In deze zaak is aan werkneemster een bedrag van EUR 250,- toegekend voor immateriële schade die zij heeft geleden als gevolg van het onrechtmatig delen van haar eerdere ziektegegevens door het UWV met haar nieuwe werkgever.
De betrokken werkneemster was door haar voormalig werkgever ziekgemeld bij het UWV, maar tijdens haar tweede ziektejaar in dienst getreden bij een andere werkgever op basis van een jaarcontract. Het UWV was echter nooit op de hoogte gesteld van het feit dat zij niet langer ziek was, met als gevolg dat er na 88 weken ziekte een automatisch gegenereerde brief naar de nieuwe werkgever van werkneemster werd gestuurd, waarin de nieuwe werkgever (die niet op de hoogte was van de eerdere ziekte van de werkneemster) werd geïnformeerd dat de werkneemster bijna in aanmerking zou komen voor een WIA-uitkering.
Hoewel de brief niet expliciet de aard van de ziekte van de werkneemster vermeldde, achtte de rechtbank de daarin verstrekte informatie toch van gevoelige aard, nu deze informatie over de (voormalige) gezondheidstoestand van de werkneemster bevatte. Op grond van de Nederlandse arbeids- en gegevensbeschermingswetgeving zijn werknemers in beginsel niet verplicht om gezondheidsinformatie of medische informatie te verstrekken aan hun (nieuwe) werkgevers. De brief leverde dus een inbreuk op de bescherming van persoonsgegevens van werkneemster op (een datalek), nu haar persoonsgegevens door verzending van de brief onrechtmatig ter beschikking waren gesteld aan haar nieuwe werkgever, met mogelijke nadelige gevolgen. De nieuwe werkgever ontving de brief namelijk rond het tijdstip waarop er een beslissing moest worden genomen over een verlenging van de arbeidsovereenkomst met werkneemster, wat bij haar resulteerde in gevoelens van stress en angst. Hoewel de arbeidsovereenkomst alsnog door haar nieuwe werkgever werd verlengd, was de rechter van oordeel dat de werkneemster door deze gang van zaken reële immateriële schade had geleden en kende haar daarom een vergoeding van EUR 250,- toe. Daartoe overweeg de rechtbank het volgende:
- Het datalek was te wijten aan een fout van het UWV, aangezien de brief via een geautomatiseerd systeem werd verstuurd zonder een (inhoudelijke) controle op de rechtmatigheid of opportuniteit van de verzending daarvan;
- Door het datalek heeft het UWV de controle van werkneemster over haar persoonsgegevens aangetast, omdat haar persoonsgegevens daardoor zonder haar intentie of toestemming door het UWV aan haar nieuwe werkgever zijn verstrekt;
- Het datalek leverde een reëel risico voor de werkneemster op, omdat de onrechtmatige mededeling een negatieve invloed kon hebben op de beslissing van haar werkgever om het dienstverband met werkneemster voort te zetten;
- Vanaf het moment dat het datalek plaatsvond tot het moment dat de nieuwe werkgever besloot haar dienstverband voort te zetten heeft de werkneemster reële schade geleden omdat het datalek angst en stress bij haar veroorzaakte;
- De werkneemster heeft bij de rechter een schadevergoeding van EUR 500,- gevorderd, maar slechts de helft daarvan is door de rechter toegekend. De rechter was namelijk van oordeel dat er door het datalek weliswaar een substantieel risico voor de werkneemster was ontstaan, maar dat dit risico zich niet heeft gerealiseerd omdat haar arbeidsovereenkomst is verlengd en de door haar geleden schade derhalve beperkt is gebleven.
Hoewel EUR 250,- misschien niet substantieel lijkt, kunnen de gevolgen van dit vonnis toch aanzienlijk zijn. In de eerste plaats omdat de rechter het eerder, door de rechtbank Overijssel, ingenomen standpunt voortzet dat een inbreuk op het recht op bescherming van persoonsgegevens inderdaad kan worden beschouwd als een inbreuk op een fundamenteel recht, wat kan leiden tot toekenning van een vergoeding voor geleden immateriële schade. Ten tweede kan deze zaak bijkomende implicaties hebben voor het UWV, omdat het UWV al is onderworpen aan een last onder dwangsom van de Autoriteit Persoonsgegevens om haar beveiligingsmaatregelen ten aanzien van gezondheidsgegevens op orde te brengen. De kwestie die in deze zaak aan de orde was, komt zeer dicht in de buurt van de problemen op het gebied van gegevensbescherming die al binnen het UWV zijn vastgesteld en kan aanleiding geven tot aanvullende handhavingsmaatregelen van de Autoriteit Persoonsgegevens. Tot slot zou deze uitspraak ook als startpunt kunnen worden beschouwd en mogelijk als precedent kunnen dienen voor verdere claims, of mogelijk, collectieve acties (tot schadevergoeding) in de toekomst. We zullen de ontwikkelingen op dit gebied nauwlettend blijven volgen, blijf op de hoogte!
Voor meer informatie over claims op grond van de wetgeving inzake gegevensbescherming of gegevensbescherming in het algemeen kunt u contact opnemen met het Loyens & Loeffs Privacy & Data Protection Team.