UWV betaalt betrokkene schadevergoeding na datalek

ISO 27701 privacy-specific information security management system
ISO 27701 privacy-specific information security management system

Op 2 september 2019 heeft de rechtbank Amsterdam uitspraak gedaan in een zaak tussen het UWV en een werkneemster wegens schending van de AVG (datalek). Het UWV zou medische gegevens naar een verkeerde partij hebben gestuurd en daarmee schade hebben toegebracht aan de betrokkene. Een interessante uitspraak.

Waar gaat het geschil over? Wat is het datalek van het UWV?

De betreffende werkneemster is enige tijd ziek geweest (burnout). Nadat de werkneemster na haar ziekte bij een andere werkgever is gaan werken, heeft het UWV de nieuwe werkgever een brief gezonden waarin melding wordt gemaakt dat deze werkneemster al anderhalf jaar ziek is en dat deze aanspraak kan maken op een WIA-uitkering. Deze situatie was niet meer van toepassing en de nieuwe werkgever heeft niets met het eerdere verzuim te maken. De werkneemster stelt daarom dat de AVG is overtreden omdat de nieuwe werkgever ten onrechte op de hoogte is gebracht van haar eerdere verzuim.

Wat is nog meer van belang?

Het UWV heeft erkend dat sprake is van een onterechte mededeling en heeft het voorval gemeld als datalek. Het UWV heeft echter geweigerd een schadevergoeding van 500 euro te betalen omdat de werkneemster geen schade heeft geleden. De werkneemster heeft namelijk een baan en heeft verlening gekregen ondanks kennis van haar ziektehistorie bij de nieuwe werkgever. Zij betwijfelt ook dat er bijzondere persoonsgegens zijn verstrekt, aangezien geen details over het verzuim in de brief zijn opgenomen.

Oordeel rechter

Volgens de rechter staat vast dat er gevoelige gegevens zijn verstrekt. De mededeling dat de werkneemster langdurig ziek is geweest, betreft een mededeling van een gevoelig persoonsgegeven. Ook zonder dat nadere details of medische gegevens worden verstrekt. De UWV had voorzichtiger om moeten gaan met de brief en moeten controleren of deze wel verzonden had moeten worden. De AVG is daarmee geschonden. De rechter wijst ook schade toe, maar minder dan de gevorderde 500 euro. De rechtbank overweegt:

“Nu het verlies van controle over haar persoonsgegeven betreffende de langdurige ziekte blijvend is, dit anderzijds uitsluitend (medewerkers van) [werkgever 2] betreft en dit geen gevolgen heeft gehad voor haar economische of maatschappelijke positie, terwijl de als gevolg van de inbreuk opgetreden angst en stress in tijd beperkt is geweest, wordt een schadevergoeding van € 250,00 passend en billijk geacht.”

Lees hier de hele uitspraak.

Zie ook: https://www.security.nl/posting/623608/UWV+moet+250+euro+schadevergoeding+betalen+na+datalek

Geef als eerste een reactie

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*