Rechtbank Amsterdam, 17-07-2024, ECLI:NL:RBAMS:2024:4264, C/13/731682 / HA ZA 23-329
Rechtbank Amsterdam, 17-07-2024, ECLI:NL:RBAMS:2024:4264, C/13/731682 / HA ZA 23-329
Gegevens
- Instantie
- Rechtbank Amsterdam
- Datum uitspraak
- 17 juli 2024
- Datum publicatie
- 17 juli 2024
- ECLI
- ECLI:NL:RBAMS:2024:4264
- Formele relaties
- Tussenuitspraak: ECLI:NL:RBAMS:2024:571
- Zaaknummer
- C/13/731682 / HA ZA 23-329
Inhoudsindicatie
De vordering van de Stichting ICAM tot een schadevergoeding voor alle 6,5 miljoen mensen die tijdens de coronapandemie hun persoonsgegevens aan een GGD hadden toevertrouwd, kan niet worden toegewezen.
Uitspraak
vonnis
afdeling privaatrecht
zaaknummer / rolnummer: C/13/731682 / HA ZA 23-329
Vonnis van 17 juli 2024
in de zaak van
de stichting
STICHTING INITIATIEVEN COLLECTIEVE ACTIES MASSASCHADE ICAM,
gevestigd te Amsterdam,
eiseres in de hoofdzaak, eiseres in het (deels voorwaardelijke) incident,
advocaat mr. D.M. Linders te Amsterdam,
tegen
1. de publiekrechtelijke rechtspersoon
STAAT DER NEDERLANDEN (Ministerie van Volksgezondheid, Welzijn en Sport),
zetelend te Den Haag,
gedaagde in de hoofdzaak, gedaagde in het (deels voorwaardelijke) incident,
advocaat mr. G.J. Zwenne te Den Haag,
2. de vereniging
PUBLIEKE GEZONDHEID EN VEILIGHEID NEDERLAND,
gevestigd te Utrecht,
3. de stichting
STICHTING PROJECTENBUREAU PUBLIEKE GEZONDHEID EN VEILIGHEID NEDERLAND,
gevestigd te Utrecht,
4. de stichting
STICHTING VERENIGINGSBUREAU PUBLIEKE GEZONDHEID EN VEILIGHEID NEDERLAND,
gevestigd te Utrecht,
5. de stichting
STICHTING LANDELIJKE COÖRDINATIE COVID-19 BESTRIJDING,
gevestigd te Utrecht,
gedaagden in de hoofdzaak, gedaagden in het (deels voorwaardelijke) incident,
advocaat mr. E.P.M. Thole te Amsterdam,
6. de publiekrechtelijke rechtspersoon
GEMEENTELIJKE GEZONDHEIDSDIENST (GGD) AMSTERDAM-AMSTELLAND,
zetelend te Amsterdam,
7. de publiekrechtelijke rechtspersoon
GGD BRABANT-ZUIDOOST,
zetelend te Eindhoven,
8. de publiekrechtelijke rechtspersoon
DIENST GEZONDHEID & JEUGD ZUID-HOLLAND ZUID,
zetelend te Dordrecht,
9. de publiekrechtelijke rechtspersoon
GGD DRENTHE,
zetelend te Assen,
10. de publiekrechtelijke rechtspersoon
GGD FLEVOLAND,
zetelend te Lelystad,
11. de publiekrechtelijke rechtspersoon
VEILIGHEIDSREGIO FRYSLÂN,
zetelend te Leeuwarden,
12. de publiekrechtelijke rechtspersoon
VEILIGHEIDS- EN GEZONDHEIDSREGIO GELDERLAND-MIDDEN (VGGM),
zetelend te Arnhem,
13. de publiekrechtelijke rechtspersoon
GGD GELDERLAND-ZUID,
zetelend te Nijmegen,
14. de publiekrechtelijke rechtspersoon
GGD GOOI & VECHTSTREEK,
zetelend te Bussum,
15. de publiekrechtelijke rechtspersoon
GGD GRONINGEN,
zetelend te Groningen,
16. de publiekrechtelijke rechtspersoon
GEMEENSCHAPPELIJKE REGELING GEMEENTELIJKE GEZONDHEIDSDIENST EN VEILIG THUIS HAAGLANDEN,
zetelend te Den Haag,
17. de publiekrechtelijke rechtspersoon
GGD HART VOOR BRABANT,
zetelend te 's-Hertogenbosch,
18. de publiekrechtelijke rechtspersoon
REGIONALE DIENST OPENBARE GEZONDHEIDZORG HOLLANDS MIDDEN,
zetelend te Leiden,
19. de publiekrechtelijke rechtspersoon
GEMEENTELIJKE GEZONDHEIDSDIENST HOLLANDS NOORDEN,
zetelend te Alkmaar,
20. de publiekrechtelijke rechtspersoon
GGD IJSSELLAND,
zetelend te Zwolle,
21. de publiekrechtelijke rechtspersoon
VEILIGHEIDSREGIO KENNEMERLAND,
zetelend te Haarlem,
22. de publiekrechtelijke rechtspersoon
VEILIGHEIDSREGIO LIMBURG-NOORD,
zetelend te Venlo,
23. de publiekrechtelijke rechtspersoon
GGD NOORD- EN OOST-GELDERLAND,
zetelend te Apeldoorn,
24. de publiekrechtelijke rechtspersoon
GGD REGIO UTRECHT,
zetelend te Zeist,
25. de publiekrechtelijke rechtspersoon
GGD ROTTERDAM-RIJNMOND,
zetelend te Rotterdam,
26. de publiekrechtelijke rechtspersoon
SAMENTWENTE,
zetelend te Enschede,
27. de publiekrechtelijke rechtspersoon
GGD WEST-BRABANT,
zetelend te Breda,
28. de publiekrechtelijke rechtspersoon
GGD ZAANSTREEK-WATERLAND,
zetelend te Zaandam,
29. de publiekrechtelijke rechtspersoon
GEMEENTELIJKE GEZONDHEIDSDIENST ZEELAND,
zetelend te Goes,
30. de publiekrechtelijke rechtspersoon
GEMEENTELIJKE GEZONDHEIDSDIENST ZUID-LIMBURG,
zetelend te Heerlen,
31. de publiekrechtelijke rechtspersoon
VEILIGHEIDSREGIO AMSTERDAM-AMSTELLAND,
zetelend te Amsterdam,
32. de publiekrechtelijke rechtspersoon
VEILIGHEIDSREGIO ROTTERDAM-RIJNMOND,
zetelend te Rotterdam,
33. de publiekrechtelijke rechtspersoon
GEMEENTE AMSTERDAM,
zetelend te Amsterdam,
34. de publiekrechtelijke rechtspersoon
GEMEENTE ROTTERDAM,
zetelend te Rotterdam,
gedaagden in de hoofdzaak, gedaagden in het (deels voorwaardelijke) incident,
advocaat mr. B.J.P.G. Roozendaal te Breda.
Eiseres zal hierna ICAM genoemd worden. Gedaagde sub 1 zal hierna de Staat genoemd worden. Gedaagden sub 2 tot en met 5 zullen hierna gezamenlijk GGD GHOR genoemd worden. Gedaagden sub 6 tot en met 34 zullen hierna gezamenlijk de GGD’en c.s. genoemd worden.
Opgemerkt zij dat ICAM gedaagden gezamenlijk in haar processtukken aanduidt als Gedaagden maar ook wel als de Staat c.s.
1 De procedure
Het verloop van de procedure blijkt uit:
- de gelijkluidende dagvaardingen van 28 maart 2023;
- de akte overlegging producties, met producties A.1 tot en met K.26;
- de conclusie van antwoord, met producties, van de Staat;
- de conclusie van antwoord op grond van artikel 1018c lid 5 Rv t.a.v. niet-ontvankelijkheid, met productie 1, van GGD GHOR;
- de conclusie van antwoord ex artikel 1018c lid 5 Rv, met producties 1 en 2, van de GGD’en c.s.;
- het tussenvonnis van 20 december 2023;
- de rolbeslissing van 7 februari 2024;
- de akte uitlating ontvankelijkheid tevens houdende producties, met producties K.27 tot en met K.29, van ICAM;
- de antwoordakte tevens houdende productie, met een productie, van de Staat;
- de mededeling van GGD GHOR, bij e-mailbericht van 8 april 2024 van haar advocaat, dat zij afziet van een antwoordakte;
- de mededeling van de GGD’en c.s., bij e-mailbericht van 2 april 2024 van hun advocaat, dat zij afzien van een antwoordakte;
- het proces-verbaal van mondelinge behandeling van 22 april 2024 en de daarin vermelde stukken.
Ten slotte is vonnis bepaald.
2 De zaak in het kort
Deze zaak gaat over de persoonsgegevens van de personen die zich tijdens de coronapandemie door de GGD’en hebben laten testen en/of vaccineren en over de persoonsgegevens van personen naar wie door de GGD’en tijdens de coronapandemie een bron- en contactonderzoek is ingesteld.
Vaststaat dat er medewerkers van de GGD’en zijn geweest die toegang hadden tot de IT-systemen en die persoonsgegevens ter beschikking hebben gesteld van derden. Dit wordt wel aangeduid als het coronadatalek.
ICAM heeft ten behoeve van de hiervoor onder 2.1 bedoelde personen vorderingen ingesteld tegen een aantal gedaagden, onder wie de GGD’en. ICAM wil onder meer dat de gedaagden worden veroordeeld tot het betalen van schadevergoeding, niet alleen aan de personen van wie vast staat dat hun persoonsgegevens aan derden zijn verstrekt, maar ook aan iedereen die moet vrezen dat zijn persoonsgegevens in verkeerde handen zijn gevallen. En dat geldt volgens ICAM voor iedereen die gegevens aan een GGD heeft verstrekt.
De wet stelt een aantal formele vereisten aan ICAM en de door haar ingestelde vorderingen. In dit vonnis gaat de rechtbank na of aan deze vereisten is voldaan.
De rechtbank acht ICAM ontvankelijk, maar niet tegen alle gedaagden, want een aantal gedaagden heeft in het coronadatalek geen rol gespeeld.De vorderingen tot schadevergoeding zijn niet ontvankelijk. Schadevergoeding wegens de vrees dat gegevens in verkeerde handen zouden kunnen komen, zonder dat vast staat dat dit het geval is, is volgens Europese rechtspraak niet mogelijk. Voor de gevallen waarin wel vaststaat dat de gegevens in verkeerde handen zijn gekomen geldt dat de GGD’en een financiële tegemoetkoming hebben aangeboden, die door de meeste benadeelden is geaccepteerd, waarmee zij afstand hebben gedaan van een vordering tot schadevergoeding. Er blijft slechts een beperkte groep van benadeelden over. ICAM heeft niet aannemelijk kunnen maken dat zij voor die groep representatief is. Ook in haar vordering tot schadevergoeding voor deze groep is ICAM daarom niet ontvankelijk.
Er zal nu wel verder worden geprocedeerd over de overige vorderingen. Daarover wil de rechtbank eerst meer informatie.
3 De in dit stadium vaststaande en relevante feiten
Op 28 januari 2021 stond op www.ggdghor.nl:
Veelgestelde vragen en antwoorden over datadiefstal
Laatste update: 28 januari 2021
Hier vindt u veelgestelde vragen en de antwoorden over de datadiefstal die recent heeft plaatsgevonden. We vullen deze vragen steeds aan met de laatste informatie die wij hebben. (...).
We kunnen ons voorstellen dat de datadiefstal vragen oproept en mogelijk uw vertrouwen schaadt. Dit vinden wij heel erg. We willen u zo goed mogelijk informeren en daarom vullen wij deze veelgestelde vragen steeds aan met nieuwe informatie.
Er loopt op dit moment een politieonderzoek, waardoor we nog niet precies weten hoe groot de datadiefstal is. Ook mogen we bepaalde details nog niet delen, omdat dit mogelijk het onderzoek in gevaar brengt.
(...)
Top 3 meest gestelde vragen
Wat is er precies gebeurd?
Er zijn persoonsgegevens gestolen. Deze gegevens gaan over het testen op corona en mogelijk het bron- en contactonderzoek en bevatten onder andere naam, adres, BSN, testuitslag en testlocatie. Of de gegevens ook zijn verkocht en om wiens gegevens het gaat, maakt deel uit van het politieonderzoek. Meer informatie is te vinden op de site van de politie.
Zijn mijn gegevens gestolen?
Dat kunnen wij nu nog niet zeggen. Dit maakt onderdeel uit van het politieonderzoek. Op het moment dat vast komt te staan dat uw gegevens gestolen zijn, dan is het onze plicht u daarover te informeren en dat zullen wij dan ook doen.
Wat zijn de mogelijke gevolgen? Welk risico loop ik als criminelen mijn persoonsgegevens hebben? En waarop moet ik letten?
De website van de politie beschrijft de mogelijke gevolgen goed:
• U loopt het risico slachtoffer te worden van oplichting. Criminelen bellen of mailen u bijvoorbeeld – zogenaamd uit naam van een voor uw geloofwaardige instantie zoals uw bank – en winnen uw vertrouwen omdat ze al veel over u weten (zoals uw geboortedatum of woonadres). Voordat u het weet, heeft u een betaling voor iets gedaan – maar feitelijk op een phishinglink geklikt. (...).
• Een ander risico is identiteitsfraude. De fraudeur gebruikt uw persoonsgegevens bijvoorbeeld om producten en diensten te krijgen op uw naam. Of om een bankrekening te openen of een creditcard aan te vragen. (...).
(...)
Vragen over de datadiefstal
Hoe is deze situatie bekend geraakt bij GGD GHOR Nederland?
Via een tip van een journalist van RTL afgelopen vrijdag.
Wat hebben jullie gedaan na deze tip?
We hebben meteen contact opgenomen met de politie, aangifte gedaan en een melding gedaan bij de Autoriteit Persoonsgegevens. Vervolgens hebben wij controles uitgevoerd in onze systemen én volledige toegang gegeven aan de politie tot onze systemen om de opsporing zo goed mogelijk plaats te kunnen laten vinden.
Vragen (beveiliging) persoonlijke gegevens
Staan de gegevens van alle Nederlanders in jullie systemen?
Nee, in onze systemen staan alleen de gegevens van mensen die de afgelopen tijd met de GGD te maken hebben gehad voor een testafspraak, bron- en contactonderzoek of een vaccinatie.
Welke informatie leggen jullie van mensen vast?
Wij leggen persoonsgegevens vast zoals naam, adres, woonplaats, telefoonnummer/e-mailadres, BSN, geslacht en geboortedatum. Daarnaast, afhankelijk van het contact, ook test- en/of vaccineerafspraken en testresultaten. Is er sprake van een bron en contactonderzoek, dan wordt daarin ook de informatie uit de bron- en contactonderzoek gesprekken vastgelegd (in HPZone). Dit is onder andere: noodzakelijke medische gegevens (bijvoorbeeld klachten/symptomen en huisarts), waar iemand is geweest en met wie hij/zij in contact is geweest. Ook wordt informatie vastgelegd van bron(nen) en nauwe contacten. Deze informatie is beperkt.
Hebben evenveel mensen toegang tot mijn gegevens bij vaccineren?
De medische gegevens die bij vaccinaties worden vastgelegd zijn afgeschermd en niet zichtbaar voor medewerkers die zich met testen bezighouden. Omdat iedereen maar één dossier heeft en iedereen zich ook kan laten testen zijn persoonsgegevens wel in te zien.
Welke maatregelen hebben jullie om misbruik te voorkomen?
Dat zijn er verschillende:
1. We hebben controle aan de poort. Mensen moeten een Verklaring Omtrent het Gedrag (VOG) aanleveren en een geheimhoudingsverklaring ondertekenen. Daarmee is duidelijk dat ze aansprakelijk zijn op het moment dat zij zich niet aan de voorwaarden van de overeenkomst houden.
2. Daarnaast zijn privacy en geheimhouding doorlopend onderwerp van onze trainingen en gesprekken.
3. Wij controleren sinds de start het gebruik van onze systemen door de medewerkers, en hebben onze controles steeds verder verbeterd en doen dat nog steeds. Vanwege het belang van de virusbestrijding en de gevraagde snelheid zijn wij – op diverse manieren – met steeksproefsgewijze controles van start gegaan. Over dit uitgangspunt zijn wij altijd transparant geweest. De Autoriteit Persoonsgegevens heeft tot nu toe geen aanvullende vragen gesteld over de werkwijze.
4. Alleen mensen die voor hun werk noodzakelijk toegang moeten hebben tot een persoonsdossier, mogen dit dossier inzien. Hierop controleren we zoals gezegd steeksproefsgewijs. Bij verboden toegang volgt ontslag en indien nodig aangifte.
5. Daarnaast schalen we de monitoring van het gebruik van onze systemen verder op. We verwachten eind maart systemen te implementeren die automatisch en continu zullen controleren. Hier werken wij al geruime tijd aan.
Hoe controleren jullie zelf hoe medewerkers omgaan met de persoonsinformatie?
Wij controleren op verschillende manieren hoe onze medewerkers omgaan met de informatie in onze systemen. En dat heeft eerder geleid tot de ontdekking van onregelmatigheden en tot het nemen van maatregelen. Daarnaast beschermen we ons tegen aanvallen op onze systemen van buiten. Wij verwerken grote volumes gegevens, en deze actie is in onze controles niet naar voren gekomen.
Welke nieuwe maatregelen nemen jullie?
Er zijn verschillende maatregelen genomen om uw gegevens beter te beschermen en de kans op diefstal te verkleinen. Wat deze maatregelen zijn, kunnen wij u nog niet vertellen in het belang van het politie onderzoek.
Vragen over systemen
Om welke systemen gaat het?
Het gaat om CoronIT. Dit is het administratiesysteem voor het test- en vaccinatieproces en de communicatie hierover. Dus als je een afspraak maakt voor een coronatest via het callcenter, de coronatest website of een arts, komen je persoonsgegevens in CoronIT. Ook als je een afspraak maakt voor een vaccinatie.
Daarnaast lijkt er ook sprake te zijn van HPZone. HPZone is een elektronisch dossier wat de GGD’en gebruiken om het bron- en contactonderzoek uit te voeren. Als iemand een positieve testuitslag heeft en deze gemeld wordt bij de GGD, dan wordt een dossier van deze persoon in HPZone aangemaakt.
Wat doen medewerkers in de systemen?
Medewerkers van het callcenter (inbound – die gebeld worden) kunnen via CoronIT testafspraken en vaccinatieafspraken maken. Verder kunnen de (outbound – die mensen bellen) callagents de testuitslagen zien, aangezien zij mensen, zonder DigiD, bellen met hun testuitslag.
Bron- en contactonderzoekers leggen alle gegevens rondom een besmetting vast in HP-zone.
Bij brief van 8 november 2021 heeft de Autoriteit Persoonsgegevens (hierna: de AP), voor zover hier van belang, aan GGD GHOR geschreven:
Naar aanleiding van het op 22 januari 2021 door GGD GHOR Nederland (hierna: GGD GHOR), mede namens de regionale GGD’en aan de Autoriteit Persoonsgegevens (hierna: AP) gemelde datalek, de zorgwekkende berichtgeving in de media over de diefstal van en handel in persoonsgegevens afkomstig uit de systemen van GGD GHOR en de GGD’en alsmede de vele bezorgde signalen die de AP hierover vervolgens ontving, heeft de AP aangekondigd het toezicht op de GGD te intensiveren en in dat kader onderzoek te doen. De AP heeft onderzocht of door GGD GHOR en twee onderzochte GGD’en passende technische en organisatorische maatregelen zijn getroffen om de persoonsgegevens die worden verwerkt in het kader van testen, vaccineren en bron- en contractonderzoek in verband met de coronapandemie passend te beveiligen. Met deze eindbrief informeert de AP u over de bevindingen van het onderzoek.
De AP is zich ervan bewust dat met het uitbreken van de pandemie de GGD’en en GGD GHOR voor een enorme opgave werden gesteld. Zij kregen de opdracht in zeer korte tijd zorg te dragen voor het op grote schaal testen van personen, het uitvoeren van bron- en contactonderzoek en het vaccineren van personen. De werkzaamheden om dit te realiseren werden onder grote tijdsdruk verricht.
Tegelijkertijd geldt dat van een uitzonderlijk grote groep burgers in dit verband bijzondere persoonsgegevens betreffende hun gezondheid werden en worden verwerkt en dat een grote groep, veelal speciaal voor dit doel aangetrokken, tijdelijke medewerkers hiertoe toegang hebben. Het treffen van technische en organisatorische maatregelen die zijn afgestemd op de hiermee gepaard gaande risico’s voor de persoonsgegevens is dan ook van zeer groot belang. De bereidheid van burgers om zich te laten testen en vaccineren of medewerking te verlenen aan bron- en contactonderzoek hangt immers ook samen met het vertrouwen in de wijze waarop in dat kader persoonsgegevens van burgers worden verwerkt en beveiligd. Mede hierom besloot de AP onderzoek te doen.
Conclusie
De AP constateert dat een aantal aangekondigde verbetermaatregelen zijn getroffen waardoor het risico op datalekken is verminderd. Wel ziet de AP nog wezenlijke risico’s voor de beveiliging van persoonsgegevens die aanvullende verbetermaatregelen vereisen. Het gaat hier in het bijzonder om risico’s die verband houden met het grote aantal partijen dat betrokken is bij de verwerkingen van persoonsgegevens in verband met het testen, vaccineren en bron- en contactonderzoek. In ieder geval zijn dit de 25 regionale GGD’en, de landelijke koepelorganisatie GGD GHOR, zes landelijke partnerorganisaties (callcenters en alarmcentrales), diverse uitzendbureaus en IT-leveranciers. Duidelijke afspraken tussen de betrokken organisaties over bepaalde beveiligingsaspecten rondom de systemen die voor bron- en contactonderzoek worden gebruikt ontbreken. Dit geldt bijvoorbeeld ten aanzien van het autorisatiebeheer en de controle van logbestanden. Hierdoor is onvoldoende duidelijk wie waarvoor verantwoordelijk is en wie welke maatregelen in dit verband dient te treffen. Dat vergroot de kans op nieuwe tekortkomingen in de beveiliging van persoonsgegevens.
Verder werken het ministerie van Volksgezondheid, Welzijn en Sport, GGD GHOR en de GGD’en aan het vervangen van de systemen voor bron- en contactonderzoek (HP Zone en HP Zone Lite). In dit kader merkt de AP op dat vervanging van een systeem niet zonder meer leidt tot een betere beveiliging van de persoonsgegevens die daarin worden verwerkt. Hierbij wil de AP benadrukken dat bij de ontwikkeling en implementatie van een nieuw systeem nadrukkelijk rekening moet worden gehouden met de uit de Algemene verordening gegevensbescherming (hierna: AVG) voortvloeiende verplichtingen, zoals het vroegtijdig uitvoeren van een risicoanalyse in de vorm van een gegevensbeschermingseffectbeoordeling (artikel 35 AVG), de toepassing van gegevensbescherming door ontwerp en door standaardinstellingen (artikel 25 AVG) en het treffen van passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens (artikel 32 AVG), zoals bijvoorbeeld logging, controle op de logging en autorisatiebeheer.
Onderzoek
De AP heeft in het bijzonder onderzocht of voldoende verbetermaatregelen zijn getroffen met het oog op toegangsbeveiliging, verleende autorisaties en autorisatiebeheer, logging van de gebruikte systemen, controle op deze logging en om het ongeoorloofd exporteren/printen van persoonsgegevens uit de systemen te voorkomen. Ook heeft de AP gecontroleerd of de aangekondigde maatregelen met betrekking tot beperking van de zoekfuncties van gebruikers in de systemen ook daadwerkelijk zijn getroffen. Daarnaast is onderzocht of de betrokkenen die geraakt zijn door het datalek in overeenstemming met de AVG zijn geïnformeerd over de inbreuk in verband met hun persoonsgegevens. Tenslotte heeft de AP – naar aanleiding van nieuwe zorgelijke berichtgeving in de media in februari 2021 – onderzocht of de website www.coronatest.nl aan de beveiligingseisen voldoet die gelden voor aansluiting op DigiD.
Het onderzoek was gericht op de systemen die worden gebruikt voor het verwerken van persoonsgegevens in het kader van de coronapandemie, namelijk voor het testen en vaccineren (CoronIT) en bron- en contractonderzoek (HPZone en HPZone Lite).
In het kader van het onderzoek heeft de AP controles uitgevoerd bij GGD GHOR en steeksproefgewijs bij twee regionale GGD’en en een van de landelijke partners die capaciteit leveren voor het uitvoeren van bron- en contactonderzoek. Onderstaande bevindingen zijn gebaseerd op de informatie die de AP tijdens het onderzoek heeft verzameld.
(...)
Ter afsluiting
De AP heeft onderzoek gedaan bij GGD GHOR en twee (regionale) GGD’en naar de beveiliging van persoonsgegevens die in het kader van de coronapandemie worden verwerkt in CoronIT, HPZone en HPZone Lite. Deze systemen worden door alle 25 GGD’en gebruikt en de beveiliging van de daarin verwerkte persoonsgegevens is dus mede afhankelijk van maatregelen die alle 25 GGD’en afzonderlijk dan wel gezamenlijk treffen om de persoonsgegevens passend te beveiligen. De bevindingen van de AP zijn dan ook relevant voor alle 25 GGD’en. De AP verwacht daarom dat alle GGD’en de in deze brief genoemde noodzakelijke verbetermaatregelen – voor zover zij dat nog niet hebben gedaan – zullen treffen om een passend niveau van beveiliging van persoonsgegevens te waarborgen. Mede met het oog hierop zal deze brief ook aan de overige 23 GGD’en worden gezonden.
Informatiebeveiliging is een continu proces waarin risico’s en maatregelen periodiek moeten worden (her)beoordeeld zodat de technische en organisatorische beveiligingsmaatregelen steeds zijn afgestemd op de actuele risico’s voor betrokkenen. Om deze reden benadrukt de AP met klem het belang om audits gericht op informatiebeveiliging te blijven uitvoeren en risico’s en maatregelen periodiek te (her)beoordelen zodat, waar nodig, (aanvullende) technische en organisatorische maatregelen ter beveiliging van de (bijzondere) persoonsgegevens die worden verwerkt tijdig kunnen worden genomen.
De AP heeft inmiddels de bevindingen van het onderzoek in een gesprek aan GGD GHOR toegelicht en zal erop toezien dat noodzakelijke verbeteringen tijdig worden doorgevoerd. De AP verzoekt GGD GHOR dan ook om uiterlijk op 1 maart 2022 in een voortgangsrapportage op elk van de in deze brief aangegeven punten aan te geven welke verbetermaatregelen daadwerkelijk zijn of worden getroffen om de geïdentificeerde risico’s ten aanzien van de beveiliging van persoonsgegevens die worden verwerkt in het kader van de coronapandemie te verminderen. Dit betreft zowel de huidige systemen zolang deze nog worden gebruikt voor de bestrijding van de coronapandemie als de vervangende systemen wanneer deze in productie worden genomen. Mocht de in de voortgangsrapportage genoemde implementatie van verbetermaatregelen onverhoopt vertraging oplopen, dan verwacht de AP daarover door GGD GHOR onverwijld te worden geïnformeerd.
ICAM is op 25 november 2021 opgericht door [naam 1] .
Haar statuten luiden, voor zover hier van belang:
Doel
Artikel 3.
De Stichting stelt zich ten doel om als onafhankelijke organisatie en zonder winstoogmerk de belangen te behartigen van Gedupeerden, zijnde groepen natuurlijke personen, vennootschappen en/of rechtspersonen, in Nederland en/of daarbuiten, die zijn of dreigen te worden geraakt in een gelijksoortig belang in de zin van artikel 3:305a BW (of een vergelijkbare of daarvoor in de plaats tredende (wettelijke) regeling) en daardoor op enige derde(n) een of meer vordering(en) hebben verband houdend met door deze natuurlijke personen, vennootschappen en/of rechtspersonen geleden en/of te lijden Massaschade.
In het bijzonder valt onder het doel van de Stichting:
a. a) Het optreden tegen (dreigende) inbreuken op het recht van burgers, consumenten, vennootschappen en/of rechtspersonen op bescherming van de persoonlijke levenssfeer en bescherming van persoonsgegevens, waaronder in het bijzonder tegen inbreuken door de overheid en/of overheidsinstanties, zoals de Staat en andere publiekrechtelijke rechtspersonen, waaronder begrepen het verhalen van Massaschade die deze Gedupeerden lijden en/of hebben geleden ten gevolge van inbreuken op genoemde rechten, waaronder begrepen overtredingen van de EU Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) en/of enige daaruit voortvloeiende nationale wet- of regelgeving, beleidsregels, gedragscodes of normen;
b) Het optreden tegen (dreigende) inbreuken op rechten van burgers, consumenten, vennootschappen en/of rechtspersonen in verband met financiële diensten of producten, non-conformiteit van producten en/of productaansprakelijkheid en/of in verband met overtredingen van Unierechtelijke en/of nationale regelgeving, waaronder regelgeving ter bescherming van consumenten;
c) Het optreden tegen (dreigende) inbreuken op rechten van burgers, consumenten, vennootschappen en/of rechtspersonen in verband met overtredingen van het mededingingsrecht, waaronder kartelafspraken en misbruik van machtspositie;
d) Het optreden tegen (dreigende) inbreuken op rechten van burgers, consumenten, vennootschappen en/of rechtspersonen in verband met overtredingen van wet- en regelgeving ter regulering van online markten en online tussenpersonen, waaronder online platforms;
e) Het optreden tegen (dreigende) inbreuken op rechten van natuurlijke personen, vennootschappen en/of rechtspersonen in verband met overtredingen van wet- en regelgeving ter bescherming van mensen, dieren, milieu, klimaat en/of leefomgeving.
De Stichting tracht haar doel te bereiken met alle haar rechtens toekomende middelen, waaronder begrepen, zonder daartoe beperkt te zijn:
a. a) Het in naam van de Stichting en/of in naam van de Gedupeerden starten en/of ondersteunen van juridische procedures, zoals civiele, strafrechtelijke of bestuursrechtelijke procedures, het instellen van (rechts)vorderingen of verzoeken, waaronder vorderingen of verzoeken tot het vergoeden, compenseren en/of ongedaan maken van Massaschade, het terugbetalen van onverschuldigd betaalde bedragen, het ongedaan maken van ongerechtvaardigde verrijking, het verkrijgen van verklaringen voor recht en het treffen van (voorlopige) voorzieningen, en het indienen van klachten bij toezichthoudende instanties, een en ander in Nederland en in andere jurisdicties indien nodig en mogelijk, waaronder begrepen procedures, vorderingen, verzoeken en klachten zoals bedoeld in:
i. i) Artikel 3:305a lid 1 BW;
ii) Artikel 6:240 BW;
iii) Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG;
iv) Artikel 7:907 BW;
v) Artikel 80 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, of enige daarvoor in de plaats tredende (wettelijke) regelingen of enige daarmee vergelijkbare (wettelijke) regelingen in Nederland en/of daarbuiten;
b) Het (laten) doen van onderzoek naar (mogelijke) inbreuken op de rechten van Gedupeerden en naar de aansprakelijkheid van de (rechts)personen die (mogelijk) inbreuk maken of hebben gemaakt;
c) Het namens of in het belang van Gedupeerden voeren van onderhandelingen over en/of het aangaan van (collectieve) vaststellingsovereenkomsten, waaronder begrepen vaststellingsovereenkomsten in de zin van artikel 7:907 BW;
d) Het (laten) berekenen, vaststellen, verkrijgen, (door)betalen en distribueren van schadevergoedingen en het (laten) uitvoeren van (collectieve) vaststellingsovereenkomsten, waaronder begrepen vaststellingsovereenkomsten in de zin van artikel 7:907 BW;
e) Het optreden als woordvoerder en vertegenwoordiger van Gedupeerden, waaronder in de media, in de politiek, bij het bedrijfsleven, bij (potentiële) wederpartijen en in relatie tot het maatschappelijk middenveld;
f) Het informeren van Gedupeerden ten aanzien van zaken gerelateerd aan doel en werkzaamheden van de Stichting, onder meer via de Website;
g) Het beschikbaar stellen en/of door een externe partij beschikbaar laten stellen van adequate financiering voor het behalen van de doelstellingen van de Stichting, al dan niet tegen betaling van een financieringsvergoeding voor rente en gelopen risico;
h) Het bieden van de mogelijkheid aan Gedupeerden om Deelnemer te worden;
i. i) Het verrichten van al hetgeen met het vorenstaande in de ruimste zin verband houdt of daartoe bevorderlijk kan zijn.
De Stichting is een organisatie zonder winstoogmerk. Onder winstoogmerk wordt niet verstaan het nastreven van een door de Stichting te ontvangen of te bedingen marktconforme vergoeding voor gemaakte kosten, gelopen risico’s of geleverde diensten, met inbegrip van een eventuele redelijke opslag ten behoeve van (toekomstige) collectieve belangenbehartiging en van kosten voor gebruik van eigen vermogen of vreemd vermogen.
De Stichting onderschrijft de Claimcode. De Stichting zal haar statuten, organisatie en werkwijze zoveel mogelijk inrichten overeenkomstig de Claimcode of zal, indien daarvan wordt afgeweken, toelichten waarom zij daarvan afwijkt.
Organen en governance structuur
Artikel 4.
De Stichting kent de volgende organen:
a. een Bestuur;
b. een Raad van Toezicht; en
c. een gemeenschappelijke vergadering van Bestuur en Raad van Toezicht.
De Stichting kent Deelnemers.
(...)
Bestuur; samenstelling, benoeming, schorsing, ontslag
Artikel 6.
Het Bestuur bestaat uit een door de Raad van Toezicht vast te stellen aantal Bestuurders van ten minste drie.
Het Bestuur is zodanig samengesteld dat de Bestuurders ten opzichte van elkaar, de Raad van Toezicht, een eventuele Financier en de Deelnemers onafhankelijk en kritisch kunnen opereren. Daarnaast is het Bestuur zodanig samengesteld dat het beschikt over de specifieke deskundigheid die noodzakelijk is voor een adequate behartiging van de in Artikel 3 omschreven belangen.
Ten minste één Bestuurder beschikt over de specifieke ervaring en juridische expertise die noodzakelijk is voor een adequate behartiging van de in Artikel 3 omschreven belangen. Ten minste één Bestuurder beschikt over de specifieke ervaring en financiële expertise die noodzakelijk is voor een adequate behartiging van de in Artikel 3 omschreven belangen.
De vereiste specifieke deskundigheid, ervaring en expertise van het Bestuur zoals bedoeld in Artikel 6.2 en 6.3 kan, waar dat nodig is ten aanzien van specifieke Claims, mede worden ingevuld door middel van ondersteuning door Claim-specifieke commissies of adviseurs.
Bestuur; taken en bevoegdheden
Artikel 7.
Het Bestuur is belast met het besturen van de Stichting. Bij de vervulling van hun taak richten de Bestuurders zich naar het belang van de Stichting en de met haar verbonden organisatie.
(...)
Het Bestuur legt ten minste één keer per jaar verantwoording af aan de Raad van Toezicht over de vaststelling en uitvoering van het (financieel) beleid en de op verwezenlijking van de statutaire doelstelling gerichte strategie.
Het Bestuur is verplicht om elke voorgenomen substantiële wijziging in de governance structuur van de Stichting en in de naleving van de Claimcode ter bespreking voor te leggen aan de Raad van Toezicht. Het Bestuur zal het voorafgaande als een afzonderlijk agendapunt op de agenda van de vergadering zetten.
(...)
Bestuur; besluitvorming
Artikel 9.
(...)
Aan de goedkeuring van de Raad van Toezicht zijn onderworpen besluiten van het Bestuur omtrent:
(...)
d. het aanhangig maken van ene gerechtelijke procedure;
e. het sluiten van een schikkingsovereenkomst;
f. het aangaan of beëindigen van enige financieringsovereenkomst; en
g. het vaststellen of wijzigen van de jaarlijkse begroting.
De Raad van Toezicht kan in zijn daartoe strekkend besluit duidelijk te omschrijven andere besluiten van het Bestuur aan zijn goedkeuring onderwerpen. De Raad van Toezicht deelt een dergelijk besluit onverwijld schriftelijk aan het Bestuur mede.
(...).
Website
Artikel 12.
Het Bestuur houdt een algemeen toegankelijke Website in stand waarop de voor de belanghebbenden van de Stichting van belang zijnde informatie wordt geplaatst, waaronder in elk geval wordt verstaan:
a. de Statuten;
b. het doel en de middelen van de Stichting;
(...)
i. een overzicht van de aan Deelnemers gevraagde bijdrage(n);
(...)
m. een plan van aanpak op hoofdlijnen op basis waarvan een potentiële Deelnemer kan beoordelen of de aard en werkwijze van de Stichting aansluiten bij zijn of haar belangen;
n. een overzicht van de wijze waarop personen tot bescherming van wier belangen de rechtsvordering strekt zich kunnen aansluiten bij de Stichting en de wijze waarop zij deze aansluiting kunnen beëindigen;
o. indien een bijdrage wordt gevraagd van de personen tot bescherming van wier belangen de rechtsvordering strekt: inzicht in de berekening van deze bijdrage;
p. een overzicht van de stand van zaken in door de Stichting gestarte gerechtelijke procedures;
q. een overzicht van de hoofdlijnen van door de Stichting gesloten vaststellingsovereenkomsten;
r. het laatst vastgestelde bestuursverslag, welke binnen acht (8) dagen na vaststelling op de Website wordt gepubliceerd;
s. voor zover van toepassing, dat sprake is van externe financiering, de identiteit en woonplaats van de Financier, de systematiek op hoofdlijnen van de met de Financier overeengekomen vergoeding(en) en overeengekomen diensten en, indien van toepassing, het percentage van een in of buiten rechte toe te kennen collectieve (schade)vergoeding die in de vorm van een vergoeding toekomt aan de Financier.
Raad van Toezicht; samenstelling, benoeming, defungeren
Artikel 13.
De Raad van Toezicht bestaat uit ten minste drie leden, waarvan er maximaal één, niet zijnde de voorzitter, kan worden benoemd op voordracht van een eventuele Financier. Een dergelijke benoeming wordt gepubliceerd op de Website. Het aantal leden wordt vastgesteld door de Raad van Toezicht. Slechts natuurlijke personen kunnen lid van de Raad van Toezicht zijn.
De Raad van Toezicht is zodanig samengesteld dat de leden ten opzichte van elkaar en het Bestuur en ten aanzien van de door de Stichting behartigde belangen, onafhankelijk en kritisch kunnen opereren. Ten minste één lid van de Raad van Toezicht beschikt over de specifieke ervaring en juridische expertise die noodzakelijk is voor een adequate behartiging van en adequaat toezicht op de in Artikel 3 omschreven belangen. Ten minste één lid van de Raad van Toezicht beschikt over de specifieke ervaring en financiële expertise die noodzakelijk is voor een adequate behartiging van en adequaat toezicht op de in Artikel 3 omschreven belangen.
(...).
Raad van Toezicht; taak en bevoegdheden
Artikel 14.
De Raad van Toezicht heeft tot taak toezicht te houden op het beleid en de strategie van het Bestuur en op de algemene gang van zaken in de Stichting. De Raad van Toezicht staat het Bestuur met raad terzijde. Bij de vervulling van hun taken richten de leden van de Raad van Toezicht zich naar het belang van de Stichting en de met haar verbonden organisatie.
(...).
(...)
Deelnemers
Artikel 19.
De Stichting kan onder meer om organisatorische, proces-technische en/of financiële redenen Deelnemers kennen per specifieke Claim.
(...)
Het Bestuur kan een reglement vaststellen waarin nadere regels en voorschriften worden vastgelegd ter zake van de (organisatie van de) Deelnemers. Het besluit tot vaststelling of wijziging van een dergelijk reglement behoeft de voorgaande goedkeuring van de Raad van Toezicht.
Naleving en handhaving Claimcode
Artikel 20.
De hoofdlijnen van de governancestructuur van de Stichting worden elk jaar op een voor het publiek toegankelijk deel van de Website uiteengezet met de uitdrukkelijke toelichting in hoeverre zij daarvan afwijkt.
De over ieder boekjaar op de Website gepubliceerde informatie over de governancestructuur blijft voor het publiek toegankelijk zolang de Stichting actief is.
Artikel 7.4 is van toepassing op een wijziging in de governancestructuur van de Stichting.
Externe financiering
Artikel 21.
De Stichting kan ten behoeve van de financiering van statutaire werkzaamheden een overeenkomst aangaan met een Financier. Het Bestuur vergewist zich ervan dat individuele Bestuurders en leden van de Raad van Toezicht, alsmede de door de Stichting ingeschakelde advocaat of andere dienstverleners zelfstandig en onafhankelijk zijn van de Financier en de aan deze rechtstreeks of middellijk verbonden (recht)personen, alsmede dat de Financering en de aan deze rechtstreeks of middellijk verbonden (rechts)personen onafhankelijk zijn van de wederpartij in de collectieve actie. De overeenkomst voorziet in een regeling die de in de vorige volzin bedoelde zelfstandigheid en onafhankelijkheid waarborgt. Het Bestuur ziet erop toe dat de financieringsvoorwaarden (waaronder begrepen de omvang en systematiek van de overeen te komen vergoeding) redelijkerwijs niet strijdig zijn met het collectieve belang van de (rechts)personen ten behoeve van wie de Stichting krachtens Artikel 3 optreedt.
Tot eerste leden van het Bestuur zijn benoemd [naam 1] voornoemd, [naam 2] en [naam 3] .
Tot eerste leden van de Raad van Toezicht zijn benoemd [naam 4] , [naam 5] en [naam 6] . Laatstgenoemde is op 21 juni 2022 onverwacht overleden. In zijn plaats is op 30 oktober 2023 benoemd [naam 7] .
Bij brieven van 8 februari 2022 heeft ICAM gedaagden, met uitzondering van Stichting Landelijke Coördinatie COVID-19 Bestrijding (gedaagde sub 5), (onder meer) uitgenodigd tot het voeren van overleg als bedoeld in artikel 3:305a lid 3 onder c Burgerlijk Wetboek (BW).
Bij brief van 22 november 2022 heeft ICAM Stichting Landelijke Coördinatie COVID-19 Bestrijding (gedaagde sub 5) (onder meer) uitgenodigd tot het voeren van overleg als bedoeld in artikel 3:305a lid 3 onder c BW.
Het op deze brieven gevolgde overleg heeft er niet toe geleid dat ICAM het gevorderde heeft bereikt.
Bij brieven van 15 februari 2022 heeft ICAM (onder andere) gedaagden op grond van de Wet openbaarheid van bestuur (Wob) verzocht om informatie en/of documenten.
Bij brief van 25 april 2022 heeft GGD GHOR, voor zover hier van belang, aan 1.247 van de 1.373 personen wier persoonsgegevens – naar door de politie is vastgesteld – uit de GGD-systemen zijn ontvreemd, voor zover hier van belang, geschreven:
Vorig jaar stuurden wij u een brief over de diefstal van uw persoonsgegevens uit één van de computersystemen van de GGD. Met deze brief willen we u laten weten dat de politie onderzoek heeft gedaan en wat de uitkomst daarvan is.
Wij vinden het heel vervelend dat deze datadiefstal heeft plaatsgevonden. Daarom willen we graag een financieel gebaar maken voor uw ongemak. Hierover leest u ook meer in deze brief.
Datadiefstal
Wij lieten u vorig jaar al weten dat persoonsgegevens zijn gestolen uit CoronIT. Dit is het computersysteem dat de GGD gebruikt bij het bestrijden van de COVID-19 pandemie. Wij hebben vorig jaar meteen bij de politie aangifte gedaan. Die startte een uitgebreid onderzoek en heeft een aantal verdachten aangehouden. De politie heeft vastgesteld dat er foto’s (schermafdrukken) waren gemaakt van gegevens in CoronIT. Dit is verboden en daarom heeft de rechter hiervoor al een aantal verdachten veroordeeld. De andere verdachten moeten nog voor de rechter komen.
Financieel gebaar
Nu het politieonderzoek naar de datadiefstal klaar is, weten we dat helaas ook foto’s gemaakt zijn van uw gegevens. We vinden dit heel vervelend en zeggen daarom nog een keer sorry. Voor eventueel ongemak willen wij u 500 euro aanbieden. U kunt zelf kiezen of u van dit aanbod gebruik wilt maken of niet.
Wat vragen wij u te doen?
U kunt één keuze aankruisen op de antwoordbrief (die is aan deze brief vastgeniet). Hieronder staat welke keuzes u hebt:
1. Ja, ik maak gebruik van het aanbod en ontvang graag 500 euro op een rekening die op mijn naam staat.
2. Nee, ik wil geen gebruik maken van het aanbod van GGD GHOR Nederland.
Vóór 1 juli 2022 in de brievenbus doen
Heeft u uw keuze aangekruist? Dan kunt u de ingevulde antwoordbrief los maken van deze brief en in de antwoordenvelop doen. Een postzegel is niet nodig. Plak deze envelop goed dicht en doe deze vóór 1 juli 2022 op de post.
Als u kiest voor keuze 1, krijgt u het bedrag binnen zes weken nadat wij uw antwoordbrief hebben ontvangen.
De bij deze brief gevoegde bijlage Vragen en antwoorden luidt, voor zover hier van belang:
Waarom bieden jullie een financieel gebaar aan?
Uw gegevens zijn door de politie gevonden bij de verdachten. We vinden dit heel vervelend. Daarom willen wij een financieel gebaar maken voor uw mogelijke ongemak.
(...)
Waarom is de hoogte van het bedrag 500 euro?
Wij vinden dit onder de omstandigheden waaronder de datadiefstal zich voorgedaan een gepast bedrag.
(...)
Wat als ik niet reageer voor 1 juli 2022?
Als u niet voor 1 juli 2022 reageert, dan gaan wij ervan uit dat u geen gebruik wilt maken van het aanbod.
Jullie gaan een gebaar maken naar circa 1250 mensen. Waarom niet naar andere mensen?
Bij het politieonderzoek naar de datadiefstal zijn gegevens van circa 1250 personen gevonden. De politie heeft geen aanwijzingen gevonden dat grootschalige databestanden in omloop en verhandeld zouden zijn. Wij bieden alleen die mensen 500 euro aan waarvan de politie schermafdrukken van hun gegevens gevonden heeft bij de verdachten.
(...)
Hoe staat het op dit moment met de beveiliging van jullie systemen? Kan zoiets in de toekomst nog een keer gebeuren?
Geen enkele organisatie kan 100% garantie geven. Echter, dataveiligheid en privacy zijn integrale onderdelen van onze werkprocedures. Het is een doorlopend proces waarbij we continu de veiligheid van onze systemen analyseren en verbeteren. We spannen ons in om de data van alle Nederlanders goed te beschermen en beveiligen tegen onrechtmatige inzage en misbruik. Intern zijn extra veiligheidsmaatregelen getroffen en uit voorzorg zijn diverse systeemaanpassingen gedaan.
Wat gebeurt er als nieuwe screenshots bij (andere) verdachten worden aangetroffen?
Als er nieuwe feiten bekend worden, dan zullen wij weer aangifte doen bij de politie.
De bij de brief van 25 april 2022 gevoegde bijlage Antwoordbrief luidt, voor zover hier van belang:
Keuze financieel gebaar
(...)
Graag één van de vakjes aankruisen om uw keuze aan ons door te geven.
(...).
□ Ja, ik maak gebruik van het aanbod van GGD GHOR Nederland en ontvang graag €500 op de volgende rekening die op mijn naam staat:
(...).
Als wij het bedrag van €500 op uw bankrekening hebben betaald, geeft u ons finale kwijting. Lees onderaan deze pagina wat dat voor u betekent.
□ Nee, ik wil geen gebruik maken van het aanbod van GGD GHOR Nederland.
(...).
Wat is finale kwijting?
Dit betekent dat u ermee akkoord gaat dat wij tegenover u geen verplichtingen hebben die te maken hebben met de datadiefstal uit de coronasystemen van de GGD. Dit geldt dan voor verplichtingen van GGD GHOR Nederland, de GGD’en of andere overheidsinstanties (zoals de gemeente of de landelijke overheid).
Ongeveer 80% van deze 1.247 personen heeft het aanbod aanvaard.
GGD GHOR heeft de overige 126 personen onlangs hetzelfde aanbod gedaan.