Het Bevolkingsonderzoek datalek: waarom schade zo moeilijk aantoonbaar is

In dit artikel:

Bij het Rijswijkse laboratorium Clinical Diagnostics zijn recent grote hoeveelheden persoonsgegevens van bijna 500.000 Nederlanders buitgemaakt; naar schatting zo’n 300 GB aan data, waaronder burgerservicenummers, medische uitslagen (zoals penis- en borstonderzoeken) en contactgegevens. Een deel van de data (ongeveer 100 MB) zou op het darkweb zijn verschenen, terwijl de hackers later zeggen alles te hebben verwijderd. Advocate Stephan Mulders (Blenheim), gespecialiseerd in privacyrecht, licht toe welke schade slachtoffers juridisch kunnen verhalen en waarom dat in de praktijk lastig is.

Wat er juridisch speelt
- AVG (GDPR) verplicht niet tot nul risico, maar wel tot “passende” beveiligingsmaatregelen na een risicoanalyse. Het laboratorium moet kunnen aantonen dat zo’n afweging en maatregelen hebben plaatsgevonden; een datalek op zich bewijst nog geen overtreding.
- Mulders gaat er in zijn analyse van uit dat de beveiliging tekortschiet en er dus een AVG‑inbreuk is.

Schade onder Nederlands recht
- Onder het Nederlandse aansprakelijkheidsrecht moet schade causaal verbonden zijn aan de overtreding. Dat is bij datalekken moeilijk aan te tonen: persoonsgegevens kunnen jarenlang relevant blijven en misbruik kan pas later optreden; aantonen wát er precies onrechtmatig is gebruikt is vaak onmogelijk.
- Persoonlijkheidsschade (bijvoorbeeld aantasting van fundamentele rechten) wordt door Nederlandse rechters alleen in extreem ernstige gevallen toegekend; voor dit datalek is dat naar verwachting onvoldoende bewijs.

Wat Europees recht anders bepaalt
- Het Europees Hof van Justitie hanteert een autonoom en ruimer schadebegrip. Volgens Europese jurisprudentie moeten alle vormen van schade vergoed kunnen worden, ook immateriële vormen die voortkomen uit verlies van privacy of controle.
- Recent erkende het Hof ook “angstschade”: vergoeding voor gegronde vrees dat gestolen gegevens in de toekomst misbruikt zullen worden. Die vrees moet concreet en aannemelijk zijn. In deze zaak is die vrees plausibel gezien de aard van de gegevens (BSN, medische informatie) en het feit dat ze in verkeerde handen kwamen.
- Het Hof heeft ook verlies van controle als schade gezien en rechterlijke uitspraken kennen daarvoor eerder bedragen toe.

Begroting en praktische problemen
- Nationale rechters moeten de hoogte van immateriële schade bepalen; in Nederland zijn vergelijkbare vergoedingen eerder tussen ongeveer €250 en €2.500 vastgesteld.
- Bij massa‑claims lopen de bedragen snel op: bij €250 per persoon zou de totale eis rond de €125 miljoen liggen, terwijl het lab volgens jaarcijfers een negatief eigen vermogen en verlies heeft — waardoor daadwerkelijke uitbetaling problematisch kan zijn, tenzij er dekking via verzekeringen is.
- De bewijslast blijft een knelpunt: slachtoffers moeten aantonen wélke schade is geleden en dat die direct door de inbreuk komt.

Waarom een nieuw schadebegrip nodig is
Mulders betoogt dat het oude schadebegrip niet goed past bij digitale persoonsgegevens: data zijn gemakkelijk te kopiëren, blijven lang bruikbaar en misbruik laat zich vaak pas later en onzichtbaar merken. Een breder Europees begrip van schade en vergoeding kan prikkels geven aan organisaties om de kosten van zorgvuldigheid en beveiliging te internaliseren: wie gevoelige gegevens verwerkt, zou zwaarder financieel verantwoordelijk gehouden moeten worden wanneer het misgaat.

Kortom: het lek bij Clinical Diagnostics laat zien dat slachtoffers van grootschalige datadiefstal juridische aanknopingspunten hebben op Europees niveau (privacy‑schade, verlies van controle, angstschade), maar dat praktische bewijsproblemen, beperkte nationale vergoedingen en financiële draagkracht van de verantwoordelijke partijen grote belemmeringen vormen voor effectieve compensatie.