31 juli 2019

Na boetes nu ook de eerste schadevergoeding op grond van de AVG, wat zijn de gevolgen?

Categorie: Privacyrecht

Dat er onder de AVG boetes (kunnen) worden uitgedeeld is inmiddels geen geheim meer. De Autoriteit Persoonsgegevens, het in Nederland aangestelde toezichthoudende orgaan met betrekking tot schending van de privacy (de AP) heeft recent haar eerste boete opgelegd op grond van de AVG. Het HagaZiekenhuis heeft haar interne beveiliging van patiëntendossiers niet op orde. Medewerkers die daar geen toegang toe hadden kregen inzicht in het dossier van tv-reality persoonlijkheid ‘Barbie’. In totaal bleken 85 medewerkers het dossier onrechtmatig te hebben bekeken. De AP legt het HagaZiekenhuis voor de onvoldoende beveiliging een boete op van 460.000 euro. Recentelijk is er naast een boete ook de eerste schadevergoeding op grond van de AVG opgelegd. De eer gaat uit naar de gemeente Deventer. Zij dienen een burger 500 euro schadevergoeding te betalen voor het onrechtmatig verspreiden van diens persoonsgegevens. Nu lijkt 500 euro op het oog een kleine boete (de proceskosten waren hoger), maar toch kan deze uitspraak verstrekkende gevolgen hebben.

Onrechtmatige verspreiding van persoonsgegevens

Heel in het kort eerst de zaak uit Deventer (klik hier voor de uitspraak). Een burger uit Deventer diende een verzoek in bij de gemeente tot het inzien van zijn persoonsgegevens en de verwerkingen die binnen de gemeente hebben plaatsgevonden. De burger had verscheidene zogenaamde “WOB-verzoeken” gedaan (inzage verzoeken op basis van de “Wet Openbaarheid Bestuur”). De gemeente Deventer speelde vervolgens de persoonsgegevens van de aanvrager door naar ambtenaren van andere gemeenten om naar eigen zeggen: “kennis uit te wisselen over de verzoeken van de aanvrager”. Dit doorspelen van de persoonsgegevens (een verwerkingsvorm) was niet opgenomen in het overzicht dat eiser ontving in reactie op zijn inzageverzoek. In de communicatie tussen de verschillende gemeenten zaten gegevens over de aanvrager zijn geslacht, leeftijd en woonplaats. Volgens de advocaat van de gedupeerde man uit Deventer werden zijn persoonsgegevens uiteindelijk gedeeld met meer dan 50 andere gemeenten. In eerdere procedures kreeg de man al gelijk en oordeelde de rechtbank dat sprake was van onrechtmatig verspreiding van persoonsgegevens. De gemeente schond met het doorsturen van e-mails de beginselen van proportionaliteit en subsidiariteit. In deze zaak was aan de orde of de man daarnaast ook recht had op schadevergoeding, en zo ja, op basis waarvan.

Schadevergoeding bij “verlies van controle” over persoonsgegevens

Gekeken werd door de rechtbank of in dit geval sprake kon zijn van immateriële schadevergoeding. Immateriële schade wordt veel terughoudender toegewezen dan schade gebaseerd op vermogensschade, zoals gederfde winst of geleden verlies. In deze zaak kijkt de rechtbank echter naar de bepalingen uit de AVG. Artikel 82 lid 1 AVG luidt:

Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

Naar oordeel van de rechtbank is de aanvrager als gevolg van het onrechtmatige besluit van de gemeente in zijn persoon aangetast wegens het verlies van controle over zijn persoonsgegevens. Tegenover een schending van dit persoonlijkheidsrecht staat volgens de rechtbank een naar billijkheid vast te stellen schadevergoeding. Uit de AVG volgt dat schending schade oplevert. Uiteindelijk beslist de rechtbank dat uit hoofde van schadevergoeding bij verlies van controle over persoonsgegevens en het daarbij onrechtmatig verspreiden van persoonsgegevens door de gemeente Deventer een schadevergoeding uitgekeerd dient te worden van 500 euro. Nu lijkt één boete van 500 euro voor (in dit geval) een gemeente een weinig indrukwekkend bedrag. Toch kan deze uitspraak wellicht verstrekkende gevolgen hebben. Denk vooral aan situaties waarin niet één, maar honderden of zelfs duizenden gedupeerden aankloppen voor een schadevergoeding wegens het onrechtmatig verspreiden van persoonsgegevens.

Start van een run op massaclaims wegens schending privacy

Dat honderden of duizenden gedupeerden mogelijk in de toekomst kunnen gaan aankloppen voor een schadevergoeding op grond van privacy schending zullen organisaties die gigantische hoeveelheden persoonsgegevens en data verwerken wellicht toch even hebben doen schrikken. Bij het onrechtmatig verspreiden van persoonsgegevens van vele duizenden gedupeerden lopen schadevergoedingen al snel richting de duizenden euro’s wanneer 500 euro per inbreuk de norm is. Mogelijk heeft de uitspraak een aanzwengeling van massaclaims (ook wel “class actions” genoemd, een term afkomstig uit Amerika) tot gevolg. Op basis van de Wet collectieve Afwikkeling Massaschade (WCAM) kunnen gedupeerde burgers zich laten vertegenwoordigen door een belanghebbende stichting. Ook mag geprocedeerd worden in elke lidstaat waar de betrokken organisatie of onderneming een vestiging heeft. Deze optie wordt zelfs in artikel 80 lid 1 van de AVG geboden. Betrokkenen (hier dus “gedupeerden”) kunnen ervoor kiezen om zich te laten vertegenwoordigen door organisaties zonder winstoogmerk die de bescherming van privacy tot hun doelstellingen rekenen. Dit biedt ruimte voor grootschalige schadeclaims. Het is even afwachten hoe het nu verder gaat en of dit daadwerkelijk de start van een run op massaclaims behelst. Grote kans is in ieder geval wel dat de gemeente Deventer in hoger beroep gaat.

AVG en bescherming van persoonsgegevens

Heeft u vragen met betrekking tot de AVG, schadevergoeding op grond van de AVG en de bescherming van persoonsgegevens? Neem dan gerust contact op met de IE en privacy advocaat van Blenheim.