Bestuursrechter kan schadevergoeding toekennen bij privacyschending door bestuursorganen

Blog

Bevoegdheid bestuursrechter

De Afdeling stelt de bestaande bevoegdheid van de bestuursrechter vast aan de hand van de AVG en de toelichting hierop. Uit artikel 82 lid 6 AVG vloeit voort dat gerechtelijke procedures voor het uitoefenen van het recht op schadevergoeding worden gevoerd voor de volgens het recht van de lidstaten bevoegde gerechten. Nu in de AVG niets geregeld is over welke gerechten bevoegd zijn, dient dit te volgen uit nationaal recht.

Een aanwijzing voor de bevoegdheid kan volgens de Afdeling gevonden worden in artikel 34 Uitvoeringswet AVG (UAVG). Wanneer een betrokkene bij een bestuursorgaan een verzoek indient om diens rechten onder de AVG uit te oefenen, is de schriftelijke reactie van het bestuursorgaan hierop aan te merken als een besluit in de zin van de Algemene wet bestuursrecht (Awb). Artikel 8:88 lid 1 sub a Awb schept vervolgens de bevoegdheid voor de bestuursrechter om een bestuursorgaan te veroordelen tot vergoeding van schade die de betrokkene lijdt als gevolg van een onrechtmatig besluit.

Mede op basis van de memorie van toelichting bij artikel 82 AVG, die verwijst naar ‘Huidige titel 8.4 Awb of civiele rechter’ bij de wegen waarlangs schadevergoeding kan worden verhaald, concludeert de Afdeling dat ook de bestuursrechter bevoegd kan zijn schadevergoedingen toe te kennen in dergelijke gevallen. Dit geldt enkel voor schadebedragen die de bevoegdheid van de bestuursrechter niet overschrijden, oftewel een schadebedrag van maximaal € 25.000.

Vaststellen schade

In een van de aangehaalde zaken, heeft de Afdeling een schadevergoeding van € 500 toegekend (ABRvS 1 april 2020, ECLI:NL:RVS:2020:898). In deze zaak – een tuchtprocedure – werd door het Pieter Baan Centrum een rapportage ingebracht waarin strikt vertrouwelijke (medische) gegevens stonden van een betrokkene. Deze betrokkene had hiervoor geen toestemming gegeven. De betrokkene heeft bezwaar gemaakt bij de minister voor Rechtsbescherming tegen het overleggen van de rapportage en heeft tevens een schadevergoeding gevorderd. In eerste aanleg had Rechtbank Gelderland een bedrag van € 300 toegekend. De betrokkene achtte dit bedrag naar redelijkheid te laag en is in hoger beroep gegaan.

De Afdeling neemt bij de beoordeling van het verzoek om schadevergoeding als uitgangspunt dat op Europeesrechtelijk niveau nog geen uitleg is gegeven over het schadebegrip of over vergoedbare immateriële schade bij een onrechtmatige verwerking van persoonsgegevens. Wel heeft het Hof van Justitie eerder geoordeeld dat de te vergoeden schade reëel en zeker moet zijn. Nu er op Europeesrechtelijk niveau geen uitleg is gegeven ten aanzien van het schadebegrip, grijpt de Afdeling naar het nationale recht.

Voor de beoordeling van het verzoek om vergoeding van immateriële schade moet aansluiting worden gezocht bij de regels van het civiele regime. Hierbij neemt de Afdeling als uitgangspunt dat degene die zich op artikel 6:106 lid 1 sub b BW beroept, voldoende concrete gegevens moet aanvoeren waaruit kan volgen dat psychische schade is ontstaan ten gevolge van de inbreuk. Naar objectieve maatstaven moet het bestaan van geestelijk letsel worden vastgesteld. Als geestelijk letsel niet kan worden vastgesteld, kan de betrokkene concreet onderbouwen dat de aard en de ernst van de normschending en de gevolgen daarvan, meebrengen dat er sprake is van aantasting van de persoon op andere wijze. De betrokkene zal in dit laatste geval onderbouwing achterwege kunnen laten wanneer de aard en ernst van de normschending meebrengen dat de nadelige gevolgen zo voor de hand liggen dat een aantasting in de persoon zonder meer kan worden aangenomen.

In het onderhavige geval heeft de betrokkene niet gesteld dat hij geestelijk letsel heeft opgelopen. Hij stelde dat hij door de privacyschending in zijn persoon is aangetast omdat de rapportages strikt vertrouwelijke (medische) persoonsgegevens bevatten en hij geen toestemming heeft gegeven voor het delen hiervan.

Bij de beoordeling zijn de aard, duur en ernst van de inbreuk leidende factoren. In dit geval ging het om strikt vertrouwelijke gegevens van gevoelige aard. Voor dergelijke bijzondere persoonsgegevens geldt een zwaarder beschermingsniveau. De Afdeling overweegt dan ook op grond van het vorenstaande dat de nadelige gevolgen van de verstrekking van gegevens van dergelijke aard voor de hand liggen. Dat de directeur zulke vertrouwelijke gegevens heeft ingebracht zonder rechtvaardigingsgrond, is kwalijk. Wel neemt de Afdeling nog in overweging dat de gegevens bij een kleine groep professionals is terechtgekomen, die allen een beroepsgeheim kennen. De inbreuk heeft vermoedelijk maar een week voortgeduurd, en voor zover dit langer heeft voortgeduurd, heeft de betrokkene niet onderbouwd dat hij hier nadeel door heeft ondervonden. Deze afweging van factoren leidt tot het toekennen van een vergoeding van € 500.

In de drie andere uitspraken wijst de Afdeling de vorderingen af (onder meer ABRvS 1 april 2020, ECLI:NL:RVS:2020:899). In deze uitspraken ging het om NAW-gegevens die werden gedeeld tussen gemeentes naar aanleiding van afgewezen Wob-verzoeken. De Afdeling achtte hiertoe leidend dat de betrokkene niet had toegelicht hoe de inbreuk zou hebben geleid tot aantasting in zijn persoon en welke gevolgen dit zou hebben gehad. Dat het noemen van zijn naam stigmatiserend werkt, is hiervoor onvoldoende. De gegevens zijn enkel gedeeld met ambtenaren die bevoegd zijn kennis te nemen van Wob-verzoeken, waarbij niet van misbruik van deze gegevens is gebleken.

Het lijkt er dus op dat het voor een betrokkene lastig is om zijn schade concreet te onderbouwen, vooral wanneer het niet gaat om bijzondere persoonsgegevens. Ook wanneer onderbouwing wel lukt, leidt dit doorgaans tot toekennen van een laag schadebedrag. Met het oog op de kosten van een procedure en de lage opbrengsten, is het dan ook wenselijk dat de bestuursrechter ook over de schadevergoeding kan oordelen. Het voeren van meerdere procedures is hiermee niet altijd meer nodig.