Schendingen van de gegevensbescherming leiden al snel tot schadeclaims. Reden genoeg om de regels van gegevensbescherming zeer serieus te nemen.
€ 2.000 compensatie voor pijn en lijden is geen geringe zaak
Een Duits voorbeeld van dit jaar (maar zeker ook representatief voor Nederland): iedereen die op zijn werk e-mails verstuurt, moet de regels van het spel van gegevensbescherming kennen die van toepassing zijn. En: uiterst zorgvuldig werken is geboden! Dat had de medewerker van een zorgverzekeraar ter harte moeten nemen. Want vanwege een niet zo grote inbreuk op de gegevensbescherming moet zijn werkgever nu € 2.000,- schadevergoeding betalen voor pijn en lijden.
“Foutverzendingen” gebeuren heel snel met e-mails
Mails zijn sneller dan brieven en ook nog eens goedkoper. Dit geldt echter alleen als de e-mail naar het juiste adres gaat. Een “verkeerde bezorging” op het verkeerde adres kan voor behoorlijk wat problemen zorgen. Precies zo’n storing onderging de medewerker van een zorgverzekeraar.
Een medewerker maakt een fout in het e-mailadres
Een klant belde hem en vroeg hem haar de inhoud van haar gezondheidsdossier van de afgelopen drie jaar te sturen (zie hierover bijv. Art 15 van de AGV). De medewerker vroeg de klant of het ok was om het per e-mail te verzenden. De klant had eerst bedenkingen, maar uiteindelijk stemde ze toe.
Het was haar duidelijk dat ze een onversleutelde e-mail zou ontvangen. Ze vroeg om de documenten naar het e-mailadres “P1@abcdef.nl” te sturen. De medewerker schreef echter per ongeluk naar “P2@abcdef.nl”.
Natuurlijk verontschuldigt hij zich bij de klant
Pas toen de klant drie dagen later vroeg waar de post met haar documenten was, werd de storing opgemerkt. De bediende verontschuldigde zich bij de klant. Hij informeerde ook zijn superieuren. Er was geen economische schade, uiteindelijk is er “niets gebeurd”. Een paar maanden later nam een medewerker van de zorgverzekeraar contact op met het bedrijf, dat in de twee e-mailadressen verborgen zit achter de domein afkorting “abcdef”. Het bedrijf “abcdef” verzekerde dat het e-mailaccount “P2@abcdef.de” nooit was gebruikt. Het e-mailadres is nu op verzoek verwijderd.
De klant vraagt €15.000 en krijgt €2.000
Niettemin eiste de getroffen klant compensatie voor pijn en lijden. Haar idee: € 15.000,- plus juridische kosten natuurlijk. Het Rechtbank verminderde de verwachtingen van de klant aanzienlijk. De rechtbank kende haar echter een schadevergoeding van € 2.000 toe.
Het gaat om het balanceren van zorgen en angsten
Volgens de rechtbank moet de vergoeding de klant compenseren voor de zorgen en angsten waar zij last van heeft. Ze verloor immers maandenlang de controle over gevoelige gezondheidsgegevens. Bovendien waren sommige van deze gegevens zelfs extreem intiem (zie hierover bijv. Art. 9 van de AVG).
Op een fout wijzen helpt niet, het feit dat de medewerker duidelijk “slechts” een fout maakte, hielp niet. De rechtbank ging daar niet eens in detail op in. Het verklaarde eenvoudig dat het verzenden naar het verkeerde e-mailadres in strijd was met de gegevensbescherming.
Hoewel de klant ermee instemde dat de post werd verzonden, maar natuurlijk alleen naar het juiste e-mailadres. Aangezien de medewerker een ander e-mailadres gebruikte, blijft het zo dat er sprake was van een inbreuk op de gegevensbescherming.
Aandacht besteden aan gegevensbeschermingstraining is zinvol
De casus herinnert eraan dat privacytraining zeer zorgvuldig moet worden gevolgd. Zijn er misschien gegevens die helemaal niet per e-mail moeten worden verzonden? Hoe zorg ik ervoor dat het e-mailadres echt klopt? Als u hier goed op let en vragen stelt, beschermt u uw bedrijf tegen schadeclaims en uzelf tegen problemen!
Brievenpost kan net zo riskant zijn
Omdat alles via de e-mail zo drastisch mis was gegaan, stuurde de zorgverzekeraar de klant uiteindelijk de gevraagde documenten per brief. Begrijpelijk, want in dit geval hadden beide partijen genoeg van e-mails. Bedenk daarom: verkeerde adressering komt ook voor bij brieven, en niet zo zelden. Ook dan is een vergoeding verschuldigd!
Er hangt in ieder geval nog een waarschuwing in lucht
De zorgverzekeraar moet de € 2.000 betalen, niet de medewerker persoonlijk. Of zijn werkgever verhaal op hem kan nemen, hangt af van de regels van het arbeidsrecht. Aangezien de medewerker “slechts” onzorgvuldig heeft gehandeld, hoeft hij zijn werkgever waarschijnlijk niet terug te betalen.
Een officiële waarschuwing voor deze medewerker zou altijd terecht zijn. Als er in het verleden andere overtredingen zijn geweest, is beëindiging van zijn contract ook een optie… (maar dat is een beoordeling op een ander traject).