Schadevergoeding wegens inbreuk op de AVG?

Blog

De plichten van de gegevensverwerker

Partijen die persoonsgegevens verwerken anders dan voor privédoeleinden vallen onder de AVG. Vaak zijn dit bedrijven en overheidsinstanties. Als de AVG van toepassing is, moet aan diverse verplichtingen worden voldaan. Denk aan de plicht om gegevens niet langer te bewaren dan noodzakelijk, de plicht om gegevens adequaat te beveiligen en de plicht zorg te dragen voor een rechtmatige grondslag om gegevens te mogen verwerken. De praktijk leert dat dit nogal eens fout gaat. Kijk bijvoorbeeld alleen al naar enkele datalekken die de afgelopen twee maanden bekend zijn geworden, zoals het lek in de coronasystemen van de GGD, het datalek bij Ticketcounter, Blokker, Hogeschool Inholland, de NAM, DUO, het ministerie van Sociale Zaken en Werkgelegenheid met de diploma’s van inburgeraars enzovoort. 

De rechten van de betrokkene

Waar de AVG verplichtingen oplegt aan de gegevensverwerker, kent het juist rechten toe aan betrokkenen. Betrokkenen zijn de individuen wiens persoonsgegevens worden verwerkt. Denk aan het recht op duidelijke informatie, het recht op inzage en het recht op vergetelheid. 

De grondslag voor aansprakelijkheid

Als een gegevensverwerker zijn plichten niet nakomt of inbreuk maakt op de rechten van betrokkenen, dan stelt artikel 82 AVG dat die partij (gegevensverwerker) de materiële of immateriële schade van betrokkenen ten gevolge van die inbreuk moet vergoeden.

In de jurisprudentie wordt artikel 82 AVG als zelfstandige grondslag voor het toekennen van schadevergoeding gezien. Een beroep op artikel 6:162 BW lijkt dus niet nodig. In geval schade wordt gevorderd in een bestuursrechtelijke procedure is dat tot een bedrag van € 25.000 mogelijk via artikel 8:88 Awb jo. artikel 34 UAVG. 

Onderscheid naar soort schade

Artikel 82 AVG spreekt over de mogelijkheid tot vergoeding van materiële en immateriële schade. 

Bij materiële schade kan gedacht worden aan kosten voor het beperken van de negatieve effecten van een datalek of een betrokkene die wordt ontslagen omdat zijn medisch dossier is uitgelekt. Vergoeding van materiële schade (artikel 6:96 BW) bij schending van de AVG is tot op heden nog niet vaak in rechte gevorderd.

Bij het vorderen van kosten moet overigens wel rekening worden gehouden met de dubbele redelijkheidstoets. Zowel het nemen van de maatregelen als de daaraan verbonden kosten moeten redelijk zijn. 

Vergoeding van immateriële schade die het gevolg is van een inbreuk op de AVG wordt wel met enige regelmaat in rechte gevorderd. De meest voorkomende schade is dat de betrokkene zich door de schending van de AVG voelt aangetast in zijn persoon (vgl. artikel 6:106 lid 1 sub b BW). De vraag is wanneer iemand is aangetast in zijn persoon. 

Aantasting van de persoon

De Hoge Raad heeft in 2019 in een zaak die niet aan de AVG is gerelateerd, geoordeeld dat van een aantasting in de persoon niet reeds sprake is bij de enkele schending van een fundamenteel recht (ECLI:NL:HR:2019:376). Enkel een schending van de AVG is in de regel dus niet voldoende om een beroep te kunnen doen op aantasting in de persoon.

In eerste aanleg wordt deze regel niet altijd even goed toegepast. Zo is bijvoorbeeld door de Rechtbank Overijssel geoordeeld dat al sprake is van aantasting van de persoon als de betrokkene de controle over de persoonsgegevens verliest. Met die maatstaf zou naar mijn mening te snel sprake zijn van een aantasting in de persoon.

Andere rechtbanken en ook de Afdeling bestuursrechtspraak van de Raad van State hanteren de door de Hoge Raad gegeven rechtsregel strikter. Uitgangspunt daarin is dat de benadeelde de aantasting van zijn persoon aannemelijk moet maken en de gestelde schade met concrete gegevens moet onderbouwen. In de praktijk blijkt echter dat het concreet maken van de schade lastig is. Hoe toont men immers aan dat ze immateriële schade hebben geleden door een onrechtmatige gegevensverwerking?

Voor ernstigere schendingen komt de rechtspraak de benadeelde tegemoet. De aard en de ernst van de normschending kunnen met zich meebrengen dat de nadelige gevolgen voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen.

In de praktijk lijken rechters de schade op grond van die rechtsregel met name aan te nemen op het moment dat het gaat om het onrechtmatig verwerken of lekken van gevoelige of bijzondere persoonsgegevens, zoals het BSN en medische gegevens. In dergelijke gevallen lijkt de benadeelde dus niet te worden verplicht de schade concreet te maken en wordt schadevergoeding relatief snel toegewezen. 

De vraag is natuurlijk welke omstandigheden er nog meer toe kunnen leiden dat de schade mag worden aangenomen aanwezig te zijn. Zou bijvoorbeeld het schenden van de privacy van jonge kinderen of andere kwetsbare groepen ook voldoende ernstig zijn om schade aan te nemen? Dit zal moeten blijken naarmate de rechtspraak zich verder ontwikkelt. 

Hoogte van de schadevergoeding

Het schadebedrag dat wordt toegewezen wegens aantasting in de persoon ligt doorgaans tussen de € 250 en € 500. Dit zijn geen schokkende bedragen die bedrijven direct zullen afschrikken zorgvuldiger met persoonsgegevens om te gaan. Dit past binnen het Nederlandse rechtstelsel, omdat het Nederlandse schadevergoedingsrecht is gericht op herstel van geleden nadeel en geen punitief of afschrikkend karakter heeft. 

Toch dienen bedrijven en overheidsorganisaties alert te zijn, met name als ze te maken hebben met gevoelige of bijzondere persoonsgegevens of gegevens van kwetsbare personen. In die gevallen wordt schadevergoeding namelijk relatief snel toegewezen en op het moment dat het gaat om een paar honderd betrokkenen kan het bedrag flink oplopen.