ECLI:NL:RBAMS:2024:4264

Uitspraak

vonnis

RECHTBANK AMSTERDAM

afdeling privaatrecht

zaaknummer / rolnummer: C/13/731682 / HA ZA 23-329

Vonnis van 17 juli 2024

in de zaak van

de stichting

STICHTING INITIATIEVEN COLLECTIEVE ACTIES MASSASCHADE ICAM,

gevestigd te Amsterdam,

eiseres in de hoofdzaak, eiseres in het (deels voorwaardelijke) incident,

advocaat mr. D.M. Linders te Amsterdam,

tegen

1. de publiekrechtelijke rechtspersoon

STAAT DER NEDERLANDEN (Ministerie van Volksgezondheid, Welzijn en Sport),

zetelend te Den Haag,

gedaagde in de hoofdzaak, gedaagde in het (deels voorwaardelijke) incident,

advocaat mr. G.J. Zwenne te Den Haag,

2. de vereniging

PUBLIEKE GEZONDHEID EN VEILIGHEID NEDERLAND,

gevestigd te Utrecht,

3. de stichting

STICHTING PROJECTENBUREAU PUBLIEKE GEZONDHEID EN VEILIGHEID NEDERLAND,

gevestigd te Utrecht,

4. de stichting

STICHTING VERENIGINGSBUREAU PUBLIEKE GEZONDHEID EN VEILIGHEID NEDERLAND,

gevestigd te Utrecht,

5. de stichting

STICHTING LANDELIJKE COÖRDINATIE COVID-19 BESTRIJDING,

gevestigd te Utrecht,

gedaagden in de hoofdzaak, gedaagden in het (deels voorwaardelijke) incident,

advocaat mr. E.P.M. Thole te Amsterdam,

6. de publiekrechtelijke rechtspersoon

GEMEENTELIJKE GEZONDHEIDSDIENST (GGD) AMSTERDAM-AMSTELLAND,

zetelend te Amsterdam,

7. de publiekrechtelijke rechtspersoon

GGD BRABANT-ZUIDOOST,

zetelend te Eindhoven,

8. de publiekrechtelijke rechtspersoon

DIENST GEZONDHEID & JEUGD ZUID-HOLLAND ZUID,

zetelend te Dordrecht,

9. de publiekrechtelijke rechtspersoon

GGD DRENTHE,

zetelend te Assen,

10. de publiekrechtelijke rechtspersoon

GGD FLEVOLAND,

zetelend te Lelystad,

11. de publiekrechtelijke rechtspersoon

VEILIGHEIDSREGIO FRYSLÂN,

zetelend te Leeuwarden,

12. de publiekrechtelijke rechtspersoon

VEILIGHEIDS- EN GEZONDHEIDSREGIO GELDERLAND-MIDDEN (VGGM),

zetelend te Arnhem,

13. de publiekrechtelijke rechtspersoon

GGD GELDERLAND-ZUID,

zetelend te Nijmegen,

14. de publiekrechtelijke rechtspersoon

GGD GOOI & VECHTSTREEK,

zetelend te Bussum,

15. de publiekrechtelijke rechtspersoon

GGD GRONINGEN,

zetelend te Groningen,

16. de publiekrechtelijke rechtspersoon

GEMEENSCHAPPELIJKE REGELING GEMEENTELIJKE GEZONDHEIDSDIENST EN VEILIG THUIS HAAGLANDEN,

zetelend te Den Haag,

17. de publiekrechtelijke rechtspersoon

GGD HART VOOR BRABANT,

zetelend te 's-Hertogenbosch,

18. de publiekrechtelijke rechtspersoon

REGIONALE DIENST OPENBARE GEZONDHEIDZORG HOLLANDS MIDDEN,

zetelend te Leiden,

19. de publiekrechtelijke rechtspersoon

GEMEENTELIJKE GEZONDHEIDSDIENST HOLLANDS NOORDEN,

zetelend te Alkmaar,

20. de publiekrechtelijke rechtspersoon

GGD IJSSELLAND,

zetelend te Zwolle,

21. de publiekrechtelijke rechtspersoon

VEILIGHEIDSREGIO KENNEMERLAND,

zetelend te Haarlem,

22. de publiekrechtelijke rechtspersoon

VEILIGHEIDSREGIO LIMBURG-NOORD,

zetelend te Venlo,

23. de publiekrechtelijke rechtspersoon

GGD NOORD- EN OOST-GELDERLAND,

zetelend te Apeldoorn,

24. de publiekrechtelijke rechtspersoon

GGD REGIO UTRECHT,

zetelend te Zeist,

25. de publiekrechtelijke rechtspersoon

GGD ROTTERDAM-RIJNMOND,

zetelend te Rotterdam,

26. de publiekrechtelijke rechtspersoon

SAMENTWENTE,

zetelend te Enschede,

27. de publiekrechtelijke rechtspersoon

GGD WEST-BRABANT,

zetelend te Breda,

28. de publiekrechtelijke rechtspersoon

GGD ZAANSTREEK-WATERLAND,

zetelend te Zaandam,

29. de publiekrechtelijke rechtspersoon

GEMEENTELIJKE GEZONDHEIDSDIENST ZEELAND,

zetelend te Goes,

30. de publiekrechtelijke rechtspersoon

GEMEENTELIJKE GEZONDHEIDSDIENST ZUID-LIMBURG,

zetelend te Heerlen,

31. de publiekrechtelijke rechtspersoon

VEILIGHEIDSREGIO AMSTERDAM-AMSTELLAND,

zetelend te Amsterdam,

32. de publiekrechtelijke rechtspersoon

VEILIGHEIDSREGIO ROTTERDAM-RIJNMOND,

zetelend te Rotterdam,

33. de publiekrechtelijke rechtspersoon

GEMEENTE AMSTERDAM,

zetelend te Amsterdam,

34. de publiekrechtelijke rechtspersoon

GEMEENTE ROTTERDAM,

zetelend te Rotterdam,

gedaagden in de hoofdzaak, gedaagden in het (deels voorwaardelijke) incident,

advocaat mr. B.J.P.G. Roozendaal te Breda.

Eiseres zal hierna ICAM genoemd worden. Gedaagde sub 1 zal hierna de Staat genoemd worden. Gedaagden sub 2 tot en met 5 zullen hierna gezamenlijk GGD GHOR genoemd worden. Gedaagden sub 6 tot en met 34 zullen hierna gezamenlijk de GGD’en c.s. genoemd worden.

Opgemerkt zij dat ICAM gedaagden gezamenlijk in haar processtukken aanduidt als Gedaagden maar ook wel als de Staat c.s.

1.De procedure

1.1.

Het verloop van de procedure blijkt uit:

- de gelijkluidende dagvaardingen van 28 maart 2023;

- de akte overlegging producties, met producties A.1 tot en met K.26;

- de conclusie van antwoord, met producties, van de Staat;

- de conclusie van antwoord op grond van artikel 1018c lid 5 Rv t.a.v. niet-ontvankelijkheid, met productie 1, van GGD GHOR;

- de conclusie van antwoord ex artikel 1018c lid 5 Rv, met producties 1 en 2, van de GGD’en c.s.;

- het tussenvonnis van 20 december 2023;

- de rolbeslissing van 7 februari 2024;

- de akte uitlating ontvankelijkheid tevens houdende producties, met producties K.27 tot en met K.29, van ICAM;

- de antwoordakte tevens houdende productie, met een productie, van de Staat;

- de mededeling van GGD GHOR, bij e-mailbericht van 8 april 2024 van haar advocaat, dat zij afziet van een antwoordakte;

- de mededeling van de GGD’en c.s., bij e-mailbericht van 2 april 2024 van hun advocaat, dat zij afzien van een antwoordakte;

- het proces-verbaal van mondelinge behandeling van 22 april 2024 en de daarin vermelde stukken.

1.2.

Ten slotte is vonnis bepaald.

2.De zaak in het kort

2.1.

Deze zaak gaat over de persoonsgegevens van de personen die zich tijdens de coronapandemie door de GGD’en hebben laten testen en/of vaccineren en over de persoonsgegevens van personen naar wie door de GGD’en tijdens de coronapandemie een bron- en contactonderzoek is ingesteld.

2.2.

Vaststaat dat er medewerkers van de GGD’en zijn geweest die toegang hadden tot de IT-systemen en die persoonsgegevens ter beschikking hebben gesteld van derden. Dit wordt wel aangeduid als het coronadatalek.

2.3.

ICAM heeft ten behoeve van de hiervoor onder 2.1 bedoelde personen vorderingen ingesteld tegen een aantal gedaagden, onder wie de GGD’en. ICAM wil onder meer dat de gedaagden worden veroordeeld tot het betalen van schadevergoeding, niet alleen aan de personen van wie vast staat dat hun persoonsgegevens aan derden zijn verstrekt, maar ook aan iedereen die moet vrezen dat zijn persoonsgegevens in verkeerde handen zijn gevallen. En dat geldt volgens ICAM voor iedereen die gegevens aan een GGD heeft verstrekt.

2.4.

De wet stelt een aantal formele vereisten aan ICAM en de door haar ingestelde vorderingen. In dit vonnis gaat de rechtbank na of aan deze vereisten is voldaan.

2.5.

De rechtbank acht ICAM ontvankelijk, maar niet tegen alle gedaagden, want een aantal gedaagden heeft in het coronadatalek geen rol gespeeld.
De vorderingen tot schadevergoeding zijn niet ontvankelijk. Schadevergoeding wegens de vrees dat gegevens in verkeerde handen zouden kunnen komen, zonder dat vast staat dat dit het geval is, is volgens Europese rechtspraak niet mogelijk. Voor de gevallen waarin wel vaststaat dat de gegevens in verkeerde handen zijn gekomen geldt dat de GGD’en een financiële tegemoetkoming hebben aangeboden, die door de meeste benadeelden is geaccepteerd, waarmee zij afstand hebben gedaan van een vordering tot schadevergoeding. Er blijft slechts een beperkte groep van benadeelden over. ICAM heeft niet aannemelijk kunnen maken dat zij voor die groep representatief is. Ook in haar vordering tot schadevergoeding voor deze groep is ICAM daarom niet ontvankelijk.

Er zal nu wel verder worden geprocedeerd over de overige vorderingen. Daarover wil de rechtbank eerst meer informatie.

3.De in dit stadium vaststaande en relevante feiten

In de hoofdzaak en in het (deels voorwaardelijke) incident

3.1.

Op 28 januari 2021 stond op www.ggdghor.nl:

Veelgestelde vragen en antwoorden over datadiefstal

Laatste update: 28 januari 2021

Hier vindt u veelgestelde vragen en de antwoorden over de datadiefstal die recent heeft plaatsgevonden. We vullen deze vragen steeds aan met de laatste informatie die wij hebben. (…).

We kunnen ons voorstellen dat de datadiefstal vragen oproept en mogelijk uw vertrouwen schaadt. Dit vinden wij heel erg. We willen u zo goed mogelijk informeren en daarom vullen wij deze veelgestelde vragen steeds aan met nieuwe informatie.

Er loopt op dit moment een politieonderzoek, waardoor we nog niet precies weten hoe groot de datadiefstal is. Ook mogen we bepaalde details nog niet delen, omdat dit mogelijk het onderzoek in gevaar brengt.

(…)

Top 3 meest gestelde vragen

Wat is er precies gebeurd?

Er zijn persoonsgegevens gestolen. Deze gegevens gaan over het testen op corona en mogelijk het bron- en contactonderzoek en bevatten onder andere naam, adres, BSN, testuitslag en testlocatie. Of de gegevens ook zijn verkocht en om wiens gegevens het gaat, maakt deel uit van het politieonderzoek. Meer informatie is te vinden op de site van de politie.

Zijn mijn gegevens gestolen?

Dat kunnen wij nu nog niet zeggen. Dit maakt onderdeel uit van het politieonderzoek. Op het moment dat vast komt te staan dat uw gegevens gestolen zijn, dan is het onze plicht u daarover te informeren en dat zullen wij dan ook doen.

Wat zijn de mogelijke gevolgen? Welk risico loop ik als criminelen mijn persoonsgegevens hebben? En waarop moet ik letten?

De website van de politie beschrijft de mogelijke gevolgen goed:

• U loopt het risico slachtoffer te worden van oplichting. Criminelen bellen of mailen u bijvoorbeeld – zogenaamd uit naam van een voor uw geloofwaardige instantie zoals uw bank – en winnen uw vertrouwen omdat ze al veel over u weten (zoals uw geboortedatum of woonadres). Voordat u het weet, heeft u een betaling voor iets gedaan – maar feitelijk op een phishinglink geklikt. (…).

• Een ander risico is identiteitsfraude. De fraudeur gebruikt uw persoonsgegevens bijvoorbeeld om producten en diensten te krijgen op uw naam. Of om een bankrekening te openen of een creditcard aan te vragen. (…).

(…)

Vragen over de datadiefstal

Hoe is deze situatie bekend geraakt bij GGD GHOR Nederland?

Via een tip van een journalist van RTL afgelopen vrijdag.

Wat hebben jullie gedaan na deze tip?

We hebben meteen contact opgenomen met de politie, aangifte gedaan en een melding gedaan bij de Autoriteit Persoonsgegevens. Vervolgens hebben wij controles uitgevoerd in onze systemen én volledige toegang gegeven aan de politie tot onze systemen om de opsporing zo goed mogelijk plaats te kunnen laten vinden.

Vragen (beveiliging) persoonlijke gegevens

Staan de gegevens van alle Nederlanders in jullie systemen?

Nee, in onze systemen staan alleen de gegevens van mensen die de afgelopen tijd met de GGD te maken hebben gehad voor een testafspraak, bron- en contactonderzoek of een vaccinatie.

Welke informatie leggen jullie van mensen vast?

Wij leggen persoonsgegevens vast zoals naam, adres, woonplaats, telefoonnummer/e-mailadres, BSN, geslacht en geboortedatum. Daarnaast, afhankelijk van het contact, ook test- en/of vaccineerafspraken en testresultaten. Is er sprake van een bron en contactonderzoek, dan wordt daarin ook de informatie uit de bron- en contactonderzoek gesprekken vastgelegd (in HPZone). Dit is onder andere: noodzakelijke medische gegevens (bijvoorbeeld klachten/symptomen en huisarts), waar iemand is geweest en met wie hij/zij in contact is geweest. Ook wordt informatie vastgelegd van bron(nen) en nauwe contacten. Deze informatie is beperkt.

Hebben evenveel mensen toegang tot mijn gegevens bij vaccineren?

De medische gegevens die bij vaccinaties worden vastgelegd zijn afgeschermd en niet zichtbaar voor medewerkers die zich met testen bezighouden. Omdat iedereen maar één dossier heeft en iedereen zich ook kan laten testen zijn persoonsgegevens wel in te zien.

Welke maatregelen hebben jullie om misbruik te voorkomen?

Dat zijn er verschillende:

1. We hebben controle aan de poort. Mensen moeten een Verklaring Omtrent het Gedrag (VOG) aanleveren en een geheimhoudingsverklaring ondertekenen. Daarmee is duidelijk dat ze aansprakelijk zijn op het moment dat zij zich niet aan de voorwaarden van de overeenkomst houden.

2. Daarnaast zijn privacy en geheimhouding doorlopend onderwerp van onze trainingen en gesprekken.

3. Wij controleren sinds de start het gebruik van onze systemen door de medewerkers, en hebben onze controles steeds verder verbeterd en doen dat nog steeds. Vanwege het belang van de virusbestrijding en de gevraagde snelheid zijn wij – op diverse manieren – met steeksproefsgewijze controles van start gegaan. Over dit uitgangspunt zijn wij altijd transparant geweest. De Autoriteit Persoonsgegevens heeft tot nu toe geen aanvullende vragen gesteld over de werkwijze.

4. Alleen mensen die voor hun werk noodzakelijk toegang moeten hebben tot een persoonsdossier, mogen dit dossier inzien. Hierop controleren we zoals gezegd steeksproefsgewijs. Bij verboden toegang volgt ontslag en indien nodig aangifte.

5. Daarnaast schalen we de monitoring van het gebruik van onze systemen verder op. We verwachten eind maart systemen te implementeren die automatisch en continu zullen controleren. Hier werken wij al geruime tijd aan.

Hoe controleren jullie zelf hoe medewerkers omgaan met de persoonsinformatie?

Wij controleren op verschillende manieren hoe onze medewerkers omgaan met de informatie in onze systemen. En dat heeft eerder geleid tot de ontdekking van onregelmatigheden en tot het nemen van maatregelen. Daarnaast beschermen we ons tegen aanvallen op onze systemen van buiten. Wij verwerken grote volumes gegevens, en deze actie is in onze controles niet naar voren gekomen.

Welke nieuwe maatregelen nemen jullie?

Er zijn verschillende maatregelen genomen om uw gegevens beter te beschermen en de kans op diefstal te verkleinen. Wat deze maatregelen zijn, kunnen wij u nog niet vertellen in het belang van het politie onderzoek.

Vragen over systemen

Om welke systemen gaat het?

Het gaat om CoronIT. Dit is het administratiesysteem voor het test- en vaccinatieproces en de communicatie hierover. Dus als je een afspraak maakt voor een coronatest via het callcenter, de coronatest website of een arts, komen je persoonsgegevens in CoronIT. Ook als je een afspraak maakt voor een vaccinatie.

Daarnaast lijkt er ook sprake te zijn van HPZone. HPZone is een elektronisch dossier wat de GGD’en gebruiken om het bron- en contactonderzoek uit te voeren. Als iemand een positieve testuitslag heeft en deze gemeld wordt bij de GGD, dan wordt een dossier van deze persoon in HPZone aangemaakt.

Wat doen medewerkers in de systemen?

Medewerkers van het callcenter (inbound – die gebeld worden) kunnen via CoronIT testafspraken en vaccinatieafspraken maken. Verder kunnen de (outbound – die mensen bellen) callagents de testuitslagen zien, aangezien zij mensen, zonder DigiD, bellen met hun testuitslag.

Bron- en contactonderzoekers leggen alle gegevens rondom een besmetting vast in HP-zone.

3.2.

Bij brief van 8 november 2021 heeft de Autoriteit Persoonsgegevens (hierna: de AP), voor zover hier van belang, aan GGD GHOR geschreven:

Naar aanleiding van het op 22 januari 2021 door GGD GHOR Nederland (hierna: GGD GHOR), mede namens de regionale GGD’en aan de Autoriteit Persoonsgegevens (hierna: AP) gemelde datalek, de zorgwekkende berichtgeving in de media over de diefstal van en handel in persoonsgegevens afkomstig uit de systemen van GGD GHOR en de GGD’en alsmede de vele bezorgde signalen die de AP hierover vervolgens ontving, heeft de AP aangekondigd het toezicht op de GGD te intensiveren en in dat kader onderzoek te doen. De AP heeft onderzocht of door GGD GHOR en twee onderzochte GGD’en passende technische en organisatorische maatregelen zijn getroffen om de persoonsgegevens die worden verwerkt in het kader van testen, vaccineren en bron- en contractonderzoek in verband met de coronapandemie passend te beveiligen. Met deze eindbrief informeert de AP u over de bevindingen van het onderzoek.

De AP is zich ervan bewust dat met het uitbreken van de pandemie de GGD’en en GGD GHOR voor een enorme opgave werden gesteld. Zij kregen de opdracht in zeer korte tijd zorg te dragen voor het op grote schaal testen van personen, het uitvoeren van bron- en contactonderzoek en het vaccineren van personen. De werkzaamheden om dit te realiseren werden onder grote tijdsdruk verricht.

Tegelijkertijd geldt dat van een uitzonderlijk grote groep burgers in dit verband bijzondere persoonsgegevens betreffende hun gezondheid werden en worden verwerkt en dat een grote groep, veelal speciaal voor dit doel aangetrokken, tijdelijke medewerkers hiertoe toegang hebben. Het treffen van technische en organisatorische maatregelen die zijn afgestemd op de hiermee gepaard gaande risico’s voor de persoonsgegevens is dan ook van zeer groot belang. De bereidheid van burgers om zich te laten testen en vaccineren of medewerking te verlenen aan bron- en contactonderzoek hangt immers ook samen met het vertrouwen in de wijze waarop in dat kader persoonsgegevens van burgers worden verwerkt en beveiligd. Mede hierom besloot de AP onderzoek te doen.

Conclusie

De AP constateert dat een aantal aangekondigde verbetermaatregelen zijn getroffen waardoor het risico op datalekken is verminderd. Wel ziet de AP nog wezenlijke risico’s voor de beveiliging van persoonsgegevens die aanvullende verbetermaatregelen vereisen. Het gaat hier in het bijzonder om risico’s die verband houden met het grote aantal partijen dat betrokken is bij de verwerkingen van persoonsgegevens in verband met het testen, vaccineren en bron- en contactonderzoek. In ieder geval zijn dit de 25 regionale GGD’en, de landelijke koepelorganisatie GGD GHOR, zes landelijke partnerorganisaties (callcenters en alarmcentrales), diverse uitzendbureaus en IT-leveranciers. Duidelijke afspraken tussen de betrokken organisaties over bepaalde beveiligingsaspecten rondom de systemen die voor bron- en contactonderzoek worden gebruikt ontbreken. Dit geldt bijvoorbeeld ten aanzien van het autorisatiebeheer en de controle van logbestanden. Hierdoor is onvoldoende duidelijk wie waarvoor verantwoordelijk is en wie welke maatregelen in dit verband dient te treffen. Dat vergroot de kans op nieuwe tekortkomingen in de beveiliging van persoonsgegevens.

Verder werken het ministerie van Volksgezondheid, Welzijn en Sport, GGD GHOR en de GGD’en aan het vervangen van de systemen voor bron- en contactonderzoek (HP Zone en HP Zone Lite). In dit kader merkt de AP op dat vervanging van een systeem niet zonder meer leidt tot een betere beveiliging van de persoonsgegevens die daarin worden verwerkt. Hierbij wil de AP benadrukken dat bij de ontwikkeling en implementatie van een nieuw systeem nadrukkelijk rekening moet worden gehouden met de uit de Algemene verordening gegevensbescherming (hierna: AVG) voortvloeiende verplichtingen, zoals het vroegtijdig uitvoeren van een risicoanalyse in de vorm van een gegevensbeschermingseffectbeoordeling (artikel 35 AVG), de toepassing van gegevensbescherming door ontwerp en door standaardinstellingen (artikel 25 AVG) en het treffen van passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens (artikel 32 AVG), zoals bijvoorbeeld logging, controle op de logging en autorisatiebeheer.

Onderzoek

De AP heeft in het bijzonder onderzocht of voldoende verbetermaatregelen zijn getroffen met het oog op toegangsbeveiliging, verleende autorisaties en autorisatiebeheer, logging van de gebruikte systemen, controle op deze logging en om het ongeoorloofd exporteren/printen van persoonsgegevens uit de systemen te voorkomen. Ook heeft de AP gecontroleerd of de aangekondigde maatregelen met betrekking tot beperking van de zoekfuncties van gebruikers in de systemen ook daadwerkelijk zijn getroffen. Daarnaast is onderzocht of de betrokkenen die geraakt zijn door het datalek in overeenstemming met de AVG zijn geïnformeerd over de inbreuk in verband met hun persoonsgegevens. Tenslotte heeft de AP – naar aanleiding van nieuwe zorgelijke berichtgeving in de media in februari 2021 – onderzocht of de website www.coronatest.nl aan de beveiligingseisen voldoet die gelden voor aansluiting op DigiD.

Het onderzoek was gericht op de systemen die worden gebruikt voor het verwerken van persoonsgegevens in het kader van de coronapandemie, namelijk voor het testen en vaccineren (CoronIT) en bron- en contractonderzoek (HPZone en HPZone Lite).

In het kader van het onderzoek heeft de AP controles uitgevoerd bij GGD GHOR en steeksproefgewijs bij twee regionale GGD’en en een van de landelijke partners die capaciteit leveren voor het uitvoeren van bron- en contactonderzoek. Onderstaande bevindingen zijn gebaseerd op de informatie die de AP tijdens het onderzoek heeft verzameld.

(…)

Ter afsluiting

De AP heeft onderzoek gedaan bij GGD GHOR en twee (regionale) GGD’en naar de beveiliging van persoonsgegevens die in het kader van de coronapandemie worden verwerkt in CoronIT, HPZone en HPZone Lite. Deze systemen worden door alle 25 GGD’en gebruikt en de beveiliging van de daarin verwerkte persoonsgegevens is dus mede afhankelijk van maatregelen die alle 25 GGD’en afzonderlijk dan wel gezamenlijk treffen om de persoonsgegevens passend te beveiligen. De bevindingen van de AP zijn dan ook relevant voor alle 25 GGD’en. De AP verwacht daarom dat alle GGD’en de in deze brief genoemde noodzakelijke verbetermaatregelen – voor zover zij dat nog niet hebben gedaan – zullen treffen om een passend niveau van beveiliging van persoonsgegevens te waarborgen. Mede met het oog hierop zal deze brief ook aan de overige 23 GGD’en worden gezonden.

Informatiebeveiliging is een continu proces waarin risico’s en maatregelen periodiek moeten worden (her)beoordeeld zodat de technische en organisatorische beveiligingsmaatregelen steeds zijn afgestemd op de actuele risico’s voor betrokkenen. Om deze reden benadrukt de AP met klem het belang om audits gericht op informatiebeveiliging te blijven uitvoeren en risico’s en maatregelen periodiek te (her)beoordelen zodat, waar nodig, (aanvullende) technische en organisatorische maatregelen ter beveiliging van de (bijzondere) persoonsgegevens die worden verwerkt tijdig kunnen worden genomen.

De AP heeft inmiddels de bevindingen van het onderzoek in een gesprek aan GGD GHOR toegelicht en zal erop toezien dat noodzakelijke verbeteringen tijdig worden doorgevoerd. De AP verzoekt GGD GHOR dan ook om uiterlijk op 1 maart 2022 in een voortgangsrapportage op elk van de in deze brief aangegeven punten aan te geven welke verbetermaatregelen daadwerkelijk zijn of worden getroffen om de geïdentificeerde risico’s ten aanzien van de beveiliging van persoonsgegevens die worden verwerkt in het kader van de coronapandemie te verminderen. Dit betreft zowel de huidige systemen zolang deze nog worden gebruikt voor de bestrijding van de coronapandemie als de vervangende systemen wanneer deze in productie worden genomen. Mocht de in de voortgangsrapportage genoemde implementatie van verbetermaatregelen onverhoopt vertraging oplopen, dan verwacht de AP daarover door GGD GHOR onverwijld te worden geïnformeerd.

3.3.

ICAM is op 25 november 2021 opgericht door [naam 1] .

Haar statuten luiden, voor zover hier van belang:

Doel

Artikel 3.

3.1

De Stichting stelt zich ten doel om als onafhankelijke organisatie en zonder winstoogmerk de belangen te behartigen van Gedupeerden, zijnde groepen natuurlijke personen, vennootschappen en/of rechtspersonen, in Nederland en/of daarbuiten, die zijn of dreigen te worden geraakt in een gelijksoortig belang in de zin van artikel 3:305a BW (of een vergelijkbare of daarvoor in de plaats tredende (wettelijke) regeling) en daardoor op enige derde(n) een of meer vordering(en) hebben verband houdend met door deze natuurlijke personen, vennootschappen en/of rechtspersonen geleden en/of te lijden Massaschade.

3.2

In het bijzonder valt onder het doel van de Stichting:

a. a) Het optreden tegen (dreigende) inbreuken op het recht van burgers, consumenten, vennootschappen en/of rechtspersonen op bescherming van de persoonlijke levenssfeer en bescherming van persoonsgegevens, waaronder in het bijzonder tegen inbreuken door de overheid en/of overheidsinstanties, zoals de Staat en andere publiekrechtelijke rechtspersonen, waaronder begrepen het verhalen van Massaschade die deze Gedupeerden lijden en/of hebben geleden ten gevolge van inbreuken op genoemde rechten, waaronder begrepen overtredingen van de EU Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) en/of enige daaruit voortvloeiende nationale wet- of regelgeving, beleidsregels, gedragscodes of normen;

b) Het optreden tegen (dreigende) inbreuken op rechten van burgers, consumenten, vennootschappen en/of rechtspersonen in verband met financiële diensten of producten, non-conformiteit van producten en/of productaansprakelijkheid en/of in verband met overtredingen van Unierechtelijke en/of nationale regelgeving, waaronder regelgeving ter bescherming van consumenten;

c) Het optreden tegen (dreigende) inbreuken op rechten van burgers, consumenten, vennootschappen en/of rechtspersonen in verband met overtredingen van het mededingingsrecht, waaronder kartelafspraken en misbruik van machtspositie;

d) Het optreden tegen (dreigende) inbreuken op rechten van burgers, consumenten, vennootschappen en/of rechtspersonen in verband met overtredingen van wet- en regelgeving ter regulering van online markten en online tussenpersonen, waaronder online platforms;

e) Het optreden tegen (dreigende) inbreuken op rechten van natuurlijke personen, vennootschappen en/of rechtspersonen in verband met overtredingen van wet- en regelgeving ter bescherming van mensen, dieren, milieu, klimaat en/of leefomgeving.

3.3

De Stichting tracht haar doel te bereiken met alle haar rechtens toekomende middelen, waaronder begrepen, zonder daartoe beperkt te zijn:

a. a) Het in naam van de Stichting en/of in naam van de Gedupeerden starten en/of ondersteunen van juridische procedures, zoals civiele, strafrechtelijke of bestuursrechtelijke procedures, het instellen van (rechts)vorderingen of verzoeken, waaronder vorderingen of verzoeken tot het vergoeden, compenseren en/of ongedaan maken van Massaschade, het terugbetalen van onverschuldigd betaalde bedragen, het ongedaan maken van ongerechtvaardigde verrijking, het verkrijgen van verklaringen voor recht en het treffen van (voorlopige) voorzieningen, en het indienen van klachten bij toezichthoudende instanties, een en ander in Nederland en in andere jurisdicties indien nodig en mogelijk, waaronder begrepen procedures, vorderingen, verzoeken en klachten zoals bedoeld in:

i. i) Artikel 3:305a lid 1 BW;

ii) Artikel 6:240 BW;

iii) Richtlijn (EU) 2020/1828 van het Europees Parlement en de Raad van 25 november 2020 betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG;

iv) Artikel 7:907 BW;

v) Artikel 80 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, of enige daarvoor in de plaats tredende (wettelijke) regelingen of enige daarmee vergelijkbare (wettelijke) regelingen in Nederland en/of daarbuiten;

b) Het (laten) doen van onderzoek naar (mogelijke) inbreuken op de rechten van Gedupeerden en naar de aansprakelijkheid van de (rechts)personen die (mogelijk) inbreuk maken of hebben gemaakt;

c) Het namens of in het belang van Gedupeerden voeren van onderhandelingen over en/of het aangaan van (collectieve) vaststellingsovereenkomsten, waaronder begrepen vaststellingsovereenkomsten in de zin van artikel 7:907 BW;

d) Het (laten) berekenen, vaststellen, verkrijgen, (door)betalen en distribueren van schadevergoedingen en het (laten) uitvoeren van (collectieve) vaststellingsovereenkomsten, waaronder begrepen vaststellingsovereenkomsten in de zin van artikel 7:907 BW;

e) Het optreden als woordvoerder en vertegenwoordiger van Gedupeerden, waaronder in de media, in de politiek, bij het bedrijfsleven, bij (potentiële) wederpartijen en in relatie tot het maatschappelijk middenveld;

f) Het informeren van Gedupeerden ten aanzien van zaken gerelateerd aan doel en werkzaamheden van de Stichting, onder meer via de Website;

g) Het beschikbaar stellen en/of door een externe partij beschikbaar laten stellen van adequate financiering voor het behalen van de doelstellingen van de Stichting, al dan niet tegen betaling van een financieringsvergoeding voor rente en gelopen risico;

h) Het bieden van de mogelijkheid aan Gedupeerden om Deelnemer te worden;

i. i) Het verrichten van al hetgeen met het vorenstaande in de ruimste zin verband houdt of daartoe bevorderlijk kan zijn.

3.4

De Stichting is een organisatie zonder winstoogmerk. Onder winstoogmerk wordt niet verstaan het nastreven van een door de Stichting te ontvangen of te bedingen marktconforme vergoeding voor gemaakte kosten, gelopen risico’s of geleverde diensten, met inbegrip van een eventuele redelijke opslag ten behoeve van (toekomstige) collectieve belangenbehartiging en van kosten voor gebruik van eigen vermogen of vreemd vermogen.

3.5

De Stichting onderschrijft de Claimcode. De Stichting zal haar statuten, organisatie en werkwijze zoveel mogelijk inrichten overeenkomstig de Claimcode of zal, indien daarvan wordt afgeweken, toelichten waarom zij daarvan afwijkt.

Organen en governance structuur

Artikel 4.

4.1

De Stichting kent de volgende organen:

a. een Bestuur;

b. een Raad van Toezicht; en

c. een gemeenschappelijke vergadering van Bestuur en Raad van Toezicht.

4.2

De Stichting kent Deelnemers.

(…)

Bestuur; samenstelling, benoeming, schorsing, ontslag

Artikel 6.

6.1

Het Bestuur bestaat uit een door de Raad van Toezicht vast te stellen aantal Bestuurders van ten minste drie.

6.2

Het Bestuur is zodanig samengesteld dat de Bestuurders ten opzichte van elkaar, de Raad van Toezicht, een eventuele Financier en de Deelnemers onafhankelijk en kritisch kunnen opereren. Daarnaast is het Bestuur zodanig samengesteld dat het beschikt over de specifieke deskundigheid die noodzakelijk is voor een adequate behartiging van de in Artikel 3 omschreven belangen.

6.3

Ten minste één Bestuurder beschikt over de specifieke ervaring en juridische expertise die noodzakelijk is voor een adequate behartiging van de in Artikel 3 omschreven belangen. Ten minste één Bestuurder beschikt over de specifieke ervaring en financiële expertise die noodzakelijk is voor een adequate behartiging van de in Artikel 3 omschreven belangen.

6.4

De vereiste specifieke deskundigheid, ervaring en expertise van het Bestuur zoals bedoeld in Artikel 6.2 en 6.3 kan, waar dat nodig is ten aanzien van specifieke Claims, mede worden ingevuld door middel van ondersteuning door Claim-specifieke commissies of adviseurs.

Bestuur; taken en bevoegdheden

Artikel 7.

7.1

Het Bestuur is belast met het besturen van de Stichting. Bij de vervulling van hun taak richten de Bestuurders zich naar het belang van de Stichting en de met haar verbonden organisatie.

(…)

7.3

Het Bestuur legt ten minste één keer per jaar verantwoording af aan de Raad van Toezicht over de vaststelling en uitvoering van het (financieel) beleid en de op verwezenlijking van de statutaire doelstelling gerichte strategie.

7.4

Het Bestuur is verplicht om elke voorgenomen substantiële wijziging in de governance structuur van de Stichting en in de naleving van de Claimcode ter bespreking voor te leggen aan de Raad van Toezicht. Het Bestuur zal het voorafgaande als een afzonderlijk agendapunt op de agenda van de vergadering zetten.

(…)

Bestuur; besluitvorming

Artikel 9.

(…)

9.1

Aan de goedkeuring van de Raad van Toezicht zijn onderworpen besluiten van het Bestuur omtrent:

(…)

d. het aanhangig maken van ene gerechtelijke procedure;

e. het sluiten van een schikkingsovereenkomst;

f. het aangaan of beëindigen van enige financieringsovereenkomst; en

g. het vaststellen of wijzigen van de jaarlijkse begroting.

9.11

De Raad van Toezicht kan in zijn daartoe strekkend besluit duidelijk te omschrijven andere besluiten van het Bestuur aan zijn goedkeuring onderwerpen. De Raad van Toezicht deelt een dergelijk besluit onverwijld schriftelijk aan het Bestuur mede.

(…).

Website

Artikel 12.

Het Bestuur houdt een algemeen toegankelijke Website in stand waarop de voor de belanghebbenden van de Stichting van belang zijnde informatie wordt geplaatst, waaronder in elk geval wordt verstaan:

a. de Statuten;

b. het doel en de middelen van de Stichting;

(…)

i. een overzicht van de aan Deelnemers gevraagde bijdrage(n);

(…)

m. een plan van aanpak op hoofdlijnen op basis waarvan een potentiële Deelnemer kan beoordelen of de aard en werkwijze van de Stichting aansluiten bij zijn of haar belangen;

n. een overzicht van de wijze waarop personen tot bescherming van wier belangen de rechtsvordering strekt zich kunnen aansluiten bij de Stichting en de wijze waarop zij deze aansluiting kunnen beëindigen;

o. indien een bijdrage wordt gevraagd van de personen tot bescherming van wier belangen de rechtsvordering strekt: inzicht in de berekening van deze bijdrage;

p. een overzicht van de stand van zaken in door de Stichting gestarte gerechtelijke procedures;

q. een overzicht van de hoofdlijnen van door de Stichting gesloten vaststellingsovereenkomsten;

r. het laatst vastgestelde bestuursverslag, welke binnen acht (8) dagen na vaststelling op de Website wordt gepubliceerd;

s. voor zover van toepassing, dat sprake is van externe financiering, de identiteit en woonplaats van de Financier, de systematiek op hoofdlijnen van de met de Financier overeengekomen vergoeding(en) en overeengekomen diensten en, indien van toepassing, het percentage van een in of buiten rechte toe te kennen collectieve (schade)vergoeding die in de vorm van een vergoeding toekomt aan de Financier.

Raad van Toezicht; samenstelling, benoeming, defungeren

Artikel 13.

13.1

De Raad van Toezicht bestaat uit ten minste drie leden, waarvan er maximaal één, niet zijnde de voorzitter, kan worden benoemd op voordracht van een eventuele Financier. Een dergelijke benoeming wordt gepubliceerd op de Website. Het aantal leden wordt vastgesteld door de Raad van Toezicht. Slechts natuurlijke personen kunnen lid van de Raad van Toezicht zijn.

13.2

De Raad van Toezicht is zodanig samengesteld dat de leden ten opzichte van elkaar en het Bestuur en ten aanzien van de door de Stichting behartigde belangen, onafhankelijk en kritisch kunnen opereren. Ten minste één lid van de Raad van Toezicht beschikt over de specifieke ervaring en juridische expertise die noodzakelijk is voor een adequate behartiging van en adequaat toezicht op de in Artikel 3 omschreven belangen. Ten minste één lid van de Raad van Toezicht beschikt over de specifieke ervaring en financiële expertise die noodzakelijk is voor een adequate behartiging van en adequaat toezicht op de in Artikel 3 omschreven belangen.

(…).

Raad van Toezicht; taak en bevoegdheden

Artikel 14.

14.1

De Raad van Toezicht heeft tot taak toezicht te houden op het beleid en de strategie van het Bestuur en op de algemene gang van zaken in de Stichting. De Raad van Toezicht staat het Bestuur met raad terzijde. Bij de vervulling van hun taken richten de leden van de Raad van Toezicht zich naar het belang van de Stichting en de met haar verbonden organisatie.

(…).

(…)

Deelnemers

Artikel 19.

19.1

De Stichting kan onder meer om organisatorische, proces-technische en/of financiële redenen Deelnemers kennen per specifieke Claim.

(…)

19.3.

Het Bestuur kan een reglement vaststellen waarin nadere regels en voorschriften worden vastgelegd ter zake van de (organisatie van de) Deelnemers. Het besluit tot vaststelling of wijziging van een dergelijk reglement behoeft de voorgaande goedkeuring van de Raad van Toezicht.

Naleving en handhaving Claimcode

Artikel 20.

20.1

De hoofdlijnen van de governancestructuur van de Stichting worden elk jaar op een voor het publiek toegankelijk deel van de Website uiteengezet met de uitdrukkelijke toelichting in hoeverre zij daarvan afwijkt.

20.2

De over ieder boekjaar op de Website gepubliceerde informatie over de governancestructuur blijft voor het publiek toegankelijk zolang de Stichting actief is.

20.3

Artikel 7.4 is van toepassing op een wijziging in de governancestructuur van de Stichting.

Externe financiering

Artikel 21.

De Stichting kan ten behoeve van de financiering van statutaire werkzaamheden een overeenkomst aangaan met een Financier. Het Bestuur vergewist zich ervan dat individuele Bestuurders en leden van de Raad van Toezicht, alsmede de door de Stichting ingeschakelde advocaat of andere dienstverleners zelfstandig en onafhankelijk zijn van de Financier en de aan deze rechtstreeks of middellijk verbonden (recht)personen, alsmede dat de Financering en de aan deze rechtstreeks of middellijk verbonden (rechts)personen onafhankelijk zijn van de wederpartij in de collectieve actie. De overeenkomst voorziet in een regeling die de in de vorige volzin bedoelde zelfstandigheid en onafhankelijkheid waarborgt. Het Bestuur ziet erop toe dat de financieringsvoorwaarden (waaronder begrepen de omvang en systematiek van de overeen te komen vergoeding) redelijkerwijs niet strijdig zijn met het collectieve belang van de (rechts)personen ten behoeve van wie de Stichting krachtens Artikel 3 optreedt.

Tot eerste leden van het Bestuur zijn benoemd [naam 1] voornoemd, [naam 2] en [naam 3] .

Tot eerste leden van de Raad van Toezicht zijn benoemd [naam 4] , [naam 5] en [naam 6] . Laatstgenoemde is op 21 juni 2022 onverwacht overleden. In zijn plaats is op 30 oktober 2023 benoemd [naam 7] .

3.4.

Bij brieven van 8 februari 2022 heeft ICAM gedaagden, met uitzondering van Stichting Landelijke Coördinatie COVID-19 Bestrijding (gedaagde sub 5), (onder meer) uitgenodigd tot het voeren van overleg als bedoeld in artikel 3:305a lid 3 onder c Burgerlijk Wetboek (BW).

Bij brief van 22 november 2022 heeft ICAM Stichting Landelijke Coördinatie COVID-19 Bestrijding (gedaagde sub 5) (onder meer) uitgenodigd tot het voeren van overleg als bedoeld in artikel 3:305a lid 3 onder c BW.

Het op deze brieven gevolgde overleg heeft er niet toe geleid dat ICAM het gevorderde heeft bereikt.

3.5.

Bij brieven van 15 februari 2022 heeft ICAM (onder andere) gedaagden op grond van de Wet openbaarheid van bestuur (Wob) verzocht om informatie en/of documenten.

3.6.

Bij brief van 25 april 2022 heeft GGD GHOR, voor zover hier van belang, aan 1.247 van de 1.373 personen wier persoonsgegevens – naar door de politie is vastgesteld – uit de GGD-systemen zijn ontvreemd, voor zover hier van belang, geschreven:

Vorig jaar stuurden wij u een brief over de diefstal van uw persoonsgegevens uit één van de computersystemen van de GGD. Met deze brief willen we u laten weten dat de politie onderzoek heeft gedaan en wat de uitkomst daarvan is.

Wij vinden het heel vervelend dat deze datadiefstal heeft plaatsgevonden. Daarom willen we graag een financieel gebaar maken voor uw ongemak. Hierover leest u ook meer in deze brief.

Datadiefstal

Wij lieten u vorig jaar al weten dat persoonsgegevens zijn gestolen uit CoronIT. Dit is het computersysteem dat de GGD gebruikt bij het bestrijden van de COVID-19 pandemie. Wij hebben vorig jaar meteen bij de politie aangifte gedaan. Die startte een uitgebreid onderzoek en heeft een aantal verdachten aangehouden. De politie heeft vastgesteld dat er foto’s (schermafdrukken) waren gemaakt van gegevens in CoronIT. Dit is verboden en daarom heeft de rechter hiervoor al een aantal verdachten veroordeeld. De andere verdachten moeten nog voor de rechter komen.

Financieel gebaar

Nu het politieonderzoek naar de datadiefstal klaar is, weten we dat helaas ook foto’s gemaakt zijn van uw gegevens. We vinden dit heel vervelend en zeggen daarom nog een keer sorry. Voor eventueel ongemak willen wij u 500 euro aanbieden. U kunt zelf kiezen of u van dit aanbod gebruik wilt maken of niet.

Wat vragen wij u te doen?

U kunt één keuze aankruisen op de antwoordbrief (die is aan deze brief vastgeniet). Hieronder staat welke keuzes u hebt:

1. Ja, ik maak gebruik van het aanbod en ontvang graag 500 euro op een rekening die op mijn naam staat.

2. Nee, ik wil geen gebruik maken van het aanbod van GGD GHOR Nederland.

Vóór 1 juli 2022 in de brievenbus doen

Heeft u uw keuze aangekruist? Dan kunt u de ingevulde antwoordbrief los maken van deze brief en in de antwoordenvelop doen. Een postzegel is niet nodig. Plak deze envelop goed dicht en doe deze vóór 1 juli 2022 op de post.

Als u kiest voor keuze 1, krijgt u het bedrag binnen zes weken nadat wij uw antwoordbrief hebben ontvangen.

De bij deze brief gevoegde bijlage Vragen en antwoorden luidt, voor zover hier van belang:

Waarom bieden jullie een financieel gebaar aan?

Uw gegevens zijn door de politie gevonden bij de verdachten. We vinden dit heel vervelend. Daarom willen wij een financieel gebaar maken voor uw mogelijke ongemak.

(…)

Waarom is de hoogte van het bedrag 500 euro?

Wij vinden dit onder de omstandigheden waaronder de datadiefstal zich voorgedaan een gepast bedrag.

(…)

Wat als ik niet reageer voor 1 juli 2022?

Als u niet voor 1 juli 2022 reageert, dan gaan wij ervan uit dat u geen gebruik wilt maken van het aanbod.

Jullie gaan een gebaar maken naar circa 1250 mensen. Waarom niet naar andere mensen?

Bij het politieonderzoek naar de datadiefstal zijn gegevens van circa 1250 personen gevonden. De politie heeft geen aanwijzingen gevonden dat grootschalige databestanden in omloop en verhandeld zouden zijn. Wij bieden alleen die mensen 500 euro aan waarvan de politie schermafdrukken van hun gegevens gevonden heeft bij de verdachten.

(…)

Hoe staat het op dit moment met de beveiliging van jullie systemen? Kan zoiets in de toekomst nog een keer gebeuren?

Geen enkele organisatie kan 100% garantie geven. Echter, dataveiligheid en privacy zijn integrale onderdelen van onze werkprocedures. Het is een doorlopend proces waarbij we continu de veiligheid van onze systemen analyseren en verbeteren. We spannen ons in om de data van alle Nederlanders goed te beschermen en beveiligen tegen onrechtmatige inzage en misbruik. Intern zijn extra veiligheidsmaatregelen getroffen en uit voorzorg zijn diverse systeemaanpassingen gedaan.

Wat gebeurt er als nieuwe screenshots bij (andere) verdachten worden aangetroffen?

Als er nieuwe feiten bekend worden, dan zullen wij weer aangifte doen bij de politie.

De bij de brief van 25 april 2022 gevoegde bijlage Antwoordbrief luidt, voor zover hier van belang:

Keuze financieel gebaar

(…)

Graag één van de vakjes aankruisen om uw keuze aan ons door te geven.

(…).

□ Ja, ik maak gebruik van het aanbod van GGD GHOR Nederland en ontvang graag €500 op de volgende rekening die op mijn naam staat:

(…).

Als wij het bedrag van €500 op uw bankrekening hebben betaald, geeft u ons finale kwijting. Lees onderaan deze pagina wat dat voor u betekent.

□ Nee, ik wil geen gebruik maken van het aanbod van GGD GHOR Nederland.

(…).

Wat is finale kwijting?

Dit betekent dat u ermee akkoord gaat dat wij tegenover u geen verplichtingen hebben die te maken hebben met de datadiefstal uit de coronasystemen van de GGD. Dit geldt dan voor verplichtingen van GGD GHOR Nederland, de GGD’en of andere overheidsinstanties (zoals de gemeente of de landelijke overheid).

Ongeveer 80% van deze 1.247 personen heeft het aanbod aanvaard.

GGD GHOR heeft de overige 126 personen onlangs hetzelfde aanbod gedaan.

4.Het geschil

4.1.

ICAM vordert dat de rechtbank bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad,

IN HET INCIDENT

A. Verzoek tot een bevel ex artikel 22 Rv

de Staat c.s. op grond van artikel 22 Rv beveelt om de in paragraaf 10.2.1 (van de dagvaarding;
rechtbank) opgesomde informatie en/of documenten in het geding te brengen;

B. Voorwaardelijke vordering: inzage en afschrift ex artikel 843a Rv

indien of voor zover de rechtbank verzoek A niet honoreert:

primair

B.I. Gedaagden beveelt om binnen tien (10) dagen na betekening van het vonnis in incident een digitaal afschrift van de Bescheiden (zoals genoemd in paragraaf 10.2.1 van de dagvaarding) te verstrekken aan ICAM;

subsidiair

B.II. Gedaagden beveelt om binnen tien (10) dagen na betekening van het vonnis in incident een digitaal afschrift van de Bescheiden te verstrekken aan de advocaten van ICAM en aan een door de rechtbank tef benoemen deskundige, waarbij door Gedaagden ten aanzien van ieder document gemotiveerd wordt aangegeven welk onderdeel of welke onderdelen vertrouwelijk zouden zijn, waarna de deskundige in samenspraak met de advocaten van ICAM en de advocaten van de Gedaagden zal bepalen welke bescheiden of gedeelten van bescheiden vertrouwelijk moeten blijven en welke documenten of gedeelten niet, waarbij als vertrouwelijk aangemerkte Bescheiden vernietigd zullen worden en als vertrouwelijk aan te merken gedeelten van Bescheiden zullen worden zwartgemaakt;

B.III. daarbij bepaalt dat de deskundige en de advocaten van ICAM aan geheimhouding gebonden zijn ten aanzien van de als vertrouwelijk aangemerkte Bescheiden en de als vertrouwelijk aan te merken gedeelten van Bescheiden;

B.IV. bepaalt dat indien de deskundige, de advocaten van ICAM en de advocaten van Gedaagden niet tot overeenstemming komen over de vraag welke gedeelten vertrouwelijk moeten blijven en welke gedeelten niet, de deskundige hierover bindend zal besluiten;

B.V. bepaalt dat de deskundige binnen vijf (5) dagen na voltooiing van de door hem of haar te plegen vaststelling een digitaal afschrift van de Bescheiden, met uitzondering van hetgeen als vertrouwelijk is aangemerkt, zal verstrekken aan ICAM;

meer subsidiair

B.VI. Gedaagden beveelt om binnen tien (10) dagen na betekening van het vonnis in incident inzage, afschrift of uittreksel van de Bescheiden te verstrekken aan ICAM op een wijze zoals door de rechtbank in goede justitie te bepalen;

C. Deskundigenonderzoek naar (de omvang en gevolgen van) het datalek

C.I. een door de rechtbank te benoemen deskundige opdracht geeft om in overleg met Gedaagden en ICAM te onderzoeken wat de omvang en risico’s van het datalek zijn, althans zijn geweest, met inbegrip van de vraag van hoeveel en van welke (categorieën van) personen persoonsgegevens uit de GGD-systemen onbevoegd konden worden, zijn en/of kunnen worden ingezien en/of ontvreemd, zulks met opdracht aan de deskundige om binnen acht (8) weken na het vonnis in incident van zijn of haar bevindingen schriftelijk en gedetailleerd verslag te doen aan de rechtbank en ICAM;

C.II. Gedaagden beveelt om aan het onderzoek van en de rapportage door de deskundige volledig en onvoorwaardelijk medewerking te verlenen en aan de deskundige alle informatie te verschaffen die de deskundige relevant acht voor de uitvoering van zijn of haar onderzoek;

D. Melding aan Gedupeerden

D.I. Gedaagden beveelt om binnen vier (4) weken na betekening van het vonnis in incident, althans binnen vier (4) weken na het beschikbaar komen van het in vordering C bedoelde rapport, alle Gedupeerden van wie persoonsgegevens in de GGD-systemen onbevoegd konden worden, zijn en/of kunnen worden ingezien en/of ontvreemd, hierover zoveel mogelijk op individuele basis schriftelijk te informeren, onder vermelding van de (mogelijke) gevolgen en risico’s daarvan, en om van die informatieverschaffing binnen twee (2) weken na het informeren van de Gedupeerden schriftelijk en gedetailleerd verslag te doen aan de rechtbank;

E. Beschikbaar houden van gegevens

E.I. Gedaagden beveelt om, ieder voor zover zij hierover beschikken, de hierna genoemde informatie en gegevens van alle Gedupeerden te bewaren en beschikbaar te houden voor zolang dat nodig is (i) om tot volledige en correcte melding aan de Gedupeerden over te gaan zoals bedoeld in vordering D en (ii) om tot volledige en correcte uitbetaling van schadevergoeding over te kunnen gaan:

a. a) voor- en achternaam;

b) geboortedatum;

c) adres;

d) e-mailadres en telefoonnummer;

e) de gegevens die onbevoegd konden worden, zijn en/of kunnen worden ingezien en/of ontvreemd;

f) de periode waarin de betreffende gegevens onbevoegd konden worden, zijn en/of kunnen worden ingezien en/of ontvreemd;

g) het aantal personen dat (onbevoegd) toegang had tot de betreffende gegevens en de motivering daarvan, mede in het licht van hun rollen of functies;

h) informatie over de vraag of de betreffende gegevens daadwerkelijk of waarschijnlijk zijn gestolen of anderszins zijn aangewend op een wijze die tot aansprakelijkheid van Gedaagden jegens Gedupeerden leidt;

i. i) logbestanden;

E.II. een door de rechtbank te benoemen deskundige opdracht geeft om periodiek te controleren of (blijvend) aan het bevel op grond van vordering E.I wordt voldaan, zulks met opdracht aan de deskundige om van zijn of haar bevindingen iedere drie (3) maanden schriftelijk en gedetailleerd verslag te doen aan de rechtbank en ICAM;

E.III. Gedaagden beveelt om aan het onderzoek van en de rapportage door de deskundige volledig en onvoorwaardelijk medewerking te verlenen en aan de deskundige alle informatie te verschaffen die de deskundige relevant acht voor de uitvoering van zijn of haar onderzoek;

F. Kostenvergoeding

F.I. Gedaagden op de voet van 1018l lid 2 Rv hoofdelijk veroordeelt in de redelijke en evenredige gerechtskosten en andere kosten van het incident, waaronder de nader te begroten kosten verbonden aan het verkrijgen van inzage, afschrift of uittreksel en waaronder de advocaatkosten en de kosten voor de deskundige(n);

G. Dwangsommen

G.I. Gedaagden hoofdelijk beveelt een dwangsom te betalen van € 250.000,- (zegge: tweehonderdenvijftigduizend euro) voor iedere dag (een gedeelte van een dag als een gehele gerekend) dat zij geheel of gedeeltelijk in strijd handelen met de bevelen op grond van de verzoeken c.q. vorderingen A, B, C.II, D en/of E, met een maximum van € 100.000.000,- (zegge honderd miljoen euro).

IN DE HOOFDZAAK

H. Exclusieve belangenbehartiger

ICAM aanwijst als exclusieve belangenbehartiger in de zin van artikel 1018e lid 1 Rv;

I. De vertegenwoordigde groep personen

in het kader van artikel 1018e lid 2 Rv bepaalt dat ICAM in deze collectieve vordering de belangen behartigt van alle Gedupeerden, zijnde:

a. a) alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één van of beide GGD-systemen in de periode tussen ingebruikname daarvan in verband met de bestrijding van corona en 1 februari 2021, bijvoorbeeld omdat zij een afspraak hebben gemaakt bij een GGD om te testen of vaccineren in verband met corona of omdat zij onderdeel zijn geweest van bron- en contactonderzoek in verband met corona, met uitzondering van de personen die deel uitmaken van Gedupeerden Categorie B (“Gedupeerden Categorie A”);

b) alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één van of beide GGD-systemen in de periode tussen ingebruikname daarvan in verband met de bestrijding van corona en 1 februari 2021, bijvoorbeeld omdat zij een afspraak hebben gemaakt bij een GGD om te testen of vaccineren in verband met corona of omdat zij onderdeel zijn geweest van bron- en contactonderzoek in verband met corona, en waarvan vaststaat of zal worden vastgesteld dat hun persoonsgegevens als gevolg van het GGD-datalek door ongeautoriseerde personen zijn ingezien of bij ongeautoriseerde personen in handen zijn gekomen, zoals door het ongeoorloofd inzien, downloaden, exporteren, printen, kopiëren, fotograferen en/of aanbieden, verhandelen, ontvangen of op andere wijze delen van de persoonsgegevens (“Gedupeerden Categorie B”);

J. Opt-out / Opt-in

J.I. Gedaagden beveelt om de uitspraak op grond van artikel 1018e lid 1 en 2 Rv, vergezeld van een eenvoudige samenvatting, alsmede vertalingen van de uitspraak en de samenvatting in tenminste dezelfde talen als waarin de website www.prikkenzonderafspraak.nl van de Rijksoverheid wordt aangeboden, binnen vier (4) weken na de datum van de uitspraak te plaatsen op (i) de website van GGD GHOR, (ii) de websites van de GGD’en en (iii) een speciaal daarvoor in het leven te roepen website van de Rijksoverheid, zodanig dat deze door de Gedupeerden ten behoeve van latere kennisneming kunnen worden opgeslagen;

J.II. Gedaagden beveelt om binnen vier (4) weken na de datum van de uitspraak op grond van artikel 1018e lid 1 en 2 Rv alle Gedupeerden bij gewone brief mededeling te doen van de aanwijzing van de Exclusieve Belangenbehartiger, de collectieve vordering en de nauw omschreven groep personen wier belangen de Exclusieve Belangenbehartiger in deze collectieve vordering behartigt;

J.III. Gedaagden beveelt om binnen vier (4) weken na de datum van de uitspraak op grond van artikel 1018e lid 1 en 2 Rv aankondiging te doen van de aanwijzing van de Exclusieve Belangenbehartiger en de collectieve vordering en de nauw omschreven groep personen wier belangen de Exclusieve Belangenbehartiger in deze collectieve vordering behartigt, zulks in alle landelijke en regionale nieuwsbladen van Nederland en met een inhoud en op een wijze zoals door de rechtbank in goede justitie te bepalen na uitlating van partijen daarover;

J.IV. bepaalt dat (de wettelijk vertegenwoordiger(s) van) iedere persoon met woonplaats of verblijf in Nederland die behoort tot de groep Gedupeerden, gedurende een periode van drie (3) maanden na de aankondiging in de zin van artikel 1018f lid 3 Rv de mogelijkheid heeft om door middel van een schriftelijke mededeling aan de griffie van de rechtbank te laten weten zich van de behartiging van zijn of haar belangen in deze collectieve vordering te willen bevrijden (Opt-out);

J.V. bepaalt dat (de wettelijk vertegenwoordiger(s) van) iedere persoon zonder woonplaats of verblijf in Nederland die behoort tot de groep Gedupeerden, gedurende een periode van zes (6) maanden na de aankondiging in de zin van artikel 1018f lid 3 Rv de mogelijkheid heeft om door middel van een schriftelijke mededeling aan de griffie van de rechtbank te laten weten in te stemmen met de behartiging van zijn of haar belangen in deze collectieve vordering (Opt-in);

K. Verklaringen voor recht

K.I. voor recht verklaart dat de Gedaagden ieder voor zich zelfstandig dan wel gezamenlijk met één of meer andere Gedaagden, in de zin van de AVG moeten worden aangemerkt als verwerkingsverantwoordelijken voor de gegevensverwerkingen in de GGD-systemen CoronIT en/of HPZone Lite;

K.II. voor recht verklaart dat de Gedaagden, althans de als verwerkingsverantwoordelijken aan te merken Gedaagden, in strijd handelen met, althans in strijd hebben gehandeld met:

a. a) artikel 8 EVRM; en/of

b) artikel 7 Handvest; en/of

c) artikel 8 Handvest; en/of

d) artikel 5 AVG; en/of

e) artikel 24 AVG; en/of

f) artikel 25 AVG; en/of

g) artikel 32 AVG; en/of

h) artikel 34 AVG; en/of

i. i) artikel 35 AVG; en/of

j) artikel 7:457 BW; en/of

k) artikel 10 Wabvpz jo. artikel 2 Regeling gebruik burgerservicenummer in de zorg; en/of

l) artikel 15j Wabvpz jo. artikel 3 en 5 Begz;

K.III. voor recht verklaart dat de Gedaagden jegens de Gedupeerden onrechtmatig handelen, althans onrechtmatig hebben gehandeld op grond van artikel 6:162 BW;

K.IV. voor recht verklaart dat de Gedaagden, althans de als verwerkingsverantwoordelijken aan te merken Gedaagden, op grond van artikel 82 AVG en/of artikel 6:162 BW hoofdelijk aansprakelijk zijn voor alle schade die door de Gedupeerden is geleden en nog zal worden geleden ten gevolge van het GGD-datalek;

L. Beëindigen van de inbreuk en verbeteren van beveiligingsmaatregelen

L.I. Gedaagden, althans de als verwerkingsverantwoordelijken aan te merken Gedaagden, beveelt om binnen drie maanden na het in deze zaak te wijzen vonnis alle in het lichaam van de dagvaarding omschreven inbreuken op het EVRM, het Handvest, de AVG en specifieke zorgwetgeving en al het in het lichaam van de dagvaarding omschreven onrechtmatig handelen, te staken en gestaakt te houden;

L.II. de betreffende Gedaagden beveelt om mee te werken aan beoordeling en controle van alle genomen maatregelen ter uitvoering van het bevel op grond van vordering L.I door een door de rechtbank aan te wijzen deskundige, zulks met opdracht aan de deskundige om binnen zes maanden na het in deze zaak te wijzen vonnis van zijn of haar bevindingen schriftelijk en gedetailleerd verslag te doen aan ICAM;

M. Immateriële schadevergoeding

primair

M.I. Gedaagden hoofdelijk veroordeelt tot vergoeding van de immateriële schade van iedere Gedupeerde en die immateriële schade begroot op:

a. a) een bedrag van € 500,- (zegge: vijfhonderd euro) per Gedupeerde binnen Gedupeerden Categorie A;

b) een bedrag van € 1.500,- (zegge: vijftienhonderd euro) per Gedupeerde binnen Gedupeerden Categorie B;

te vermeerderen met de wettelijke rente vanaf de datum van het in deze zaak te wijzen vonnis tot aan de dag der algehele voldoening;

subsidiair

M.II. Gedaagden hoofdelijk veroordeelt tot vergoeding van de immateriële schade van iedere Gedupeerde en die immateriële schade begroot op een bedrag of bedragen door de rechtbank in goede justitie te bepalen, te vermeerderen met de wettelijke rente vanaf de datum van het in deze zaak te wijzen vonnis tot aan de dag der algehele voldoening;

meer subsidiair

M.III. bepaalt dat de door de Gedupeerden geleden immateriële schade nader zal worden opgemaakt bij staat en zal worden vereffend volgens de wet;

N. Materiële schadevergoeding

primair

N.I. Gedaagden hoofdelijk veroordeelt tot vergoeding van de materiële schade van iedere Gedupeerde en die materiële schade begroot op een bedrag van € 50,- (zegge: vijftig euro) per Gedupeerde, te vermeerderen met de wettelijke rente vanaf de datum van het in deze zaak te wijzen vonnis tot aan de dag der algehele voldoening, met bepaling dat dit onverlet laat dat de Gedupeerden individueel gerechtigd zijn tot een hogere vergoeding voor materiële schade indien op enig moment blijkt dat die hoger is;

subsidiair

N.II. een bedrag of bedragen door de rechtbank in goede justitie te bepalen, te vermeerderen met de wettelijke rente vanaf de datum van het in deze zaak te wijzen vonnis tot aan de dag der algehele voldoening, met bepaling dat dit onverlet laat dat de Gedupeerden individueel gerechtigd zijn tot een hogere vergoeding voor materiële schade indien op enig moment blijkt dat die hoger is;

meer subsidiair

N.III. bepaalt dat de door de Gedupeerden geleden materiële schade nader zal worden opgemaakt bij staat en zal worden vereffend volgens de wet;

O. Kostenvergoedingen

primair

O.I. Gedaagden hoofdelijk veroordeelt tot vergoeding aan ICAM van:

a. a) de volledige door ICAM gemaakte buitengerechtelijke kosten;

b) de redelijke en evenredige gerechtskosten en andere kosten van ICAM, de nakosten daaronder begrepen, zulks op grond van artikel 1018l lid 2 Rv, althans artikel 237 Rv;

c) indien of voor zover dit niet onder sub b) valt, de volledige door ICAM aan de Financier op grond van de Financieringsovereenkomst te betalen vergoeding, zijnde 20% (zegge: twintig procent) van (enig gedeelte van) ieder geldbedrag, dan wel ieder op geld waardeerbaar goed, dat op grond van de vorderingen daadwerkelijk aan de Gedupeerden wordt toegekend, met een maximum van een bedrag ter hoogte van vijfmaal het volledige bedrag dat daadwerkelijk door de Financier is geïnvesteerd ter financiering van deze procedure, een en ander te vermeerderen met BTW indien van toepassing;

een en ander zoals nader te begroten op basis van door ICAM over te leggen informatie en te vermeerderen met de wettelijke rente vanaf de datum van het in deze zaak te wijzen vonnis tot aan de dag der algehele voldoening, zo nodig op te maken bij staat en te vereffenen volgens de wet;

d) de volledige kosten van ICAM die zij nog zal maken in verband met de uitvoering van het in deze zaak te wijzen vonnis en de afhandeling van de vaststelling en uitbetaling van de schadevergoeding en de begeleiding van en controle op dat proces, conform de in vordering P bedoelde wijze van schadeafwikkeling, te vermeerderen met BTW indien van toepassing, steeds halfjaarlijks vooraf te voldoen op basis van door ICAM vast te stellen redelijke voorschotbedragen en na afronding af te rekenen op basis van nacalculatie;

subsidiair

O.II. bepaalt dat ICAM de kosten zoals bedoeld in vordering O.I in mindering zal mogen brengen op de door of namens haar aan de Gedupeerden uit te betalen schadevergoedingen;

P. Schadeafwikkeling

primair

P.I. een door de rechtbank te benoemen deskundige op het vlak van de uitvoering en afhandeling van collectieve schadeafwikkeling opdracht te geven om in overleg met Gedaagden en ICAM tot de inning en verdeling van alle in deze procedure toegekende schadevergoedingen over te gaan;

P.II. Gedaagden hoofdelijk beveelt om binnen een maand na het in deze zaak te wijzen vonnis over te gaan tot voldoening van de bedragen bedoeld in vorderingen M en N op een door de deskundige daartoe specifiek in te richten kwaliteitsrekening;

P.III. Gedaagden beveelt volledig en onvoorwaardelijk medewerking te verlenen aan de schadeafwikkeling door de deskundige conform door de deskundige te geven instructies en aan de deskundige alle informatie te verschaffen die de deskundige relevant acht voor de uitvoering van zijn of haar taken in dat verband;

P.IV. Gedaagden hoofdelijk beveelt om de kosten die gemoeid zijn met de werkzaamheden van de deskundige, alsmede alle bijkomende kosten, te vermeerderen met BTW indien van toepassing, te vergoeden, steeds halfjaarlijks vooraf te voldoen op basis van de deskundige vast te stellen redelijke voorschotbedragen en na afronding af te rekenen op basis van nacalculatie;

P.V. bepaalt dat enig bedrag aan schadevergoeding dat na afhandeling van de schadeafwikkeling nog resteert en niet aan de Gedupeerden kan worden uitbetaald, door de deskundige zal worden uitgekeerd aan één of meer door ICAM aan te wijzen organisaties zonder winstoogmerk die actief zijn op het gebied van privacybescherming en beveiliging van persoonsgegevens;

P.VI. bepaalt dat de Gedupeerden die in aanmerking wensen te komen voor betaling van schadevergoeding, daarvoor dienen in te stemmen met een bindendadviesprocedure met betrekking tot de vaststelling door de deskundige van het recht op schadevergoeding en met betrekking tot de verdeling van de schadevergoeding, waarbij een door de rechtbank, na uitlating daarover door ICAM en Gedaagden, aan te wijzen onafhankelijke persoon met voldoende deskundigheid als bindend adviseur zal optreden;

subsidiair

P.VII. de collectieve schadeafwikkeling zodanig vorm te geven als de rechtbank geraden acht op basis van (een) door ICAM en/of Gedaagden op grond van artikel 1018i Rv over te leggen voorstel(len) voor een collectieve schadeafwikkeling;

Q. Dwangsommen

Q.I. Gedaagden hoofdelijk beveelt een dwangsom te betalen van € 250.000,- (zegge: tweehonderdenvijftigduizend euro) voor iedere dag (een gedeelte van een dag als een gehele gerekend) dat zij geheel of gedeeltelijk in strijd handelen met de bevelen op grond van vordering J, L, P.II en/of P.III, met een maximum van € 100.000.000,- (zegge: honderd miljoen euro).

4.2.

Hoofdstuk 1 (Inleiding) van de dagvaarding luidt, voor zover hier van belang:

1.1.

Kern van deze zaak

1. Stichting ICAM behartigt de belangen van ruim 6,5 miljoen mensen van wie zeer privacygevoelige informatie blootgesteld is geweest aan diefstal. Het betreft persoonsgegevens uit de IT-systemen van de GGD’en, verzameld en gebruikt in verband met de bestrijding van corona. Stichting ICAM wordt actief gesteund door 133.691 Deelnemers. Zij willen meer zorgvuldigheid van de Nederlandse overheid bij de omgang met gevoelige informatie van burgers, opheldering over de exacte omvang en impact van het GGD-datalek en compensatie voor de schade die het datalek heeft veroorzaakt voor alle getroffenen.

2. Deze WAMCA-zaak betreft het grootste en ernstigste datalek in de Nederlandse geschiedenis, veroorzaakt door laakbaar handelen en nalaten door de Nederlandse overheid.

3. In januari 2021 werd bekend dat de IT-systemen die de GGD’en gebruiken in verband met corona, ernstige beveiligingsgebreken bevatten. Persoonsgegevens van zeker 6,5 miljoen mensen waren gedurende ten minste elf maanden onnodig en vermijdbaar toegankelijk voor ongeveer 35.000 in allerijl ingeschakelde tijdelijke GGD-medewerkers, waaronder veel nieuwe en extern ingehuurde krachten. De betreffende medewerkers kregen na een gebrekkige screening toegang tot veel meer gegevens dan nodig was voor hun werkzaamheden, waaronder naam en adresgegevens, telefoonnummers, e-mailadressen, BSN-nummers en gegevens over besmettingen en vaccinatiestatus, achterliggende medische klachten, werksituatie en nauwe contactpersonen.

4. De activiteiten van de GGD-medewerkers in de systemen werden niet afdoende gelogd en gemonitord. Zij konden daardoor ongemerkt omvangrijke databestanden met gevoelige persoonsgegevens van 6,5 miljoen Nederlanders inzien, kopiëren en downloaden.

5. Dat dit datalek heeft plaatsgevonden, staat tussen partijen niet ter discussie. Door de slechte beveiliging - in strijd met onder meer de AVG - zijn persoonsgegevens van een grote groep mensen op onrechtmatige wijze langdurig
blootgesteld geweest aan diefstal. Hierdoor hebben de Gedupeerden de controle over hun persoonsgegevens verloren. Ze weten dat hun persoonsgegevens voor een zeer grote groep ongeautoriseerde personen toegankelijk zijn geweest; ze weten niet of ze daadwerkelijk gestolen zijn en verder misbruikt zijn of nog gaan worden. Internetcriminelen gebruiken persoonsgegevens voor identiteitsfraude, oplichting,
phishingen intimidatie. Wanneer gegevens in handen komen van verkeerde partijen, brengt dat bovendien risico’s met zich mee van stigmatisering, uitsluiting en discriminatie. Te denken valt aan de situatie dat gegevens over onderliggende gezondheidsproblematiek – zoals een Hiv-besmetting – terechtkomen bij (potentiële) werkgevers, verzekeraars of buitenlandse regimes.

6. Ook staat niet ter discussie dat daadwerkelijk persoonsgegevens
ontvreemd zijnen in het criminele circuit zijn beland: dat is het geval. Daarvoor zouden ook vier personen zijn veroordeeld (…). Voor zover tot nu toe door Gedaagden is erkend en meegedeeld, zou dat (slechts) een groep van circa 1.250 personen betreffen. Er zijn echter sterke aanwijzingen dat deze informatie onvolledig is en dat die groep personen beduidend groter is. De belangrijkste aanwijzing zijn de bevindingen van RTL Nieuws. RTL Nieuws heeft contact gehad met internetcriminelen, waarbij haar bestanden met gegevens zijn aangeboden van veel meer dan 1.250 personen (…):

‘De datadiefstal bij de GGD treft veel meer mensen dan het aantal gedupeerden dat de organisatie publiekelijk meldt. […] het daadwerkelijk aantal gedupeerden is echter veel groter, en de GGD heeft na maanden nog geen goed beeld van hoe groot de datadiefstal nu echt is, blijkt uit onderzoek van RTL Nieuws. […] RTL Nieuws heeft willekeurig verschillende mensen opgebeld van wie hun gegevens door criminelen te koop zijn aangeboden. Deze gegevens zijn afkomstig uit twee coronasystemen van de GGD: CoronIT, dat wordt gebruikt voor testen en vaccinaties, en HPZone Lite, het systeem dat wordt gebruikt voor het bron- en contactonderzoek. De personen zijn allemaal niet door de GGD geïnformeerd over dat hun gegevens uit de systemen van de GGD zijn gestolen en mogelijk verhandeld. […] De databestanden, met in totaal de privégegevens van zo’n 600 personen, waren volgens de aanbieders een voorproefje van de vele duizenden tot tienduizenden personen die konden worden geleverd.’

7. De impact van het datalek moet niet onderschat worden. Het betreft (i) veel Gedupeerden, (ii) bijzondere, gevoelige en veel persoonsgegevens, (iii) een schending van de wet door de overheid, die Gedupeerden bij uitstek zouden moeten kunnen vertrouwen en (iv) databases waarvan Gedupeerden de facto geen keuze hebben of ze erin willen staan of niet: het verstrekken van bijzondere persoonsgegevens aan de Gedaagden is onvermijdelijk, in ieder geval indien iemand getest of gevaccineerd wil worden.

8. Vanwege al deze factoren is het voor de Gedupeerden en voor de maatschappij in het algemeen van belang dat duidelijkheid wordt gegeven over wat er gebeurd is. Onder meer daartoe dient deze procedure. Stichting ICAM stelt met dit doel voor ogen een aantal
incidentele vorderingenin (…).

9. De oorzaak van het GGD-datalek is dat de Gedaagden jarenlang onvoldoende hebben gedaan om hun IT-systemen goed te beveiligen. Zij hebben verzuimd om in de GGD-systemen ook maar de meest basale beveiligingsmaatregelen te nemen.

10. Stichting ICAM waardeert vanzelfsprekend de enorme inspanning die de rijksoverheid en de GGD’en in de bestrijding van de coronapandemie hebben geleverd. Ook heeft zij begrip voor het argument dat de corona-testcapaciteit op korte termijn moest worden uitgebreid en dat dit uitdagingen met zich meebracht, waaronder op het terrein van informatiebeveiliging. Dat alles neemt echter niet weg dat Gedaagden eerder, sneller en betere maatregelen hadden kunnen en behoren te nemen:

a. a)
Paraat staan voor uitbraak van infectieziekten. De Staat c.s. hadden de GGD-systemen vooraf beter kunnen en behoren in te richten, zodat deze bestand waren geweest tegen een situatie zoals de coronapandemie. Het is immers niet zo dat een omvangrijke infectieziekte-uitbraak zoals de coronapandemie door de Staat c.s. niet had kunnen en zelfs was voorzien. De (betreffende afdelingen bij) de Gedaagden ontlenen hun bestaansrecht aan het bestrijden, niet alleen reactief, maar ook proactief, van dit type ziekten. Lang voordat de eerste coronabesmetting plaatsvond, wist men al dat de dag zou komen dat er een grote epidemie of pandemie zou uitbreken en dat de verouderde GGD-systemen dan niet geschikt en veilig zouden zijn. Het is de taak en verantwoordelijkheid van de Staat c.s. om daar binnen redelijke grenzen zo goed mogelijk op voorbereid te zijn. In een crisissituatie zoals de coronapandemie is het immers veel moeilijker om zaken in de hand te houden, terwijl het belang van goede informatiebeveiliging juist dan exponentieel toeneemt. Bovendien hadden alle landen ter wereld te maken met dezelfde crisis en voor zover Stichting ICAM bekend is het nergens zo fout gegaan als in Nederland;

b)
Snellere oplossing van de beveiligingsgebreken. De Staat c.s. hadden het datalek sneller kunnen en behoren op te lossen. Het lek heeft onnodig lang bestaan, terwijl de Staat c.s. reeds lang op de hoogte waren van de risico’s en de potentiële gevolgen van de slechte beveiliging. De Staat c.s. zijn er meerdere malen op gewezen dat de persoonsgegevens van miljoenen mensen gevaar liepen. Ook toen namen zij nog geen toereikende maatregelen om de (wettelijk laakbare) gebreken te herstellen. In ieder geval had, toen de pandemie uitbrak, gelijktijdig óók de beveiliging van de bijzondere persoonsgegevens van de personen in de betreffende databases een belangrijk speerpunt moeten worden. De GGD-systemen zijn vanaf maart (HPZone) c.q. juni (CoronIT) 2020 ingezet. In de richtsnoeren die de European Data Protection Board uitvaardigde in april 2020 benadrukte de EDPB al het belang van gegevensbescherming bij het bestrijden van het coronavirus. In februari 2021 schreef KPMG in een advies aan GGD-koepelorganisatie GGD GHOR, op basis van onderzoek dat slechts twee dagen in beslag heeft genomen (…):

‘Gebruik van HPZone dient zo snel mogelijk te worden stopgezet. Met het huidige systeem en de genomen beheersmaatregelen kan geen, bij de persoonsgegevens passend, adequaat beveiligingsniveau worden bereikt.’

11. Pas in januari 2021, nadat RTL Nieuws haar eerste conclusies publiceerde, werden de ernstigste beveiligingsgebreken verholpen. De minister zei daarover in het Kamerdebat over het GGD-datalek het volgende (…):

‘Het is niet zo dat er niks is gebeurd, maar we hebben er onvoldoende aandacht voor gehad. […] Ik had daar zelf scherper bovenop moeten zitten. Dit lag - met alle veelheid van taken - niet bovenop de stapel, dat had wel gemoeten. Had het eerder gekund, had het eerder gemoeten? Ja.’

12. De Staat c.s. hebben onvoldoende gedaan en te laat ingegrepen. Zelfs nu nog schieten de Staat c.s. substantieel te kort in de beveiliging van persoonsgegevens van Nederlandse ingezetenen.

13. Er is naar de overtuiging van Stichting ICAM sprake geweest van bijzonder verwijtbaar handelen (hoewel dat voor het vaststellen van aansprakelijkheid in deze zaak geen vereiste is). Na het bekend worden van het datalek zijn wel maatregelen genomen om de beveiliging te verbeteren, maar van het werkelijk nemen van verantwoordelijkheid en van een zichtbare beleidsmatige en praktische wijziging in de aanpak en preventie van dit soort problemen is – ondanks de enorme impact op Betrokkenen - nog niets gebleken.

1.2

Belang en doel van deze zaak

14. Stichting ICAM is een artikel 3:305a-belangenorganisatie. Zij komt in deze procedure op voor de belangen van alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één of beide GGD-systemen ten tijde van het GGD-datalek (de Gedupeerden, zoals gedefinieerd in
productie A.1). Deze groep personen valt uiteen in twee categorieën:

a. a) Personen waarvan onzeker is of hun persoonsgegevens als gevolg van het GGD-datalek zijn ontvreemd (Gedupeerden Categorie A, zoals gedefinieerd in
productie A.1). Dit betrof in januari 2021 circa 6,5 miljoen personen. Dat het minder personen zijn kan in ieder geval niet aangetoond worden. Een deel van de vorderingen ziet erop om meer helderheid te verkrijgen over de omvang van het GGD-datalek;

b) Personen waarvan vaststaat of zal worden vastgesteld dat hun persoonsgegevens als gevolg van het GGD-datalek door ongeautoriseerde personen zijn ingezien of bij ongeautoriseerde personen in handen zijn gekomen (Gedupeerden Categorie B, zoals gedefinieerd in
productie A.1).

15. De doelen die Stichting ICAM met deze procedure nastreeft zijn de volgende.

1.2.1

Helderheid over (de omvang en gevolgen van) het GGD-datalek

16. De Gedupeerden hebben belang bij transparantie over het GGD-datalek, de omvang daarvan en de (potentiële) gevolgen voor hun rechten en vrijheden. Momenteel is onduidelijk van hoeveel Betrokkenen daadwerkelijk gegevens zijn ontvreemd. De Staat c.s. geven daarover onduidelijke en onvolledige informatie en houden belangrijke stukken en informatie achter (…). Door de onduidelijke informatievoorziening verkeren miljoenen Gedupeerden in onzekerheid over de vraag of hun persoonsgegevens ontvreemd zijn of niet, of zelfs in de onterechte veronderstelling dat dat niet het geval is. Indien zij juist en volledig geïnformeerd worden over de kans dat hun gegevens in criminele handen terecht zijn gekomen, kunnen zij zich tegen eventueel misbruik van de gegevens beter wapenen. Wanneer duidelijk zou worden dat van bepaalde Gedupeerden daadwerkelijk uitgesloten kan worden dat hun persoonsgegevens zijn ontvreemd, neemt dat hun onzekerheid en daarmee een zware last weg.

17. De incidentele vorderingen sub 10.3 (onderzoek naar de omvang van het datalek), 10.4 (informeren van de Gedupeerden) en 10.5 (het beschikbaar houden van informatie) zijn gericht op dit belang.

1.2.2

Beëindiging van de inbreuk

18. De Gedupeerden hebben belang bij beëindiging van de inbreuk. Volgens de AP voldoen de Staat c.s. namelijk nog altijd niet aan hun (beveiligings)verplichtingen onder de AVG (…). De vorderingen sub 11.5 zien erop dat deze inbreuk wordt beëindigd.

1.2.3

Betere beveiliging van IT-systemen en persoonsgegevens door de overheid

19. De Gedupeerden hebben er belang bij dat de overheid ertoe wordt bewogen in zijn algemeenheid een hoger niveau van informatiebeveiliging na te streven. De door Stichting ICAM in deze zaak ingestelde collectieve schadevordering dient mede dit doel.

20. De Nederlandse overheid heeft de afgelopen jaren helaas telkenmale laten zien dat zij niet bereid of in staat is goed om te gaan met de persoonlijke levenssfeer van burgers en hen adequaat te beschermen tegen inbreuken op hun privacy en onrechtmatige verwerking van persoonsgegevens. Voormalig Tweede Kamerlid Verhoeven diende naar aanleiding van het GGD-datalek dan ook een motie in (…):

‘constaterende dat de overheid structureel tekortschiet op AVG-dataveiligheidsprincipes zoals privacy by design, dataminimalisatie, doelbinding en technische en organisatorische voorzieningen, alsmede audits en kwaliteitsnormen.’

21. Het is in deze tijd meer dan gerechtvaardigd om overheden, waaronder de Nederlandse overheid, te dwingen passende maatregelen te nemen om het fundamentele recht op gegevensbescherming te waarborgen. De prikkels die daartoe tot heden zijn ingezet zijn kennelijk niet afdoende. Helaas hebben toezichthouders, waaronder de Nederlandse AP, onvoldoende capaciteit om de AVG te handhaven. Daarnaast heeft de AP aangegeven het lastig te vinden om overheden te beboeten omdat die boetes uiteindelijk weer in de schatkist belanden. Ook naar aanleiding van het GGD-datalek heeft de AP niet handhavend opgetreden. Er is dan ook een publiek belang bij dat de overheid vanuit de maatschappij een sterk signaal krijgt dat zij beter zorg moet dragen voor de beveiliging van persoonsgegevens.

22. Daarbij is ook het gezichtspunt relevant dat burgers persoonsgegevens aan de overheid verstrekken in het vertrouwen dat zij daarmee zorgvuldig om zal gaan. Wanneer de overheid niet zorgvuldig met persoonsgegevens van haar burgers omgaat, bestaat het risico dat burgers de overheid gaan wantrouwen en niet langer bereid zijn gegevens te verstrekken, zoals in dit geval ten behoeve van het testen en vaccineren op corona. Uit representatief onderzoek door KPMG en Motivaction van oktober 2021 blijkt dat privacy-incidenten tijdens de coronacrisis het bewustzijn van Nederlanders hierover hebben vergroot en dat het GGD-datalek een grote impact heeft gehad (…):

‘Nederlanders zijn bezorgd over datalekken. Bijna twee derde (63%) is bang dat hierdoor persoonlijke gegevens op straat komen te liggen. Privacyincidenten tijdens de coronacrisis lijken het bewustzijn van de Nederlander te hebben vergroot. Zo blijkt 83% op de hoogte van het grote datalek bij de GGD, dat eind januari 2021 bekend werd. Het administratiesysteem voor het test- en vaccinatieproces en de communicatie hierover werd gehackt en ook werden persoonsgegevens rondom het bron- en contactonderzoek van de GGD buitgemaakt. Privégegevens van miljoenen Nederlanders kwamen hierdoor in handen van kwaadwillenden, die de data via internet doorverkochten.

De impact van dit lek op Nederlanders blijkt behoorlijk groot te zijn geweest’, stelt Stephan Idema , die bij KPMG leiding geeft aan het privacyteam. ‘Zo wilde één op de vijf ondervraagden (22%) zich door het GGD-lek minder snel laten testen op het coronavirus.’ Deze uitkomst sluit aan bij cijfers van het RIVM. Begin maart maakte het instituut bekend dat 35% van de Nederlanders zich bij klachten liet testen op corona. Begin januari was dat volgens het RIVM nog 50%. Idema : ‘Deze afname zien we dus terug in de groep van respondenten – één op de vijf – die aangaf dat ze na het GGD-lek minder snel een coronatest zouden doen.’

23. Bovendien heeft de overheid een belangrijke voorbeeldfunctie waar het gaat om naleving van de AVG en het voldoen aan beveiligingseisen. Als de overheid al zo laks omgaat met de regels, waarom zouden burgers en bedrijven zich daar dan wel aan houden?

24. Bij voorkeur zou Stichting ICAM een vordering instellen die de Staat c.s. verplicht tot het nemen van bepaalde, concreet omschreven verbeteringsmaatregelen. Waarschijnlijk zijn echter Stichting ICAM noch de rechter bevoegd of bij machte om voor te schrijven op welke wijze dat zou moeten gebeuren. Om die reden vordert Stichting ICAM dat niet. Zij meent echter dat toewijzing van een collectieve schadevergoedingsvordering mede het effect zal hebben dat de overheid beter informatiebeveiligingsbeleid implementeert. Naar de overtuiging van Stichting ICAM is civielrechtelijke handhaving middels een collectieve schadevordering een passend middel om verandering te bevorderen. Indien de Staat c.s. ook de (financiële) consequenties van hun optreden ondervinden, mag worden aangenomen dat zij zich ervoor zullen inzetten hun gedrag te verbeteren.

25. De vorderingen sub K (verklaringen voor recht), sub M (immateriële schade) en N (materiële schade) worden mede met het oog op voorgaand belang ingesteld.

1.2.4

Vergoeding van de schade van de Gedupeerden

26. Alle Gedupeerden van het GGD-datalek hebben schade geleden. Die dient te worden vergoed. Dat geldt voor zowel de Gedupeerden Categorie A als de Gedupeerden Categorie B. De Gedupeerden lijden immateriële schade doordat zij de controle over hun persoonsgegevens kwijt zijn. Dat levert bovendien reële gevoelens van onzekerheid, stress en angst op (…). Zij moeten continu waakzaam zijn. De Gedupeerden lijden materiële schade doordat zij, voor zover mogelijk, persoonsgegevens moeten (laten) aanpassen en continu moeten controleren of hun gegevens door criminelen niet gebruikt worden om bijvoorbeeld bankgegevens te wijzigen of bestellingen te doen op hun naam (…).

27. Ten aanzien van de Gedupeerden Categorie B is niet veel discussie denkbaar dat zij schade hebben geleden: hun gegevens zijn gestolen.

28. Ten aanzien van Gedupeerden Categorie A is een meer principiële discussie denkbaar. Die discussie gaat over de vraag of het feit dat persoonsgegevens zijn gelekt en blootgesteld zijn geweest aan diefstal, reeds schade bij die Gedupeerden veroorzaakt of kan veroorzaken.

29. Stichting ICAM meent van wel. De Gedupeerden Categorie A verkeren immers in onzekerheid over wat er met hun persoonsgegevens is gebeurd of zal gebeuren en of hun gegevens wel of niet gestolen zijn. Doordat de Staat c.s. onvoldoende controlemechanismen hadden geïmplementeerd (…), kunnen zij van geen enkele Gedupeerde uitsluiten dat gegevens zijn gestolen. Feit is dat het datalek en de wetenschap daarvan gevoelens van gemis aan controle en risico op feitelijk misbruik teweeg brengen. Dat is schade, ook als er geen materiële schade wordt toegebracht. Zeker bij een zo ernstig datalek als het GGD-datalek.

30. Een andere opvatting zou ook tot onaanvaardbare gevolgen leiden. Karakteristiek voor schendingen van de AVG is dat ze primair niet tot schade aan zaken leiden, maar tot onjuist behandelen van gegevens. Inherent daaraan is vervolgens dat in veel gevallen (i) niet komt vast te staan of dat tot concrete gevolgen heeft geleid of op enig moment zal leiden, en (ii) als dat wel zo is, causaal verband moeilijk kan worden aangetoond, omdat dezelfde persoonsgegevens ook buit kunnen zijn gemaakt via bijvoorbeeld een ander datalek. De Gedaagden hebben dit verweer ook al gevoerd (…).

31. Anders gezegd: voor een Gedupeerde is het vaak onmogelijk om aan te tonen dat een schending van de AVG tot een concreet aan te wijzen gevolg heeft geleid, anders dan de blootstelling of de diefstal zelf. Indien die blootstelling of diefstal geen recht zou geven op schadevergoeding, wordt het recht op schadevergoeding voor AVG-schendingen vrijwel illusoir en daarmee ook de civielrechtelijke handhaving van die normen. Dat is ongewenst. Het heeft bovendien een breder maatschappelijk gevolg, namelijk dat de goede werking van de AVG onaanvaardbaar zal afnemen. Indien schending van de AVG financieel geen of vrijwel geen gevolgen heeft, zal de prikkel om de AVG na te leven bijzonder laag worden.

32. Wil de AVG doeltreffende waarborgen bieden tegen flagrante schendingen, dan dient deze zodanig te worden uitgelegd dat toekenning van immateriële schadevergoeding de norm is bij ernstige schendingen zoals het GGD-datalek.

33. Er is over dit onderwerp momenteel een aantal procedures aanhangig bij het HvJEU. Stichting ICAM zal deze zaken bespreken in paragraaf 5.2.1.4.

34. De vorderingen sub M (immateriële schade) en N (materiële schade) zijn gericht op beantwoording van voormelde principiële vragen en het verkrijgen van de bedoelde schadevergoeding.

4.3.

ICAM licht in nummer 47 van de dagvaarding haar verzoek respectievelijk vordering in het (voorwaardelijk) incident als volgt toe:

Nu de uitkomst van de Woo-procedures nog niet bekend is en de Staat c.s. er alles aan lijken te doen om informatie achter te houden, verzoekt Stichting ICAM de rechtbank om de Staat c.s. te bevelen om bepaalde stukken in het geding te brengen ex artikel 22 Rv en stelt Stichting ICAM een aantal incidentele vorderingen in die erop zijn gericht om duidelijkheid te krijgen over (de omvang en gevolgen van) het GGD-datalek, waaronder een exhibitievordering ex artikel 843a Rv en een vordering tot het bevelen van een deskundigenbericht (…).

4.4.

De Staat, GGD GHOR en de GGD’en c.s. hebben ieder op de voet van artikel 1018c lid 5, laatste volzin, Rv een conclusie van antwoord genomen die zich (voornamelijk) beperkt tot de verweren die betrekking hebben op het onder a tot en met c van dat artikellid genoemde.

4.4.1.

De Staat concludeert tot niet-ontvankelijkheid van ICAM.

4.4.2.

GGD GHOR concludeert tot niet-ontvankelijkheid van ICAM in haar vorderingen, althans tot afwijzing van deze vorderingen, met veroordeling van ICAM in de kosten van het geding, alsmede in de gebruikelijke nakosten (zowel zonder als met betekening), te vermeerderen met de wettelijke rente als bedoeld in artikel 6:119 BW vanaf veertien dagen na datum van het vonnis, een en ander bij vonnis, voor zover rechtens mogelijk uitvoerbaar bij voorraad.

4.4.3.

De GGD’en c.s. concluderen dat de rechtbank bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad, (i) bepaalt dat ICAM niet-ontvankelijk is in haar vorderingen jegens hen; (ii) ICAM veroordeelt in de kosten van het geding, inclusief nakosten, een en ander te voldoen binnen veertien dagen na dagtekening van het vonnis, en – voor het geval voldoening van de kosten niet binnen voornoemde termijn plaatsvindt – te vermeerderen met de wettelijke rente over de kosten te rekenen vanaf veertien dagen na dagtekening van het vonnis; (iii) ICAM ten aanzien van de veiligheidsregio’s (gedaagden sub 31 en 32), de gemeenten (gedaagden sub 33 en 34), GGD Gooi & Vechtstreek (gedaagde sub 14) en GGD Amsterdam-Amstelland (gedaagde sub 6) ICAM veroordeelt in de reële proceskosten.

5.De beoordeling in de hoofdzaak

Inleiding

5.1.

ICAM heeft op 28 maart 2023 vorderingen ingesteld als bedoeld in artikel 3:305a BW. Op grond van artikel 1018b lid 1 Wetboek van Burgerlijke Rechtsvordering (Rv) is op de procedure betreffende de door ICAM ingestelde vorderingen titel 14A (Van rechtspleging in zaken betreffende een collectieve actie en collectieve schadeafwikkeling) van het derde boek van het Wetboek van Burgerlijke Rechtsvordering van toepassing.

5.2.

Artikel 1018c Rv luidde op 28 maart 2023, voor zover hier van belang:

1. Onverminderd artikel 111, tweede lid, vermeldt de dagvaarding waarmee de collectieve vordering bedoeld in artikel 305a van Boek 3 van het Burgerlijk Wetboek wordt ingesteld:

a. een omschrijving van de gebeurtenis of de gebeurtenissen waarop de collectieve vordering betrekking heeft;

b. een omschrijving van de personen tot bescherming van wier belangen de collectieve vordering strekt;

c. een omschrijving van de mate waarin de te beantwoorden feitelijke en rechtsvragen gemeenschappelijk zijn;

d. een omschrijving van de wijze waarop voldaan is aan de ontvankelijkheidseisen van artikel 305a, eerste tot en met derde lid, van Boek 3 van het Burgerlijk Wetboek of van de gronden waarop het zesde lid van dat artikel van toepassing is;

e. de gegevens die de rechter in staat stellen om voor deze collectieve vordering een Exclusieve Belangenbehartiger aan te wijzen, voor het geval andere collectieve vorderingen voor dezelfde gebeurtenis overeenkomstig artikel 1018d worden ingesteld;

f. de verplichting van de eiser om van de zaak aantekening te maken in het register, bedoeld in het tweede lid, en om te vermelden wat ingevolge dit artikel de gevolgen zijn van die aantekening.

2. Op straffe van niet ontvankelijkheid wordt in afwijking van artikel 125, tweede lid, het exploot van dagvaarding ter griffie ingediend binnen twee dagen na de dag van dagvaarding, onder gelijktijdige aantekening van de dagvaarding in het centraal register voor collectieve acties als bedoeld in artikel 305a, zevende lid, van Boek 3 van het Burgerlijk Wetboek. De aantekening gaat vergezeld van een afschrift van de dagvaarding.

3. (…).

4. (…).

5. Inhoudelijke behandeling van de collectieve vordering vindt slechts plaats indien en nadat de rechter heeft beslist:

a. dat eiser voldoet aan de ontvankelijkheidseisen van artikel 305a, eerste tot en met derde lid, van Boek 3 van het Burgerlijk Wetboek of dat niet aan deze eisen behoeft te worden voldaan op grond van het zesde lid van dit artikel;

b. dat de eiser voldoende aannemelijk heeft gemaakt dat het voeren van deze collectieve vordering efficiënter en effectiever is dan het instellen van een individuele vordering doordat de te beantwoorden feitelijke en rechtsvragen in voldoende mate gemeenschappelijk zijn, het aantal personen tot bescherming van wier belangen de vordering strekt, voldoende is en, indien de vordering strekt tot schadevergoeding, dat zij alleen dan wel gezamenlijk een voldoende groot financieel belang hebben;

c. dat niet summierlijk van de ondeugdelijkheid van de collectieve vordering blijkt op het moment waarop het geding aanhangig wordt.

In afwijking van artikel 128, derde lid, mag de verweerder volstaan met de verweren die betrekking hebben op het onder a tot en met c genoemde, totdat hierover is beslist.

5.3.

Artikel 3:305a BW luidde op 28 maart 2023, voor zover hier van belang:

1. Een stichting of vereniging met volledige rechtsbevoegdheid kan een rechtsvordering instellen die strekt tot bescherming van gelijksoortige belangen van andere personen, voor zover zij deze belangen ingevolge haar statuten behartigt en deze belangen voldoende zijn gewaarborgd.

2. De belangen van de personen tot bescherming van wier belangen de rechtsvordering strekt, zijn voldoende gewaarborgd, wanneer de rechtspersoon als bedoeld in lid 1, voldoende representatief is, gelet op de achterban en de omvang van de vertegenwoordigde vorderingen en beschikt over:

a. een toezichthoudend orgaan, tenzij uitvoering is gegeven aan artikel 9a, lid 1, van Boek 2 van het Burgerlijk Wetboek;

b. passende en doeltreffende mechanismen voor de deelname aan of vertegenwoordiging bij de besluitvorming van de personen tot bescherming van wier belangen de rechtsvordering strekt;

c. voldoende middelen om de kosten voor het instellen van een rechtsvordering te dragen, waarbij de zeggenschap over de rechtsvordering in voldoende mate bij de rechtspersoon ligt;

d. een algemeen toegankelijke internetpagina, waarop de volgende informatie beschikbaar is:

1°. de statuten van de rechtspersoon;

2°. de bestuursstructuur van de rechtspersoon;

3°. de laatst vastgestelde jaarlijkse verantwoording op hoofdlijnen van het toezichthoudend orgaan over het door haar uitgevoerde toezicht;

4°. het laatst vastgestelde bestuursverslag;

5°. de bezoldiging van bestuurders en de leden van het toezichthoudend orgaan;

6°. de doelstellingen en werkwijzen van de rechtspersoon;

7°. een overzicht van de stand van zaken in lopende procedures;

8°. indien een bijdrage wordt gevraagd van de personen tot bescherming van wier belangen de rechtsvordering strekt: inzicht in de berekening van deze bijdrage;

9°. een overzicht van de wijze waarop personen tot bescherming van wier belangen de rechtsvordering strekt zich kunnen aansluiten bij de rechtspersoon en de wijze waarop zij deze aansluiting kunnen beëindigen;

e. voldoende ervaring en deskundigheid ten aanzien van het instellen en voeren van de rechtsvordering.

3. Een rechtspersoon als bedoeld in lid 1 is slechts ontvankelijk indien:

a. de bestuurders betrokken bij de oprichting van de rechtspersoon, en hun opvolgers, geen rechtstreeks of middellijk winstoogmerk hebben, dat via de rechtspersoon wordt gerealiseerd;

b. de rechtsvordering een voldoende nauwe band met de Nederlandse rechtssfeer heeft. Van een voldoende nauwe band met de Nederlandse rechtssfeer is sprake, wanneer:

1°. de rechtspersoon genoegzaam aannemelijk maakt dat het merendeel van de personen tot bescherming van wier belangen de rechtsvordering strekt, zijn gewone verblijfplaats in Nederland heeft; of

2°. degene tegen wie de rechtsvordering zich richt, woonplaats in Nederland heeft en bijkomende omstandigheden wijzen op voldoende verbondenheid met de Nederlandse rechtssfeer; of

3°. de gebeurtenis of de gebeurtenissen waarop de rechtsvordering betrekking heeft, in Nederland heeft of hebben plaatsgevonden;

c. de rechtspersoon in de gegeven omstandigheden voldoende heeft getracht het gevorderde door het voeren van overleg met de verweerder te bereiken. Een termijn van twee weken na de ontvangst door de verweerder van een verzoek tot overleg onder vermelding van het gevorderde, is daarvoor in elk geval voldoende.

4. (…).

5. Een rechtspersoon als bedoeld in lid 1 stelt een bestuursverslag en een jaarrekening op overeenkomstig het bepaalde voor verenigingen en stichtingen in respectievelijk de artikelen 49 en 300 en in Titel 9 van Boek 2. Onverminderd het in titel 9 bepaalde, wordt het bestuursverslag binnen acht dagen na vaststelling op de algemene (algemeen; rechtbank) toegankelijke internetpagina van de rechtspersoon gepubliceerd.

6. (…).

7. Er is een centraal register voor collectieve vorderingen als bedoeld in dit artikel. Dit register wordt gehouden door een bij algemene maatregel van bestuur aan te wijzen instantie.

5.4.

Met ingang van 25 juni 2023 zijn artikel 3:305a BW en titel 14A van het derde boek van het Wetboek van Burgerlijke Rechtsvordering gewijzigd. Op grond van artikel 119a Overgangswet nieuw Burgerlijk Wetboek en artikel VI van de Implementatiewet richtlijn representatieve vorderingen voor consumenten blijven in deze zaak van toepassing artikel 3:305a BW en titel 14A van het derde boek van het Wetboek van Burgerlijke Rechtsvordering zoals deze golden ten tijde van het instellen van de vorderingen. Het zijn dan ook deze bepalingen die in dit vonnis zullen worden toegepast. Omwille van de leesbaarheid zal bij inmiddels gewijzigde artikelen niet worden vermeld dat het om verouderde artikelen gaat.

Artikel 1018c lid 1 Rv

5.5.

Op grond van artikel 1018c lid 1 Rv moet de dagvaarding waarmee een collectieve vordering wordt ingesteld een aantal omschrijvingen en gegevens bevatten.

5.5.1.

ICAM geeft in de dagvaarding geen afzonderlijke omschrijving van de gebeurtenis of de gebeurtenissen waarop haar collectieve vordering betrekking heeft. Zij verwijst in nummer 725 onder a naar “de eerdere hoofdstukken van deze Dagvaarding”. Uit die hoofdstukken blijkt dat het gaat om onvoldoende bescherming van persoonsgegevens waardoor medewerkers van de GGD’en die toegang hadden tot de IT-systemen zich deze persoonsgegevens hebben toegeëigend, althans hebben kunnen toe-eigenen, en deze persoonsgegevens ter beschikking van derden (personen zonder toegang tot de IT-systemen van de GGD’en) hebben gesteld, althans hebben kunnen stellen.

5.5.2.

ICAM omschrijft de personen tot bescherming van wier belangen haar collectieve vordering strekt in nummer 14 van de dagvaarding als “alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één of beide GGD-systemen ten tijde van het GGD-datalek”. ICAM onderscheidt binnen deze groep twee categorieën: “Personen waarvan onzeker is of hun persoonsgegevens als gevolg van het GGD-datalek zijn ontvreemd (Gedupeerden Categorie A (…))” en “Personen waarvan vaststaat of zal worden vastgesteld dat hun persoonsgegevens als gevolg van het GGD-datalek door ongeautoriseerde personen zijn ingezien of bij ongeautoriseerde personen in handen zijn gekomen (Gedupeerden Categorie B (…))”. ICAM definieert Gedupeerden Categorie A nader als: “Alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één van of beide GGD-systemen in de periode tussen ingebruikname daarvan in verband met de bestrijding van corona en 1 februari 2021, bijvoorbeeld omdat zij een afspraak hebben gemaakt bij een GGD om te testen of vaccineren in verband met corona of omdat zij onderdeel zijn geweest van bron- en contactonderzoek in verband met corona, met uitzondering van de personen die deel uitmaken van Gedupeerden Categorie B”. ICAM definieert Gedupeerden Categorie B nader als: “Alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in één van of beide GGD-systemen in de periode tussen ingebruikname daarvan in verband met de bestrijding van corona en 1 februari 2021, bijvoorbeeld omdat zij een afspraak hebben gemaakt bij een GGD om te testen of vaccineren in verband met corona of omdat zij onderdeel zijn geweest van bron- en contactonderzoek in verband met corona, en waarvan vaststaat of zal worden vastgesteld dat hun persoonsgegevens als gevolg van het GGD-datalek door ongeautoriseerde personen zijn ingezien of bij ongeautoriseerde personen in handen zijn gekomen, zoals door het ongeoorloofd inzien, downloaden, exporteren, printen, kopiëren, fotograferen en/of (…) aanbieden, verhandelen, ontvangen of op andere wijze delen van de persoonsgegevens”. Categorie A bestond volgens ICAM in januari 2021 uit ongeveer 6,5 miljoen personen.

5.5.3.

Voor een omschrijving van de mate waarin de te beantwoorden feitelijke en rechtsvragen gemeenschappelijk zijn verwijst ICAM in nummer 725 onder c van de dagvaarding naar de paragrafen 9.1.1 (Gelijksoortige belangen die zich voor bundeling lenen) en 9.4.1 (Feitelijke en rechtsvragen zijn voldoende gemeenschappelijk).

5.5.4.

Voor een omschrijving van de wijze waarop voldaan is aan de ontvankelijkheidseisen van artikel 3:305a leden 1 tot en met 3 BW verwijst ICAM in nummer 725 onder d van de dagvaarding naar paragraaf 9.1 (Stichting ICAM is ontvankelijk onder artikel 3:305a BW). Naar aanleiding van paragraaf 3 (Preliminair punt van procesorde: ICAM heeft de ontvankelijkheidsvereisten onvoldoende onderbouwd) van de conclusie van antwoord van GGD GHOR en paragraaf II (Punt van procesorde) van de conclusie van antwoord van de GGD’en c.s. overweegt de rechtbank dat de omschrijvingseis van artikel 1018c lid 1 onder d Rv moet worden onderscheiden van de ontvankelijkheidseisen van artikel 3:305a leden 1 tot en met 3 BW. Als, zoals GGD GHOR en de GGD’en c.s. aanvoeren, de omschrijving de ontvankelijkheid inhoudelijk niet kan dragen, zal dit blijken bij de hierna uit te voeren ontvankelijkheidstoetsing.

5.5.5.

Voor de gegevens die de rechter in staat stellen om voor deze collectieve vordering een Exclusieve Belangenbehartiger aan te wijzen, voor het geval andere collectieve vorderingen voor dezelfde gebeurtenis overeenkomstig artikel 1018d Rv worden ingesteld, verwijst ICAM in nummer 725 onder e van de dagvaarding naar paragraaf 9.4.2 (Stichting ICAM als Exclusieve Belangenbehartiger).

5.5.6.

Voor haar verplichting om van de zaak aantekening te maken in het centraal register voor collectieve vorderingen en om te vermelden wat ingevolge artikel 1018c Rv de gevolgen zijn van die aantekening verwijst ICAM in nummer 725 onder f van de dagvaarding naar paragraaf 9.4.3 (Aantekening in het centraal register (…) voor collectieve vorderingen en de gevolgen daarvan).

Artikel 1018c lid 2 Rv

5.6.

De rechtbank stelt vast dat voldaan is aan de op straffe van niet-ontvankelijkheid voorgeschreven handelingen als bedoeld in artikel 1018c lid 2 Rv. De op 28 maart 2023 uitgebrachte dagvaardingen zijn op dezelfde datum aangetekend in het centraal register voor collectieve vorderingen en zijn op 29 maart 2023 ingekomen ter griffie van deze rechtbank.

Inleiding tot de ontvankelijkheidstoetsing

5.7.

Bij wijze van inleiding tot de ontvankelijkheidstoetsing overweegt de rechtbank het volgende.

5.7.1.

De ontvankelijkheidseisen van artikel 3:305a BW en artikel 1018c lid 5 Rv betreffen enerzijds ICAM zelf en anderzijds de door ICAM ingestelde vorderingen.

5.7.2.

De rechter toetst zo nodig (ook) ambtshalve of zich een van de gronden a tot en met c van artikel 1018c lid 5 Rv voordoet, aldus de Memorie van Toelichting bij de WAMCA^[1].

5.7.3.

Artikel 1018c lid 5 onder c Rv noemt als toetsingsmoment het moment waarop het geding aanhangig wordt (in dit geval: 28 maart 2023). Voor artikel 1018c lid 5 onder a en b Rv is het toetsingsmoment de datum waarop de ontvankelijkheidsbeslissing wordt genomen.

5.7.4.

In dit geval is voor de ontvankelijkheid van ICAM en de door haar ingestelde vorderingen tevens van belang artikel 80 (Vertegenwoordiging van betrokkenen) Algemene verordening gegevensbescherming^[2](AVG), dat luidt:

1. De betrokkene heeft het recht een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doelstellingen het algemeen belang dienen en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen, namens hem de in artikelen 77, 78 en 79 bedoelde rechten uit te oefenen en namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen, indien het lidstatelijke recht daarin voorziet.

2. De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1 van dit artikel, over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat een klacht in te dienen bij de overeenkomstig artikel 77 bevoegde toezichthoudende autoriteit en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen, indien het, onderscheidenlijk zij, van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking.

Voorts is van belang artikel 37 Uitvoeringswet AVG, dat luidt:

Een verwerking kan niet ten grondslag worden gelegd aan een vordering als bedoeld in artikel 305a, van Boek 3 van het Burgerlijk Wetboek, voor zover degene die door deze verwerking wordt getroffen, daartegen bezwaar heeft.

5.7.5.

De omstandigheid dat de minister voor Rechtsbescherming op 18 april 2024 ICAM op haar aanvraag heeft aangewezen als bevoegde instantie als bedoeld in artikel 3:305e BW is voor de in dit vonnis uit te voeren ontvankelijkheidstoetsing niet relevant. Dit betreft namelijk een aanwijzing als bedoeld in artikel 4 lid 3 van de Richtlijn representatieve vorderingen^[3], te weten een
“aanwijzing als bevoegde instantie voor het instellen van grensoverschrijdende representatieve vorderingen”. Uit de aan genoemde Richtlijn voorafgaande overweging 23 blijkt dat als een bevoegde instantie een representatieve vordering instelt in de lidstaat waar zij is aangewezen, die representatieve vordering moet worden beschouwd als een binnenlandse representatieve vordering. Dus is in dit geval de aanwijzing van ICAM als bevoegde instantie voor het instellen van grensoverschrijdende representatieve vorderingen van geen betekenis voor de beoordeling van haar ontvankelijkheid in deze binnenlandse representatieve vordering.

Zie ook artikel 4 lid 6 van de Richtlijn representatieve vorderingen:

“De lidstaten kunnen een instantie op haar verzoek op ad-hocbasis aanwijzen als een instantie die bevoegd is voor het instellen van een welbepaalde binnenlandse representatieve vordering, mits die instantie voldoet aan de criteria om als bevoegde instantie te worden aangewezen in het nationaal recht.”

Deze situatie doet zich hier voor.

5.7.6.

Hierna zal eerst de ontvankelijkheid van ICAM zelf worden beoordeeld en vervolgens haar ontvankelijkheid in de door haar ingestelde vorderingen. Op de daartoe meest geëigende plaatsen zal tevens worden ingegaan op de daar relevante AVG-bepaling(en).

Stichting (artikelen 3:305a lid 1 BW en 80 AVG)

5.8.

ICAM is een stichting in de zin van artikel 2:285 lid 1 BW en daarmee zowel een stichting in de zin van artikel 3:305a lid 1 BW als een organisatie in de zin van artikel 80 AVG.

Belangen van andere personen (artikelen 3:305a lid 1 BW en 80 AVG)

5.9.

ICAM heeft vorderingen ingesteld die strekken tot bescherming van de belangen van de personen voor wie zij opkomt. Dit betreft ook de uitoefening, onafhankelijk van de opdracht van de betrokkenen, van de in artikel 79 AVG bedoelde rechten op de voet van artikel 80 lid 2 AVG. Dit betreft voorts ook de uitoefening, namens de betrokkenen, van het in artikel 82 bedoelde recht op schadevergoeding op de voet van artikel 80 lid 1 AVG. Op de vraag of het Nederlandse recht in dit laatste voorziet, komt de rechtbank, zo nodig, hierna terug.

Statuten (artikelen 3:305a lid 1 BW en 80 AVG)

5.10.

De artikelen 3:305a lid 1 BW en 80 AVG stellen eisen aan de statuten van de belangenorganisatie. Artikel 80 AVG schrijft voorts voor dat de belangenorganisatie actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens.

5.10.1.

Tussen partijen is niet in geschil dat ICAM de belangen tot bescherming waarvan haar vorderingen strekken ingevolge haar statuten behartigt. De rechtbank ziet geen aanleiding om hierover ambtshalve anders te oordelen.

5.10.2.

Tussen partijen is ook niet in geschil dat de statutaire doelstellingen van ICAM het algemeen belang dienen. De rechtbank ziet geen aanleiding om hierover ambtshalve anders te oordelen.

5.10.3.

De Staat en GGD GHOR voeren aan dat ICAM niet, althans niet voldoende, actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens. Zij wijzen erop dat ICAM op 25 november 2021 is opgericht, dat de collectieve actie van deze zaak haar eerste collectieve actie is en dat haar tweede collectieve actie niet over het in artikel 80 AVG bedoelde gebied gaat.

De rechtbank neemt het oordeel van deze rechtbank van 30 juni 2021, ECLI:NL:RBAMS:2021:3307 (Facebook) over en maakt het tot het hare: aan het actief zijn op het gebied van gegevensbescherming als bedoeld in artikel 80 AVG hoeven vanuit een oogpunt van effectieve uitoefening van handhavingsmogelijkheden geen hoge eisen te worden gesteld. Ook uit de considerans bij de AVG blijkt niet dat dit begrip restrictief zou moeten worden uitgelegd.

Volgens artikel 3.2 onder a van haar statuten rekent ICAM in het bijzonder tot haar doel het optreden tegen (dreigende) inbreuken op het recht op bescherming van de persoonlijke levenssfeer en bescherming van persoonsgegevens, waaronder in het bijzonder tegen inbreuken door de overheid en/of overheidsinstanties.

ICAM noemt in de dagvaarding een aantal activiteiten die zij sinds haar oprichting heeft ondernomen. Haar activiteiten komen op dit moment vooral tot uitdrukking in deze zaak. Gelet hierop ontplooit ICAM daadwerkelijk activiteiten en is voldaan aan het vereiste dat ICAM actief is op het in artikel 80 AVG bedoelde gebied.

Waarborgvereiste (artikel 3:305a leden 1 en 2 BW)

5.11.

Het in artikel 3:305a leden 1 en 2 BW geregelde waarborgvereiste bestaat uit twee delen.

Representativiteitsvereiste (artikel 3:305a leden 1 en 2 BW)

5.12.

Dit betreft allereerst het representativiteitsvereiste.

5.12.1.

De Staat, GGD GHOR en de GGD’en c.s. voeren aan dat ICAM niet aan dit vereiste voldoet. Volgens hen is het door ICAM gehanteerde aanmeldproces gebrekkig en is de door ICAM gestelde aanhang in elk geval niet voldoende.

5.12.2.

De rechtbank stelt voorop dat onder de achterban van ICAM is te verstaan het deel van de personen voor wie zij opkomt dat zich met het oog op haar collectieve vordering aan haar heeft verbonden.

5.12.3.

De rechtbank stelt verder voorop dat de enkele omstandigheid dat sommige personen voor wie ICAM opkomt niet achter haar collectieve vordering staan niet aan haar representativiteit in de weg hoeft te staan.

5.12.4.

De rechtbank stelt vast dat ICAM geen onderscheid heeft gemaakt tussen Categorie A en Categorie B, in die zin dat zij stelt dat zij voor elke categorie een voldoende achterban heeft. ICAM stelt in dit verband wel dat Categorie B mede bestaat uit personen die niet weten en ook niet kunnen weten dat zij tot deze categorie behoren. De rechtbank komt hierna onder 5.20.20 op dit punt terug.

5.12.5.

ICAM heeft in het geding gebracht een Rapport constateringen Stichting ICAM v. de Staat, gedateerd 9 april 2024, van DigiJuris B.V. (hierna: DigiJuris) te Deventer en een proces-verbaal van constatering, gedateerd 11 april 2024, van W.L.D. Karsseboom , kandidaat-gerechtsdeurwaarder werkzaam op het kantoor van mr. S.J.W. van der Putten , gerechtsdeurwaarder te Amsterdam.

Paragraaf 3 (Werkwijze) van het rapport van DigiJuris luidt, voor zover hier van belang:

In het bijzijn van de deurwaarder is het aanmeldproces op de website van ICAM doorlopen. De deurwaarder heeft hiervan in zijn proces-verbaal een beschrijving opgenomen.

Paragraaf 5 (Conclusies) van het rapport van DigiJuris luidt:

Terugkomend op het informatieverzoek van ICAM trekken wij de volgende conclusies:

1. De aangemelde belanghebbenden hebben zich aangemeld volgens het registratieproces zoals (…) besproken. Dit registratieproces is door ons getest en gecontroleerd;

2. Het aantal belanghebbenden (zowel in Nederland woonachtig als daarbuiten) dat op 11 maart 2024 geregistreerd is, is 118.504 volwassenen en 19.740 minderjarigen;

3. Ondanks dat tijdens het aanmeldproces om verschillende soorten (contact-)gegevens wordt gevraagd, hebben niet alle deelnemers alle velden (correct) ingevuld. De volgende (contact-)gegevens zijn door het totale aantal deelnemers opgegeven:

Volwassenen

Minderjarigen

Aantal unieke, niet-geannuleerde aanmeldingen waarvan leeftijd klopt

118.504

19.74

Waarvan voor- en achternaam >2 karakters

118.051

19.689

Waarvan woonplaats >2 karakters

117.839

n.v.t.

Waarvan correct e-mailadres

117.668

18.983

Waarvan correcte geboortedatum

117.642

18.974

Aantal unieke aanmeldingen waarbij voor- en achternaam, woonplaats, e-mailadres én geboortedatum correct zijn ingevoerd

117.642

18.974

4. Het aantal belanghebbenden dat (waarschijnlijk) in Nederland woonachtig is onderverdeeld in de volgende categorieën:

a. Nederlandse woonplaats: 117.156 volwassenen en 18.161 minderjarigen;

b. Geen Nederlandse woonplaats, maar wel een Nederlands e-maildomein: 90 volwassenen en 12 minderjarigen;

5. Het overgrote deel van de geregistreerde deelnemers heeft een overeenkomst getekend, waarbij twee verschillende overeenkomsten gebruikt zijn. Door 64.262 volwassenen en 10.701 minderjarigen is de eerste deelnemersovereenkomst geaccepteerd en door 53.214 volwassenen en 8.245 minderjarigen is de tweede deelnemersovereenkomst geaccepteerd. Door 166 volwassenen en 28 minderjarigen is geen overeenkomst getekend.

6. De verdeling van de aanmeldingen per maand is als volgt:

Aantal unieke, valide aanmeldingen volwassenen

Aantal unieke, valide aanmeldingen minderjarigen

December 2021

(…)

Maart 2024

(…)

(blank), geen datum

(…)

Totaal

117.642

18.974

7. Het aantal belanghebbenden per categorie is:

Aantal unieke, valide aanmeldingen volwassenen

Aantal unieke, valide aanmeldingen minderjarigen

11. Coronatest

20.527

8.886

12. Vaccinatie

17.274

855

13. Bron- en contactonderzoek

629

236

14. ‘Ik weet het niet’

1.591

248

15. Test en vaccinatie (A)

44.889

3.227

16. Test en brononderzoek (B)

9.61

3.721

17. Vaccinatie en brononderzoek (C)

975

18. Test, vaccinatie en brononderzoek (D)

21.582

1.593

19. Combinatie van ‘Ik weet het niet’ en ander antwoord (E)

564

170

20. Geen antwoord ingevuld

Totaal

117.642

18.974

8. Met betrekking tot de authenticiteit van (de gegevens in) de database hebben wij kunnen vaststellen dat de aan ons gerapporteerde tabellen overeenkomen met de niet-manipuleerbare gegevens in Typeform.

5.12.6.

De door DigiJuris vastgestelde absolute aantallen zijn naar het oordeel van de rechtbank voldoende om ICAM representatief te achten. De omstandigheid dat het hier gaat om een beperkt percentage van alle personen voor wie wordt opgekomen doet hieraan niet af.

Overige vereisten

5.13.

Artikel 3:305a lid 2 BW stelt in het kader van het waarborgvereiste voorts een aantal vereisten, gericht op transparantie en een goede
governance. Deze vereisten zullen hierna achtereenvolgens worden behandeld.

Toezichthoudend orgaan

5.13.1.

De Staat en de GGD’en c.s. voeren aan dat de Raad van Toezicht van ICAM in de periode tussen het overlijden van [naam 6] op 21 juni 2022 en de benoeming van [naam 7] op 30 oktober 2023 niet voldeed aan artikel 13.1 van haar statuten. De Staat en de GGD’en c.s. wijzen erop dat ICAM in deze periode dit geding aanhangig heeft gemaakt.

5.13.2.

De rechtbank overweegt dat artikel 3:305a lid 2 onder a BW geen minimumaantal leden van de raad van toezicht voorschrijft. De na het overlijden van [naam 6] resterende twee leden van de Raad van Toezicht van ICAM hebben ook in de periode tussen 21 juni 2022 en 30 oktober 2023 hun statutaire taken en bevoegdheden rechtsgeldig kunnen uitoefenen. De Raad van Toezicht is sinds 30 oktober 2023 weer op sterkte. De overeenkomst met de procesfinancier – waarover hierna onder 5.13.4 meer – was al vóór 21 juni 2022 tot stand gekomen. Bovendien is voor de ontvankelijkheidstoets op grond van artikel 1018 c lid 5 onder a Rv in samenhang met artikel 3:305 lid 2 onder a BW het toetsmoment de datum waarop de ontvankelijkheidsbeslissing wordt genomen. Het tijdelijk onderbezet zijn van de Raad van Toezicht is dus geen reden om ICAM niet ontvankelijk te verklaren.

Deelname aan of vertegenwoordiging bij de besluitvorming

5.13.3.

De Staat, GGD GHOR en de GGD’en c.s. voeren aan dat ICAM niet beschikt over passende en doeltreffende mechanismen voor de deelname aan of vertegenwoordiging bij de besluitvorming van de personen tot bescherming van wier belangen de rechtsvordering strekt.

5.13.4.

De rechtbank overweegt dat de Memorie van Toelichting bij de WAMCA, voor zover hier van belang, luidt^[4]:

Het is aan de belangenorganisatie zelf om te bepalen op welke manier zij invulling wenst te geven aan deze bepaling. Wanneer de belangenorganisatie als vereniging is georganiseerd, kan de vertegenwoordiging bij de besluitvorming worden geregeld via de ledenvergadering. Stichtingen zullen daarom op een andere manier moeten borgen dat aangeslotenen voldoende inspraak hebben op de besluitvorming bij de stichting. Een mogelijkheid is om aangeslotenen in de gelegenheid te stellen zich uit te laten over bepaalde besluiten. Wanneer een belangenorganisatie is ingericht overeenkomstig de Claimcode kan worden aangenomen dat is voldaan aan het vereiste van dit onderdeel.

ICAM stelt dat zij is ingericht overeenkomstig de Claimcode. Niet, althans niet voldoende, gesteld of gebleken is dat, niettemin, door ICAM niet is voldaan aan het vereiste van artikel 3:305a lid 2 onder b BW.

Voldoende middelen en zeggenschap

5.13.5.

Artikel 3:305a lid 2 onder c BW bevat twee voorschriften: (i) de belangenorganisatie moet beschikken over voldoende middelen om de kosten voor het instellen van een rechtsvordering te dragen en (ii) de zeggenschap moet in voldoende mate bij de belangenorganisatie liggen. Het eerste voorschrift is te verstaan als beschikken over voldoende middelen om de redelijkerwijs voorzienbare kosten van het – al dan niet in een bepaalde aanleg – ten einde toe voeren van de procedure te dragen.

5.13.6.

Bij de rolbeslissing van 7 februari 2024 heeft de rechtbank ICAM op de voet van artikel 22 Rv bevolen de overeenkomst met haar procesfinancier op de in die rolbeslissing vermelde wijze in het geding te brengen. ICAM heeft daarop haar overeenkomst, gedateerd 12 juli 2021, met [bedrijf] te [plaats] in het geding gebracht. Aan de rechtbank heeft zij een versie zonder onleesbaar gemaakte delen overgelegd, inclusief bijlagen. Zij heeft daarbij bevestigd dat de aldus verstrekte stukken alle met haar procesfinancier gemaakte afspraken bevatten. De rechtbank heeft zich ervan vergewist dat ICAM over voldoende middelen beschikt om de kosten voor het instellen van haar rechtsvordering te dragen en dat daarbij de zeggenschap over de rechtsvordering in voldoende mate bij haar ligt.

Internetpagina

5.13.7.

Artikel 3:305a lid 2 onder d BW schrijft voor dat de belangenorganisatie beschikt over een algemeen toegankelijke internetpagina, waarop de in deze bepaling beschreven informatie beschikbaar is.

5.13.8.

Het debat over deze bepaling spitst zich toe op het inzicht in de berekening van de bijdrage die wordt gevraagd van de personen tot bescherming van wier belangen de rechtsvordering strekt. ICAM wijst op deze passage op haar website:

Kost het geld om mee te doen? Deelnemen aan deze actie kost jou niets. Dit is een bewuste keuze geweest, in lijn met de missie van onze stichting dat kosten voor gedupeerden geen rol horen te spelen bij het halen van hun recht. ICAM heeft geen winstoogmerk. De procedure wordt gevoerd op basis van “no cure, no pay”. Alle kosten worden betaald door ICAM en je hoeft dus zelf niets te betalen. Alleen als er een schadevergoeding wordt toegekend, vraagt ICAM om een no cure, no pay-vergoeding om de gemaakte kosten en de risico’s te dekken. De no cure, no pay-vergoeding bedraagt 20% van de voor jou geïncasseerde schadevergoeding. ICAM zal proberen om de no cure, no pay-vergoeding door de gedaagde partijen te laten betalen, zodat je ook die vergoeding niet hoeft te betalen.

Naar het oordeel van de rechtbank geeft deze passage voldoende inzicht in de berekening van de bijdrage van de personen voor wie ICAM opkomt.

Conclusie met betrekking tot het waarborgvereiste

5.13.9.

ICAM voldoet aan het representativiteitsvereiste en aan de overige vereisten van artikel 3:305a lid 2 BW.

Artikel 3:305a lid 3 BW

5.14.

Artikel 3:305a lid 3 BW bevat drie, uiteenlopende, ontvankelijkheidseisen.

Geen winstoogmerk (artikel 3:305a lid 3 onder a BW)

5.14.1.

Niet, althans niet voldoende, gesteld of gebleken is dat de bestuurders betrokken bij de oprichting van ICAM, of hun opvolgers, een rechtstreeks of middellijk winstoogmerk hebben, dat via ICAM wordt gerealiseerd.

Band met de Nederlandse rechtssfeer (artikel 3:305a lid 3 onder b BW)

5.14.2.

Gedaagden zijn allen in Nederland gevestigd en het coronadatalek heeft zich in Nederland voorgedaan, zodat aan dit vereiste voldaan.

Overleg (artikel 3:305a lid 3 onder c BW)

5.14.3.

Gesteld noch gebleken is dat ICAM in de gegeven omstandigheden onvoldoende heeft getracht het gevorderde door het voeren van overleg met de Staat, GGD GHOR en de GGD’en c.s. te bereiken.

Geen winstoogmerk (artikel 80 lid 1 AVG)

5.14.4.

Niet, althans niet voldoende, gesteld of gebleken is dat ICAM een winstoogmerk heeft. De enkele omstandigheid dat ICAM gevorderd heeft dat zij een eventueel resterend surplus aan schadevergoeding zal mogen behouden, kan in dit verband niet als voldoende worden aangemerkt. Die vordering zal immers nog door de rechtbank beoordeeld moeten worden. De enkele omstandigheid dat ICAM met haar procesfinancier een bepaald rendement is overeengekomen, maakt ook niet dat ICAM de commerciële belangen van de procesfinancier tot de hare heeft gemaakt. Het is algemeen aanvaard dat belangenbehartigers die een WAMCA-procedure instellen een procesfinancier inschakelen. Dat de procesfinancier een winstoogmerk heeft, betekent niet dat ICAM dat ook heeft.

Jaarrekening (artikel 3:305a lid 5 BW)

5.15.

Aan de door GGD GHOR en de GGD’en c.s. aangevoerde omstandigheid dat ICAM (nog) geen jaarrekening heeft opgesteld, althans gepubliceerd, wordt voorbijgegaan. Artikel 3:305a lid 5 BW schrijft geen publicatie van de jaarrekening voor. Daarnaast blijkt uit artikel 1018c lid 1 onder d en uit artikel 1018c lid 5 onder a Rv dat het opstellen van een jaarrekening niet behoort tot de ontvankelijkheidseisen.

Conclusie met betrekking tot de ontvankelijkheid van ICAM zelf

5.16.

ICAM is ontvankelijk. Omdat ICAM de enige eiser is in deze zaak zal zij worden aangewezen als exclusieve belangenbehartiger.
De vertegenwoordigde groepen personen (groep A en groep B) zullen worden vastgesteld zoals onder I gevorderd.

De beslissing over opt-out en opt-in wordt aangehouden, ICAM wordt in de gelegenheid gesteld zich uit te laten over de wenselijkheid van opt-out en opt-in gezien de in dit vonnis gegeven beslissingen.

Gezien wat zal worden overwogen onder 5.21. zal de rechtbank de beslissing over wat de collectieve vordering precies inhoudt (art. 1018 e lid 2 Rv) aanhouden.

Inleiding tot de toetsing van de ontvankelijkheid van ICAM in de door haar ingestelde vorderingen

5.17.

De WAMCA geeft op verschillende plaatsen voorschriften met betrekking tot de ontvankelijkheid van de belangenorganisatie in de door haar ingestelde collectieve vordering.

Allereerst in artikel 3:305a lid 1 BW: de belangen van de andere personen tot bescherming waarvan de collectieve vordering strekt, moeten gelijksoortig oftewel bundelbaar zijn. Voorts in artikel 1018c lid 5 onder b Rv (meerwaarde): inhoudelijke behandeling van de collectieve vordering vindt slechts plaats indien en nadat de rechter heeft beslist dat de eiser voldoende aannemelijk heeft gemaakt dat het voeren van deze collectieve vordering efficiënter en effectiever is dan het instellen van een individuele vordering doordat de te beantwoorden feitelijke en rechtsvragen in voldoende mate gemeenschappelijk zijn, het aantal personen tot bescherming van wier belangen de vordering strekt voldoende is en, indien de vordering strekt tot schadevergoeding, dat zij alleen dan wel gezamenlijk een voldoende groot financieel belang hebben. Ten slotte in artikel 1018c lid 5 onder c Rv (summierlijke ondeugdelijkheid): inhoudelijke behandeling van de collectieve vordering vindt slechts plaats indien en nadat de rechter heeft beslist dat niet summierlijk van de ondeugdelijkheid van de collectieve vordering blijkt op het moment waarop het geding aanhangig wordt.

5.18.

Hierna komen achtereenvolgens aan de orde (i) de gedaagden, (ii) de vorderingen strekkende tot schadevergoeding en (iii) de overige vorderingen.

De gedaagden

5.19.

Dit betreft allereerst vordering K.I.

5.19.1.

Artikel 4 onder 7) AVG definieert “verwerkingsverantwoordelijke” als “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een andere orgaan die of dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. Het voegt daaraan toe dat wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, daarin kan worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen. Artikel 4 onder 8) AVG definieert “verwerker” als “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”.

5.19.2.

De Staat betwist dat hij verwerkingsverantwoordelijke is. Volgens ICAM en GGD GHOR is dat wel het geval. GGD GHOR stelt daartoe dat zij CoronIT en HPZone Lite heeft ingericht conform de instructies van de Staat, zodat de Staat als verwerkingsverantwoordelijke moet worden beschouwd. Indien de Staat niet verwerkingsverantwoordelijk is, is hij niet aansprakelijk op grond van de AVG, omdat vast staat dat de Staat zelf de gegevens waarover het in dit geding gaat niet heeft verwerkt.
De stelling van ICAM dat zij de aansprakelijkheid ook op onrechtmatige daad baseert leidt niet tot een ander oordeel, omdat als de Staat niet verwerkingsverantwoordelijke is er overigens geen gronden zijn om aan te nemen dat hij toch verantwoordelijkheid draagt voor onvoldoende beveiliging van de door GGD GHOR dan wel de GGD’en verwerkte persoonsgegevens met behulp van CoronIt en HPZone Lite. Als de Staat geen verwerkingsverantwoordelijke is, betekent dit dat summierlijk van de ondeugdelijkheid van de collectieve vordering jegens de Staat blijkt (artikel 1018c lid 5 onder c Rv), zodat ICAM in deze vordering niet ontvankelijk is.
De rechtbank zal de Staat en GGD GHOR op de voet van artikel 22 Rv bevelen bij akte bewijsstukken in het geding te brengen waaruit blijkt welke opdracht aan GGD GHOR is gegeven met betrekking tot het registreren van burgers ten behoeve van testen, vaccineren en bron- en contactonderzoek met betrekking tot Covid-19. ICAM en GGD GHOR c.s. zullen vervolgens in de gelegenheid worden gesteld een antwoordakte te nemen.

5.19.3.

ICAM heeft in de dagvaarding geen omstandigheden gesteld op grond waarvan kan worden aangenomen dat uit de op de wet gebaseerde verantwoordelijkheid van de gemeenten (gedaagden sub 33 en 34) en de veiligheidsregio’s (gedaagden sub 31 en 32) voor de bestrijding van infectieziekten ook kan worden afgeleid dat zij verwerkingsverantwoordelijke in de zin van de AVG zijn voor de met behulp van CoronIT en HPZone Lite verwerkte persoonsgegevens. Vast staat dat zij ook niet zelf met behulp van CoronIT en HPZone Lite persoonsgegevens hebben verwerkt.

De GGD’en c.s. hebben gesteld dat de Gemeentelijke Gezondheidsdienst (GGD) Amsterdam-Amstelland (gedaagde sub 6) en de GGD Gooi & Vechtstreek (gedaagde sub 14) geen gegevens verwerkt hebben met CoronIt en HPZone Lite. ICAM heeft dat niet betwist.
Dit alles leidt tot het oordeel dat summierlijk van de ondeugdelijkheid van de collectieve vorderingen jegens de veiligheidsregio’s, de gemeenten, de Gemeentelijke Gezondheidsdienst (GGD) Amsterdam-Amstelland en de GGD Gooi & Vechtstreek blijkt (artikel 1018c lid 5 onder c Rv), zodat ICAM in deze vorderingen niet-ontvankelijk is. ICAM zal worden veroordeeld in de aan de zijde van deze gedaagden gevallen proceskosten. Voor de door de GGD’en c.s. gevorderde veroordeling van ICAM in de reële proceskosten bestaat geen grond. Dat het ICAM zonder meer duidelijk moest zijn dat zij jegens deze partijen geen enkele vordering kon hebben kan niet worden aangenomen, onder meer omdat de andere GGD’en zich wel bezig hielden met het verwerken van persoonsgegevens in verband met de coronapandemie.

5.19.4.

Omdat ICAM jegens de gedaagden sub 6, 14, 31, 32, 33 en 34 niet ontvankelijk is, zal zij worden veroordeeld in de aan hun zijde gevallen proceskosten. Deze gedaagden zijn bijgestaan door dezelfde advocaat en hebben een gezamenlijk griffierecht betaald. De kosten aan de kant van deze partijen worden begroot op 6/29ste deel van EUR 17.233,00 (EUR 8.519,00 aan griffierecht en EUR 8.714,00 aan salaris advocaat (twee punten, tarief VIII)). Dit is EUR 3.565,49. Daarbij komt EUR 178,00 aan nakosten, te vermeerderen zoals in de beslissing is bepaald.

De vorderingen strekkende tot schadevergoeding

5.20.

Dit betreft de vorderingen M en N.

De omvang van het datalek

5.20.1.

ICAM en gedaagden zijn het oneens over de omvang van het datalek. Gedaagden erkennen dat er een datalek is geweest, personen die op rechtmatige wijze toegang hadden tot persoonsgegevens die konden worden geraadpleegd met behulp van CoronIT hebben die persoonsgegevens gefotografeerd, dan wel overgenomen of op andere wijze zich toegeëigend. Volgens gedaagden blijkt uit het politieonderzoek dat dit is gebeurd bij niet meer dan 1.373 personen. Volgens ICAM is er een datalek van veel grotere omvang; het gaat volgens haar om zowel CoronIT als HPZone Lite en voorts om de gegevens van tienduizenden personen.

5.20.2.

ICAM baseert zich voornamelijk op berichten van RTL, die gebaseerd zijn op contacten met personen die zeggen te beschikken over bij de GGD’en gestolen persoonsgegevens. Of de persoonsgegevens waarover die personen zeggen te beschikken daadwerkelijk afkomstig zijn uit de systemen van de GGD’en is nimmer vastgesteld, omdat RTL, die over een voorbeeldbestand zegt te hebben beschikt, dit heeft gewist.

5.20.3.

Voor zover ICAM zich baseert op rapporten en dergelijke die hebben gecirculeerd bij GGD GHOR of de GGD’en is daar soms zijdelings sprake van een verondersteld datalek van grote omvang, maar deze bewijsstukken gaan daar niet over en zijn geen weerslag van daarnaar gedaan onderzoek, maar betreffen andere onderwerpen, zoals de uitfasering van HP Zone Lite of het
IT assessment. Wat de bron is van de opmerkingen over het datalek en de omvang daarvan kan uit die stukken niet worden afgeleid, in ieder geval is dat niet een eigen onderzoek naar het datalek.

5.20.4.

De informatie van een anonieme ambtenaar over de bekendheid van de kwetsbaarheid van de systemen kan relevant zijn voor de vraag of voldoende voorzorgsmaatregelen zijn genomen om een datalek te voorkomen, maar uit die mededelingen kan niets worden afgeleid over (de omvang van) het daadwerkelijk opgetreden datalek.

5.20.5.

Het enige onderzoek dat is gedaan naar het datalek is het politieonderzoek, waarin een aantal verdachten naar voren is gekomen. Deze verdachten zijn vervolgd en veroordeeld. Grootschalige diefstal van persoonsgegevens is uit dat onderzoek niet gebleken. Naar ICAM terecht stelt kan daaruit niet zonder meer de conclusie worden getrokken dat er geen andere datadiefstal heeft plaatsgevonden dan die welke de politie heeft vastgesteld.

5.20.6.

Gedaagden hebben er op gewezen dat als er daadwerkelijk gegevens van zoveel mensen buitgemaakt zouden zijn als ICAM stelt, er inmiddels wel veel meer gevallen van misbruik van die persoonsgegevens zouden zijn gebleken. ICAM heeft in haar processtukken de verklaringen opgenomen van zes personen die menen dat nadat zij hun gegevens aan de GGD hadden toevertrouwd, die gegevens bij derden terecht waren gekomen. Ter zitting daarnaar gevraagd kon ICAM niet zeggen of er ook personen zijn die hebben verklaard dat hun BSN door het coronadatalek in verkeerde handen is gekomen.

5.20.7.

Hoewel dit alles te denken geeft en bij een groot datalek gevolgen bij een groot aantal personen verwacht zouden mogen worden, zal de rechtbank er hierna bij de bespreking van de vorderingen tot schadevergoeding veronderstellenderwijs van uitgaan dat er behalve de gegevens van personen waarvan in het politieonderzoek is vastgesteld dat die gestolen zijn ook in CoronIT en HPZone Lite geregistreerde persoonsgegevens van een onbekend aantal andere personen in verkeerde handen terecht zijn gekomen.

Immateriële schade

5.20.8.

Volgens ICAM lijden alle personen waarvan gegevens zijn geregistreerd in CoronIT en/of HPZone Lite immateriële schade. Zij allen zijn door het datalek de controle over hun persoonsgegevens verloren. Zij verkeren immers in onzekerheid over wat er met hun persoonsgegevens is gebeurd of zal gebeuren en of hun gegevens wel of niet gestolen zijn. Die vrees levert immateriële schade op. Van iedereen die bij de GGD’en in een van de systemen is geregistreerd zijn volgens ICAM de volgende gegevens vastgelegd: naam, adres, woonplaats, e-mailadres, telefoonnummer, BSN.
Omdat alle leden van deze groep in dezelfde situatie verkeren zijn hun vordering volgens ICAM bundelbaar.

5.20.9.

Gedaagden bestrijden dit. Zij menen dat er veel individuele omstandigheden zijn die voor de beoordeling van een vordering tot vergoeding van immateriële schade relevant zijn, zodat de vorderingen niet bundelbaar zijn. Zij noemen als relevante omstandigheden die voor de verschillende bij de GGD’en geregistreerde personen verschillen onder meer de volgende omstandigheden:

- de datadiefstal had betrekking op twee heel verschillende systemen, waarin van uiteenlopende personen verschillende soorten van gegevens zijn opgenomen, die voor heel verschillende doeleinden werden gebruikt;

- niet steeds werden per persoon dezelfde gegevens geregistreerd,

- de omvang en aard van de door de onderscheiden personen daadwerkelijk geleden schade is in vergaande mate afhankelijk van hun individuele en persoonlijke omstandigheden.

5.20.10.

De rechtbank acht de omstandigheden waarin de personen in groep A verkeren in vergaande mate vergelijkbaar. Allen weten niet of hun gegevens mogelijk betrokken zijn bij een datalek en allen weten niet welke gegevens van hen in dat geval bij derden terecht gekomen kunnen zijn, die mogelijk misbruikt kunnen worden. Voor de vraag of niet alleen de omstandigheden maar ook de vorderingen van de leden van deze groep zozeer met elkaar overeenstemmen dat deze bundelbaar zijn, zal eerst moeten worden onderzocht of er in dit geval recht kan bestaan op vergoeding van immateriële schade.

5.20.11.

Over de vraag in welke gevallen bij een schending van de AVG immateriële schadevergoeding kan worden toegekend heeft het HvJ EU een aantal uitspraken gedaan, die hierna zullen worden besproken, voor zover relevant voor deze zaak.

5.20.12.

Het HvJ EU heeft in het arrest Östereichische Post^[5]onder meer beslist dat de AVG zo moet worden uitgelegd dat een inbreuk op de bepalingen van deze verordening op zich niet volstaat voor de toekenning van een recht op schadevergoeding. Het bestaan van „geleden schade” is een van de voorwaarden voor het recht op vergoeding. Voor het bepalen van de omvang van de schadevergoeding moet de rechter het nationale recht toepassen.

5.20.13.

In het arrest VB/NAP^[6]is onder meer beslist dat artikel 82 van de AVG zo moet worden uitgelegd dat de vrees die een betrokkene na een inbreuk op deze verordening koestert voor mogelijk misbruik van zijn persoonsgegevens door derden, op zich „immateriële schade” in de zin van deze bepaling kan vormen.

5.20.14.

In het arrest Krankenversicherung Nordrhein^[7]is beslist dat artikel 82, lid 1 van de AVG zo moet worden uitgelegd dat het recht op schadevergoeding waarin deze bepaling voorziet, een compensatoire functie vervult, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de concreet door de inbreuk op deze verordening geleden schade volledig te vergoeden, doch geen afschrikkende of punitieve functie. Tevens is beslist dat dat artikel niet vereist dat de mate van schuld in aanmerking wordt genomen bij de vaststelling van immateriële schade.

5.20.15.

In het arrest MediaMarktSaturn Hagen-Iserlohn^[8]heeft het HvJ EU beslist dat artikel 82, lid 1, van de AVG zo moet worden uitgelegd dat de persoon die krachtens die bepaling om schadevergoeding verzoekt, niet alleen moet aantonen dat er bepalingen van die verordening zijn geschonden, maar ook dat hij door die schending materiële of immateriële schade heeft geleden en dat wanneer een document waarin persoonsgegevens zijn opgenomen, is afgegeven aan een onbevoegde derde en vaststaat dat deze daarvan geen kennis heeft genomen, het enkele feit dat de betrokkene vreest dat zijn gegevens in de toekomst verspreid of zelfs misbruikt zullen worden doordat deze mededeling het mogelijk heeft gemaakt om een afschrift van dat document te maken alvorens het werd teruggegeven, geen „immateriële schade” in de zin van dat artikel oplevert.

5.20.16.

Uit deze rechtspraak kan worden afgeleid dat alleen een immateriële schadevergoeding kan worden toegekend aan personen jegens wie niet alleen een inbreuk op de AVG is gemaakt, maar die door die inbreuk ook daadwerkelijk schade hebben geleden. De vrees die een betrokkene na een inbreuk op de AVG koestert voor mogelijk misbruik van zijn persoonsgegevens door derden, kan „immateriële schade” vormen.

Vereist is dus dat de benadeelde aantoont dat er bepalingen van de AVG zijn geschonden. Dat is hier nu juist niet het geval, want volgens ICAM gaat het bij groep A over personen die in onzekerheid verkeren of hun gegevens wel of niet gestolen zijn. Alleen al daarom kunnen deze personen geen schadevergoeding vorderen.
Bovendien is de door ICAM gestelde vrees niet de vrees dat derden de persoonsgegevens die zij onrechtmatig hebben verkregen zullen misbruiken, ‘de vrees
na een inbreuk’, maar ‘de vrees
voor een inbreuk’.Dit is de vrees dat derden mogelijk onrechtmatig persoonsgegevens zouden kunnen hebben verkregen (en die vervolgens zouden kunnen misbruiken). Een dergelijke vrees is te vergelijken met de vrees in de zaak MediaMarktSaturn Hagen-Iserlohn. Het ging daar om de situatie dat een inbreuk mogelijk zou zijn, maar niet was vastgesteld, zodat het gaat om de vrees dat een inbreuk in de toekomst alsnog kan blijken. Het enkele feit dat de betrokkene vreest dat zijn gegevens in de toekomst verspreid of zelfs misbruikt zullen worden (…) levert echter volgens het HvJ EU in genoemd arrest geen „immateriële schade” in de zin van artikel 82 AVG op. De vrees dat in de toekomst een inbreuk op de AVG blijkt is ook niet “de vrees die een betrokkene
na een inbreukop deze verordening koestert” zoals bedoeld in het arrest VB/NAP.
Anders gezegd: voor immateriële schade is vereist dat een inbreuk op de AVG vaststaat. De vrees voor een inbreuk volstaat niet. Omdat ICAM haar vordering wat Groep A betreft op die vrees
voor een inbreukbaseert, is op grond van de rechtspraak van het HvJ EU uitgesloten dat hiervoor immateriële schadevergoeding kan worden toegekend. De vordering ten behoeve van groep A is dus summierlijk ondeugdelijk en daarom niet ontvankelijk.

De materiële schade van groep A

5.20.17.

In het arrest Krankenversicherung Nordrhein^[9]is beslist dat artikel 82, lid 1 van de AVG zo moet worden uitgelegd dat het recht op schadevergoeding waarin deze bepaling voorziet, een compensatoire functie vervult, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de concreet
door de inbreukop deze verordening geleden schade volledig te vergoeden. Dat betekent dat ook voor materiële schade is vereist dat een inbreuk op de AVG vaststaat. Zoals hiervoor uiteengezet geldt voor de personen in groep A dat een inbreuk niet vaststaat. De vrees voor een inbreuk volstaat niet. Omdat ICAM ook haar vordering van materiële schade op de vrees
voor een inbreukbaseert, is op grond van de rechtspraak van het HvJ EU uitgesloten dat hiervoor schadevergoeding kan worden toegekend. De vordering van materiële schade ten behoeve van groep A is dus summierlijk ondeugdelijk en daarom niet ontvankelijk.

De immateriële en materiële schade van groep B

5.20.18.

Uit het politieonderzoek blijkt dat de gegevens van 1.373 personen bij onbevoegden terecht zijn gekomen. Zij hebben inmiddels het aanbod van een financieel gebaar ontvangen. Van de eerste groep die dit heeft ontvangen (1.247 personen) heeft ongeveer 80% het financieel gebaar aanvaard. Van de tweede groep van 126 personen is daarover niets bekend. Volgens GGD GHOR zijn er ook personen geweest die het aanbod niet hebben aanvaard, omdat ze een financiële tegemoetkoming niet nodig vonden. Er moet vanuit worden gegaan dat deze personen de vorderingen van ICAM niet steunen.

5.20.19.

De personen die de tegemoetkoming hebben geaccepteerd, hebben GGD GHOR, de GGD’en en andere overheidsinstanties (zoals de gemeente of landelijke overheid) finale kwijting verleend. De rechtbank volgt niet de uitleg van ICAM die erop neerkomt dat die kwijting beperkt is tot “de datadiefstal” (door foto’s) uit CoronIT. De tekst van de brief van 25 april 2022 luidt algemeen en kan door de ontvangers daarvan niet anders zijn begrepen.

5.20.20.

Dit betekent dat ICAM wat de groep van 1.373 bekende benadeelden betreft alleen kan opkomen voor de personen die de tegemoetkoming niet hebben geaccepteerd en dus geen finale kwijting hebben verleend, met uitzondering van de personen die een financiële tegemoetkoming niet nodig vonden. Volgens ICAM bestaat groep B daarnaast uit personen “waarvan vaststaat of zal worden vastgesteld dat hun persoonsgegevens als gevolg van het GGD-datalek door ongeautoriseerde personen zijn ingezien of bij ongeautoriseerde personen in handen zijn gekomen”. Van de eerste groep is de omvang onbekend, maar deze kan niet groter zijn dan 376 personen.^[10]Van de tweede groep (“waarvan vaststaat of zal worden vastgesteld dat hun persoonsgegevens als gevolg van het GGD-datalek door ongeautoriseerde personen zijn ingezien of bij ongeautoriseerde personen in handen zijn gekomen”) is de omvang geheel onbekend. ICAM stelt op basis van de berichten van RTL dat het om tienduizenden personen zou gaan. De berichten van RTL kunnen echter niet worden geverifieerd. Uit het feit dat ICAM slechts zes voorbeelden heeft kunnen geven van personen die stellen de gevolgen te hebben ondervonden van het coronadatalek (waarbij de vraag of dat werkelijk zo is niet is onderzocht) moet worden afgeleid dat deze groep, als deze al bestaat, klein tot zeer klein is.
De vraag is nu of voldoende personen uit groep B de door ICAM ten behoeve van hen gevoerde actie ondersteunen. ICAM kan dat niet aannemelijk maken, omdat zij bij de aanmelding niet heeft gevraagd of de betrokkene tot groep A of B behoort. Voor groep A is dat geen bezwaar, omdat deze zeer groot is, voor groep B is dat wel van belang omdat deze groep klein of zeer klein is, zodat van belang is te weten of er benadeelden uit deze groep de vordering steunen. Dat betekent dat ICAM in zoverre niet voldoet aan het representativiteitsvereiste; zie hiervoor onder 5.12.4. Hier komt bij dat ICAM niet, althans niet voldoende, toelicht dat en waarom de belangen van deze groep gelijksoortig zijn en al evenmin dat en waarom haar vorderingen meerwaarde hebben in de zin van artikel 1018c lid 5 onder b Rv.
De conclusie moet zijn dat ICAM in de vorderingen ten behoeve van groep B niet ontvankelijk is.

Gevolgen van de niet ontvankelijkheid van de schadevergoedingsvorderingen

5.20.21.

In het midden kan blijven of, zoals de Staat, GGD GHOR en de GGD’en c.s. aanvoeren, artikel 80 lid 1 AVG in de weg staat aan de door ICAM ingestelde, tot schadevergoeding strekkende vorderingen.

5.20.22.

Er is geen aanleiding om de beslissing met betrekking tot de vordering tot vergoeding van immateriële schade aan te houden totdat is beslist in het hoger beroep van het vonnis van deze rechtbank van 25 oktober 2023, ECLI:NL:RBAMS:2023:6694 (TikTok).

5.20.23.

Omdat de vorderingen onder M en N niet ontvankelijk zijn, zijn ook de daarmee verband houdende vorderingen onder P niet ontvankelijk.

De overige vorderingen

5.21.

Dit betreft de vorderingen K en L.

5.21.1.

In het licht van hetgeen hiervoor onder 5.17 is overwogen, kan ICAM op zichzelf in deze vorderingen worden ontvangen. Deze vorderingen zijn per IT-systeem gelijksoortig (bundelbaar), ook al verschillen de systemen onderling en zijn daarin verschillende gegevens opgenomen.

5.21.2.

Gelet op haar niet-ontvankelijkverklaring in haar tot schadevergoeding strekkende vorderingen, zal ICAM echter in de gelegenheid worden gesteld bij akte toe te lichten welk belang zij nog heeft bij de vorderingen K.II tot en met K.IV. De Staat, GGD GHOR en de GGD’en c.s. zullen vervolgens in de gelegenheid worden gesteld een antwoordakte te nemen.

5.21.3.

Naar het oordeel van de rechtbank is vordering L niet summierlijk ondeugdelijk, ook niet na de beoordeling door de AP van de getroffen maatregelen. De rechtbank zal ICAM echter op de voet van artikel 22 Rv bevelen bij akte toe te lichten welke van de onder vordering L.1 bedoelde inbreuken thans nog aanwezig zijn en waar dat uit blijkt.

6.De beoordeling in het (deels voorwaardelijke) incident

6.1.

De rechtbank zal het verzoek van ICAM om een bevel op de voet van artikel 22 Rv niet honoreren, omdat voor een dergelijk bevel – in elk geval in dit stadium van de procedure – geen aanleiding bestaat. Daarmee wordt toegekomen aan vordering B.

6.2.

ICAM is in vordering B niet ontvankelijk op grond van artikel 70 lid 1 Rv voor zover tegen de afwijzende beschikking van het bestuursorgaan bezwaar kon worden gemaakt, administratief beroep kon worden ingesteld of beroep bij een bestuursrechter kon worden ingesteld. Dit lijkt op basis van de voetnoten bij de in de dagvaarding onder 10.2.1 vermelde bescheiden te gelden voor de stukken genummerd 9 tot en met 27. ICAM zal moeten toelichten of dit juist is. Van de overige bescheiden is vermeld dat deze zich in het domein van de Staat c.s. bevinden. Dat volstaat niet; ICAM zal moeten aangeven welk van de gedaagden over deze stukken beschikt en of dit stuk al dan niet in het kader van de Wet open overheid is opgevraagd of opgevraagd kon worden en indien het is opgevraagd met welk resultaat. Gedaagden mogen daarop reageren. De zaak zal daartoe naar de rol worden verwezen; iedere beslissing op dit punt wordt aangehouden.

6.3.

Vordering C zal worden afgewezen. Gedeeltelijk is dat omdat het gevorderde onderzoek onmogelijk is. Er is geen deskundige die de omvang van het datalek zou kunnen vaststellen.

Gedeeltelijk is dat omdat de vraagstelling te algemeen is en een deskundigenonderzoek op dit moment te vroeg komt. Zo is wel denkbaar dat onderzoek wordt gedaan naar de vraag of de persoonsgegevens van burgers in de gegeven omstandigheden voldoende waren beschermd. De rechtbank acht een deskundigenbericht op dit punt echter op dit moment niet aangewezen; pas nadat na een inhoudelijke behandeling op dit punt vragen overblijven die door een deskundige kunnen worden beantwoord is daarvoor aanleiding, maar dan op basis van een specifieke vraagstelling, waarover beide partijen zich hebben kunnen uitlaten en die door de rechtbank vervolgens is vastgesteld. Dat onderzoek moet dan worden uitgevoerd door een door de rechtbank benoemde deskundige, nadat beide partijen zich over de benodigde deskundigheid hebben uitgelaten en gelegenheid hebben gehad deskundigen voor te stellen.

6.4.

Vordering D moet worden afgewezen, omdat alleen een daadwerkelijke inbreuk volgens artikel 34 lid 1 AVG aan betrokkenen behoeft te worden medegedeeld en niet dat er een mogelijkheid van een inbreuk is. Voor zover bij het politieonderzoek is gebleken dat daadwerkelijk gegevens zijn gestolen zijn betrokkenen reeds op de hoogte gesteld. Een verplichting om anderen te informeren zoals onder D gevorderd kan niet worden aangenomen. Bovendien zou als deze verplichting in dit geval al zou bestaan op grond van artikel 34 lid 3 onder c AVG de uitgebreide informatie op de website van DDG GHOR (weergegeven onder 3.1) in dit geval volstaan.

6.5.

Vordering E zal worden afgewezen omdat het verzoek onder A zal worden afgewezen en omdat in de hoofdzaak de tot schadevergoeding strekkende vorderingen niet ontvankelijk zijn.

7.Tot slot

7.1.

Gelet op de aard van hetgeen hiervoor is overwogen en geoordeeld, zal worden bepaald dat reeds thans hoger beroep openstaat van dit vonnis.

7.2.

Iedere verdere beslissing zal worden aangehouden.

8.De beslissing

De rechtbank:

in de hoofdzaak

8.1.

verklaart ICAM ontvankelijk in haar vorderingen onder K en L;

8.2.

wijst ICAM aan als exclusieve belangenbehartiger;

8.3.

bepaalt dat de nauw omschreven groep van personen voor wie ICAM optreedt wordt vastgesteld zoals gevorderd onder I (weergegeven in 4.1);

8.4.

verklaart ICAM niet-ontvankelijk in haar vorderingen tegen de veiligheidsregio’s (gedaagden sub 31 en 32), de gemeenten (gedaagden sub 33 en 34), de Gemeentelijke Gezondheidsdienst (GGD) Amsterdam-Amstelland (gedaagde sub 6) en de GGD Gooi & Vechtstreek (gedaagde sub 14);

8.5.

veroordeelt ICAM in de aan de zijde van de onder 8.4 genoemde gedaagden gevallen proceskosten, voor hen samen tot dit vonnis begroot op EUR 3.743,49, te betalen binnen veertien dagen na aanschrijving daartoe;

8.6.

veroordeelt ICAM, voor het geval zij niet tijdig aan deze veroordeling voldoet, in de extra nakosten van EUR 92,00 plus de kosten van betekening;

8.7.

veroordeelt ICAM tot betaling van de wettelijke rente als bedoeld in artikel 6:119 BW over deze proceskosten als deze niet binnen veertien dagen na aanschrijving zijn betaald;

8.8.

verklaart deze kostenveroordelingen uitvoerbaar bij voorraad

8.9.

verklaart ICAM niet-ontvankelijk in de vorderingen M, N en P;

8.10.

beveelt ICAM op de voet van artikel 22 Rv bij akte toe te lichten welk belang zij nog heeft bij de vorderingen K.II tot en met K.IV;

8.11.

beveelt ICAM op de voet van artikel 22 Rv bij akte toe te lichten welke van de onder vordering L.1 bedoelde inbreuken thans nog aanwezig zijn en waaruit dat blijkt;

8.12.

beveelt de Staat en GGD GHOR bij akte bewijsstukken in het geding te brengen waaruit blijkt welke opdracht aan GGD GHOR is gegeven met betrekking tot het registreren van burgers ten behoeve van testen, vaccineren en bron- en contactonderzoek met betrekking tot Covid-19;

8.13.

stelt elk van partijen in de gelegenheid zich uit te laten over opt-out en opt-in, gezien de in dit vonnis gegeven beslissingen;

8.14.

verwijst de zaak voor het hiervoor onder 8.10 tot en met 8.13 bedoelde doel naar de rol van 14 augustus 2024;

in het (deels voorwaardelijke) incident

8.15.

verwijst de zaak naar de rol van 14 augustus 2024 opdat ICAM zich kan uitlaten zoals omschreven onder 6.2;

8.16.

wijst de vorderingen C, D en E af;

in de hoofdzaak en in het (deels voorwaardelijke) incident

8.17.

bepaalt dat elk van partijen op de op 14 augustus 2024 te nemen akten mag reageren bij antwoordakte,

8.18.

bepaalt dat reeds thans hoger beroep openstaat van dit vonnis;

8.19.

verwijst de zaak voor verdere behandeling en beslissing naar de meervoudige kamer;

8.20.

houdt iedere verdere beslissing aan.

Dit vonnis is gewezen door mr. R.H.C. Jongeneel, rechter, bijgestaan door mr. A.A.J. Wissink, griffier, en in het openbaar uitgesproken op 17 juli 2024.

ECLI:NL:RBAMS:2024:4264

Vordering tot schadevergoeding door Stichting ICAM wegens datalek bij GGD tijdens coronapandemie

Uitspraak

RECHTBANK AMSTERDAM

1.De procedure

2.De zaak in het kort

3.De in dit stadium vaststaande en relevante feiten

In de hoofdzaak en in het (deels voorwaardelijke) incident

4.Het geschil

5.De beoordeling in de hoofdzaak

6.De beoordeling in het (deels voorwaardelijke) incident

7.Tot slot

8.De beslissing

Voetnoten