20 Aug 2024
blog

Is de massaclaim tegen de GGD onterecht afgewezen?

VAST 2024 / B-034
20 augustus 2024

Blog

In zowel 2021 als 2022 heb ik (Dewi Harkink) voor VAST blogs geschreven over massaclaims onder de Algemene Verordening Gegevensbescherming (AVG). In beide bijdragen benoemde ik kort dat een claim was aangekondigd tegen diverse GGD’s en de Staat (hierna GGD genoemd) wegens het datalek dat in 2021 bij de GGD heeft plaatsgevonden. Waar veel van de massaclaims onder de AVG traag verlopen, lijkt de procedure tegen de GGD voortvarend te verlopen. Afgelopen maand, op 17 juli 2024, heeft de rechter op enkele cruciale punten al uitspraak gedaan in de zaak tussen Stichting Initiatieven Collectieve Acties Massaschade (ICAM) en de GGD.

Wat was er ook alweer gebeurd?

Tijdens de coronapandemie verwerkte de GGD op verschillende locaties in Nederland persoonsgegevens van miljoenen mensen die zich lieten testen op en vaccineren tegen corona, of voor wie bron- en contactonderzoeken werden uitgevoerd. Een deel van deze persoonsgegevens werd door medewerkers van de GGD, die toegang hadden tot de IT-systemen, ongeoorloofd verstrekt aan derden. Onder de AVG kwalificeert dit als een inbreuk in verband met persoonsgegevens, ook wel een datalek genoemd.

 

De vorderingen

Stichting ICAM maakt in zijn vordering een onderscheid tussen twee groepen personen. De categorie ‘Gedupeerden Categorie A’ bestaat uit alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in GGD-systemen, met uitzondering van personen die behoren tot Gedupeerden Categorie B. Deze laatste categorie bestaat uit alle natuurlijke personen van wie persoonsgegevens zijn verwerkt in GGD-systemen en waarvan vaststaat of zal worden vastgesteld dat hun gegevens door ongeautoriseerde personen zijn ingezien of verkregen als gevolg van het datalek.

 

Stichting ICAM heeft een groot aantal vorderingen ingediend. Voor de bespreking van dit vonnis zijn de volgende vorderingen het meest relevant:

  • € 500 aan immateriële schadevergoeding voor categorie A;
  • € 1.500 aan immateriële schadevergoeding voor categorie B; en
  • € 50 aan materiële schadevergoeding voor alle gedupeerden.

 

De argumenten van Stichting ICAM

Voor de immateriële schadevergoeding betoogde Stichting ICAM met name dat de gedupeerden immateriële schade leden omdat zij de controle over hun persoonsgegevens kwijt waren en dit reële gevoelens van onzekerheid, stress en angst opleverde.

 

Voor de materiële schadevergoeding betoogde Stichting ICAM dat de gedupeerden hun persoonsgegevens moeten (laten) aanpassen en continu moeten controleren of hun gegevens niet door criminelen gebruikt worden.

 

Vereisten voor schadevergoeding op grond van de AVG

Over het vorderen van schadevergoeding onder de AVG is al het nodige geschreven. Zo is eerder dit jaar in VAST een uiteenzetting gegeven over de stand van zaken bij immateriële schadevorderingen onder de AVG (VAST 2024/B-028). Hierna zal slechts een korte samenvatting worden gegeven van de belangrijkste vereisten.

 

Er zijn drie cumulatieve vereisten om schadevergoeding te kunnen claimen onder de AVG:

  • een schending van de AVG;
  • schade; en
  • causaliteit tussen de AVG-schending en de schade.

 

Het is aan de betrokkene die schadevergoeding claimt om aan te tonen dat aan alle drie de vereisten is voldaan.

 

Wat betreft het eerste vereiste wordt nog weleens vergeten dat een datalek op zichzelf geen schending van de AVG is. Als de verwerkingsverantwoordelijke heeft voldaan aan de (beveiligings)vereisten van de AVG en er toch een datalek optreedt, dan is niet voldaan aan het eerste vereiste.

 

De Europese jurisprudentie richt zich voornamelijk op het tweede vereiste. Over het algemeen is een loutere schending van de AVG onvoldoende om van schade te kunnen spreken. Er moet sprake zijn van aantoonbaar en daadwerkelijk geleden schade. De AVG kent geen bestraffend element, zelfs niet als er opzet was bij de schending van de AVG. Er is echter ook geen drempel voordat schade kan worden geclaimd. Dus zelfs kleine schadebedragen, bijvoorbeeld voor het moeten aanvragen van een nieuw paspoort voor ongeveer € 50, moeten worden gecompenseerd als aan de andere twee vereisten is voldaan.

 

Het oordeel van de rechter over de Gedupeerden Categorie A

De rechter oordeelt op basis van het arrest VB/NAP van het Hof van Justitie van de Europese Unie (‘HvJ EU ‘) dat de vrees voor misbruik van persoonsgegevens na een inbreuk op de AVG immateriële schade kan zijn. Ten aanzien van de Gedupeerden Categorie A oordeelt de rechter dat de inbreuk echter nog niet vaststaat, omdat niet vaststaat of de gegevens zijn gelekt. En de ‘vrees voor een inbreuk’ is volgens de rechter op grond van het arrest MediaMarktSaturn van het HvJ EU geen immateriële schade. De vordering is voor deze gedupeerden volgens de rechtbank daarom niet ontvankelijk.

 

Voor een inbreuk op de AVG (bijv. artikel 32 AVG) is echter niet vereist dat de persoonsgegevens daadwerkelijk zijn gestolen. En dat artikel 32 AVG is overtreden is in deze zaak geen punt van discussie. Er is dus wel degelijk sprake van een inbreuk op de AVG. Het HvJ EU zegt enkel dat deze inbreuk op zichzelf onvoldoende is om schade aan te tonen. Indien de betrokkene echter schade kan aantonen doordat artikel 32 AVG is geschonden, dan zou hij voldoen aan de door het HvJ EU gestelde criteria. Dat dit makkelijker is aan te tonen als de persoonsgegevens ook daadwerkelijk zijn uitgelekt, doet aan dat uitgangspunt niet af.

 

Daarnaast klopt ook de interpretatie van het arrest MediaMarktSaturn niet. Het HvJ EU zegt in overweging 68:

 

In het bijzonder kan een zuiver hypothetisch risico dat een onbevoegde derde misbruik maakt van persoonsgegevens geen aanleiding geven tot schadevergoeding. Dit is het geval wanneer geen enkele derde kennis heeft genomen van de desbetreffende persoonsgegevens.

 

Met name dat laatste kan in deze zaak niet worden uitgesloten. Op 20 juni 2024 (dus vlak voordat het vonnis van de rechter is gewezen), heeft het HvJ EU in een arrest bovendien benadrukt dat het niet is vereist dat kan worden aangetoond dat de gegevens daadwerkelijk zijn uitgelekt:

 

de vrees van een persoon dat zijn persoonsgegevens ten gevolge van een inbreuk op deze verordening aan derden zijn doorgegeven zonder dat kan worden aangetoond dat dit daadwerkelijk het geval is geweest, volstaat om een recht op schadevergoeding te doen ontstaan indien die vrees en de negatieve gevolgen ervan naar behoren worden bewezen.

 

De rechter hanteert een onjuiste rechtsopvatting en kijkt ten onrechte niet naar de vraag of de gedupeerden wel of niet schade hebben geleden. Nu de beleving van dergelijke incidenten per persoon verschilt, lijkt het ons echter wel lastig de schade in een collectieve actie gedegen aan te tonen.

 

Het oordeel van de rechter over de Gedupeerden Categorie B

Voor de Gedupeerden Categorie B staat wel vast dat de persoonsgegevens zijn gestolen. Ongeveer 80 procent van deze groep heeft echter tegen finale kwijting eerder een vergoeding van € 500 van de GGD geaccepteerd. De resterende groep uit deze categorie is dus erg klein en Stichting ICAM heeft onvoldoende aangetoond dat deze kleine groep de vordering steunt. Stichting ICAM heeft bij de aanmelding namelijk geen onderscheid gemaakt tussen gedupeerden uit categorie A en B. Deze vordering is dus ook niet ontvankelijk ten gevolge van een gebrek aan representativiteit.

 

Materiële schade

Nu voor de Gedupeerden Categorie A de inbreuk op de AVG volgens de rechter niet vaststaat en er voor de Gedupeerden Categorie B niet is voldaan aan het representativiteitsvereiste, wordt ook de vordering tot vergoeding van materiële schade niet ontvankelijk verklaard.

 

Conclusie

In het betreffende vonnis gaat de rechter, ondanks dat het een zeer uitvoerig gemotiveerd vonnis is, uit van een onjuiste rechtsregel voor de Gedupeerden Categorie A. De vraag voor die gedupeerden zou moeten zijn of de gedupeerden wel of niet schade hebben geleden. Het moet dan echter wel gaan om aantoonbaar geleden schade die is ontstaan door een inbreuk op de AVG. Wij verwachten dat dit in een collectieve actie lastig zal zijn aan te tonen, vooral als de gevolgen van de inbreuk beperkter of onduidelijk zijn (zoals het geval is bij de Gedupeerden Categorie A).

Keywords

Aansprakelijkheidsrecht
AVG
Burgerlijke rechtsvordering
GGD
Massaclaim
Privacy
schade

Auteur(s)

Dewi Harkink

Senior advocaat bij Osborne Clarke

LinkedIn

Doddy Wolfs

Advocaat bij Osborne Clarke

LinkedIn

25 Apr 2025
blog

Verzekeringsdekking en beroepsaansprakelijkheid assurantietussenpersoon: wie draait op voor de brandschade?
Huug Hieltjes

In de nacht van 10 op 11 oktober 2019 raakte een pand beschadigd door brand. De VvE en de nieuwe eigenaren startten daarop procedures tegen de verzekeraar over de dekking en tegen de assurantietussenpersoon en notaris wegens schending van hun zorgplicht vanwege het mogelijk ontbreken van die dekking. Nadat in eerste aanleg werd geoordeeld dat er dekking w...
23 Apr 2025
blog

Wanneer stinkt stank voldoende om onrechtmatig te zijn? Het hof Den Haag geeft antwoord
Rico Ligtvoet

Geur is volgens het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) een belangrijk aspect voor de kwaliteit van de leefomgeving en gezondheid van mensen die in de buurt van (veelal intensieve) veehouderijen wonen. Geurhinder kan leiden tot stress en gezondheidsklachten, zoals hoofdpijn, duizeligheid en misselijkheid. De hoge concentratie van vee in N...
22 Apr 2025
praktijk

Uitspraken gerechtelijke instanties en Kifid
Tamara Hussein, Sharina Ramdjan, Dieuwke van Strien

De redactie van VAST selecteert voor abonnees op regelmatige basis relevante arresten van de Hoge Raad en gerechtshoven en uitspraken van rechtbanken en van de Geschillencommissie en de Commissie van Beroep van het Kifid. De geselecteerde arresten en uitspraken zijn afkomstig van o.a. rechtspraak nl. en het uitsprakenregister van het Kifid. Een aantal hie...