Dat stellen juridische experts in antwoord op vragen van Webwereld. Aanleiding is de schriftelijke mededeling van de burgemeester van de gemeente Landgraaf dat er gegevens zijn gelekt, waardoor burgers schade lijden. Het probleem speelt in een oude site. De nieuwe server zou veilig zijn.

Onrechtmatige daad

“In 1919 heeft de Hoge Raad al eens aangegeven hoe er met gegevens moet worden omgegaan", vertelt professor Bernd van der Meulen tegenover Webwereld. Hij wijst op het arrest Lindenbaum-Cohen. Daaruit blijkt dat iemand voorzichtig met de informatie van anderen moet omgaan. “Het lijkt dat van die zorgvuldigheid in dit geval niet zoveel over is."

Als er dan ook schade is ontstaan voor burgers dan is volgens hem dan ook als eerste de gemeente aansprakelijk. Menno Weij, advocaat bij SOLV Advocaten. “Er moet dan wel aantoonbare schade zijn."

Mocht er schade zijn dan is het misschien wel mogelijk dat de schade te verhalen is op de leverancier. "Maar dat is een zaak van de gemeente. Zij zijn het eerste aanspreekpunt", stelt Van der Meulen.

Privacywetgeving

Weij wijst erop dat de aansprakelijkheid ook voortvloeit uit privacywetgeving, de Wet bescherming persoonsgegevens (Wbp). “De gemeente ook verantwoordelijk voor de verwerking van gegevens", legt hij uit. Daaraan zitten ook verplichtingen. “Dat verplicht dat je een goede beveiliging regelt."

Ook hoogleraar, gespecialiseerd op het gebied van privacy, Gerrit-Jan Zwenne wijst erop dat de gemeente een eigen verantwoordelijkheid heeft “met betrekking tot de beveiliging en geheimhouding van de gegevens".

Het afschuiven van de aansprakelijkheid op bijvoorbeeld de leverancier of anderen is te kort door de bocht stelt hij: “Verantwoordelijk is in elk geval de verantwoordelijke. Dat wil zeggen, degene die zeggenschap heeft over doel en wijze van verwerking, dus de eigenaar van de gegevens. Dat zal de gemeente zijn."

Bestuurlijk verantwoordelijk

Dat vindt ook Aline Klingenberg, universitair docent bestuursrecht aan de Rijksuniversiteit Groningen. “Het bestuursorgaan moet zijn verplichtingen uit de Algemene wet bestuursrecht (Awb) en de Wbp nakomen om gegevens te beveiligen", stelt ze resoluut. “In elk geval, in art. 2:14, derde lid van de Algemene wet bestuursrecht staat dat als een bestuursorgaan een bericht elektronisch verzendt, het bestuursorgaan ervoor moet zorgen dat dit op een voldoende betrouwbare en vertrouwelijke manier gebeuren moet."

“Omdat het in de Awb staat is het daarmee van toepassing op alle verkeer tussen burger en bestuursorganen, dus niet alleen als een bestuursorgaan besluiten neemt", legt Klingenberg uit. “Dus ook als een bestuursorgaan een website heeft om daar info voor burgers op te zetten."

Gemeente dwingen

Overigens menen alle eerder genoemde juristen dat het mogelijk is de gemeente te dwingen de gegevens beter te beschermen. Zij wijzen allemaal op de mogelijkheid te klagen bij het College Bescherming Persoonsgegevens en te vragen om in te grijpen. Zij kunnen dwingende aanwijzingen te geven. Ook is het mogelijk dat het CBP zelfstandig een onderzoek start.

De gemeente Landgraaf reageerde nog niet op een verzoek om commentaar.