Massaclaims onder de AVG: een nieuwe trend

Blog

Massaclaims op grond van de AVG in Nederland

Het begon in 2020 met een massaclaim tegen Facebook, omdat Facebook de privacy van haar gebruikers zou schenden. In 2021 zijn daar vervolgens een aantal massaclaims bijgekomen. In 2021 begon het met de massaclaim tegen Salesforce en Oracle, omdat Salesforce en Oracle onrechtmatig profielen van personen zouden opstellen met als doel gepersonaliseerde advertenties te kunnen tonen.

Daarna was TikTok maar liefst driemaal aan de beurt. Twee van die claims focussen zich op onrechtmatige gegevensverwerking van minderjarigen door TikTok. De derde en laatste claim die op dit moment tegen TikTok is ingediend, omvat ook schadevergoeding voor gebruikers die ouder zijn dan 18 jaar.

De meest recente massaclaim is die tegen de GGD wegens het datalek bij de IT-systemen van de GGD. De claim is nog niet bij de rechter aanhangig gemaakt. De initiatiefnemers zijn nu in de fase van het werven van deelnemers.

In al deze zaken gaat het om een bedrag variërend tussen een paar honderd en duizend euro per betrokkene. Opgeteld heeft dit tot gevolg dat het gaat om miljardenclaims. Dat soort claims zijn voor Nederland vrij ongebruikelijk.

Overigens is in nog geen van deze zaken uitspraak gedaan. Alle claims bevinden zich nog in eerste aanleg of zelfs in de voorbereidende fase.

Oorzaken voor deze nieuwe trend

Wat zou een reden kunnen zijn voor deze trend? Twee oorzaken liggen in ieder geval voor de hand:

1. De Autoriteit Persoonsgegevens is, net als andere Europese privacytoezichthouders, onvoldoende bemand om effectief op te kunnen treden tegen de grote technologiebedrijven van deze wereld. En als er wordt opgetreden, krijgt het bedrijf een boete van een paar ton of miljoen en gaan ze vrolijk verder waar ze gebleven waren. Gevolg is dat deze bedrijven de privacy van hun gebruikers structureel schenden en mensen willen daar wat aan doen.
2. Als een stichting aanbiedt om voor een kleine vergoeding, of wellicht gratis, enkele honderden euro’s aan schadevergoeding voor je te regelen, dan ben je natuurlijk wel een dief van je eigen portemonnee als je daar nee tegen zegt. Mensen doen graag mee met de plannen van de achterliggende procesfinanciers, die hier een verdienmodel in zien. En kan je ze dat kwalijk nemen? De grote technologiebedrijven maken immers ook al jaren miljardenwinsten ten koste van onze privacy.

Wat zijn de gevolgen van deze trend?

Wat de gevolgen zijn van deze trend, zal afhangen van het succes van de zaken. Als blijkt dat de zaken succesvol zijn en mensen inderdaad een redelijke vergoeding eruit kunnen slepen, kunnen we meer van dit soort claims verwachten. Nu is nog maar het topje van de ijsberg in massaclaims betrokken. De andere grote technologiebedrijven mogen in dat geval hun borst nat maken. Dit kan flinke financiële gevolgen hebben voor die bedrijven en zou de verdienmodellen van de grote technologiebedrijven onder druk kunnen zetten. Tegelijkertijd is er dan mogelijk eindelijk wel (financiële) motivatie voor de grote technologiebedrijven om de AVG eens serieus te nemen.

Maar als de claims worden afgewezen of de vergoeding per deelnemer minimaal is, dan kan het juist averechts werken. Mensen zijn dan wellicht niet meer gemotiveerd mee te werken aan dit soort claims en ook procesfinanciers vinden het mogelijk financieel niet meer interessant hieraan mee te werken. De grote technologiebedrijven voelen zich vervolgens gesterkt in hun positie en kunnen vrolijk doorgaan met het overtreden van de AVG.

De rechters staan dus voor een zeer belangrijke beslissing die flinke gevolgen zal hebben. We zullen naar mijn verwachting dan ook geduldig moeten afwachten tot de hoogste rechters van Europa zich over deze kwestie hebben uitgelaten. Overigens ligt bij het Europese Hof van Justitie op dit moment al de vraag of een overtreding van de AVG zonder bijkomende omstandigheden of het aantonen van schade voldoende is voor het toekennen van schadevergoeding.

Is het een goede ontwikkeling?

De vraag kan worden gesteld of het een goede ontwikkeling is. Men zou kunnen zeggen dat de burgers hier op de stoel van de toezichthouder gaan zitten. Maar is dat een slechte ontwikkeling als de toezichthouder faalt? Als de claims slagen, is het een goede manier om de grote technologiebedrijven eindelijk eens op het matje te roepen

Aan de andere kant moeten we er ook voor waken dat in Nederland geen claimcultuur ontstaat, waardoor ook de kleinere bedrijven of bedrijven die niet op structurele basis onze privacy schenden doelwit worden van dergelijke claims. Daarmee heeft ook te maken dat achter deze claims claimfinanciers zitten die een deel van de opbrengst opstrijken voor minimaal risico. Procederen wordt een verdienmodel en als de drempel te laag ligt kan dat grote maatschappelijke gevolgen hebben. Dan kan deze ontwikkeling ten koste gaan van het ondernemerschap. De lage drempel zorgt er anderzijds wel voor dat mensen hun rechten beter kunnen handhaven en dat eindelijk eens opgetreden kan worden tegen langdurige en flagrante schendingen van onze privacyrechten door de grote technologiebedrijven.

Net als met alles in het leven, is het zaak hierin een balans te vinden. Alleen waar die balans precies zou moeten liggen, is moeilijk te zeggen.

Verwachtingen voor de huidige procedures

Dat Salesforce, Oracle, Facebook, TikTok en de GGD de AVG hebben overtreden lijkt mij zo op het eerste gezicht niet heel lastig aan te tonen. Enkele van deze bedrijven hebben van toezichthouders al boetes opgelegd gekregen in verband met het overtreden van de AVG.

Maar betekent dit dan ook dat de bedrijven veroordeeld zullen worden tot het betalen van de gevorderde schadevergoedingen? De huidige jurisprudentie stelt dat dat enkel het geval is in geval sprake is van een aantasting in de persoon. In Nederland geldt het uitgangspunt dat enkel overtreding van de AVG onvoldoende is om een dergelijke aantasting in de persoon aan te nemen. Er moet sprake zijn van bijkomende omstandigheden. In de praktijk kan dat bijvoorbeeld het geval zijn indien gevoelige of bijzondere persoonsgegevens zijn gelekt. Gelet daarop, zou je kunnen stellen dat de aangekondigde claim tegen de GGD meer kans van slagen heeft.

Interessant zijn twee van de zaken die tegen TikTok aanhangig zijn gemaakt. Daarin zal de vraag aan bod komen of het schenden van de privacy van kinderen voldoende is om automatisch van een aantasting in de persoon te kunnen spreken. Aangezien kinderen kwetsbaar zijn en goed beschermd moeten worden, zou dat geen gekke gedachtegang zijn.

De vraag is alleen of Nederlandse rechters meegaan in deze miljardenclaims. Nederlandse rechters zijn vrij terughoudend met het toekennen van dergelijke exorbitant hoge claims. Mijn verwachting is vooralsnog dus dat de rechter wel een overtreding van de AVG aanneemt, maar de vordering tot schadevergoeding afwijst of de schade in omvang matigt.

Een interessante vraag is nu natuurlijk welke organisatie het volgende doelwit is. Naar mijn mening zou de Belastingdienst wel eens de volgende kunnen zijn. De Autoriteit Persoonsgegevens heeft geconcludeerd dat de Belastingdienst de AVG heeft overtreden, met de toeslagenaffaire als gevolg. Een massaclaim tegen de Belastingdienst op basis van de AVG door slachtoffers van de toeslagenaffaire, zou zeer wel het volgende nieuwsbericht kunnen zijn.