Juridische gevolgen van het datalek van de gemeente Amersfoort

Eerder dit jaar heeft een datalek plaatsgevonden bij de Gemeente Amersfoort. Op 28 januari 2016 om 14:44 uur verzond een ambtenaar van de gemeente een e-mail met een bijlage. In die bijlage stonden van honderden burgers privacygevoelige gegevens zoals

  • adresgegevens
  • BSN-nummer
  • zorgaanbieder
  • en een omschrijving van de geleverde zorg.

Het betrof dus bijzonder privacygevoelige gegevens, en mogelijk zelfs bijzondere persoonsgegevens zoals bedoeld in artikel 16 van de Wet bescherming persoonsgegevens (Wbp).

Het verzenden van deze e-mail heeft grote gevolgen. Daarbij gaat het om de eerste plaats om de gevolgen voor de getroffen burgers, maar gelet op de (terechte!) commotie in de gemeenteraad zijn er mogelijk ook politieke gevolgen.

Tot slot, en niet onbelangrijk, zijn er juridische gevolgen. In dit bericht zetten wij uiteen wat de juridische gevolgen zijn of kunnen zijn en binnen welk juridisch raamwerk dit handelen beoordeeld moet worden.

Daarbij moet gezegd worden dat de informatieverstrekking vanuit het college van burgemeester en wethouders erg laat en tot op heden zeer beperkt is geweest. Hoewel de e-mail al in januari 2016 is verzonden, heeft het college de gemeenteraad pas op 8 april jl. voor het eerst hierover geïnformeerd. De getroffen burgers zijn nog later geïnformeerd. Pas op 15 april jl. is aan hen een brief verzonden. De informatie die vervolgens is vrijgegeven, is erg beperkt. Ook daarin wordt ingegaan in dit bericht.

De volgende onderwerpen komen aan de orde:

  1. Overtreding van de wet
  2. Overtreding van de meldplicht
  3. Gevolgen voor de getroffen burger
  4. Gevolgen voor de gemeente
  5. Hoe verder?

1. Overtreding van de wet

Vaststaat dat de gemeente Amersfoort de wet heeft overtreden. De gegevens die in de bijlage van de bewuste e-mail stonden, betreffen persoonsgegevens zoals bedoeld in artikel 1, aanheft en onder a van de Wet bescherming persoonsgegevens (Wbp.) De gemeente Amersfoort, of beter gezegd, het college van burgemeester en wethouders van de gemeente Amersfoort is de ‘verantwoordelijke’ in de zin van artikel 1, aanhef en onder d Wbp.

Artikel 1

In deze wet en de daarop berustende bepalingen wordt verstaan onder:

a. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

[…]

d. verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

Op grond van artikel 13 Wbp. heeft de verantwoordelijke de verplichting om passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, […] een passen beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich brengen.

Aan die verplichting heeft de gemeente Amersfoort zich niet gehouden, althans daar lijkt het heel sterk op. Volgens de huidige informatie lijkt het er zeer sterk op dat de bijlage waar het om draait, door de medewerker van de gemeente Amersfoort, onversleuteld of ongeencrypteerd verzonden is. Hierover is namens de raadsfractie van het CDA een vraag gesteld, die vermoedelijk beantwoord zal worden op de vergadering van 19 april 2016.

Het is onvoorstelbaar dat de gegevens zoals hiervoor bedoeld, waaronder BSN-nummers en omschrijving van verleende zorg, onversleuteld verzonden worden. Het betreffen immers uiterst gevoelige gegevens, waardoor bij het vrijkomen van deze gegevens niet alleen identiteitsfraude, maar ook getroffen personen mogelijk chantabel worden.

Dat betekent dat bij onversleutelde verzending het college van burgemeester en wethouders de Wet, meer in het bijzonder artikel 13 Wbp hebben overtreden.

Mochten de gegevens wel versleuteld zijn, dan dringt zich de vraag op hoe het kan dat de ontvanger wist dat het persoonsgegevens betreft. Was de versleuteling wel sterk genoeg? Welke wijze van versleuteling is gehanteerd? Op deze vragen is vooralsnog geen antwoord gegeven, terwijl de antwoorden mede bepalen in hoeverre de Wet op dit punt overtreden is.

Dat geldt ook voor de vraag of het verstandig is dit soort gegevens per e-mail te verzenden. Het antwoord laat zich raden: dat is het niet. Zeker niet nu uit de weinige informatie die vrijgegeven is, blijkt dat het bericht met bijlage verzonden had moeten worden aan iemand ‘binnen de gemeenteorganisatie’. Het lijkt voor de hand te liggen deze gevoelige informatie binnen de organisatie op een dusdanige wijze te verzenden, zodat dit niet buiten de organisatie terecht kan komen. Dat is niet gebeurd, waardoor ook op dit punt mogelijk artikel 13 Wbp. is overtreden.

2. Overtreding van de meldplicht

Daarnaast lijkt het er zeer sterk op dat niet voldaan is aan de meldplicht van een datalek, zoals die bestaat sinds 1 januari 2016. Toen vastgesteld werd dat de mail ten onrechte aan de verkeerde persoon was verzonden, was de gemeente op de hoogte van het feit dat er een datalek was. Wanneer sprake is van een inbreuk op de beveiliging zoals bedoeld in artikel 13 Wpb, wordt dat een datalek genoemd.

Artikel 34a, eerste lid Wbp bepaalt vervolgens dat de verwantwoordelijke – de gemeente – onverwijld de Autoriteit Persoonsgegevens op de hoogte moet stellen van het feit dat een datalek heeft plaatsgevonden, indien het lek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Wanneer daarvan sprake is, staat uitgewerkt in de beleidsregels voor toepassing van artikel 34a Wbp.

Daarin staat aangegeven dat de aard van de gegevens een rol speelt bij de vraag of hiervan sprake is. Bijzondere persoonsgegevens, zoals bedoeld in artikel 16 Wbp, waaronder gegevens omtrent de gezondheid van personen, waarvan hierbij sprake was, zijn een sterke indicatie dat gemeld moet worden. Zo ook gegevens die misbruikt kunnen worden voor identiteitsfraude. Daarvan was in dit geval eveneens sprake. En vanzelfsprekend de omvang is van belang (meer dan 1900 getroffen burgers).

Desondanks heeft de gemeente niet voldaan aan haar onverwijlde meldplicht. De Autoriteit Persoonsgegevens (AP) houdt aan dat een melding binnen 72 uur ‘ onverwijld’ is. Pas nadat – door een derde – op 7 april melding is gedaan aan de AP, en AP contact met de gemeente zocht, heeft de gemeente een officiele melding gedaan. Dat was niet binnen 72 uur – nipt is de melding binnen 72 dagen (!) gedaan!

Dat is te laat, waarmee de Wet opnieuw is overtreden.

Ook de verplichting om de getroffen burgers in te lichten is door de gemeente in de wind geslagen. Artikel 34a, tweede lid Wbp. verplicht hiertoe, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Ook hier geldt dat de beleidsregels handvatten geven wanneer hiervan sprake was. En ook hier geldt dat de gemeente anders had moeten handelen: nu de gegevens misbruikt kunnen worden voor identiteitsfraude, maar ook nu het zorggerelateerde gegevens betreft, is het waarschijnlijk dat het lek ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de getroffen burgers. Een (onverwijlde!) melding was dus niet alleen op zijn plaats geweest, maar zelfs wettelijk verplicht.

Ook op dit punt is de Wet dus overtreden.

3. Gevolgen voor de getroffen burgers

Welke gevolgen dit datalek heeft voor de getroffen burgers, valt nog te bezien. Hopelijk zijn de gevolgen niet groot. Het potentieel daarentegen is zeer groot, waarbij met name de vrijgekomen combinatie van adresgegevens, geboortedata en BSN-nummers grote zorgen baart. Identiteitsfraude ligt op de loer.

Ook de zorggegevens zijn zorgelijk. Hoewel de gemeente in haar brief aan de getroffen burgers verzekert dat geen persoonlijke zorgplannen of gespreksverslagen gelekt zijn, roept de omschrijving ‘algemene omschrijving geleverde zorg’ toch vragen op. Mogelijk – bij het omschrijven van specifieke zorg – kunnen getroffen burgers hierdoor in hun persoonlijke levenssfeer geraakt worden, of wellicht zelfs chantabel worden.

De gemeente heeft aangegeven dat de ontvanger van de gegevens inmiddels de gegevens verwijderd heeft en daarbij heeft aangegeven dat deze gegevens niet gedeeld zijn. Hopelijk is dit juist en is daarmee de kous af. Die mededeling van de gemeente, noch van de ontvanger geeft echter enige zekerheid.

Er bestaat nu geen zekerheid of de gegevens ook echt verwijderd zijn.

4. Gevolgen voor de gemeente

Naast de mogelijk politieke gevolgen, zijn er juridische gevolgen voor de gemeente. Die vallen ruwweg uiteen in de mogelijkheid van een bestuurlijke boete, en de verplichting tot vergoeding van schade.

Bestuurlijke boete

Bij overtreding van de Wbp is de Autoriteit Persoonsgegevens bevoegd om een bestuurlijke boete op te leggen. In de media werd al daags na de bekendgeraking van het datalek duidelijk dat de gemeente een bestuurlijke boete van maximaal € 820.000,- opgelegd kan krijgen. Dit is juist, maar niet volledig.

De maximale boete geldt per overtreding. En naar mijn idee heeft de gemeente de Wbp (tenminste) drie maal overtreden in deze kwestie. Dat maakt de maximale bestuurlijke boete dus 3 x € 820.000,-: € 2.460.000,-. Een fors hoger bedrag derhalve.

Uiteindelijk zal de Autoriteit Persoonsgegevens besluiten welke overtredingen hebben plaatsgevonden en welke boetes opgelegd zullen worden. Dat gebeurt overigens met inachtneming van de daarvoor geldende beleidsregels.

Recht op schadevergoeding

Naast de boete, is de gemeente gehouden schade te vergoeden. Saillant detail is dat zij de getroffen burgers hierover onjuist inlicht.

Ook nu informeert de gemeente de getroffen burgers onjuist.

In de aan de getroffen burgers verzonden brief wordt verwezen naar de website van de gemeente Amersfoort. Aangegeven wordt dat er bewijsmiddelen moeten zijn over de schade en dat de schade het direct gevolg moet zijn van het handelen van de gemeente.

screenshot gemeente Amersfoort
Screenshot van de Vraag & Antwoord pagina van de gemeente Amersfoort, met daarop de foute informatie.

Daarmee miskent de gemeente wederom een artikel uit de Wbp: artikel 49 lid 3 bepaalt dat de verantwoordelijke verantwoordelijk is voor de schade of het nadeel dat voortvloeit uit het niet-nakomen van de Wbp. Anders dan de gemeente stelt, hoeft dus niet aangetoond te worden dat de schade het directe gevolg is van het handelen van de gemeente.

En, anders dan de gemeente stelt, hoeft er niet aantoonbare vermogensschade te zijn. Artikel 49, tweede lid Wbp bepaalt dat ook indien er géén (vermogens)schade is, de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding heeft.

5. Hoe verder

Het einde van deze affaire is nog lang niet in zicht. Voor de getroffen burgers niet omdat nog veel onduidelijkheid bestaat. Voor de betrokken ambtenaren en wethouder niet, omdat nog veel onduidelijk is in hun handelen. Voor de gemeente zelf ook niet, aangezien onduidelijk is of en zo ja welke boete zij opgelegd krijgt en hoeveel schade of nadeel hierdoor ontstaan is. Dat laatste bepaalt immers de hoogte van de schadevergoeding.

Bent u zelf getroffen door het Datalek? U kunt bij 3 Advocaten terecht voor meer informatie en bijstand.