Bouwbedrijf Heijmans moet een aspirant-koper van een woning in Zevenhuizen (gemeente Zuidplas) een schadevergoeding van € 250 euro betalen omdat het abusievelijk haar privégegevens deelde met 1.100 andere woningzoekenden. De vrouw meende recht te hebben op € 20.000 immateriële schadevergoeding.
Gepubliceerd in PropertyNL Magazine nr. 4, 22 april 2022
Uit de recent gepubliceerde uitspraak van de Rechtbank Rotterdam blijkt wat er mis ging toen een medewerker van Heijmans op 12 april 2001 per mail een hoop belangstellenden voor een woning in de fase 7 van het Koningskwartier moest teleurstellen. Voor de 52 twee-onder-een-kapwoningen en rijwoningen, waarvan 26 sociale koopwoningen, zijn maar liefst 1.107 belangstellenden.
Excel-bestand met privé-gegevens
In plaats van de enkele mededeling dat de aspirant-kopers niet zijn ingeloot en op een reservelijst zijn geplaatst stuurt de medewerker van Heijmans abusievelijk ook het onbeveiligde Excel-bestand met privégegevens van alle belangstellenden mee. Hierin staan behalve de gewenste woning en de standaard n.a.w.-gegevens, e-mailadressen en telefoonnummers ook persoonlijke financiële gegevens als het maximaal te lenen bedrag, het jaarinkomen en de eigen middelen die de kandidaat-koper wil inbrengen.
Lees ook: PROVADA Overeenkomst Koningskwartier getekend
Excuusmail en melding bij AP
De medewerker probeert, als deze zich realiseert wat er fout is gegaan, een minuut later de verzonden mail nog in trekken. Dat lukt niet meer. ’s Avond laat Heijmans in een uitvoerige excuusmail aan alle belangstellenden weten wat er is gebeurd. Er wordt hen verzocht om de mail te verwijderen. Ook maakt het bouwbedrijf melding van het datalek bij de Autoriteit Persoonsgegevens (AP), een wettelijke plicht.
Ongewenst bezoek en berichten
De boze aspirant-koper neemt hier geen genoegen mee en start een rechtszaak. Ze meent dat de bouwer onrechtmatig heeft gehandeld en eist een immateriële schadevergoeding van € 20.000 omdat haar “meest intieme privégegevens” nu bekend zijn bij pakweg 1.100 anderen. Zij zegt zicht onveilig te voelen omdat zij kort na het datalek door haar buren erop werd geattendeerd dat iemand foto’s had gemaakt van haar appartement. Ook krijgt ze de laatste tijd e-mails en sms’jes met spamberichten. Zowel dit ongewenste bezoek als de ongewenste berichten houden volgens haar waarschijnlijk verband met de e-mail van Heijmans, hoewel zij zich ervan bewust is dat dit niet bewezen kan worden.
Overtreding AVG
De rechter erkent dat er door een menselijke fout sprake is geweest van een overtreding van de Algemene Verordening Gegevensbescherming (AVG). Van een verklaring voor recht dat de bouwer onrechtmatig heeft gehandeld kan volgens de rechtbank geen sprake zijn omdat dat de aspirant koper onvoldoende heeft aangetoond daarbij belang te hebben. Ook had de vrouw beter moeten onderbouwen waar haar schadeclaim op is gebaseerd.
Gematigde schadevergoeding
Heijmans moet de aspirant-koper voor het ongewild delen van haar privé-informatie een schadevergoeding van € 250 betalen. Bij dit gematigde bedrag, wat doorgaans wordt gehanteerd in dit soort kwesties, houdt de rechter onder meer rekening met de beperkte groep die toegang kreeg tot de gegevens en de pro-actieve houding die Heijmans aannam om de schade door het datalek te beperken.