Schadevergoeding onder de Algemene Verordening Gegevensbescherming

DOI: 10.5553/MvV/157457672019016708009
Artikel

Schadevergoeding onder de Algemene Verordening Gegevensbescherming

Trefwoorden AVG, schadevergoeding, privacy, aansprakelijkheid
Auteurs
DOI
Bron
Open_access_icon_oaa
  • Toon PDF
  • Toon volledige grootte
  • Auteursinformatie

    Mr. F.C. van der Jagt-Vink

    Mr. F.C. van der Jagt-Vink is advocaat bij Hunter Legal te Amsterdam en fellow bij het Onderzoekscentrum voor Onderneming & Recht van de Radboud Universiteit Nijmegen.

  • Statistiek

    Dit artikel is keer geraadpleegd.

    Dit artikel is 0 keer gedownload.

  • Citeerwijze

    Aanbevolen citeerwijze bij dit artikel

    Mr. F.C. van der Jagt-Vink, 'Schadevergoeding onder de Algemene Verordening Gegevensbescherming', MvV 2019, p. 286-292

    Download RIS Download BibTex

    • 1 Inleiding

      Vrijdagmiddag, een pushbericht van de Telegraaf op mijn telefoon: vakantiegangers vrezen voor inbraken na een datalek bij reisorganisatie Neckermann.‍1x M. Vink, Vakantiegangers vrezen inbraak na datalek, Telegraaf 14 juni 2019, te raadplegen via: www.telegraaf.nl/nieuws/1690462866/vakantiegangers-vrezen-inbraak-na-datalek. Daar bleken diverse computers en laptops te zijn gestolen. Op een van de computers bevond zich een bestand met namen en adresgegevens van tienduizenden klanten en informatie over de door hen geboekte vakanties. Dan lig je toch iets minder ontspannen op het strand… Een paar jaar geleden was het nog ondenkbaar dat voor een dergelijk incident een pushbericht door een landelijke krant zou worden gestuurd. Maar ons leven speelt zich meer en meer online af en onze persoonsgegevens worden op steeds grotere schaal verwerkt. Tegelijkertijd volgen de privacyschandalen elkaar in rap tempo op. Datalekken bij onder meer het UWV‍2x M. Geels, 117.000 cv’s gestolen bij hack UWV, NRC 4 mei 2019, te raadplegen via: www.nrc.nl/nieuws/2019/05/04/vacaturebank-117000-cvs-gestolen-bij-hack-uwv-a3959138. en Uber‍3x P. Holley, Uber waits a year to reveal major hack of customer data, The Washington Post 21 november 2017, te raadplegen via: www.washingtonpost.com/news/innovations/wp/2017/11/21/uber-waits-a-year-to-reveal-massive-hack-of-customer-data/?utm_term=.6b63251ee709. tonen aan dat er op het gebied van privacybescherming nog heel wat te winnen valt. En zou Trump de Amerikaanse presidentsverkiezingen ook hebben gewonnen zonder de gerichte advertenties die alleen mogelijk waren door het gebruik van onrechtmatig gegeneerde stemprofielen gebaseerd op de gegevens van 87 miljoen Facebook-gebruikers?‍4x C. Kang and S. Frenkel, Facebook Says Cambridge Analytica Harvested Data of Up to 87 Million Users, New York Times 4 april 2018, te raadplegen via: www.nytimes.com/2018/04/04/technology/mark-zuckerberg-testify-congress.html.

      Ook de komst van de Algemene Verordening Gegevensbescherming (AVG)‍5x Verordening (EU) 2016 /679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PbEU 2016, L 119/1. heeft de aandacht voor het onderwerp ‘privacy’ een enorme boost gegeven. In de eerste helft van 2018 werden we overspoeld met radiospotjes, verhalen over wat er met de komst van de AVG allemaal niet meer zou mogen,‍6x Zie onder meer: L. Lonkhuyzen en M. Huygen, Niet meer durven bidden voor de zieken – dankzij de privacywet, NRC 10 juli 2018, te raadplegen via: www.nrc.nl/nieuws/2018/07/10/bidden-voor-de-zieken-mag-dat-van-de-privacywet-a1609537 en M. Gouka, Blessure en dat is het dan, Algemeen Dagblad 13 juli 2018, te raadplegen via: www.ad.nl/nederlands-voetbal/blessure-en-dat-is-het-dan~a7ff42c4/. maar vooral ook heel veel privacy statements in onze mailboxen van bedrijven die ‘onze privacy’ allemaal zeer hoog in het vaandel hebben staan. Of is men vooral bang voor de torenhoge boetes (€ 20 miljoen of 4% van de totale wereldwijde jaaromzet in het voorafgaande boekjaar van een onderneming)‍7x Zie art. 83 AVG. die op grond van de AVG kunnen worden opgelegd?

      De AVG is nu ruim een jaar van toepassing en de publiekrechtelijke handhaving komt langzaam op gang. De Franse toezichthouder, de CNIL, heeft tot nog toe de hoogste boete (€ 50 miljoen) opgelegd aan Google LLC, omdat het Android-gebruikers te moeilijk wordt gemaakt om bij de informatie over de verwerking van hun persoonsgegevens te komen en deze informatie bovendien niet duidelijk en begrijpelijk is.‍8x Commission nationale de l’informatique et des libertés (CNIL), Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC, te raadplegen via: www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1. Hierdoor verliezen gebruikers de controle over het gebruik van hun persoonsgegevens, aldus de CNIL. Daarnaast zou de toestemming die Google LLC aan gebruikers vraagt voor het verwerken van hun persoonsgegevens om gepersonaliseerde advertenties aan te bieden niet voldoen aan de eisen van de AVG. Google LLC heeft besloten deze boete aan te vechten bij de Franse bestuursrechter.‍9x Google in beroep tegen miljoenenboete Franse privacywaakhond, nu.nl 23 januari 2019, te raadplegen via: www.nu.nl/internet/5701124/google-in-beroep-tegen-miljoenenboete-franse-privacywaakhond.html.

      Daarnaast heeft de Britse toezichthouder, de ICO, recentelijk bekendgemaakt voornemens te zijn om vliegtuigmaatschappij British Airways een boete van € 205 miljoen op te leggen wegens een datalek waarbij klantgegevens van 500.000 klanten via de website van British Airways gestolen konden worden door cybercriminelen.‍10x ICO, Intention to fine British Airways £183.39m under GDPR for data breach, 8 juli 2019, te raadplegen via: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways. In dezelfde week kondigde de ICO ook nog een voorgenomen boete van ruim € 110 miljoen voor de hotelketen Marriott aan.‍11x ICO, Statement: Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach, 9 juli 2019, te raadplegen via: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/. Door een kwetsbaarheid in het hotelreserveringssysteem waren ruim 339 miljoen klantgegevens toegankelijk voor onbevoegden. Uit een eerste onderzoek bleek dat in ieder geval één partij zichzelf toegang had verschaft en gegevens had gekopieerd en versleuteld en op het punt stond om de oorspronkelijke gegevens te wissen.‍12x Zie eerste persbericht Marriott International, Inc, d.d. 30 november 2018, te raadplegen via: http://starwoodstag.wpengine.com/wp-content/uploads/2019/05/us-en_First-Response.pdf. Marriott kon dit nog op het nippertje voorkomen. Deze kwetsbaarheid bevond zich waarschijnlijk al sinds 2014 in de systemen van de in 2016 door Marriott overgenomen hotelketen Starwood. Marriott ontdekte de kwetsbaarheid echter pas in september 2018. De ICO wijst er expliciet op dat bij een overname de verkrijgende partij een adequaat due-diligence-onderzoek moet uitvoeren, waarbij niet alleen dient te worden gekeken naar welke persoonsgegevens worden verkregen, maar ook naar de wijze waarop de persoonsgegevens worden beschermd. Oftewel: deze kwetsbaarheid had al veel eerder aan het licht moeten komen en Marriott had de IT-systemen beter moeten beveiligen.

      In Nederland is onlangs de eerste boete onder de AVG opgelegd.‍13x In tegenstelling tot berichtgeving in diverse media is de boete die de Autoriteit Persoonsgegevens in november 2018 aan Uber B.V. en Uber Technologies, Inc. heeft opgelegd niet gebaseerd op een overtreding van de AVG maar van de Wbp. Ten tijde van de overtreding was de Wbp namelijk van toepassing (zie art. 48 lid 8 UAVG). Zie: Autoriteit Persoonsgegevens, Besluit tot opleggen van een bestuurlijke boete, 9 november 2018, te raadplegen via: www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_uber.pdf. De dubieuze eer is voor het HagaZiekenhuis waar de interne beveiliging van de patiëntendossiers niet goed op orde is.‍14x Autoriteit Persoonsgegevens, Besluit tot het opleggen van een bestuurlijke boete en een last onder dwangsom, 18 juni 2019, te raadplegen via: www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/besluit_haga_-_ter_openbaarmaking.pdf. Hierdoor konden tientallen nieuwsgierige medewerkers spieken in het dossier van een bepaalde bekende Nederlander. Het HagaZiekenhuis moet een boete van € 460.000 betalen. Om te zorgen dat de beveiliging alsnog op orde wordt gebracht heeft de Autoriteit Persoonsgegevens (AP) eveneens een last onder dwangsom opgelegd. Hoewel in de wandelgangen gefluisterd wordt dat er nog een aantal boetes in de pijplijn zit, kampt de AP sinds jaar en dag met onderbezetting. De voorzitter van de AP, Aleid Wolfsen, gaf recentelijk in een interview aan dat het werk de AP over de schoenen loopt.‍15x J. Leupen en J. Piersma, Toezichthouder privacy: ‘Het werk loopt ons over de schoenen’, Financieel Dagblad 4 april 2019, te raadplegen via: https://fd.nl/economie-politiek/1295436/toezichthouder-privacy-het-werk-loopt-ons-over-de-schoenen.

      Mede om die reden ziet dit artikel op de mogelijkheid om privacyschendingen op grond van het privaatrecht aan te pakken en de beantwoording van de vraag of de mogelijkheden om daarbij schadevergoeding te vorderen wezenlijk zijn gewijzigd door de komst van de AVG.‍16x Voor een kort overzicht van de (overige) wijzigingen die de AVG met zich brengt verwijs ik graag naar: N.M. Brouwer, De Algemene Verordening Gegevensbescherming, Tijdschrift Aansprakelijkheids- en Verzekeringsrecht in de praktijk, nr. 4/2018, p. 31-37. Zal de AVG gaan leiden tot een stortvloed van privacyclaims of is het effect van de nieuwe wetgeving in de praktijk beperkt?

      Na een korte schets van de doelstellingen van de AVG (par. 2), wordt aandacht besteed aan de mogelijkheden tot vergoeding van vermogensschade en immateriële schade voor de komst van de AVG (par. 3). Daarna wordt de eerste Nederlandse rechtszaak waarin schadevergoeding onder de AVG is toegekend‍17x Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827. besproken en wordt bezien in hoeverre de verhaalspositie van de betrokkene onder de AVG is versterkt (par. 4). Het artikel wordt afgesloten met een korte conclusie (par. 5).

    • 2 Doelstellingen AVG

      De AVG is sinds 25 mei 2018 van toepassing en vervangt de Europese Privacyrichtlijn (Richtlijn).‍18x Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 december 1995 betreffende de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (PbEG 1995, L 281/31). De Wet bescherming persoonsgegevens (Wbp) die de implementatie vormde van de Richtlijn, is komen te vervallen.‍19x Zie art. 51 Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). De AVG beoogt de grondrechten en de fundamentele vrijheden van natuurlijke personen (‘betrokkenen’‍20x Zie art. 4 onder 1 AVG: de betrokkene is de geïdentificeerde of identificeerbare natuurlijke persoon op wie de informatie die wordt verwerkt, betrekking heeft. ), en dan met name hun recht op bescherming van persoonsgegevens, te beschermen.‍21x Zie art. 1 lid 2 AVG. Daarnaast is de AVG een ‘interne-markt-verordening’: de geboden bescherming mag niet leiden tot een beperking of verbod van het vrije verkeer van persoonsgegevens.‍22x Zie art. 1 lid 3 AVG. Deze doelstellingen komen overeen met de doelstellingen van de Richtlijn. De Richtlijn heeft echter niet kunnen voorkomen dat persoonsgegevens in de Europese Unie op een gefragmenteerde wijze worden beschermd, waardoor eveneens het vrije verkeer van persoonsgegevens wordt belemmerd.‍23x Zie overweging 9 bij de AVG. Zo kende Nederland, in tegenstelling tot bijvoorbeeld Duitsland, pas sinds 1 januari 2016 substantiële bestuurlijke boetes voor overtredingen van de Wbp.‍24x Wet van 4 juni 2015 tot wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp), Stb. 2015, 230. De keuze voor een direct werkende verordening in plaats van een richtlijn zorgt onder meer voor gelijkwaardige bevoegdheden op het gebied van toezicht en handhaving en vergelijkbare sancties voor overtredingen van de Europese privacywetgeving in de lidstaten.‍25x Zie overweging 11 bij de AVG.

    • 3 Vergoeding van vermogensschade en immateriële schade vóór de komst van de AVG

      Om te kunnen beoordelen of de AVG daadwerkelijk een gamechanger is voor de privaatrechtelijke handhaving van schendingen van privacywetgeving, is het van belang om allereerst te bezien in hoeverre het mogelijk was om vóór de komst van de AVG schade te verhalen.

      3.1 Aansprakelijkheid onder de Richtlijn en de Wbp

      De Richtlijn kende een specifieke aansprakelijkheidsbepaling die de lidstaten verplichtte te waarborgen dat eenieder die schade had geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar was met de ter uitvoering van de Richtlijn vastgestelde nationale bepalingen, zijn of haar schade vergoed kon krijgen van de verantwoordelijke (degene die, kort gezegd, het doel en de middelen van de gegevensverwerking vaststelt).‍26x Zie art. 23 van de Richtlijn. Zie voor de definitie van het begrip ‘verantwoordelijke’ art. 2 onder d van de Richtlijn. Onder de AVG spreken we van de verwerkingsverantwoordelijke, zie de huidige (inhoudelijk ongewijzigde) definitie in art. 4 onder 7 AVG. In Nederland kenden we deze mogelijkheid al sinds de Wet persoonsregistraties (Wpr)‍27x Wet van 28 december 1988, houdende regels ter bescherming van de persoonlijke levenssfeer in verband met persoonsregistraties (Wet persoonsregistraties), Stb. 1988, 665, zie specifiek art. 9 Wpr. , de voorloper van de Wbp. Voor de implementatie van de Richtlijn in art. 49 Wbp werd daarom grotendeels aangesloten bij de Wpr.‍28x Kamerstukken II 1997/98, 25892, 3 (MvT), p. 176. Daarin was eveneens bepaald dat de betrokkene voor nadeel dat niet uit vermogensschade bestond, recht had op een naar billijkheid vast te stellen schadevergoeding,‍29x Zie art. 9 lid 2 Wpr. welke bepaling ongewijzigd in art. 49 lid 2 Wbp werd overgenomen. De belangrijkste wijziging ten opzichte van de Wpr was dat art. 23 van de Richtlijn expliciet bepaalde dat de verantwoordelijke geheel of gedeeltelijk van aansprakelijkheid kon worden ontheven wanneer hij kon bewijzen dat de schade niet aan hem kon worden toegerekend, hetgeen in art. 49 lid 2 Wbp werd toegevoegd. De Richtlijn gaf geen verdere specificatie van de schade die voor vergoeding in aanmerking kon komen. Hierdoor zijn, net als bij de publiekrechtelijke handhaving van de Richtlijn, tussen de lidstaten verschillen ontstaan in de schade die een benadeelde vergoed kan krijgen.‍30x T.F. Walree, De vergoedbare schade bij de onrechtmatige verwerking van persoonsgegevens, WPNR 2017/7172, p. 921-930.

      De Afdeling bestuursrechtspraak van de Raad van State heeft in 2018 verduidelijkt dat art. 49 Wbp geen zelfstandige grondslag voor schadevergoeding bevatte.‍31x ABRvS 22 augustus 2018, ECLI:NL:RVS:2018:2751, r.o. 9.4. Ter toelichting: in deze zaak speelde de vraag of de afwijzing van een verzoek tot schadevergoeding ex art. 49 Wbp kon worden aangemerkt als een besluit in de zin van art. 1:3 lid 1 Awb waartegen beroep door de benadeelde openstond. In de regel is namelijk een beslissing die op een specifieke wettelijke regeling over schadevergoeding wordt gebaseerd een besluit. Art. 49 Wbp was volgens de Afdeling niet als een dergelijke specifieke wettelijke regeling aan te merken. Vgl. Hof Den Haag 28 november 2017, ECLI:NL:GHDHA:2017:4274, r.o. 30 (X/SDU). Het ging in deze zaak om de verstrekking van een rapportage door de korpschef van de politie aan de Belastingdienst. In de rapportage stond informatie over panden waar hennepkwekerijen waren aangetroffen, waarbij de benadeelde als verdachte in plaats van als getuige was aangemerkt. De benadeelde vorderde vervolgens schade op grond van art. 49 Wbp. De Afdeling oordeelde uiteindelijk dat art. 49 Wbp geen zelfstandige grondslag voor schadevergoeding bevatte, maar slechts een aanvulling vormde op de bepalingen over schadevergoeding die in Boek 6 van het Burgerlijk Wetboek zijn opgenomen. Van een specifieke wettelijke regeling was derhalve geen sprake.

      Een schending van de Wbp kon worden aangemerkt als de schending van een wettelijke plicht, hetgeen een onrechtmatige daad in de zin van art. 6:162 lid 2 BW opleverde.

      Conform art. 6:95 BW komen zowel vermogensschade als immateriële schade veroorzaakt door overtredingen van de privacywetgeving voor vergoeding in aanmerking. Wanneer het nadeel niet uit vermogensschade (art. 6:96 BW) bestaat, heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding (art. 6:106 BW).‍32x Zie art. 9 lid 2 Wpr en art. 49 lid 2 Wbp jo. art. 6:106 aanhef en sub b BW.

      3.2 Vergoeding van vermogensschade onder de Wbp

      In de praktijk bleek het echter lastig voor de benadeelde om bij privacyschendingen zijn schade te verhalen. In de literatuur is dit uitgebreid uiteengezet door Walree.‍33x Zie Walree 2017. Vaak is sprake van onvoldoende concrete schade, is de schade moeilijk te kwantificeren of beschikt de betrokkene niet over voldoende informatie om de schending te kunnen aantonen. Walree geeft als voorbeeld een datalek‍34x Het begrip ‘datalek’ is de populaire benaming voor een inbreuk op de beveiliging van persoonsgegevens zoals voorheen nader gedefinieerd in art. 34a Wbp en tegenwoordig in art. 4 onder 12 AVG. waarbij in beginsel een set ‘onschuldige’ persoonsgegevens, zoals NAW-gegevens, is buitgemaakt. Op dat moment ontstaat voor de betrokkene wellicht geen schade, maar indien deze persoonsgegevens worden gecombineerd met andere gegevens (die al dan niet bij een ander datalek worden verkregen), kan een bestand ineens aantrekkelijk worden voor kwaadwillenden en kan schade ontstaan. Walree wijst hierbij ook op het feit dat veel persoonsgegevens geen houdbaarheidsdatum kennen en schade dus pas vele jaren later kan ontstaan. Hierdoor kan een datalek, waarbij in eerste instantie geen concrete schade is ontstaan, de kans op toekomstige schade vergroten. Nu de vermogensschade niet geconcretiseerd kan worden, staat de betrokkene in beginsel met lege handen. Zolang de betrokkene niet aan kan tonen dat er een serieuze kans is dat een nadelig gevolg zich daadwerkelijk zal voordoen, is een beroep op art. 6:105 BW, de vergoeding van de toekomstige schade, evenmin kansrijk.‍35x T.F.E. Tjong Tjin Tai, Aansprakelijkheid bij datalekken, WPNR 2016/7110, par. 6.

      Art. 6:96 lid 2 sub a BW biedt de betrokkene nog wel de mogelijkheid om aanspraak te maken op de vergoeding van maatregelen die hij neemt om toekomstige schade te voorkomen, maar de daarvoor gemaakte kosten moeten wel de zogenoemde dubbele redelijkheidstoets doorstaan: de kosten alsmede de omvang daarvan moeten redelijk zijn. Het valt te betwijfelen of bijvoorbeeld het inhuren van een bewakingsbedrijf door een van de Neckermann-reizigers gedurende de vakantieperiode deze toets zou doorstaan. Men kan immers ook de buren vragen om een extra oogje in het zeil te houden.

      Ook wanneer wel sprake is van concrete schade, zoals wanneer er daadwerkelijk zou worden ingebroken bij een van de getroffen Neckermann-reizigers, is het de vraag of de betrokkene in staat is om het causale verband tussen het datalek en de schade aan te tonen. In de zomer is er immers altijd een piek in het aantal inbraken.‍36x Zie ter illustratie: K. Voskuil, Waar slaan inbrekers ’s zomers hun slag? Dit zijn de hotspots!, Algemeen Dagblad 18 juni 2019, te raadplegen via: www.ad.nl/binnenland/waar-slaan-inbrekers-s-zomers-hun-slag-dit-zijn-de-hotspots~aaae4ac7. Het causale verband is nog lastiger aan te tonen wanneer de vakantieganger op social media informatie heeft gedeeld over het feit dat hij met vakantie gaat. Hij kan in dat geval ook nog worden geconfronteerd met een eigenschuldverweer ex art. 6:101 BW.‍37x Zie over de mogelijkheden om in dat geval het leerstuk van de proportionele aansprakelijkheid toe te passen: Walree 2017, par. 2.

      3.3 Vergoeding van immateriële schade onder de Wbp

      Het verkrijgen van immateriële schadevergoeding is evenmin eenvoudig. Menigeen zal zich zorgen maken wanneer zijn of haar persoonsgegevens zijn gelekt. De vraag is echter of deze zorgen zo zwaar zijn dat de betrokkene op grond van art. 6:106 aanhef en sub b BW kan betogen dat hij daadwerkelijk ‘in zijn persoon is aangetast’. Op basis van concrete gegevens moet naar objectieve maatstaven in rechte kunnen worden vastgesteld dat sprake is van ‘geestelijk letsel’,‍38x HR 21 februari 1997, ECLI:NL:HR:1997:ZC2286, (Wrongful Birth), r.o. 3.14. Rb. Zwolle-Lelystad 4 mei 2011, ECLI:NL:RBZLY:2011:BV6594 (X/Aegon), r.o. 4.16 en 4.17, HR 9 mei 2003, ECLI:NL:HR:2003:AF4606 (Beliën/Prov. Noord-Brabant), r.o. 5.2.3 en HR 19 december 2003, ECLI:NL:HR:2003:AL7053, NJ 2004/348 (S.J./Staat) r.o. 5.2.3. waarbij de Hoge Raad heeft geoordeeld dat dit in het algemeen slechts het geval zal zijn wanneer sprake is van een in de psychiatrie erkend ziektebeeld.‍39x HR 9 oktober 2009, ECLI:NL:HR:2009:BI8583 (Kleijnen/Reaal Schadeverzekeringen), r.o. 3.5. Om het te vertalen naar het datalek bij Neckermann: het feit dat je wat minder ontspannen op je strandbedje ligt, is uiteraard vervelend, maar van aantoonbaar geestelijk letsel zal niet snel sprake zijn. Dit kan mijns inziens uiteraard anders zijn als er sprake is van een datalek van bijzondere categorieën van persoonsgegevens, zoals gegevens over iemands seksuele voorkeur of – zoals bij het HagaZiekenhuis – iemands gezondheid.‍40x Zie art. 16 Wbp en art. 9 AVG. De verwerking van deze gegevens kan significante risico’s met zich brengen voor de grondrechten en de fundamentele vrijheden van de betrokkene (zie overweging 51 bij de AVG). Deze gegevens kunnen bijvoorbeeld worden gebruikt om iemand uit te sluiten of te discrimineren. Onder de AVG worden strafrechtelijke persoonsgegevens niet langer als ‘bijzonder’ gekwalificeerd, maar gelden gelet op de gevoeligheid van deze gegevens wel specifieke eisen, zie art. 10 AVG.

      Ook de leer van de integriteitsschade biedt slechts in beperkte gevallen uitkomst. Een betrokkene moet dan kunnen aantonen dat hij in zijn persoon is aangetast doordat sprake is van een ernstige inbreuk op een fundamenteel recht;‍41x HR 18 maart 2005, ECLI:NL:HR2005:AR5213 (Baby Kelly), r.o. 4.8, HR 9 juli 2004, ECLI:NL:HR:2004:AO7721 (Groninger Oudejaarsrellen), r.o. 3.13, HR 29 juni 2012, ECLI:NL:HR:2012:BW1519 (Blauw oog), r.o. 3.5. in dit geval het recht op bescherming van persoonsgegevens, zoals opgenomen in art. 8 Handvest van de Grondrechten van de Europese Unie.‍42x Zie ook Parl. Gesch. Boek 6, p. 380 en HR 4 oktober 2013, ECLI:NL:HR:2013:851, r.o. 3.4.2 en Hof Den Haag 28 november 2017, ECLI:NL:GHDHA:2017:4274 (X/SDU), r.o. 30. De enkele schending van het fundamentele recht is onvoldoende.‍43x HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 4.2.2. De inbreuk moet leiden tot de aantasting van de integriteit van de persoon en de gevolgen van de inbreuk moeten de betrokkene rechtstreeks treffen.‍44x I. Giesen, Herstel als er (juridisch) geen schade is: ‘integriteitsschade’, in: E.C. Huijsmans en M. van der Weij, Schade en herstel, Oisterwijk: Wolf Legal Publishers 2014, p. 44 en Rb. Noord-Nederland 1 maart 2017, ECLI:NL:RBNNE:2017:715 (NAM), r.o. 4.4.4 en 4.4.6. Hierbij zijn onder meer van belang de ‘bijzondere ernst van de normschending en de gevolgen daarvan voor het slachtoffer’.‍45x HR 29 juni 2012, ECLI:NL:HR:2012:BW1519, r.o. 3.5. Walree noemt als bijkomende omstandigheden, die in overweging kunnen worden genomen bij de beoordeling of er al dan niet sprake kan zijn van integriteitsschade die voor vergoeding in aanmerking komt, onder meer de verwachtingen van de betrokkene, de gevoelige aard (van de verwerking) van de persoonsgegevens‍46x Zie ook: HvJ EU 15 januari 2019, T-881/16, ECLI:EU:T:2019:5 (HJ v European Medicines Agency), r.o. 60 en 61. en de hoedanigheid van de verantwoordelijke.‍47x Supra noot 30, par. 3.

      Van een schending van de eer of goede naam van de vakantieganger zal in de regel evenmin sprake zijn; het feit dat uitlekt dat je geen exotische reis, maar een all-inclusive vakantie met animatie hebt geboekt leidt wellicht tot wat sarcastische opmerkingen van vrienden en bekenden, maar dit zal onvoldoende zijn om op grond van art. 6:106 aanhef en sub b BW schade vergoed te krijgen.‍48x Gelet op de reikwijdte van dit artikel wordt niet ingegaan op de mogelijkheid om bij bepaalde privacyschendingen een beroep te doen op afdracht van de behaalde winst. Zie voor een uitgebreide analyse van de mogelijkheden hiertoe: T.F. Walree, Het Cambridge Analyticaschandaal: wat kan de Nederlandse Facebook-gebruiker claimen?, Tijdschrift voor Internetrecht, 4/2018, p. 134-143.

      Mijn inschatting is dat claims van de Neckermann-reizigers onder de Wbp dus veelal niet tot schadevergoeding zouden hebben geleid (uitzonderlijke gevallen daargelaten).

    • 4 Aansprakelijkheid onder de AVG

      Maken de Neckermann-reizigers meer kans onder de AVG of kunnen ze hun (strand)handdoek beter in de ring gooien? Zoals hierna besproken biedt met name de mogelijkheid om een collectieve actie tot schadevergoeding te starten kansen.

      4.1 Recht op schadevergoeding

      Art. 82 AVG stelt dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de AVG, het recht heeft om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade. Een verwerker is een partij die ten behoeve en op instructie van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (art. 4 onder 8 AVG) maar niet aan diens rechtstreekse gezag onderworpen is, zoals een salarisadministratiekantoor. De verwerker is slechts aansprakelijk voor zover hij zich niet aan de tot hem gerichte verplichtingen uit de AVG houdt of wanneer hij zich niet houdt aan de rechtmatige instructies die hem door de verwerkingsverantwoordelijke zijn opgelegd (art. 82 lid 2 AVG). De mogelijkheid om de verwerker aansprakelijk te stellen vormt een uitbreiding ten aanzien van art. 23 van de Richtlijn.

      Er is gekozen voor risicoaansprakelijkheid: het enkele feit dat door een verwerking de AVG wordt geschonden, is voldoende om aansprakelijk te worden gehouden voor de schade die het gevolg is van die schending. Via art. 82 lid 3 AVG kan de verwerkingsverantwoordelijke of de verwerker worden vrijgesteld van aansprakelijkheid indien hij kan bewijzen dat hij op geen enkele wijze verantwoordelijk‍49x Het is de vraag hoe het begrip ‘verantwoordelijk’ dient te worden uitgelegd. Onder de Richtlijn werd uitgegaan van toerekenbaarheid (zie art. 23 van de Richtlijn). is voor het schadeveroorzakende feit. Art. 82 AVG kan mijns inziens, gelet op de directe horizontale en verticale werking van de AVG, een zelfstandige grondslag voor een vordering tot schadevergoeding bieden.

      Overweging 146 bij de AVG stelt dat het begrip schade, in het licht van de rechtspraak van het Hof van Justitie, ruim moet worden uitgelegd en wel op een wijze die ten volle recht doet aan de doelstellingen van de AVG. Daarbij moet een betrokkene volledige en daadwerkelijke vergoeding van de door hem geleden schade ontvangen. Het Hof heeft zich in het kader van de onrechtmatige verwerking van persoonsgegevens slechts eenmaal – en niet op grond van de AVG – uitgelaten over de omvang van deze schade. In een zeer casuïstische zaak werd een symbolische immateriële schadevergoeding van een euro toegekend.‍50x Supra noot 46, r.o. 62. Van een gemeenschapsautonome uitleg van het schadebegrip bij een schending van de AVG kan in de praktijk dan ook nog geen sprake zijn, simpelweg omdat nog geen rechtspraak beschikbaar is.‍51x Buiten het gegevensbeschermingsrecht zijn wel al in de Europese rechtspraak criteria geformuleerd om invulling te geven aan het schadevergoedingsbegrip. Zie T.F.E. Tjong Tjin Tai, Een Europees schadebegrip?, NTBR 2018/5, p. 31-36. Zie kritisch over de toepasbaarheid van deze criteria binnen het gegevensbeschermingsrecht: Walree 2017, par. 5. Voor de bepaling van de omvang van de schade en de toekenning van schadevergoeding wordt daarom, net als onder de Richtlijn, aansluiting gezocht bij het nationale rechtsbestel. Hetgeen in het eerste deel van dit artikel is opgemerkt over de vergoeding van vermogensschade en immateriële schade geldt derhalve onverkort.

      4.2 Eerste toekenning van schadevergoeding onder de AVG door de Nederlandse rechter

      De Rechtbank Overijssel heeft – voor zover bekend – de primeur voor de toekenning van schadevergoeding wegens een schending van de AVG.‍52x Supra noot 17. In deze zaak had een burger bij de gemeente Deventer een verzoek tot inzage in zijn persoonsgegevens ingediend. Dit verzoek bleek onvolledig te zijn beantwoord. In het kader van kennisuitwisseling tussen ruim veertig gemeenten over de omgang met Wob-verzoeken had de gemeente Deventer namelijk aangegeven van deze specifieke burger een tweetal Wob-verzoeken te hebben ontvangen, hetgeen de gemeente Deventer in haar antwoord op het inzageverzoek aan de betreffende burger niet had vermeld.‍53x Zie de toelichting van de raadsman van de burger in een interview met RTLZ: S. Trompert, Juridische doorbraak: rechter geeft schadevergoeding op grond privacywet AVG, 6 juni 2019, te raadplegen via: www.rtlz.nl/tech/artikel/4737251/opmerkelijk-rechter-geeft-schadevergoeding-op-grond-avg. De burger ging vervolgens in bezwaar, maar de gemeente wees dit bezwaar af. De volhardende burger ging in beroep en daar werd geoordeeld dat de gegevens van de burger onrechtmatig waren verwerkt, omdat de kennisuitwisseling met de andere gemeenten ook had kunnen plaatsvinden zonder de persoonsgegevens van de burger met de andere gemeenten te delen. Ook had de gemeente moeten onderzoeken of de gegevens van de burger vaker waren verwerkt in de mailboxen van de gemeente.‍54x Rb. Overijssel 18 juni 2018, ECLI:NL:RBOVE:2018:2496, r.o. 6.2. Het besluit op bezwaar werd vernietigd en de gemeente diende een nieuw besluit op bezwaar te nemen waarbij zij eveneens moest bezien of er aanleiding was om de burger schadevergoeding toe te kennen. Bij het nieuwe besluit op bezwaar heeft de gemeente het bezwaar van de burger gegrond verklaard, maar geen schadevergoeding toegekend.‍55x Ibid, r.o. 8. De burger hield stug vol: hij ging weer in beroep, om alsnog schadevergoeding af te dwingen. Voor wat betreft de toekenning van de schadevergoeding overweegt de rechtbank vervolgens:

      ‘(…) Naar het oordeel van de rechtbank laat artikel 82 van de Avg onverlet dat voor de toekenning van schadevergoeding aansluiting mag en moet worden gezocht bij het Nederlands rechtsbestel. Niet blijkt dat toepassing van dat stelsel geen of onvoldoende recht kan doen aan vergoeding van schade als bedoeld in artikel 82 van de Avg. Titel 8:4 van de Awb en de – op het civiele schadevergoedingsrecht – gebaseerde jurisprudentie van de hoogste Nederlandse bestuursrechters bieden voldoende grondslag voor de bestuursrechter om te beslissen op het schadeverzoek.’

      De rechtbank laat helaas in het midden of art. 82 AVG een zelfstandige grondslag voor schadevergoeding vormt. Via de band van art. 6:106 BW oordeelt de rechtbank dat de burger in zijn persoon is aangetast (integriteitsschade), omdat sprake is (geweest) van verlies van controle over zijn persoonsgegevens en kent een schadevergoeding van € 500 toe. In de hoogte van de schadevergoeding heeft de rechtbank meegewogen dat de gemeente geen rechtvaardiging heeft gegeven voor het delen van de persoonsgegevens met de andere gemeenten.

      De uitleg van de rechtbank sluit niet aan bij het recente oordeel van de Hoge Raad dat degene die zich op integriteitsschade beroept, de aantasting in zijn persoon met concrete gegevens dient te onderbouwen, tenzij de aard en de ernst van de normschending meebrengen dat de relevante nadelige gevolgen zo voor de hand liggen dat deze aantasting in de persoon kan worden aangenomen.‍56x Supra noot 43, r.o. 4.2.1. Uit de uitspraak van de Rechtbank Overijssel kan ik geen concrete gegevens destilleren waarmee de burger de schade die hij zou hebben geleden als gevolg van het feit dat zijn persoonsgegevens zijn gedeeld met de andere gemeenten, heeft onderbouwd. Mijns inziens is er ook geen sprake van een dusdanig ernstige normschending met voor de hand liggende nadelige gevolgen waardoor de aantasting in de persoon zonder nadere onderbouwing kan worden aangenomen. Controle over persoonsgegevens vormt een wezenlijk element van de AVG,‍57x Zie onder meer overweging 7 bij de AVG. maar de rechter lijkt de lat voor het aannemen van integriteitsschade in deze zaak wel erg laag te leggen.‍58x Zie ook Rb. Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700 (X/Advocatenkantoor).

      4.3 Nationaal aansprakelijkheidsrecht mag doelstellingen van de AVG niet ondermijnen

      De procedurele autonomie van de lidstaten waarbij aansluiting wordt gezocht bij het gefragmenteerde nationale aansprakelijkheids- en schadevergoedingsrecht, mag er echter niet toe leiden dat de doelstellingen van de AVG worden ondermijnd. Dit zou strijd opleveren met de verplichting van de rechter om het nationale recht in dergelijke gevallen buiten toepassing te laten.‍59x HvJ EG 19 juni 1990, C-213/89, ECLI:EU:C:1990:257 (Factortame), r.o. 19 en 23 en HvJ EG 20 september 2001, C-453/99, ECLI:EU:C:2001:465 (Courage/Crehan), r.o. 25. Zie ook uitgebreid Walree 2017, par. 6. Gelet op de directe (verticale en horizontale) werking van de AVG zouden zich dus gevallen kunnen voordoen waarin bepaalde schade op grond van het nationale aansprakelijkheids- en schadevergoedingsrecht van een lidstaat niet voor vergoeding in aanmerking komt, maar waarin op grond van art. 82 AVG toch schadevergoeding dient te worden toegekend, zoals we eerder binnen het mededingingsrecht hebben gezien.‍60x Interessant is de recente uitleg van het Oostenrijkse Oberster Gerichtshof dat art. 82 AVG als een aanvulling op het nationale recht het onrechtmatigedaadsrecht kwalificeert, als ware het een lex specialis binnen het schadevergoedingsrecht: ‘(…) Art. 82 der wiederum als Ergänzung zum nationalen Schadenersatzrecht, als eine Art lex specialis eines datenschutzrechtlichen Schadenersatzrechts zu sehen sei.’ Zie: Oberster Gerichtshof 11 juni 2019 (Schrems/Facebook Ireland Limited), te raadplegen via: https://noyb.eu/wp-content/uploads/2019/06/ogh_e.pdf.

      4.4 Hoofdelijke aansprakelijkheid

      Bij verwerkingen van persoonsgegevens zijn vaak meerdere verwerkingsverantwoordelijken of verwerkers betrokken. Nieuw ten opzichte van de Richtlijn, en een aanzienlijke versterking van de verhaalspositie van de betrokkene, is dat de AVG het voor de betrokkene mogelijk maakt om zijn volledige schade te verhalen bij elk van de partijen die bij de betreffende verwerking zijn betrokken. Deze hoofdelijke aansprakelijkheid is vastgelegd in art. 82 lid 4 AVG.‍61x Zie ook overweging 146 bij de AVG. De betrokkene kan dus kiezen wie hij aanspreekt, waarbij hij wel rekening zal moeten houden met de mogelijkheid dat de verwerkingsverantwoordelijke of de verwerker een beroep doet op de uitzonderingsregel van art. 82 lid 3 AVG (vrijstelling van aansprakelijkheid wanneer hij kan bewijzen dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit). In art. 82 lid 5 AVG wordt voorzien in een regresrecht voor de partij die de gehele schade aan de betrokkene heeft vergoed, terwijl hij slechts gedeeltelijk aansprakelijk was voor de veroorzaakte schade.

      4.5 Collectieve procedures

      De mogelijkheid om door middel van een individuele procedure een schadevergoeding te verkrijgen weegt veelal niet op tegen de kosten en de duur van de procedure. Bij schendingen van het gegevensbeschermingsrecht is vaak sprake van zogenoemde ‘strooischade’, waarbij de schade per individueel geval beperkt is, maar waarbij wel veel betrokkenen schade leiden.‍62x Zie hierover uitgebreid: T.E. van der Linden en M.F. Walree, De collectieve procedure als oplossing voor het privaatrechtelijke handhavingstekort bij een datalek, Aansprakelijkheid, Verzekering en Schade 2018/20. Auteurs besteden ook aandacht aan de collectieve actie op grond van art. 3:305 BW en de mogelijkheid tot het treffen van een collectieve schikking op grond van de Wet collectieve afwikkeling massaschade (WCAM), die gelet op de reikwijdte van dit artikel niet worden besproken. Daarom voorziet de AVG (in art. 80 lid 1) onder meer in de mogelijkheid voor een betrokkene om het recht op schadevergoeding ex art. 82 AVG namens hem in te laten stellen door een orgaan, organisatie of vereniging zonder winstoogmerk, indien het nationale recht van een lidstaat daarin voorziet. De procedure kan worden ingesteld bij de gerechten in de EU-lidstaat waarin de verwerkingsverantwoordelijke of verwerker een vestiging heeft of bij de gerechten van de EU-lidstaat waarin de betrokkene gewoonlijk verblijft.‍63x Zie art. 79 lid 2 AVG waarin tevens wordt voorzien in een uitzondering ten aanzien van overheidsinstanties.

      Bij collectieve procedures kunnen kosten worden gedeeld en kan vaak ook (een deel van) de informatie-asymmetrie – die veelal tussen de betrokkenen en de verwerkingsverantwoordelijke zal bestaan – worden weggenomen, bijvoorbeeld door het inhuren van deskundigen. Van der Linden en Walree merken daarnaast op dat het voor betrokkenen veelal gemakkelijker is om het causaal verband tussen de schending van de AVG en de bij hen opgetreden schade aan te tonen als blijkt dat hun gegevens door dezelfde verwerkingsverantwoordelijke zijn verwerkt.‍64x Supra noot 62, par. 7. De dreiging van mogelijke collectieve acties zou er ook toe moeten bijdragen dat partijen de AVG naleven.

      In Nederland is het momenteel nog niet mogelijk om via een collectieve actie schadevergoeding te vorderen. Het is wachten op de inwerkingtreding van de Wet afwikkeling massaschade collectieve actie die recentelijk door de Eerste Kamer is aangenomen.‍65x Wet van 20 maart 2019 tot wijziging van het Burgerlijk Wetboek en het Wetboek van Burgerlijke Rechtsvordering teneinde de afwikkeling van massaschade in een collectieve actie mogelijk te maken (Wet afwikkeling massaschade in collectieve actie), Stb. 2019, 130. Zie voor een uitgebreide analyse van de (on)mogelijkheden om naar Nederlands recht een collectieve actie te starten bij schendingen van de AVG: N. Vrugt en W.F. Dammers, Massaschadeclaims voor betrokkenen onder de AVG volgens Nederlands recht, Privacy & Informatie 2018/4, nr. 137. Collectivisering van claims is echter geen silver bullet: de mogelijkheid tot massaschadeclaims verandert niets aan het materiële aansprakelijkheids- en schadevergoedingsrecht en derhalve moeten de hordes om (immateriële) schade vergoed te krijgen nog altijd worden genomen.

    • 5 Conclusie

      Zijn de Neckermann-reizigers beter af onder de AVG? Een beetje, met name door de mogelijkheid om hun krachten te bundelen in een collectieve procedure waarin schadevergoeding kan worden gevorderd en kosten met andere gedupeerden kunnen worden gedeeld. In het algemeen geldt dat de positie van de betrokkenen om schade te verhalen onder de AVG is versterkt, nu zij niet alleen de verwerkingsverantwoordelijke maar ook de verwerker aansprakelijk kunnen stellen, waarbij het risico dat zij van het kastje naar de muur worden gestuurd om hun schade te verhalen beperkt wordt door de in de AVG opgenomen hoofdelijke aansprakelijkheid.

      De problematiek aangaande de concretisering, kwantificatie en aantoonbaarheid van schade wordt door de AVG niet weggenomen en het is daarom de vraag of collectieve schadevergoedingsacties in de praktijk tot een bevredigend resultaat voor de gedupeerden zullen leiden. Daarnaast is er nog geen sprake van een geharmoniseerd Europees aansprakelijkheids- en schadevergoedingsrecht, waardoor er verschillen tussen de schade die vergoed wordt en de hoogte van de schadevergoedingen die in lidstaten worden toegekend, kunnen en zullen blijven bestaan. Het is daarom wachten op een nadere duiding op Europees niveau van het schadebegrip bij schendingen van het gegevensbeschermingsrecht. Vierentwintig jaar na de inwerkingtreding van de Richtlijn is het daarom mijns inziens echt tijd voor de nationale gerechten om prejudiciële vragen te gaan stellen over dit onderwerp, zodat niet alleen de publiekrechtelijke handhaving maar ook de privaatrechtelijke handhaving van schendingen van de AVG, geharmoniseerd wordt.

    Noten

    • * Dit artikel is afgerond op 16 juli 2019.
    • 1 M. Vink, Vakantiegangers vrezen inbraak na datalek, Telegraaf 14 juni 2019, te raadplegen via: www.telegraaf.nl/nieuws/1690462866/vakantiegangers-vrezen-inbraak-na-datalek.

    • 2 M. Geels, 117.000 cv’s gestolen bij hack UWV, NRC 4 mei 2019, te raadplegen via: www.nrc.nl/nieuws/2019/05/04/vacaturebank-117000-cvs-gestolen-bij-hack-uwv-a3959138.

    • 3 P. Holley, Uber waits a year to reveal major hack of customer data, The Washington Post 21 november 2017, te raadplegen via: www.washingtonpost.com/news/innovations/wp/2017/11/21/uber-waits-a-year-to-reveal-massive-hack-of-customer-data/?utm_term=.6b63251ee709.

    • 4 C. Kang and S. Frenkel, Facebook Says Cambridge Analytica Harvested Data of Up to 87 Million Users, New York Times 4 april 2018, te raadplegen via: www.nytimes.com/2018/04/04/technology/mark-zuckerberg-testify-congress.html.

    • 5 Verordening (EU) 2016 /679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), PbEU 2016, L 119/1.

    • 6 Zie onder meer: L. Lonkhuyzen en M. Huygen, Niet meer durven bidden voor de zieken – dankzij de privacywet, NRC 10 juli 2018, te raadplegen via: www.nrc.nl/nieuws/2018/07/10/bidden-voor-de-zieken-mag-dat-van-de-privacywet-a1609537 en M. Gouka, Blessure en dat is het dan, Algemeen Dagblad 13 juli 2018, te raadplegen via: www.ad.nl/nederlands-voetbal/blessure-en-dat-is-het-dan~a7ff42c4/.

    • 7 Zie art. 83 AVG.

    • 8 Commission nationale de l’informatique et des libertés (CNIL), Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC, te raadplegen via: www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1.

    • 9 Google in beroep tegen miljoenenboete Franse privacywaakhond, nu.nl 23 januari 2019, te raadplegen via: www.nu.nl/internet/5701124/google-in-beroep-tegen-miljoenenboete-franse-privacywaakhond.html.

    • 10 ICO, Intention to fine British Airways £183.39m under GDPR for data breach, 8 juli 2019, te raadplegen via: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways.

    • 11 ICO, Statement: Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach, 9 juli 2019, te raadplegen via: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/.

    • 12 Zie eerste persbericht Marriott International, Inc, d.d. 30 november 2018, te raadplegen via: http://starwoodstag.wpengine.com/wp-content/uploads/2019/05/us-en_First-Response.pdf.

    • 13 In tegenstelling tot berichtgeving in diverse media is de boete die de Autoriteit Persoonsgegevens in november 2018 aan Uber B.V. en Uber Technologies, Inc. heeft opgelegd niet gebaseerd op een overtreding van de AVG maar van de Wbp. Ten tijde van de overtreding was de Wbp namelijk van toepassing (zie art. 48 lid 8 UAVG). Zie: Autoriteit Persoonsgegevens, Besluit tot opleggen van een bestuurlijke boete, 9 november 2018, te raadplegen via: www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_uber.pdf.

    • 14 Autoriteit Persoonsgegevens, Besluit tot het opleggen van een bestuurlijke boete en een last onder dwangsom, 18 juni 2019, te raadplegen via: www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/besluit_haga_-_ter_openbaarmaking.pdf.

    • 15 J. Leupen en J. Piersma, Toezichthouder privacy: ‘Het werk loopt ons over de schoenen’, Financieel Dagblad 4 april 2019, te raadplegen via: https://fd.nl/economie-politiek/1295436/toezichthouder-privacy-het-werk-loopt-ons-over-de-schoenen.

    • 16 Voor een kort overzicht van de (overige) wijzigingen die de AVG met zich brengt verwijs ik graag naar: N.M. Brouwer, De Algemene Verordening Gegevensbescherming, Tijdschrift Aansprakelijkheids- en Verzekeringsrecht in de praktijk, nr. 4/2018, p. 31-37.

    • 17 Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827.

    • 18 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 december 1995 betreffende de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (PbEG 1995, L 281/31).

    • 19 Zie art. 51 Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

    • 20 Zie art. 4 onder 1 AVG: de betrokkene is de geïdentificeerde of identificeerbare natuurlijke persoon op wie de informatie die wordt verwerkt, betrekking heeft.

    • 21 Zie art. 1 lid 2 AVG.

    • 22 Zie art. 1 lid 3 AVG.

    • 23 Zie overweging 9 bij de AVG.

    • 24 Wet van 4 juni 2015 tot wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp), Stb. 2015, 230.

    • 25 Zie overweging 11 bij de AVG.

    • 26 Zie art. 23 van de Richtlijn. Zie voor de definitie van het begrip ‘verantwoordelijke’ art. 2 onder d van de Richtlijn. Onder de AVG spreken we van de verwerkingsverantwoordelijke, zie de huidige (inhoudelijk ongewijzigde) definitie in art. 4 onder 7 AVG.

    • 27 Wet van 28 december 1988, houdende regels ter bescherming van de persoonlijke levenssfeer in verband met persoonsregistraties (Wet persoonsregistraties), Stb. 1988, 665, zie specifiek art. 9 Wpr.

    • 28 Kamerstukken II 1997/98, 25892, 3 (MvT), p. 176.

    • 29 Zie art. 9 lid 2 Wpr.

    • 30 T.F. Walree, De vergoedbare schade bij de onrechtmatige verwerking van persoonsgegevens, WPNR 2017/7172, p. 921-930.

    • 31 ABRvS 22 augustus 2018, ECLI:NL:RVS:2018:2751, r.o. 9.4. Ter toelichting: in deze zaak speelde de vraag of de afwijzing van een verzoek tot schadevergoeding ex art. 49 Wbp kon worden aangemerkt als een besluit in de zin van art. 1:3 lid 1 Awb waartegen beroep door de benadeelde openstond. In de regel is namelijk een beslissing die op een specifieke wettelijke regeling over schadevergoeding wordt gebaseerd een besluit. Art. 49 Wbp was volgens de Afdeling niet als een dergelijke specifieke wettelijke regeling aan te merken. Vgl. Hof Den Haag 28 november 2017, ECLI:NL:GHDHA:2017:4274, r.o. 30 (X/SDU).

    • 32 Zie art. 9 lid 2 Wpr en art. 49 lid 2 Wbp jo. art. 6:106 aanhef en sub b BW.

    • 33 Zie Walree 2017.

    • 34 Het begrip ‘datalek’ is de populaire benaming voor een inbreuk op de beveiliging van persoonsgegevens zoals voorheen nader gedefinieerd in art. 34a Wbp en tegenwoordig in art. 4 onder 12 AVG.

    • 35 T.F.E. Tjong Tjin Tai, Aansprakelijkheid bij datalekken, WPNR 2016/7110, par. 6.

    • 36 Zie ter illustratie: K. Voskuil, Waar slaan inbrekers ’s zomers hun slag? Dit zijn de hotspots!, Algemeen Dagblad 18 juni 2019, te raadplegen via: www.ad.nl/binnenland/waar-slaan-inbrekers-s-zomers-hun-slag-dit-zijn-de-hotspots~aaae4ac7.

    • 37 Zie over de mogelijkheden om in dat geval het leerstuk van de proportionele aansprakelijkheid toe te passen: Walree 2017, par. 2.

    • 38 HR 21 februari 1997, ECLI:NL:HR:1997:ZC2286, (Wrongful Birth), r.o. 3.14. Rb. Zwolle-Lelystad 4 mei 2011, ECLI:NL:RBZLY:2011:BV6594 (X/Aegon), r.o. 4.16 en 4.17, HR 9 mei 2003, ECLI:NL:HR:2003:AF4606 (Beliën/Prov. Noord-Brabant), r.o. 5.2.3 en HR 19 december 2003, ECLI:NL:HR:2003:AL7053, NJ 2004/348 (S.J./Staat) r.o. 5.2.3.

    • 39 HR 9 oktober 2009, ECLI:NL:HR:2009:BI8583 (Kleijnen/Reaal Schadeverzekeringen), r.o. 3.5.

    • 40 Zie art. 16 Wbp en art. 9 AVG. De verwerking van deze gegevens kan significante risico’s met zich brengen voor de grondrechten en de fundamentele vrijheden van de betrokkene (zie overweging 51 bij de AVG). Deze gegevens kunnen bijvoorbeeld worden gebruikt om iemand uit te sluiten of te discrimineren. Onder de AVG worden strafrechtelijke persoonsgegevens niet langer als ‘bijzonder’ gekwalificeerd, maar gelden gelet op de gevoeligheid van deze gegevens wel specifieke eisen, zie art. 10 AVG.

    • 41 HR 18 maart 2005, ECLI:NL:HR2005:AR5213 (Baby Kelly), r.o. 4.8, HR 9 juli 2004, ECLI:NL:HR:2004:AO7721 (Groninger Oudejaarsrellen), r.o. 3.13, HR 29 juni 2012, ECLI:NL:HR:2012:BW1519 (Blauw oog), r.o. 3.5.

    • 42 Zie ook Parl. Gesch. Boek 6, p. 380 en HR 4 oktober 2013, ECLI:NL:HR:2013:851, r.o. 3.4.2 en Hof Den Haag 28 november 2017, ECLI:NL:GHDHA:2017:4274 (X/SDU), r.o. 30.

    • 43 HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 4.2.2.

    • 44 I. Giesen, Herstel als er (juridisch) geen schade is: ‘integriteitsschade’, in: E.C. Huijsmans en M. van der Weij, Schade en herstel, Oisterwijk: Wolf Legal Publishers 2014, p. 44 en Rb. Noord-Nederland 1 maart 2017, ECLI:NL:RBNNE:2017:715 (NAM), r.o. 4.4.4 en 4.4.6.

    • 45 HR 29 juni 2012, ECLI:NL:HR:2012:BW1519, r.o. 3.5.

    • 46 Zie ook: HvJ EU 15 januari 2019, T-881/16, ECLI:EU:T:2019:5 (HJ v European Medicines Agency), r.o. 60 en 61.

    • 47 Supra noot 30, par. 3.

    • 48 Gelet op de reikwijdte van dit artikel wordt niet ingegaan op de mogelijkheid om bij bepaalde privacyschendingen een beroep te doen op afdracht van de behaalde winst. Zie voor een uitgebreide analyse van de mogelijkheden hiertoe: T.F. Walree, Het Cambridge Analyticaschandaal: wat kan de Nederlandse Facebook-gebruiker claimen?, Tijdschrift voor Internetrecht, 4/2018, p. 134-143.

    • 49 Het is de vraag hoe het begrip ‘verantwoordelijk’ dient te worden uitgelegd. Onder de Richtlijn werd uitgegaan van toerekenbaarheid (zie art. 23 van de Richtlijn).

    • 50 Supra noot 46, r.o. 62.

    • 51 Buiten het gegevensbeschermingsrecht zijn wel al in de Europese rechtspraak criteria geformuleerd om invulling te geven aan het schadevergoedingsbegrip. Zie T.F.E. Tjong Tjin Tai, Een Europees schadebegrip?, NTBR 2018/5, p. 31-36. Zie kritisch over de toepasbaarheid van deze criteria binnen het gegevensbeschermingsrecht: Walree 2017, par. 5.

    • 52 Supra noot 17.

    • 53 Zie de toelichting van de raadsman van de burger in een interview met RTLZ: S. Trompert, Juridische doorbraak: rechter geeft schadevergoeding op grond privacywet AVG, 6 juni 2019, te raadplegen via: www.rtlz.nl/tech/artikel/4737251/opmerkelijk-rechter-geeft-schadevergoeding-op-grond-avg.

    • 54 Rb. Overijssel 18 juni 2018, ECLI:NL:RBOVE:2018:2496, r.o. 6.2.

    • 55 Ibid, r.o. 8.

    • 56 Supra noot 43, r.o. 4.2.1.

    • 57 Zie onder meer overweging 7 bij de AVG.

    • 58 Zie ook Rb. Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700 (X/Advocatenkantoor).

    • 59 HvJ EG 19 juni 1990, C-213/89, ECLI:EU:C:1990:257 (Factortame), r.o. 19 en 23 en HvJ EG 20 september 2001, C-453/99, ECLI:EU:C:2001:465 (Courage/Crehan), r.o. 25. Zie ook uitgebreid Walree 2017, par. 6.

    • 60 Interessant is de recente uitleg van het Oostenrijkse Oberster Gerichtshof dat art. 82 AVG als een aanvulling op het nationale recht het onrechtmatigedaadsrecht kwalificeert, als ware het een lex specialis binnen het schadevergoedingsrecht: ‘(…) Art. 82 der wiederum als Ergänzung zum nationalen Schadenersatzrecht, als eine Art lex specialis eines datenschutzrechtlichen Schadenersatzrechts zu sehen sei.’ Zie: Oberster Gerichtshof 11 juni 2019 (Schrems/Facebook Ireland Limited), te raadplegen via: https://noyb.eu/wp-content/uploads/2019/06/ogh_e.pdf.

    • 61 Zie ook overweging 146 bij de AVG.

    • 62 Zie hierover uitgebreid: T.E. van der Linden en M.F. Walree, De collectieve procedure als oplossing voor het privaatrechtelijke handhavingstekort bij een datalek, Aansprakelijkheid, Verzekering en Schade 2018/20. Auteurs besteden ook aandacht aan de collectieve actie op grond van art. 3:305 BW en de mogelijkheid tot het treffen van een collectieve schikking op grond van de Wet collectieve afwikkeling massaschade (WCAM), die gelet op de reikwijdte van dit artikel niet worden besproken.

    • 63 Zie art. 79 lid 2 AVG waarin tevens wordt voorzien in een uitzondering ten aanzien van overheidsinstanties.

    • 64 Supra noot 62, par. 7.

    • 65 Wet van 20 maart 2019 tot wijziging van het Burgerlijk Wetboek en het Wetboek van Burgerlijke Rechtsvordering teneinde de afwikkeling van massaschade in een collectieve actie mogelijk te maken (Wet afwikkeling massaschade in collectieve actie), Stb. 2019, 130. Zie voor een uitgebreide analyse van de (on)mogelijkheden om naar Nederlands recht een collectieve actie te starten bij schendingen van de AVG: N. Vrugt en W.F. Dammers, Massaschadeclaims voor betrokkenen onder de AVG volgens Nederlands recht, Privacy & Informatie 2018/4, nr. 137.

Reageer

Tekst