36

Je kunt ook niet bij de brandweer voor schadevergoeding aankloppen als ze je tuinhek platrijden als ze je uit een branden huis moeten komen redden.

Als ze de bijl in je voordeur moeten zetten omdat jij niet thuis bent, maar er bij moeten zijn bijv. vanwege uitslaande brand in nabijgelegen woning; boven- of onderburen in een apartementencomplex; toegang tot een serviceluik wat toevallig in jouw apartement ligt; etc. dan krijg je dat anders toch netjes vergoed, vziw

Godson-2 @Verwijderd • 9 februari 2022 19:39

Dat zeg ik niet. Wat ik zeg is dat de rechter daar rekening mee zal houden.

En concreet betekent dat dat deze rechtszaak kansloos is.

oef! @Verwijderd • 9 februari 2022 19:39

Hoewel ik het daar mee eens ben, is de manier waarop de GGD met deze software live is gegaan ook absoluut absurd.

Het is natuurlijk wel ontstaan in een absurde situatie. Ik zal het niet goedpraten maar elke organisatie van het formaat GGD zou een gruwelijke uitdaging hebben om hun registratie systemen binnen een maand of drie te vervangen voor iets nieuws. Nog los van het financiële plaatje en of dit vanuit een leveranciers perspectief überhaupt haalbaar is.

MME82 @oef! • 9 februari 2022 20:32

Er was inderdaad sprake van een noodsituatie, maar de GGD - en VWS als politiek verantwoordelijke - hebben nadat ze dat risico bewust hebben genomen (nood breekt wet) en het meermalen werd misbruikt naar het schijnt het gat niet helemaal gedicht. Je zou zeggen dat op een gegeven moment het argument "ja, maar het was crisis" ook voor een rechter minder krachtig zal zijn.

Laten we daarbij niet vergeten dat door het type gegevens wat in het systeem werd opgenomen het op voorhand duidelijk was dat de risico's op uitlekken/ misbruik zo klein mogelijk moesten blijven. Als een bedrijf als Meta of Google zoiets - na actief misbruik - na twee jaar nog niet had verholpen zouden we wellicht anders reageren..

ro8in @Godson-2 • 9 februari 2022 19:03

Dat zijn dit soort stichtingen toch altijd. Je mag alleen mee doen als je tekent dat je een percentage van je verdiende geld aan hun af staat. De advocaat kosten worden pas in rekening gebracht zodra de stichting weet wat hun aan het hele tafereeltje overhouden. Zo staat de winst op 0 en heeft een of ander advocatenkantoor lekker zijn zakken gevuld.

[Reactie gewijzigd door ro8in op 23 juli 2024 07:16]

Godson-2 @ro8in • 9 februari 2022 19:09

Je moet vooraf ook nog eens vaak betalen (rond de honderd euro of zo) zonder dat er een garantie is dat je meer krijgt.

In deze zaak is de kans volgens mij nihil dat ze een hoge schadevergoeding krijgen tenzij ze kunnen aantonen dat hun gegevens misbruikt zijn en dat ze hierdoor schade hebben opgelopen. Ik geloof nooit dat die 80.000 deelnemers dit kunnen aantonen.

GertMenkel

Nederland

@Godson-2 • 9 februari 2022 19:29

Het domste is nog wel dat we met z'n allen die "schadevergoeding" van ons eigen geld zitten te betalen.

De mensen die bereid zijn om advocaten te schatrijk te maken van publiek geld om 500-1500 euro binnen te harken zijn in mijn ogen niet meer dan profiteurs. Dezelfde mensen zullen vervolgens ook boos opkijken als ze volgend jaar ineens 200 euro meer belasting moeten betalen.

Dat gezegd hebbende vind ik wel dat de mensen waar aantoonbaar een privacy-inbreuk is geweest (bijvoorbeeld door de criminelen die tot nu toe opgepakt zijn) wel een vergoeding verdienen. De hoogte daarvan is echter voor de rechter om te bepalen, en moet per zaak los inhoudelijk worden geregeld.

m4ikel @Godson-2 • 9 februari 2022 19:59

@Godson-2 Je mist een belangrijk detail: Er loopt momenteel een procedure bij het Europees Hof m.b.t. immateriële schade t.g.v. het lekken van persoonsgegevens. Als het Europese Hof de eisers hierbij in het gelijkstelt, dan zal er toch écht een schadevergoeding gaan komen en ontstaat er nieuwe jurisprudentie op het gebiedt van immateriële schade. En ben eerlijk: die is er wel degelijk.

2020Media @Godson-2 • 9 februari 2022 23:16

Los daarvan zijn er helemaal geen 6,5 miljoen gedupeerden, want men had niet de hele database gestolen, en zelfs dan vermoed ik dat de rechter geen hoge schadevergoeding had toegekend vanwege de crisissituatie.

Pertinent mee oneens, zoals dycell ook aangeeft was het mogelijk om de gehele database te exporteren, bovendien was er in de eerste fase niet eens een check betreffende welke gebruikers een export hebben gedraaid.

Nu meldt de NOS dat een week na deze ontdekking het alsnog mogelijk is om in het programma HPZone lijsten met persoonsgegevens uit te draaien. De exportfunctie waarmee in bulk data kan worden geëxporteerd is wel dichtgezet, maar via een printfunctie kunnen er nog steeds lijsten met gegevens als pdf worden opgeslagen.

In een reactie tegenover de NOS laat de GGD weten dat het klopt dat deze functie nog beschikbaar is, omdat deze nodig is voor het analyseren van data. Wel zegt de GGD bezig te zijn met strengere controles op het gebruik van deze functie. Eerder bleek juist ook dat er niet werd gelogd wie toegang tot de gegevens had.
nieuws: Privégegevens nog steeds makkelijk te exporteren via GGD-systeem HPZone

Ik heb ook direct de GGD gebeld n.a.v. dit datalek, toen was een van mijn vragen of er potentieel data van elke persoon die er in de database stond was gestolen. Het antwoord hierop was: "Dat is mogelijk".

Daarnaast geldt ook gewoon dat ook crisissituatie er basisregels qua persoonsberscherming waar je je aan houdt juist als overheid. Als je een systeem op deze manier uitrolt dan accepteer je imo gewoon het risico op schadeclaims, crisis of niet.

Godson-2 @2020Media • 10 februari 2022 05:18

Je moet dit bewijzen en zover ik weet is dit niet bewezen.

HansMij 9 februari 2022 19:36

Ik verwacht niet dat die 3 miljard toegekend wordt, maar hoop wel dat er iets betaald moet worden (5 euro p.p. ofzo).

Dat schept een precedent waardoor bedrijven ook beter gaan uitkijken of ze geen onnodige gegevens meer opgeslagen hebben. Als je dan namelijk 1000 mensen uit jouw DB kan gooien is dat een risico van 5000 euro minder.

sympa @HansMij • 9 februari 2022 21:15

Ik hoop dat, als er betaald moet worden, het om een boete aan de staat gaat.
Dat scheelt heel veer roofrechtszaken.
Bedenk maar waar dit op neer gaat komen. Je hebt misschien een website, iemand laat een mailadres achter, er komt spam op dat mailadres binnen (wie weet ransomware op je server? Whatever) en klaagt dan jou en je site aan.
Het is toch wel erg vervelend als er dan een berg roofadvocaten op dat soort lekjes gaat duiken.
Maar dat gebeurt dan wel. Inclusief brieven met "Zeg maar dat je het niet meer zal doen en betaal ons 100 euro om weg te gaan en niet te procederen".
Fijne wereld, dan.

J_van_Ekris @HansMij • 9 februari 2022 19:41

Ik gok dat de rechtbank roept dat ze niet ontvankelijk zijn.

ll roel j 9 februari 2022 19:19

Als je zonodig iemand wil aanklagen is het niet de GGD maar zijn dat m.i. de personen die de data hebben gestolen.

Deze aanklacht is bizar. De mensen die meedoen betalen dit uit hun eigen zak (belasting) de enige die hier aan verdient is die advocaat. Zou men dat nu echt niet zien?

enver63

@ll roel j • 9 februari 2022 19:30

Als je zonodig iemand wil aanklagen is het niet de GGD maar zijn dat m.i. de personen die de data hebben gestolen.

Dat lijkt mij ook, en ik begrijp niet waarom dat niet eerder ergens is opgemerkt.

Waarschijnlijk hebben de medewerkers die de gestolen gegevens verkochten voordat ze gingen werken een verklaring moeten ondertekenen over het omgaan met vertrouwelijke gegevens. Ik moet dat bij bijna iedere opdracht die ik doe. Als ik vervolgens foute dingen doe (bewust of onbewust) met die gegevens, ben ik aansprakelijk.

Als de GGD niet dergelijke verklaringen laat ondertekenen zou dat wel slecht zijn, maar het lijkt me dat ze dat in een standaardprocedure hebben.

EDIT: Waarschijnlijk heeft de advocaat van de claim-stichting ingeschat dat bij de medewerkers die de gegevens hebben gestolen minder te halen valt dan bij het ministerie van VWS?

[Reactie gewijzigd door enver63 op 23 juli 2024 07:16]

m4ikel @enver63 • 9 februari 2022 20:06

Er ligt al 2 jaar een onderzoek op de plank waarin blijkt dat de dataveiligheid bij de GGD niet op orde is. Dit onderzoek is door minister Hugo de Jonge naast zich neer gelegd. Dat heet juridisch: nalatigheid.

Daarbij werken deze medewerkers in opdracht van zijn/haar werkgever: Kortom: werkgever is aansprakelijk, en werkgever stelt werknemer aansprakelijk. Dat is de juridische volgorde.

Als gedupeerde heb je NIKS met de medewerkers te maken.

[Reactie gewijzigd door m4ikel op 23 juli 2024 07:16]

sympa @enver63 • 9 februari 2022 21:06

En waarschijnlijk denken ze ook dat het makkelijker procederen zal zijn dan tegen een datalek bij MetaFacebook?

R4gnax

Datalek

@enver63 • 10 februari 2022 12:46

Als ik vervolgens foute dingen doe (bewust of onbewust) met die gegevens, ben ik aansprakelijk.

Je bedoelt: de verwerkingsverantwoordelijke kan jou aansprakelijk stellen.
Dwz voor de schade die de verantwoordelijke potentieel zou lijden als zij aansprakelijk gesteld worden.

Voor de getroffen betrokkene en voor de wet is het altijd zo dat de verwerkingsverantwoordelijke de aansprakelijke is.

Wel is het zo dat de wet een gecontracteerde verwerker die haar boekje te buiten gaat en op eigen initiatief gaat handelen, voor alle handelingen die onder eigen initiatief vallen, classificeert als de verwerkingsverantwoordelijke. Dus in die zin kun je als je direct een verwerkingsovereenkomst schendt, wel de wettelijk aansprakelijke (rechts)persoon zijn.

Maar dat is niet wat er speelt als je het hebt over een werkgever/werknemer-relatie.

[Reactie gewijzigd door R4gnax op 23 juli 2024 07:16]

pcxs @ll roel j • 9 februari 2022 19:34

Dat is sowieso het probleem die figuren worden of nooit gepakt en als ze al gepakt worden staan ze binnen een week weer op straat.

Mensen zijn dom kijk maar naar Stichting Loterijverlies er is er maar 1 beter van geworden juist die advocaat.
Zo gaat dat met deze ook houd mensen een zwets verhaal voor met potentieel winst en jawel zakken vullen, naderhand is iedereen zijn geld kwijt.

Een rechter gaat dit niet toewijzen dat weet die advocaat ook maar die rekent zich al rijk.

Als je zonodig iemand wil aanklagen is het niet de GGD maar zijn dat m.i. de personen die de data hebben gestolen.

Deze aanklacht is bizar. De mensen die meedoen betalen dit uit hun eigen zak (belasting) de enige die hier aan verdient is die advocaat. Zou men dat nu echt niet zien?

Dutch2007 @pcxs • 10 februari 2022 07:53

Volgens mij was/is het op basis van no "cure", no pay.

Doe je mee, winnen ze, krijg je betaald (minus de fee).

Winnen ze, wordt er betaald en heb je niet mee gedaan, wordt ook dmv jouw belasting geld, iemand anders betaald 😉

pcxs @Dutch2007 • 10 februari 2022 10:12

Zo ging het met loterijverlies ook of je dan toch ff wat geld wilde storten voor de rechtszaak etc dus uiteindelijk vult de advocaat zijn zakken

Volgens mij was/is het op basis van no "cure", no pay.

Doe je mee, winnen ze, krijg je betaald (minus de fee).

Winnen ze, wordt er betaald en heb je niet mee gedaan, wordt ook dmv jouw belasting geld, iemand anders betaald 😉

TheDudez @ll roel j • 9 februari 2022 19:35

De ggd is net zo fout er was gewoon een download knop die er niet had moeten zitten voor iedereen.

J_van_Ekris @ll roel j • 9 februari 2022 19:57

Als je zonodig iemand wil aanklagen is het niet de GGD maar zijn dat m.i. de personen die de data hebben gestolen.

Als je ze al vindt, ga je daar zeker geen 3 miljard kunnen claimen. 3 ton zal al een uitdaging zijn. Iets met een kale kip en zo....

[Reactie gewijzigd door J_van_Ekris op 23 juli 2024 07:16]

J_van_Ekris 9 februari 2022 19:01

Moet je onder het Nederlandse recht geen schade concreet aantonen? Dan is lukraak een bedrag noemen zonder expliciete onderbouwing (dus met bonnetjes etc.) zou dan kansloos zijn....

[Reactie gewijzigd door J_van_Ekris op 23 juli 2024 07:16]

m4ikel @J_van_Ekris • 9 februari 2022 20:01

@J_van_Ekris zie ook mijn andere opmerking. Er loopt momenteel een procedure bij het Europese Hof betreffende immateriële schade t.g.v. het lekken van persoonsgegevens. Uitspraak hierin zal grote gevolgen gaan hebben voor toekomstige én huidige jurisprudentie.

J_van_Ekris @m4ikel • 9 februari 2022 20:08

Begrijp me niet verkeerd, ik ben voorstander van het kunnen claimen van schadevergoeding. Bijvoorbeeld als iemand mijn paspoortgegevens op straat gooit, dan is dat niet meer dan redelijk (was laatst in het nieuws dat de veroorzaker nieuwe paspoorten voor mensen moest vergoeden). Als er aannemelijke schade is, is het fair dat de veroorzaker die vergoed.

Maar blanco per geregistreerde Nederlander 500 euro claimen, ongeacht of dat dossier leeg was, of benaderd is, gaat wel erg ver. Je zou toch wel enige vorm van onderbouwing verwachten...

m4ikel @J_van_Ekris • 9 februari 2022 20:13

Die onderbouwing is nalatigheid. Immers, het ministerie van VWS is als 2 jaar op de hoogte van de dataveiligheidssituatie bij de GGD, maar heeft nagelaten hierop te acteren.

Lees: https://autoriteitpersoon...gegevens-beter-beschermen

Quote AP: "Duidelijke afspraken ontbreken", daar kom je onder de AVG als bedrijf niet mee weg. Dan ben je nalatig in de afhandeling, als in de initiële waarborging van data. Kortom: dubbel fout.

Edit: 5 dagen geleden (04 februari 2022):

GGD heeft zaken op gebied van privacy nog altijd niet goed geregeld.

vertelt een voormalige werknemer dat hij anderhalve maand nadat hij uit dienst was getreden nog altijd in de coronasystemen van de GGD kon komen.

https://www.nu.nl/tech/61...d-niet-goed-geregeld.html

[Reactie gewijzigd door m4ikel op 23 juli 2024 07:16]

J_van_Ekris @m4ikel • 9 februari 2022 20:17

Dat is strafrecht, niet privaatrecht. Vraag hier is niet of de GGD fout zat, maar of ze schade heeft veroorzaakt door haar handelen.

m4ikel @J_van_Ekris • 9 februari 2022 20:19

De bestuursrechter wil onder meer weten of enkel de zorgen, ongerustheid en angst over een mogelijk (!) misbruik van persoonsgegevens een vordering tot immateriële schadevergoeding rechtvaardigt.

En dat is momenteel nog onder de hoogste rechter, hierbij een soortgelijke zaak met een (buitenlandse) overheidsinstantie na overtreding van de AVG

Bron: https://solv.nl/blog/imma...devergoeding-bij-datalek/

[Reactie gewijzigd door m4ikel op 23 juli 2024 07:16]

J_van_Ekris @m4ikel • 9 februari 2022 20:24

Maar dat is onder Bulgaars recht, niet onder Nederlands recht. De regels voor het succesvol kunnen claimen van schadevergoeding kunnen in Bulgarije wel eens heel anders zijn dan hier.

m4ikel @J_van_Ekris • 9 februari 2022 20:25

Dit gaat over Europees recht, met een zaak in Bulgarije.

[Reactie gewijzigd door m4ikel op 23 juli 2024 07:16]

J_van_Ekris @m4ikel • 9 februari 2022 20:28

Sinds wanneer is de omgang met immatriele schade Europees geharmoniseerd?

m4ikel @J_van_Ekris • 9 februari 2022 20:34

Je moet je verder verdiepen:

Het belang gaat echter verder dan één zaak. De uitleg van Europese regelgeving door het Hof is vanaf het moment dat het Hof uitspraak heeft gedaan, leidend in de hele Europese Unie i, om ervoor te zorgen dat Europese regelgeving in alle lidstaten op een gelijke manier wordt uitgelegd.

Bron: https://www.eumonitor.nl/...vik7m1c3gyxp/vh7dotzstjz1

Edit: Als deze uitspraak in het voordeel is van de eisers, heeft de staat een behoorlijk groot probleem.

[Reactie gewijzigd door m4ikel op 23 juli 2024 07:16]

sympa @J_van_Ekris • 9 februari 2022 21:08

Sterker nog, 500 euro kan echt veel te weinig zijn. Alleen daarom is het al onredelijk een standaardbedrag te claimen.

GrooV @J_van_Ekris • 9 februari 2022 19:33

Ten eerste moet je onder de AVG melden om hoeveel (mogelijke) gevallen er waren. En dan kan het onterecht inzien of bezitten van je medische gegevens al een grove schending zijn.

Er zijn zo veel schade’s die niet aan te tonen zijn met een bonnetje en die worden ook uitgekeerd. Bij letselschade krijg je toch ook geld voor het leed wat nog komen gaat. Zou wat zijn , dan kan een verzekeraar zeggen “bewijs eerst maar eens met een bonnetje dat je nooit meer kan werken”

J_van_Ekris @GrooV • 9 februari 2022 19:50

Ten eerste moet je onder de AVG melden om hoeveel (mogelijke) gevallen er waren.

Bij mijn weten is de wet daar niet zo scherp in (heb dat artikel al lang niet nodig gehad). Je moet de betrokkenen informeren, maar dat mag ook via publieke kanalen via de krant. En de AP wil volgens mij ordegrootes weten, indien mogelijk.

En dan kan het onterecht inzien of bezitten van je medische gegevens al een grove schending zijn.

Dat is strafrecht (AVG), maar wat deze mensen doen is privaatrecht, en dan is eigenlijk alleen het daadwerkelijk lijden van schade van belang en of het verwijtbaar is.

Bij letselschade krijg je toch ook geld voor het leed wat nog komen gaat. Zou wat zijn , dan kan een verzekeraar zeggen “bewijs eerst maar eens met een bonnetje dat je nooit meer kan werken”

Daar zijn normformules voor bij mijn weten. En permanent invalide en daardoor X% salaristeruggang is akelig goed aannemelijk te maken.

m4ikel @J_van_Ekris • 9 februari 2022 20:17

Daar komt mogelijk verandering in: https://solv.nl/blog/imma...devergoeding-bij-datalek/

[Reactie gewijzigd door m4ikel op 23 juli 2024 07:16]

kodak

Datalek
Nederland

@J_van_Ekris • 9 februari 2022 20:29

Het bedrag lijkt niet zomaar gekozen. In 2017 heeft een rechter ooit 1500 euro schadevergoeding toegewezen wegens immateriële schade, in 2020 onder de AVG 250 euro en in 2021 onder de AVG 2500 euro.

mphilipp 9 februari 2022 19:00

Mensen ruiken geld en zijn ineens 'gedupeerd'.

Ga eens kijken bij HaveIbeenP0wned hoeveel datalekken er al zijn geweest. Ik kreeg vandaag weer een Duitse phishingmail dat ik mijn Konto na moest kijken. Blijkbaar weer een Duitse site gehacked waar mijn emailadres buit is gemaakt. Moet ik daar ook €500 van krijgen? Ik kan stoppen met werken onderhand.

Golddiggers!

n00bs @mphilipp • 9 februari 2022 19:01

En vervolgens mag de werkende belastingbetaler hiervoor opdraaien........

Cergorach @n00bs • 9 februari 2022 19:30

Ook de niet werkende belastingbetaler draait hier voor op... We betalen immers allemaal belasting...

TheDudez @n00bs • 9 februari 2022 19:32

De verantwoordelijken zouden op staande voet ontslagen moeten worden. Maar die zullen vast ergens anders weer een baantje toebedeeld krijgen. Maar waarschijnlijk gebeurt er weer niks..En de mensen die inderdaad schade van hebben ondervonden moeten volledig worden vergoed.

[Reactie gewijzigd door TheDudez op 23 juli 2024 07:16]

GrooV @mphilipp • 9 februari 2022 19:18

Je bent vrij om daar ook schade vergoeding te claimen.

Alleen is een username/password/profiel wel anders dan je medische gegevens

sympa @GrooV • 9 februari 2022 21:11

Nou je kan prima zeggen dat corona behoorlijk irrelevante "medische gegevens" zijn onderhand. 't Is iets wat zoveel mensen onderhand gehad hebben.
Los van dat het heel vervelend af kan (en zeker kon) lopen, maar after the fact is het toch irrelevant geworden of iemand corona gehad heeft of niet.

R4gnax

Datalek

@sympa • 10 februari 2022 09:51

De systemen van de GGD schermden gegevens blijkbaar niet granulair af, waardoor toegang mogelijk was tot het volledige medische dossier van iedereen die in het systeem gekoppeld stond. Het ging dus niet alleen om Covid-gegevens.

[Reactie gewijzigd door R4gnax op 23 juli 2024 07:16]

sympa @R4gnax • 10 februari 2022 12:35

Ik heb niet gehoord dat er medische data van huisartsen en ziekenhuizen bereikbaar zou zijn via het systeem. Dat zou absurd zijn, want die data is absoluut niet nodig.

R4gnax

Datalek

@sympa • 10 februari 2022 12:41

Ik heb niet gehoord dat er medische data van huisartsen en ziekenhuizen bereikbaar zou zijn via het systeem. Dat zou absurd zijn, want die data is absoluut niet nodig.

Ik zou ook hopen dat het niet het geval was; maar ondenkbaar is het niet als er gewoon een EPD koppeling is.

In voorgaande threads is wel eens ter sprake gekomen dat de systemen van sommige GGDs inderdaad zo lek waren dat men gewoon bij die gegevens kon komen. Of dat specifiek bij deze gevallen ook is? Niet helemaal duidelijk.

[Reactie gewijzigd door R4gnax op 23 juli 2024 07:16]

kodak

Datalek
Nederland

@mphilipp • 9 februari 2022 20:38

De AVG, de meest recente privacywetgeving, stelt niet zomaar strenge eisen dat persoonsgegevens beschermd moeten worden en dat de verwerker anders alle schade moet vergoeden.
Het is dus eerder de omgekeerde wereld als je persoonsgegevens onvoldoende beschermd waren en je gaat stellen er maar niets vergoed hoeft te worden, laat staan dat het om de hoeveelheid lekken niet zou hoeven.

sympa @kodak • 9 februari 2022 21:12

Als de gegevens niet beschermd zijn kan een boete worden opgelegd. Het geld gaat dan naar de staat.
Als iemand schade lijdt kan die een vergoeding claimen. Maar dan moet er wel schade zijn, lijkt me zo.

m4ikel @mphilipp • 9 februari 2022 20:03

Wat is je punt? Wil je mensen zijn/haar recht ontnemen om te procederen? Als ik door rood licht rij, krijg ik ook een boete. Waarom zou volgens jouw de overheid daar een uitzondering op moeten krijgen?

J_van_Ekris @m4ikel • 9 februari 2022 20:21

Als ik door rood licht rij, krijg ik ook een boete. Waarom zou volgens jouw de overheid daar een uitzondering op moeten krijgen?

Omdat je als privaat persoon geen claim kunt indienen als een ander door rood rijdt, tenzij hij jouw auto daarmee heeft beschadigd.

Een boete en een schadevergoeding zijn twee totaal verschillende dingen.

m4ikel @J_van_Ekris • 9 februari 2022 20:24

tenzij hij jouw auto daarmee heeft beschadigd.

Zie mijn andere reactie: dat is dus exact wat nu ter discussie staat. De boete zal in ieder geval als bewijs dienen om te onderbouwen dat er spraken is geweest van nalatigheid, dan staat de GGD bij een positieve uitspraak over immateriële schade bij een datalek, enorm zwak.

mphilipp @m4ikel • 9 februari 2022 22:32

Gewoon het gezeik dat ze nu ineens 'gedupeerd' zijn. Men is altijd heel snel als het gaat om 'recht halen'. We staan toch in ons recht? Dat zal allemaal wel, maar diezelfde mensen gooien hun hele leven (inclusief dat ze corona hebben) zelf ook op FB, Twitter en Insta, dus ik zie niet echt dat iemand gedupeerd is.
Het is gewoon iets waar we decennia lang de VS voor hebben verguisd: de claimcultuur. Nu is het dan ook hier doorgedrongen en dan blijken wij ook ineens graaiers te zijn. Valt er ergens iets te claimen? Hupsakee!

Doe maar. Ik vind het graaierij en ik doe er niet aan mee.

btw: een boete is wel wat anders dan elke 'gedupeerde' €500 uitkeren. Boete is prima, die krijgt mijn werkgever ook als we de boel niet goed beschermen. Maar die zogenaamde gedupeerden...ik krijg er de schijt van.

[Reactie gewijzigd door mphilipp op 23 juli 2024 07:16]

m4ikel @mphilipp • 10 februari 2022 01:00

Op die manier kunnen alle organisaties jouw gegevens dus zonder gevolgen (behalve een futloze AVG boete en reputatieschade) je gegevens zonder problemen te grabbel gooien én het misbruik ongestraft voortzetten (want dat is in dit geval de situatie). De tijd van waarschuwen is voorbij, ook de overheid moet zich gewoon aan de regels houden, en doet dat kéér op kéér aantoonbaar niet (lees: Belastingdienst, GGD, KVK, Kadaster, Justitie)

De lijst in eindeloos, het vertrouwen is weg.

Edit: nog een toevoeging dat dit bij de GGD medische gegevens omvatten, waarop extra bescherming berust vanuit AVG, maar ook medisch beroepsgeheim.

[Reactie gewijzigd door m4ikel op 23 juli 2024 07:16]

mphilipp @m4ikel • 10 februari 2022 08:32

Je leest niet goed. Ik ben niet tegen een boete; ik wordt niet goed van al die mensen die ineens claimen 'gedupeerd' te zijn. Alleen maar omdat ze geld ruiken. Een boete is op zijn plaats, en dat staat ook in de wet, dus die zullen ze ook wel krijgen.

m4ikel @mphilipp • 10 februari 2022 10:10

Van die AVG boete zie je als 'gedupeerde' niks terug, voor mij is dit proces een zeer interessante case. Mocht er in de toekomst toch gevolgschade ontstaan, zal een uitspraak linksom of rechtsom in ieder geval gevolgschade mogelijk maken. We wachten de uitspraak af.

[Reactie gewijzigd door m4ikel op 23 juli 2024 07:16]

mphilipp @m4ikel • 10 februari 2022 10:50

Ja, en dan kan ik het lijstje van websites waar de afgelopen jaren mijn data van is gepikt ook gaan aanklagen en 'mijn' €500 claimen. Bespottelijk. De boete moet voldoende zijn. Pas bij aantoonbare schade zou je moeten kunnen claimen.

Voorbeeld: mijn credit card gegevens zijn een keer gejat en dat zag ik per ongeluk omdat ik toevallig even keek op het overzicht en zag dat 'ik' 8 advertenties op Facebook had gekocht en een cursus ergens in Ierland. Meteen gebeld en de CC organisatie herkende het patroon. Alles is teruggedraaid, maar de grote vraag is waar zij mijn gegevens vandaan hebben? Echt een raadsel. Dáár valt iets te claimen naar mijn idee. Als duidelijk waar en hoe er gelekt is dan.

R4gnax

Datalek

@mphilipp • 10 februari 2022 09:53

diezelfde mensen gooien hun hele leven (inclusief dat ze corona hebben) zelf ook op FB, Twitter en Insta, dus ik zie niet echt dat iemand gedupeerd is.

Alleen speelt hier schijnbaar de mogelijkheid dat er ook toegang zou zijn geweest tot volledige(re) medische dossiers; waar wel even wat meer in kan hebben gestaan dan enkel data over Covid.

[Reactie gewijzigd door R4gnax op 23 juli 2024 07:16]

phjk @mphilipp • 10 februari 2022 10:41

Niet iedereen zit op FB, Twitter en Insta. Sommige van de gedupeerden wel, andere gedupeerden niet. En zelfs dan nog, jouw data is van jou. Jij hebt de keuze of je dit deelt of niet.

De overheid is aantoonbaar nog steeds verwijtbaar, en de AP heeft onvoldoende budget om dit soort zaken op te pakken. Hoe ga je hier anders paal en perk aanstellen?

mphilipp @phjk • 10 februari 2022 10:51

Boete. De claim vind ik onzinnig.

[Reactie gewijzigd door mphilipp op 23 juli 2024 07:16]

phjk @mphilipp • 10 februari 2022 10:55

En die gaat direct weer naar de overheid zelf, dus geen incentive om te veranderen. Als er genoeg claims toegekend worden zullen ze wel moeten.

Accretion @mphilipp • 10 februari 2022 06:57

Ik heb een nieuw e-mailadres aan moeten maken omdat men mailbox volliep met dat soort onzin.

Nu gebruik ik netjes voor elke website bijvoorbeeld:
email+gamma@live.nl

Echter, wat denk je, bij de GGD kon dit niet...
Dus ik moet dan maar aannemen dat alle spam die ik krijg op mijn basisemail door hun datalek komt.
Maar ik kan vervolgens niet alle e-mails naar mijn basis-email blokkeren.

Er is zo bizar veel aandacht geweest voor de veiligheid van de QR code, maar de GGD verzaakt het dan gewoon volledig op een ander punt?

Wat mij betreft is het onacceptabel en een datalek is ook onomkeerbaar.

Ik hoef geen €500, maar ik vindt zeer zeker niet dat ze hier mee weg moeten komen.

mphilipp @Accretion • 10 februari 2022 08:30

Klopt, heel irritant, maar helaas de dagelijkse realiteit. Spamfilters draaien overuren en vangen nog steeds niet alles af. Ze verdienen ook zeer zeker een boete voor onzorgvuldig handelen. Daar ben ik ook helemaal niet tegen.

Comentator 9 februari 2022 19:57

Als Taghi & Co hun handen krijgen op de gelekte data zou het de belastingbetaler wel eens wat meer kunnen kosten, en dan heb ik het alleen over een erg klein groepje.

Buitenlandse mogendheden die infiltranten nodig hebben of een doelwit zoeken. Het is hun nu erg makkelijk gemaakt.

Waar anderen zeiken over wat de belastingbetaler wel niet moet gaan neerleggen lijkt mij toch nog minder dan de potentiële of al geleden schade door spionage, chantage, dodenlijsten etc.

Het word mijns inziens tijd dat Nederland z’n data kan beschermen. Vooral tijdens een crisis.

J_van_Ekris @Comentator • 9 februari 2022 20:15

Waar anderen zeiken over wat de belastingbetaler wel niet moet gaan neerleggen lijkt mij toch nog minder dan de potentiële of al geleden schade door spionage, chantage, dodenlijsten etc.

Zo spannend is het medisch dossier van de gemiddelde Nederlander nu ook weer niet. Succes met chanteren van mij als persoon met de kennis dat mijn Appendix ontstoken is geweest....

Nee het mag zeker niet lekken, want het is aan de patient om te kiezen wat hij met wie deelt over zijn ziekte. Het is van cruciaal belang dat het medisch geheim blijft zodat mensen open en eerlijk met hun arts over gezondheidsproblemen kunnen spreken. Maar dit gaat wel erg ver om te roepen dat dit spionage of afpersing op grote schaal mogelijk maakt.

sympa @J_van_Ekris • 9 februari 2022 21:17

Die schade zit meer in de NAW-gegevens dan in de coronastatus, denk ik zelf.

Comentator @J_van_Ekris • 9 februari 2022 22:41

Jij denkt dat naw gegevens en een medicijnen overzicht niet handig zou zijn als men bijvoorbeeld een usb stick met malware wil neerleggen bij een asml/kerncentrale medewerker thuis terwijl die zichzelf onwetend een flinke dosis slaapmiddel heeft toegediend in de veronderstelling dat het z’n hartpilletje was.

En dit is wat ik, een leek in spionage wereld, even als voorbeeld kan opnoemen. Die gegevens zijn goud waard.

J_van_Ekris @Comentator • 9 februari 2022 22:46

Ik denk dat je teveel films kijkt....

Comentator @J_van_Ekris • 10 februari 2022 19:56

Ik vermoed dat jij denkt dat Nederland niet interessant genoeg is voor buitenlandse mogendheden.

Was er een jaar of twee terug niet een Iranees die, naar men zegt, geliquideerd werd door Iran? Stonden er laatst niet een paar Russen bij een onderzoeksbureau?

Even een naam via LinkedIn en via de gelekte database het adres bemachtigen. Dat jij het niet interessant genoeg vindt betekent niet dat het ook zo is.

Accretion @Comentator • 10 februari 2022 06:44

Nee, hij probeert je argument weg te wuiven met dat dit niet relevant is voor alle Nederlanders.

Ik ben het echter volledig met je eens dat in een grote dataset altijd ook wel gegevens voorkomen van bekende Nederlanders of politici*, of zelfs mensen die in bescherming zijn (tegen bijvoorbeeld stalking).

En daarnaast, ja, grootschalige oplichting/scam worden zeker uitgevoerd.

Echter, het leed bij een datalek is dat je het niet zomaar op kunt poetsen. Die data zal voor altijd op het internet/darkweb staan.

*Als Ali B. of Marco B. (of zelfs Rutte) zou ik op dit moment niet graag aan iedereen laten weten waar ik woon.

Accretion @J_van_Ekris • 10 februari 2022 06:35

Dat kun jij wel vinden, maar medische gegevens zijn bijzondere persoonsgegevens.

Dat jijzelf 0 privacy hebt (je volledige naam, adres, woonplaats en zelfs 06-nummer) zijn bijzonder makkelijk te herleiden, maar betekend niet dat andere wel hun privacy waarderen.

Inhoudelijk;
Ja, als je een database lekt kunnen daar gegevens in staan van mensen die een doelwit zijn van stalking, moord e.d. of van politici en bekende Nederlanders.

En ja, als je een database hebt met gegevens kun je ook op grote schaal afpersing toepassen. Niet lang geleden kreeg een groot gedeelte van Nederland een e-mail over gelekte browser geschiedenis en webcam video.
De laatste tijd worden mensen gebeld door geautomatiseerde berichten die aangeven dat mensen betrokken zijn bij een strafzaak.

J_van_Ekris @Accretion • 10 februari 2022 07:07

Niet lang geleden kreeg een groot gedeelte van Nederland een e-mail over gelekte browser geschiedenis en webcam video.
De laatste tijd worden mensen gebeld door geautomatiseerde berichten die aangeven dat mensen betrokken zijn bij een strafzaak.

Je beseft dat dit gewoon blind spammen is? Ook die telefoontjes zijn gewoon nummers die via een generator worden gebeld. Ik kreeg ze namelijk ook op mijn prive-06, wat een geheim nummer is wat maar een handje vol mensen kennen.

Accretion @J_van_Ekris • 10 februari 2022 07:26

Stop eens met constante drogredenen, alleen de makkelijke punten uit het verhaal te pikken en te proberen alles recht te praten.

Wellicht heb je gelijk met jou specifieke voorbeeld, maar het helpt niet om spammers een lijst aan te geven.

Daarnaast, ik geloof niet dat ze alle e-mailadressen zomaar verzinnen. En daarnaast is zo'n spam veel effectiever als de naam in de aanhef klopt.

En als de data eenmaal gelekt is, kun je dat niet meer terugdraaien. Die blijft eindeloos op het internet/darkweb ronddraaien en je krijgt elk jaar weer meer spam en andere vage emails.

J_van_Ekris @Accretion • 10 februari 2022 08:56

En als de data eenmaal gelekt is, kun je dat niet meer terugdraaien. Die blijft eindeloos op het internet/darkweb ronddraaien en je krijgt elk jaar weer meer spam en andere vage emails.

Privacy gaat niet om SPAM. Het gaat hier om mensen die het absolute vertrouwen moeten kunnen hebben dat medici hun beroepsgeheim houden, en dat de patient zelf kan bepalen of, wanneer en hoe informatie met anderen gedeeld wordt. Daar gaat privacy over.

En in sommige gevallen heeft dit doorbreken van die geheimhouding gevolgen: de CEO die ADHD heeft, de vrouw die zwanger is maar het voorlopig geheim wil houden, de HIV-patient die geweigerd wordt aan de Amerikaanse grens, Barbie waar het halve ziekenhuis haar dossier leest. Dat soort zaken moeten bestraft worden en zullen de schadevergoedingen ook vele malen hoger zijn dan die 500 euro.

Maar om dat gewoon even voor elke Nederlander maar te eisen, kansloos.

Stetsed 9 februari 2022 19:09

Zou iemand mij AUB kunnen corigeren als het fout is maar dat iets had kunnen gebeuren is toch niet een valide reden om een aanklacht te doen?

[Reactie gewijzigd door Stetsed op 23 juli 2024 07:16]

CurlyMo @Stetsed • 9 februari 2022 19:26

Ligt eraan in welk recht. Poging tot doodslag is wel degelijk een misdrijf. Poging tot dood door schuld niet. Bij dood door schuld was er geen intentie om iemand dood te maken maar is het onverhoopt wel de uitkomst. Je kan dus geen poging doen voor iets waar je al geen intentie toe had. Daarom bestaat poging tot dood door schuld niet. Bij poging tot doodslag was die intentie er wel, maar is dat niet gelukt. Alles staat en valt dan dus bij de intentie.

In dit geval zou de GGD eventueel nalatigheid verweten kunnen worden. Ik vraag me alleen af of ze dat in de context van een crisis lukt.

[Reactie gewijzigd door CurlyMo op 23 juli 2024 07:16]

Stetsed @CurlyMo • 9 februari 2022 19:31

Bedankt voor het antwoord.

GrooV @CurlyMo • 9 februari 2022 19:35

Poging tot dood door schuld bestaat niet… dan doe je een poging om iemand onbewust te vermoorden en dan is het moord

RienBijl @CurlyMo • 9 februari 2022 19:36

Hoe kan je precies de intentie hebben om nalatig te zijn? Dat is dan toch geen nalatigheid meer?

Of begrijp ik je verhaal verkeerd?

J_van_Ekris @RienBijl • 9 februari 2022 19:40

Je kunt op iets gewezen zijn, en dan bewust het probleem negeren. Maar dan komt ook persoonlijke aansprakelijkheid van bestuurders om de hoek kijken.

R4gnax

Datalek

@Stetsed • 10 februari 2022 09:57

Zou iemand mij AUB kunnen corigeren als het fout is maar dat iets had kunnen gebeuren is toch niet een valide reden om een aanklacht te doen?

De AVG definieert een inbreuk ivm persoonsgegevens als onrechtmatige verstrekking van of toegang tot zulke gegevens. Dus verstrekking: het daadwerkelijk overhandigd zijn van gegevens na opvraag. En toegang: de mogelijkheid om ze op te vragen.

Het feit dat de deur wagenwijd open staat is daarmee feitelijk al een inbreuk. Het vereist meestal echter een voorval waar iemand ook daadwerkelijk binnenloopt, voordat er ook alarm geslagen wordt en opgetreden wordt. (Of het probleem moet herkend worden tijdens een audit oid.)

[Reactie gewijzigd door R4gnax op 23 juli 2024 07:16]

killercow 9 februari 2022 19:19

Ik snap nog steeds niet dat ze bij MinVWS komen aankloppen. Het zijn immers de GGD, of Gemeentelijke gezondheidsdiensten.

"De gemeenten zijn op basis van de WPG verantwoordelijk voor de uitvoering van de taken voor de publieke gezondheidszorg", en "De burgemeester en wethouder zijn verantwoordelijk voor de instelling en instandhouding van de gemeentelijke gezondheidsdiensten." aldus wikipedia.
De uitvoering gebeurt door de GGD-en, en hun vereniging, de GGD-Ghor. Niet door MinVWS.

JustFogMaxi 9 februari 2022 19:28

Laat maar komen!

bveldkamp 9 februari 2022 19:29

Uiteindelijk zou dat elke Nederlander €167 kosten, en krijgen 6,5 miljoen er €500 voor terug. Kansloos.

Accretion @bveldkamp • 10 februari 2022 07:00

Nee, de advocaten vangen ook nog een deel.

Dus stel elke Nederlander zou meedoen.

De staat betaald per Nederlander uiteindelijk 1000eu, dan krijgen de advocaten eerst hun "700eu aan gemaakte kosten" en de rest ”300eu" gaat naar elke Nederlander.

Een best verdienmodel.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (123)

Sorteer op:

Weergave: