4.1.
ICAM vordert dat de rechtbank bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad,
A. Verzoek tot een bevel ex artikel 22 Rv
de Staat c.s. op grond van artikel 22 Rv beveelt om de in paragraaf 10.2.1 (van de dagvaarding; rechtbank) opgesomde informatie en/of documenten in het geding te brengen;
B. Voorwaardelijke vordering: inzage en afschrift ex artikel 843a Rv
indien of voor zover de rechtbank verzoek A niet honoreert:
B.I. Gedaagden beveelt om binnen tien (10) dagen na betekening van het vonnis in incident een digitaal afschrift van de Bescheiden (zoals genoemd in paragraaf 10.2.1 van de dagvaarding) te verstrekken aan ICAM;
B.II. Gedaagden beveelt om binnen tien (10) dagen na betekening van het vonnis in incident een digitaal afschrift van de Bescheiden te verstrekken aan de advocaten van ICAM en aan een door de rechtbank tef benoemen deskundige, waarbij door Gedaagden ten aanzien van ieder document gemotiveerd wordt aangegeven welk onderdeel of welke onderdelen vertrouwelijk zouden zijn, waarna de deskundige in samenspraak met de advocaten van ICAM en de advocaten van de Gedaagden zal bepalen welke bescheiden of gedeelten van bescheiden vertrouwelijk moeten blijven en welke documenten of gedeelten niet, waarbij als vertrouwelijk aangemerkte Bescheiden vernietigd zullen worden en als vertrouwelijk aan te merken gedeelten van Bescheiden zullen worden zwartgemaakt;
B.III. daarbij bepaalt dat de deskundige en de advocaten van ICAM aan geheimhouding gebonden zijn ten aanzien van de als vertrouwelijk aangemerkte Bescheiden en de als vertrouwelijk aan te merken gedeelten van Bescheiden;
B.IV. bepaalt dat indien de deskundige, de advocaten van ICAM en de advocaten van Gedaagden niet tot overeenstemming komen over de vraag welke gedeelten vertrouwelijk moeten blijven en welke gedeelten niet, de deskundige hierover bindend zal besluiten;
B.V. bepaalt dat de deskundige binnen vijf (5) dagen na voltooiing van de door hem of haar te plegen vaststelling een digitaal afschrift van de Bescheiden, met uitzondering van hetgeen als vertrouwelijk is aangemerkt, zal verstrekken aan ICAM;
B.VI. Gedaagden beveelt om binnen tien (10) dagen na betekening van het vonnis in incident inzage, afschrift of uittreksel van de Bescheiden te verstrekken aan ICAM op een wijze zoals door de rechtbank in goede justitie te bepalen;
C. Deskundigenonderzoek naar (de omvang en gevolgen van) het datalek
C.I. een door de rechtbank te benoemen deskundige opdracht geeft om in overleg met Gedaagden en ICAM te onderzoeken wat de omvang en risico’s van het datalek zijn, althans zijn geweest, met inbegrip van de vraag van hoeveel en van welke (categorieën van) personen persoonsgegevens uit de GGD-systemen onbevoegd konden worden, zijn en/of kunnen worden ingezien en/of ontvreemd, zulks met opdracht aan de deskundige om binnen acht (8) weken na het vonnis in incident van zijn of haar bevindingen schriftelijk en gedetailleerd verslag te doen aan de rechtbank en ICAM;
C.II. Gedaagden beveelt om aan het onderzoek van en de rapportage door de deskundige volledig en onvoorwaardelijk medewerking te verlenen en aan de deskundige alle informatie te verschaffen die de deskundige relevant acht voor de uitvoering van zijn of haar onderzoek;
D. Melding aan Gedupeerden
D.I. Gedaagden beveelt om binnen vier (4) weken na betekening van het vonnis in incident, althans binnen vier (4) weken na het beschikbaar komen van het in vordering C bedoelde rapport, alle Gedupeerden van wie persoonsgegevens in de GGD-systemen onbevoegd konden worden, zijn en/of kunnen worden ingezien en/of ontvreemd, hierover zoveel mogelijk op individuele basis schriftelijk te informeren, onder vermelding van de (mogelijke) gevolgen en risico’s daarvan, en om van die informatieverschaffing binnen twee (2) weken na het informeren van de Gedupeerden schriftelijk en gedetailleerd verslag te doen aan de rechtbank;
E. Beschikbaar houden van gegevens
E.I. Gedaagden beveelt om, ieder voor zover zij hierover beschikken, de hierna genoemde informatie en gegevens van alle Gedupeerden te bewaren en beschikbaar te houden voor zolang dat nodig is (i) om tot volledige en correcte melding aan de Gedupeerden over te gaan zoals bedoeld in vordering D en (ii) om tot volledige en correcte uitbetaling van schadevergoeding over te kunnen gaan:
a. a) voor- en achternaam;
b) geboortedatum;
c) adres;
d) e-mailadres en telefoonnummer;
e) de gegevens die onbevoegd konden worden, zijn en/of kunnen worden ingezien en/of ontvreemd;
f) de periode waarin de betreffende gegevens onbevoegd konden worden, zijn en/of kunnen worden ingezien en/of ontvreemd;
g) het aantal personen dat (onbevoegd) toegang had tot de betreffende gegevens en de motivering daarvan, mede in het licht van hun rollen of functies;
h) informatie over de vraag of de betreffende gegevens daadwerkelijk of waarschijnlijk zijn gestolen of anderszins zijn aangewend op een wijze die tot aansprakelijkheid van Gedaagden jegens Gedupeerden leidt;
i. i) logbestanden;
E.II. een door de rechtbank te benoemen deskundige opdracht geeft om periodiek te controleren of (blijvend) aan het bevel op grond van vordering E.I wordt voldaan, zulks met opdracht aan de deskundige om van zijn of haar bevindingen iedere drie (3) maanden schriftelijk en gedetailleerd verslag te doen aan de rechtbank en ICAM;
E.III. Gedaagden beveelt om aan het onderzoek van en de rapportage door de deskundige volledig en onvoorwaardelijk medewerking te verlenen en aan de deskundige alle informatie te verschaffen die de deskundige relevant acht voor de uitvoering van zijn of haar onderzoek;
F.I. Gedaagden op de voet van 1018l lid 2 Rv hoofdelijk veroordeelt in de redelijke en evenredige gerechtskosten en andere kosten van het incident, waaronder de nader te begroten kosten verbonden aan het verkrijgen van inzage, afschrift of uittreksel en waaronder de advocaatkosten en de kosten voor de deskundige(n);
G.I. Gedaagden hoofdelijk beveelt een dwangsom te betalen van € 250.000,- (zegge: tweehonderdenvijftigduizend euro) voor iedere dag (een gedeelte van een dag als een gehele gerekend) dat zij geheel of gedeeltelijk in strijd handelen met de bevelen op grond van de verzoeken c.q. vorderingen A, B, C.II, D en/of E, met een maximum van € 100.000.000,- (zegge honderd miljoen euro).
H. Exclusieve belangenbehartiger
ICAM aanwijst als exclusieve belangenbehartiger in de zin van artikel 1018e lid 1 Rv;
I. De vertegenwoordigde groep personen
in het kader van artikel 1018e lid 2 Rv bepaalt dat ICAM in deze collectieve vordering de belangen behartigt van alle Gedupeerden, zijnde:
a. a) alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één van of beide GGD-systemen in de periode tussen ingebruikname daarvan in verband met de bestrijding van corona en 1 februari 2021, bijvoorbeeld omdat zij een afspraak hebben gemaakt bij een GGD om te testen of vaccineren in verband met corona of omdat zij onderdeel zijn geweest van bron- en contactonderzoek in verband met corona, met uitzondering van de personen die deel uitmaken van Gedupeerden Categorie B (“Gedupeerden Categorie A”);
b) alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één van of beide GGD-systemen in de periode tussen ingebruikname daarvan in verband met de bestrijding van corona en 1 februari 2021, bijvoorbeeld omdat zij een afspraak hebben gemaakt bij een GGD om te testen of vaccineren in verband met corona of omdat zij onderdeel zijn geweest van bron- en contactonderzoek in verband met corona, en waarvan vaststaat of zal worden vastgesteld dat hun persoonsgegevens als gevolg van het GGD-datalek door ongeautoriseerde personen zijn ingezien of bij ongeautoriseerde personen in handen zijn gekomen, zoals door het ongeoorloofd inzien, downloaden, exporteren, printen, kopiëren, fotograferen en/of aanbieden, verhandelen, ontvangen of op andere wijze delen van de persoonsgegevens (“Gedupeerden Categorie B”);
J.I. Gedaagden beveelt om de uitspraak op grond van artikel 1018e lid 1 en 2 Rv, vergezeld van een eenvoudige samenvatting, alsmede vertalingen van de uitspraak en de samenvatting in tenminste dezelfde talen als waarin de website www.prikkenzonderafspraak.nl van de Rijksoverheid wordt aangeboden, binnen vier (4) weken na de datum van de uitspraak te plaatsen op (i) de website van GGD GHOR, (ii) de websites van de GGD’en en (iii) een speciaal daarvoor in het leven te roepen website van de Rijksoverheid, zodanig dat deze door de Gedupeerden ten behoeve van latere kennisneming kunnen worden opgeslagen;
J.II. Gedaagden beveelt om binnen vier (4) weken na de datum van de uitspraak op grond van artikel 1018e lid 1 en 2 Rv alle Gedupeerden bij gewone brief mededeling te doen van de aanwijzing van de Exclusieve Belangenbehartiger, de collectieve vordering en de nauw omschreven groep personen wier belangen de Exclusieve Belangenbehartiger in deze collectieve vordering behartigt;
J.III. Gedaagden beveelt om binnen vier (4) weken na de datum van de uitspraak op grond van artikel 1018e lid 1 en 2 Rv aankondiging te doen van de aanwijzing van de Exclusieve Belangenbehartiger en de collectieve vordering en de nauw omschreven groep personen wier belangen de Exclusieve Belangenbehartiger in deze collectieve vordering behartigt, zulks in alle landelijke en regionale nieuwsbladen van Nederland en met een inhoud en op een wijze zoals door de rechtbank in goede justitie te bepalen na uitlating van partijen daarover;
J.IV. bepaalt dat (de wettelijk vertegenwoordiger(s) van) iedere persoon met woonplaats of verblijf in Nederland die behoort tot de groep Gedupeerden, gedurende een periode van drie (3) maanden na de aankondiging in de zin van artikel 1018f lid 3 Rv de mogelijkheid heeft om door middel van een schriftelijke mededeling aan de griffie van de rechtbank te laten weten zich van de behartiging van zijn of haar belangen in deze collectieve vordering te willen bevrijden (Opt-out);
J.V. bepaalt dat (de wettelijk vertegenwoordiger(s) van) iedere persoon zonder woonplaats of verblijf in Nederland die behoort tot de groep Gedupeerden, gedurende een periode van zes (6) maanden na de aankondiging in de zin van artikel 1018f lid 3 Rv de mogelijkheid heeft om door middel van een schriftelijke mededeling aan de griffie van de rechtbank te laten weten in te stemmen met de behartiging van zijn of haar belangen in deze collectieve vordering (Opt-in);
K. Verklaringen voor recht
K.I. voor recht verklaart dat de Gedaagden ieder voor zich zelfstandig dan wel gezamenlijk met één of meer andere Gedaagden, in de zin van de AVG moeten worden aangemerkt als verwerkingsverantwoordelijken voor de gegevensverwerkingen in de GGD-systemen CoronIT en/of HPZone Lite;
K.II. voor recht verklaart dat de Gedaagden, althans de als verwerkingsverantwoordelijken aan te merken Gedaagden, in strijd handelen met, althans in strijd hebben gehandeld met:
a. a) artikel 8 EVRM; en/of
b) artikel 7 Handvest; en/of
c) artikel 8 Handvest; en/of
d) artikel 5 AVG; en/of
e) artikel 24 AVG; en/of
f) artikel 25 AVG; en/of
g) artikel 32 AVG; en/of
h) artikel 34 AVG; en/of
i. i) artikel 35 AVG; en/of
j) artikel 7:457 BW; en/of
k) artikel 10 Wabvpz jo. artikel 2 Regeling gebruik burgerservicenummer in de zorg; en/of
l) artikel 15j Wabvpz jo. artikel 3 en 5 Begz;
K.III. voor recht verklaart dat de Gedaagden jegens de Gedupeerden onrechtmatig handelen, althans onrechtmatig hebben gehandeld op grond van artikel 6:162 BW;
K.IV. voor recht verklaart dat de Gedaagden, althans de als verwerkingsverantwoordelijken aan te merken Gedaagden, op grond van artikel 82 AVG en/of artikel 6:162 BW hoofdelijk aansprakelijk zijn voor alle schade die door de Gedupeerden is geleden en nog zal worden geleden ten gevolge van het GGD-datalek;
L. Beëindigen van de inbreuk en verbeteren van beveiligingsmaatregelen
L.I. Gedaagden, althans de als verwerkingsverantwoordelijken aan te merken Gedaagden, beveelt om binnen drie maanden na het in deze zaak te wijzen vonnis alle in het lichaam van de dagvaarding omschreven inbreuken op het EVRM, het Handvest, de AVG en specifieke zorgwetgeving en al het in het lichaam van de dagvaarding omschreven onrechtmatig handelen, te staken en gestaakt te houden;
L.II. de betreffende Gedaagden beveelt om mee te werken aan beoordeling en controle van alle genomen maatregelen ter uitvoering van het bevel op grond van vordering L.I door een door de rechtbank aan te wijzen deskundige, zulks met opdracht aan de deskundige om binnen zes maanden na het in deze zaak te wijzen vonnis van zijn of haar bevindingen schriftelijk en gedetailleerd verslag te doen aan ICAM;
M. Immateriële schadevergoeding
M.I. Gedaagden hoofdelijk veroordeelt tot vergoeding van de immateriële schade van iedere Gedupeerde en die immateriële schade begroot op:
a. a) een bedrag van € 500,- (zegge: vijfhonderd euro) per Gedupeerde binnen Gedupeerden Categorie A;
b) een bedrag van € 1.500,- (zegge: vijftienhonderd euro) per Gedupeerde binnen Gedupeerden Categorie B;
te vermeerderen met de wettelijke rente vanaf de datum van het in deze zaak te wijzen vonnis tot aan de dag der algehele voldoening;
M.II. Gedaagden hoofdelijk veroordeelt tot vergoeding van de immateriële schade van iedere Gedupeerde en die immateriële schade begroot op een bedrag of bedragen door de rechtbank in goede justitie te bepalen, te vermeerderen met de wettelijke rente vanaf de datum van het in deze zaak te wijzen vonnis tot aan de dag der algehele voldoening;
M.III. bepaalt dat de door de Gedupeerden geleden immateriële schade nader zal worden opgemaakt bij staat en zal worden vereffend volgens de wet;
N. Materiële schadevergoeding
N.I. Gedaagden hoofdelijk veroordeelt tot vergoeding van de materiële schade van iedere Gedupeerde en die materiële schade begroot op een bedrag van € 50,- (zegge: vijftig euro) per Gedupeerde, te vermeerderen met de wettelijke rente vanaf de datum van het in deze zaak te wijzen vonnis tot aan de dag der algehele voldoening, met bepaling dat dit onverlet laat dat de Gedupeerden individueel gerechtigd zijn tot een hogere vergoeding voor materiële schade indien op enig moment blijkt dat die hoger is;
N.II. een bedrag of bedragen door de rechtbank in goede justitie te bepalen, te vermeerderen met de wettelijke rente vanaf de datum van het in deze zaak te wijzen vonnis tot aan de dag der algehele voldoening, met bepaling dat dit onverlet laat dat de Gedupeerden individueel gerechtigd zijn tot een hogere vergoeding voor materiële schade indien op enig moment blijkt dat die hoger is;
N.III. bepaalt dat de door de Gedupeerden geleden materiële schade nader zal worden opgemaakt bij staat en zal worden vereffend volgens de wet;
O.I. Gedaagden hoofdelijk veroordeelt tot vergoeding aan ICAM van:
a. a) de volledige door ICAM gemaakte buitengerechtelijke kosten;
b) de redelijke en evenredige gerechtskosten en andere kosten van ICAM, de nakosten daaronder begrepen, zulks op grond van artikel 1018l lid 2 Rv, althans artikel 237 Rv;
c) indien of voor zover dit niet onder sub b) valt, de volledige door ICAM aan de Financier op grond van de Financieringsovereenkomst te betalen vergoeding, zijnde 20% (zegge: twintig procent) van (enig gedeelte van) ieder geldbedrag, dan wel ieder op geld waardeerbaar goed, dat op grond van de vorderingen daadwerkelijk aan de Gedupeerden wordt toegekend, met een maximum van een bedrag ter hoogte van vijfmaal het volledige bedrag dat daadwerkelijk door de Financier is geïnvesteerd ter financiering van deze procedure, een en ander te vermeerderen met BTW indien van toepassing;
een en ander zoals nader te begroten op basis van door ICAM over te leggen informatie en te vermeerderen met de wettelijke rente vanaf de datum van het in deze zaak te wijzen vonnis tot aan de dag der algehele voldoening, zo nodig op te maken bij staat en te vereffenen volgens de wet;
d) de volledige kosten van ICAM die zij nog zal maken in verband met de uitvoering van het in deze zaak te wijzen vonnis en de afhandeling van de vaststelling en uitbetaling van de schadevergoeding en de begeleiding van en controle op dat proces, conform de in vordering P bedoelde wijze van schadeafwikkeling, te vermeerderen met BTW indien van toepassing, steeds halfjaarlijks vooraf te voldoen op basis van door ICAM vast te stellen redelijke voorschotbedragen en na afronding af te rekenen op basis van nacalculatie;
O.II. bepaalt dat ICAM de kosten zoals bedoeld in vordering O.I in mindering zal mogen brengen op de door of namens haar aan de Gedupeerden uit te betalen schadevergoedingen;
P.I. een door de rechtbank te benoemen deskundige op het vlak van de uitvoering en afhandeling van collectieve schadeafwikkeling opdracht te geven om in overleg met Gedaagden en ICAM tot de inning en verdeling van alle in deze procedure toegekende schadevergoedingen over te gaan;
P.II. Gedaagden hoofdelijk beveelt om binnen een maand na het in deze zaak te wijzen vonnis over te gaan tot voldoening van de bedragen bedoeld in vorderingen M en N op een door de deskundige daartoe specifiek in te richten kwaliteitsrekening;
P.III. Gedaagden beveelt volledig en onvoorwaardelijk medewerking te verlenen aan de schadeafwikkeling door de deskundige conform door de deskundige te geven instructies en aan de deskundige alle informatie te verschaffen die de deskundige relevant acht voor de uitvoering van zijn of haar taken in dat verband;
P.IV. Gedaagden hoofdelijk beveelt om de kosten die gemoeid zijn met de werkzaamheden van de deskundige, alsmede alle bijkomende kosten, te vermeerderen met BTW indien van toepassing, te vergoeden, steeds halfjaarlijks vooraf te voldoen op basis van de deskundige vast te stellen redelijke voorschotbedragen en na afronding af te rekenen op basis van nacalculatie;
P.V. bepaalt dat enig bedrag aan schadevergoeding dat na afhandeling van de schadeafwikkeling nog resteert en niet aan de Gedupeerden kan worden uitbetaald, door de deskundige zal worden uitgekeerd aan één of meer door ICAM aan te wijzen organisaties zonder winstoogmerk die actief zijn op het gebied van privacybescherming en beveiliging van persoonsgegevens;
P.VI. bepaalt dat de Gedupeerden die in aanmerking wensen te komen voor betaling van schadevergoeding, daarvoor dienen in te stemmen met een bindendadviesprocedure met betrekking tot de vaststelling door de deskundige van het recht op schadevergoeding en met betrekking tot de verdeling van de schadevergoeding, waarbij een door de rechtbank, na uitlating daarover door ICAM en Gedaagden, aan te wijzen onafhankelijke persoon met voldoende deskundigheid als bindend adviseur zal optreden;
P.VII. de collectieve schadeafwikkeling zodanig vorm te geven als de rechtbank geraden acht op basis van (een) door ICAM en/of Gedaagden op grond van artikel 1018i Rv over te leggen voorstel(len) voor een collectieve schadeafwikkeling;
Q.I. Gedaagden hoofdelijk beveelt een dwangsom te betalen van € 250.000,- (zegge: tweehonderdenvijftigduizend euro) voor iedere dag (een gedeelte van een dag als een gehele gerekend) dat zij geheel of gedeeltelijk in strijd handelen met de bevelen op grond van vordering J, L, P.II en/of P.III, met een maximum van € 100.000.000,- (zegge: honderd miljoen euro).
1.1.
Kern van deze zaak
1. Stichting ICAM behartigt de belangen van ruim 6,5 miljoen mensen van wie zeer privacygevoelige informatie blootgesteld is geweest aan diefstal. Het betreft persoonsgegevens uit de IT-systemen van de GGD’en, verzameld en gebruikt in verband met de bestrijding van corona. Stichting ICAM wordt actief gesteund door 133.691 Deelnemers. Zij willen meer zorgvuldigheid van de Nederlandse overheid bij de omgang met gevoelige informatie van burgers, opheldering over de exacte omvang en impact van het GGD-datalek en compensatie voor de schade die het datalek heeft veroorzaakt voor alle getroffenen.
2. Deze WAMCA-zaak betreft het grootste en ernstigste datalek in de Nederlandse geschiedenis, veroorzaakt door laakbaar handelen en nalaten door de Nederlandse overheid.
3. In januari 2021 werd bekend dat de IT-systemen die de GGD’en gebruiken in verband met corona, ernstige beveiligingsgebreken bevatten. Persoonsgegevens van zeker 6,5 miljoen mensen waren gedurende ten minste elf maanden onnodig en vermijdbaar toegankelijk voor ongeveer 35.000 in allerijl ingeschakelde tijdelijke GGD-medewerkers, waaronder veel nieuwe en extern ingehuurde krachten. De betreffende medewerkers kregen na een gebrekkige screening toegang tot veel meer gegevens dan nodig was voor hun werkzaamheden, waaronder naam en adresgegevens, telefoonnummers, e-mailadressen, BSN-nummers en gegevens over besmettingen en vaccinatiestatus, achterliggende medische klachten, werksituatie en nauwe contactpersonen.
4. De activiteiten van de GGD-medewerkers in de systemen werden niet afdoende gelogd en gemonitord. Zij konden daardoor ongemerkt omvangrijke databestanden met gevoelige persoonsgegevens van 6,5 miljoen Nederlanders inzien, kopiëren en downloaden.
5. Dat dit datalek heeft plaatsgevonden, staat tussen partijen niet ter discussie. Door de slechte beveiliging - in strijd met onder meer de AVG - zijn persoonsgegevens van een grote groep mensen op onrechtmatige wijze langdurig blootgesteld geweest aan diefstal. Hierdoor hebben de Gedupeerden de controle over hun persoonsgegevens verloren. Ze weten dat hun persoonsgegevens voor een zeer grote groep ongeautoriseerde personen toegankelijk zijn geweest; ze weten niet of ze daadwerkelijk gestolen zijn en verder misbruikt zijn of nog gaan worden. Internetcriminelen gebruiken persoonsgegevens voor identiteitsfraude, oplichting, phishing en intimidatie. Wanneer gegevens in handen komen van verkeerde partijen, brengt dat bovendien risico’s met zich mee van stigmatisering, uitsluiting en discriminatie. Te denken valt aan de situatie dat gegevens over onderliggende gezondheidsproblematiek – zoals een Hiv-besmetting – terechtkomen bij (potentiële) werkgevers, verzekeraars of buitenlandse regimes.
6. Ook staat niet ter discussie dat daadwerkelijk persoonsgegevens ontvreemd zijn en in het criminele circuit zijn beland: dat is het geval. Daarvoor zouden ook vier personen zijn veroordeeld (…). Voor zover tot nu toe door Gedaagden is erkend en meegedeeld, zou dat (slechts) een groep van circa 1.250 personen betreffen. Er zijn echter sterke aanwijzingen dat deze informatie onvolledig is en dat die groep personen beduidend groter is. De belangrijkste aanwijzing zijn de bevindingen van RTL Nieuws. RTL Nieuws heeft contact gehad met internetcriminelen, waarbij haar bestanden met gegevens zijn aangeboden van veel meer dan 1.250 personen (…):
‘De datadiefstal bij de GGD treft veel meer mensen dan het aantal gedupeerden dat de organisatie publiekelijk meldt. […] het daadwerkelijk aantal gedupeerden is echter veel groter, en de GGD heeft na maanden nog geen goed beeld van hoe groot de datadiefstal nu echt is, blijkt uit onderzoek van RTL Nieuws. […] RTL Nieuws heeft willekeurig verschillende mensen opgebeld van wie hun gegevens door criminelen te koop zijn aangeboden. Deze gegevens zijn afkomstig uit twee coronasystemen van de GGD: CoronIT, dat wordt gebruikt voor testen en vaccinaties, en HPZone Lite, het systeem dat wordt gebruikt voor het bron- en contactonderzoek. De personen zijn allemaal niet door de GGD geïnformeerd over dat hun gegevens uit de systemen van de GGD zijn gestolen en mogelijk verhandeld. […] De databestanden, met in totaal de privégegevens van zo’n 600 personen, waren volgens de aanbieders een voorproefje van de vele duizenden tot tienduizenden personen die konden worden geleverd.’
7. De impact van het datalek moet niet onderschat worden. Het betreft (i) veel Gedupeerden, (ii) bijzondere, gevoelige en veel persoonsgegevens, (iii) een schending van de wet door de overheid, die Gedupeerden bij uitstek zouden moeten kunnen vertrouwen en (iv) databases waarvan Gedupeerden de facto geen keuze hebben of ze erin willen staan of niet: het verstrekken van bijzondere persoonsgegevens aan de Gedaagden is onvermijdelijk, in ieder geval indien iemand getest of gevaccineerd wil worden.
8. Vanwege al deze factoren is het voor de Gedupeerden en voor de maatschappij in het algemeen van belang dat duidelijkheid wordt gegeven over wat er gebeurd is. Onder meer daartoe dient deze procedure. Stichting ICAM stelt met dit doel voor ogen een aantal incidentele vorderingen in (…).
9. De oorzaak van het GGD-datalek is dat de Gedaagden jarenlang onvoldoende hebben gedaan om hun IT-systemen goed te beveiligen. Zij hebben verzuimd om in de GGD-systemen ook maar de meest basale beveiligingsmaatregelen te nemen.
10. Stichting ICAM waardeert vanzelfsprekend de enorme inspanning die de rijksoverheid en de GGD’en in de bestrijding van de coronapandemie hebben geleverd. Ook heeft zij begrip voor het argument dat de corona-testcapaciteit op korte termijn moest worden uitgebreid en dat dit uitdagingen met zich meebracht, waaronder op het terrein van informatiebeveiliging. Dat alles neemt echter niet weg dat Gedaagden eerder, sneller en betere maatregelen hadden kunnen en behoren te nemen:
a. a) Paraat staan voor uitbraak van infectieziekten. De Staat c.s. hadden de GGD-systemen vooraf beter kunnen en behoren in te richten, zodat deze bestand waren geweest tegen een situatie zoals de coronapandemie. Het is immers niet zo dat een omvangrijke infectieziekte-uitbraak zoals de coronapandemie door de Staat c.s. niet had kunnen en zelfs was voorzien. De (betreffende afdelingen bij) de Gedaagden ontlenen hun bestaansrecht aan het bestrijden, niet alleen reactief, maar ook proactief, van dit type ziekten. Lang voordat de eerste coronabesmetting plaatsvond, wist men al dat de dag zou komen dat er een grote epidemie of pandemie zou uitbreken en dat de verouderde GGD-systemen dan niet geschikt en veilig zouden zijn. Het is de taak en verantwoordelijkheid van de Staat c.s. om daar binnen redelijke grenzen zo goed mogelijk op voorbereid te zijn. In een crisissituatie zoals de coronapandemie is het immers veel moeilijker om zaken in de hand te houden, terwijl het belang van goede informatiebeveiliging juist dan exponentieel toeneemt. Bovendien hadden alle landen ter wereld te maken met dezelfde crisis en voor zover Stichting ICAM bekend is het nergens zo fout gegaan als in Nederland;
b) Snellere oplossing van de beveiligingsgebreken. De Staat c.s. hadden het datalek sneller kunnen en behoren op te lossen. Het lek heeft onnodig lang bestaan, terwijl de Staat c.s. reeds lang op de hoogte waren van de risico’s en de potentiële gevolgen van de slechte beveiliging. De Staat c.s. zijn er meerdere malen op gewezen dat de persoonsgegevens van miljoenen mensen gevaar liepen. Ook toen namen zij nog geen toereikende maatregelen om de (wettelijk laakbare) gebreken te herstellen. In ieder geval had, toen de pandemie uitbrak, gelijktijdig óók de beveiliging van de bijzondere persoonsgegevens van de personen in de betreffende databases een belangrijk speerpunt moeten worden. De GGD-systemen zijn vanaf maart (HPZone) c.q. juni (CoronIT) 2020 ingezet. In de richtsnoeren die de European Data Protection Board uitvaardigde in april 2020 benadrukte de EDPB al het belang van gegevensbescherming bij het bestrijden van het coronavirus. In februari 2021 schreef KPMG in een advies aan GGD-koepelorganisatie GGD GHOR, op basis van onderzoek dat slechts twee dagen in beslag heeft genomen (…):
‘Gebruik van HPZone dient zo snel mogelijk te worden stopgezet. Met het huidige systeem en de genomen beheersmaatregelen kan geen, bij de persoonsgegevens passend, adequaat beveiligingsniveau worden bereikt.’
11. Pas in januari 2021, nadat RTL Nieuws haar eerste conclusies publiceerde, werden de ernstigste beveiligingsgebreken verholpen. De minister zei daarover in het Kamerdebat over het GGD-datalek het volgende (…):
‘Het is niet zo dat er niks is gebeurd, maar we hebben er onvoldoende aandacht voor gehad. […] Ik had daar zelf scherper bovenop moeten zitten. Dit lag - met alle veelheid van taken - niet bovenop de stapel, dat had wel gemoeten. Had het eerder gekund, had het eerder gemoeten? Ja.’
12. De Staat c.s. hebben onvoldoende gedaan en te laat ingegrepen. Zelfs nu nog schieten de Staat c.s. substantieel te kort in de beveiliging van persoonsgegevens van Nederlandse ingezetenen.
13. Er is naar de overtuiging van Stichting ICAM sprake geweest van bijzonder verwijtbaar handelen (hoewel dat voor het vaststellen van aansprakelijkheid in deze zaak geen vereiste is). Na het bekend worden van het datalek zijn wel maatregelen genomen om de beveiliging te verbeteren, maar van het werkelijk nemen van verantwoordelijkheid en van een zichtbare beleidsmatige en praktische wijziging in de aanpak en preventie van dit soort problemen is – ondanks de enorme impact op Betrokkenen - nog niets gebleken.
1.2
Belang en doel van deze zaak
14. Stichting ICAM is een artikel 3:305a-belangenorganisatie. Zij komt in deze procedure op voor de belangen van alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één of beide GGD-systemen ten tijde van het GGD-datalek (de Gedupeerden, zoals gedefinieerd in productie A.1). Deze groep personen valt uiteen in twee categorieën:
a. a) Personen waarvan onzeker is of hun persoonsgegevens als gevolg van het GGD-datalek zijn ontvreemd (Gedupeerden Categorie A, zoals gedefinieerd in productie A.1). Dit betrof in januari 2021 circa 6,5 miljoen personen. Dat het minder personen zijn kan in ieder geval niet aangetoond worden. Een deel van de vorderingen ziet erop om meer helderheid te verkrijgen over de omvang van het GGD-datalek;
b) Personen waarvan vaststaat of zal worden vastgesteld dat hun persoonsgegevens als gevolg van het GGD-datalek door ongeautoriseerde personen zijn ingezien of bij ongeautoriseerde personen in handen zijn gekomen (Gedupeerden Categorie B, zoals gedefinieerd in productie A.1).
15. De doelen die Stichting ICAM met deze procedure nastreeft zijn de volgende.
1.2.1
Helderheid over (de omvang en gevolgen van) het GGD-datalek
16. De Gedupeerden hebben belang bij transparantie over het GGD-datalek, de omvang daarvan en de (potentiële) gevolgen voor hun rechten en vrijheden. Momenteel is onduidelijk van hoeveel Betrokkenen daadwerkelijk gegevens zijn ontvreemd. De Staat c.s. geven daarover onduidelijke en onvolledige informatie en houden belangrijke stukken en informatie achter (…). Door de onduidelijke informatievoorziening verkeren miljoenen Gedupeerden in onzekerheid over de vraag of hun persoonsgegevens ontvreemd zijn of niet, of zelfs in de onterechte veronderstelling dat dat niet het geval is. Indien zij juist en volledig geïnformeerd worden over de kans dat hun gegevens in criminele handen terecht zijn gekomen, kunnen zij zich tegen eventueel misbruik van de gegevens beter wapenen. Wanneer duidelijk zou worden dat van bepaalde Gedupeerden daadwerkelijk uitgesloten kan worden dat hun persoonsgegevens zijn ontvreemd, neemt dat hun onzekerheid en daarmee een zware last weg.
17. De incidentele vorderingen sub 10.3 (onderzoek naar de omvang van het datalek), 10.4 (informeren van de Gedupeerden) en 10.5 (het beschikbaar houden van informatie) zijn gericht op dit belang.
1.2.2
Beëindiging van de inbreuk
18. De Gedupeerden hebben belang bij beëindiging van de inbreuk. Volgens de AP voldoen de Staat c.s. namelijk nog altijd niet aan hun (beveiligings)verplichtingen onder de AVG (…). De vorderingen sub 11.5 zien erop dat deze inbreuk wordt beëindigd.
1.2.3
Betere beveiliging van IT-systemen en persoonsgegevens door de overheid
19. De Gedupeerden hebben er belang bij dat de overheid ertoe wordt bewogen in zijn algemeenheid een hoger niveau van informatiebeveiliging na te streven. De door Stichting ICAM in deze zaak ingestelde collectieve schadevordering dient mede dit doel.
20. De Nederlandse overheid heeft de afgelopen jaren helaas telkenmale laten zien dat zij niet bereid of in staat is goed om te gaan met de persoonlijke levenssfeer van burgers en hen adequaat te beschermen tegen inbreuken op hun privacy en onrechtmatige verwerking van persoonsgegevens. Voormalig Tweede Kamerlid Verhoeven diende naar aanleiding van het GGD-datalek dan ook een motie in (…):
‘constaterende dat de overheid structureel tekortschiet op AVG-dataveiligheidsprincipes zoals privacy by design, dataminimalisatie, doelbinding en technische en organisatorische voorzieningen, alsmede audits en kwaliteitsnormen.’
21. Het is in deze tijd meer dan gerechtvaardigd om overheden, waaronder de Nederlandse overheid, te dwingen passende maatregelen te nemen om het fundamentele recht op gegevensbescherming te waarborgen. De prikkels die daartoe tot heden zijn ingezet zijn kennelijk niet afdoende. Helaas hebben toezichthouders, waaronder de Nederlandse AP, onvoldoende capaciteit om de AVG te handhaven. Daarnaast heeft de AP aangegeven het lastig te vinden om overheden te beboeten omdat die boetes uiteindelijk weer in de schatkist belanden. Ook naar aanleiding van het GGD-datalek heeft de AP niet handhavend opgetreden. Er is dan ook een publiek belang bij dat de overheid vanuit de maatschappij een sterk signaal krijgt dat zij beter zorg moet dragen voor de beveiliging van persoonsgegevens.
22. Daarbij is ook het gezichtspunt relevant dat burgers persoonsgegevens aan de overheid verstrekken in het vertrouwen dat zij daarmee zorgvuldig om zal gaan. Wanneer de overheid niet zorgvuldig met persoonsgegevens van haar burgers omgaat, bestaat het risico dat burgers de overheid gaan wantrouwen en niet langer bereid zijn gegevens te verstrekken, zoals in dit geval ten behoeve van het testen en vaccineren op corona. Uit representatief onderzoek door KPMG en Motivaction van oktober 2021 blijkt dat privacy-incidenten tijdens de coronacrisis het bewustzijn van Nederlanders hierover hebben vergroot en dat het GGD-datalek een grote impact heeft gehad (…):
‘Nederlanders zijn bezorgd over datalekken. Bijna twee derde (63%) is bang dat hierdoor persoonlijke gegevens op straat komen te liggen. Privacyincidenten tijdens de coronacrisis lijken het bewustzijn van de Nederlander te hebben vergroot. Zo blijkt 83% op de hoogte van het grote datalek bij de GGD, dat eind januari 2021 bekend werd. Het administratiesysteem voor het test- en vaccinatieproces en de communicatie hierover werd gehackt en ook werden persoonsgegevens rondom het bron- en contactonderzoek van de GGD buitgemaakt. Privégegevens van miljoenen Nederlanders kwamen hierdoor in handen van kwaadwillenden, die de data via internet doorverkochten.
De impact van dit lek op Nederlanders blijkt behoorlijk groot te zijn geweest’, stelt Stephan Idema , die bij KPMG leiding geeft aan het privacyteam. ‘Zo wilde één op de vijf ondervraagden (22%) zich door het GGD-lek minder snel laten testen op het coronavirus.’ Deze uitkomst sluit aan bij cijfers van het RIVM. Begin maart maakte het instituut bekend dat 35% van de Nederlanders zich bij klachten liet testen op corona. Begin januari was dat volgens het RIVM nog 50%. Idema : ‘Deze afname zien we dus terug in de groep van respondenten – één op de vijf – die aangaf dat ze na het GGD-lek minder snel een coronatest zouden doen.’
23. Bovendien heeft de overheid een belangrijke voorbeeldfunctie waar het gaat om naleving van de AVG en het voldoen aan beveiligingseisen. Als de overheid al zo laks omgaat met de regels, waarom zouden burgers en bedrijven zich daar dan wel aan houden?
24. Bij voorkeur zou Stichting ICAM een vordering instellen die de Staat c.s. verplicht tot het nemen van bepaalde, concreet omschreven verbeteringsmaatregelen. Waarschijnlijk zijn echter Stichting ICAM noch de rechter bevoegd of bij machte om voor te schrijven op welke wijze dat zou moeten gebeuren. Om die reden vordert Stichting ICAM dat niet. Zij meent echter dat toewijzing van een collectieve schadevergoedingsvordering mede het effect zal hebben dat de overheid beter informatiebeveiligingsbeleid implementeert. Naar de overtuiging van Stichting ICAM is civielrechtelijke handhaving middels een collectieve schadevordering een passend middel om verandering te bevorderen. Indien de Staat c.s. ook de (financiële) consequenties van hun optreden ondervinden, mag worden aangenomen dat zij zich ervoor zullen inzetten hun gedrag te verbeteren.
25. De vorderingen sub K (verklaringen voor recht), sub M (immateriële schade) en N (materiële schade) worden mede met het oog op voorgaand belang ingesteld.
1.2.4
Vergoeding van de schade van de Gedupeerden
26. Alle Gedupeerden van het GGD-datalek hebben schade geleden. Die dient te worden vergoed. Dat geldt voor zowel de Gedupeerden Categorie A als de Gedupeerden Categorie B. De Gedupeerden lijden immateriële schade doordat zij de controle over hun persoonsgegevens kwijt zijn. Dat levert bovendien reële gevoelens van onzekerheid, stress en angst op (…). Zij moeten continu waakzaam zijn. De Gedupeerden lijden materiële schade doordat zij, voor zover mogelijk, persoonsgegevens moeten (laten) aanpassen en continu moeten controleren of hun gegevens door criminelen niet gebruikt worden om bijvoorbeeld bankgegevens te wijzigen of bestellingen te doen op hun naam (…).
27. Ten aanzien van de Gedupeerden Categorie B is niet veel discussie denkbaar dat zij schade hebben geleden: hun gegevens zijn gestolen.
28. Ten aanzien van Gedupeerden Categorie A is een meer principiële discussie denkbaar. Die discussie gaat over de vraag of het feit dat persoonsgegevens zijn gelekt en blootgesteld zijn geweest aan diefstal, reeds schade bij die Gedupeerden veroorzaakt of kan veroorzaken.
29. Stichting ICAM meent van wel. De Gedupeerden Categorie A verkeren immers in onzekerheid over wat er met hun persoonsgegevens is gebeurd of zal gebeuren en of hun gegevens wel of niet gestolen zijn. Doordat de Staat c.s. onvoldoende controlemechanismen hadden geïmplementeerd (…), kunnen zij van geen enkele Gedupeerde uitsluiten dat gegevens zijn gestolen. Feit is dat het datalek en de wetenschap daarvan gevoelens van gemis aan controle en risico op feitelijk misbruik teweeg brengen. Dat is schade, ook als er geen materiële schade wordt toegebracht. Zeker bij een zo ernstig datalek als het GGD-datalek.
30. Een andere opvatting zou ook tot onaanvaardbare gevolgen leiden. Karakteristiek voor schendingen van de AVG is dat ze primair niet tot schade aan zaken leiden, maar tot onjuist behandelen van gegevens. Inherent daaraan is vervolgens dat in veel gevallen (i) niet komt vast te staan of dat tot concrete gevolgen heeft geleid of op enig moment zal leiden, en (ii) als dat wel zo is, causaal verband moeilijk kan worden aangetoond, omdat dezelfde persoonsgegevens ook buit kunnen zijn gemaakt via bijvoorbeeld een ander datalek. De Gedaagden hebben dit verweer ook al gevoerd (…).
31. Anders gezegd: voor een Gedupeerde is het vaak onmogelijk om aan te tonen dat een schending van de AVG tot een concreet aan te wijzen gevolg heeft geleid, anders dan de blootstelling of de diefstal zelf. Indien die blootstelling of diefstal geen recht zou geven op schadevergoeding, wordt het recht op schadevergoeding voor AVG-schendingen vrijwel illusoir en daarmee ook de civielrechtelijke handhaving van die normen. Dat is ongewenst. Het heeft bovendien een breder maatschappelijk gevolg, namelijk dat de goede werking van de AVG onaanvaardbaar zal afnemen. Indien schending van de AVG financieel geen of vrijwel geen gevolgen heeft, zal de prikkel om de AVG na te leven bijzonder laag worden.
32. Wil de AVG doeltreffende waarborgen bieden tegen flagrante schendingen, dan dient deze zodanig te worden uitgelegd dat toekenning van immateriële schadevergoeding de norm is bij ernstige schendingen zoals het GGD-datalek.
33. Er is over dit onderwerp momenteel een aantal procedures aanhangig bij het HvJEU. Stichting ICAM zal deze zaken bespreken in paragraaf 5.2.1.4.
34. De vorderingen sub M (immateriële schade) en N (materiële schade) zijn gericht op beantwoording van voormelde principiële vragen en het verkrijgen van de bedoelde schadevergoeding.