Menu

Zoek op
rubriek
Data&Privacyweb
0

Immateriële schadevergoeding van €2.500,- voor overtreding AVG; staat de deur wagenwijd open?

In een recente uitspraak van de rechtbank Rotterdam heeft de rechter een immateriële schadevergoeding van €2.500,- toegekend aan een betrokkene wiens medische gegevens 10 jaar (!) in strijd met het privacyrecht zijn bewaard en verwerkt door het college van B&W van de gemeente Rotterdam (hierna: ‘het college’). Dat een schadevergoeding van €2.500,- werd toegekend is vrij bijzonder. Niet eerder is door de Nederlandse rechter zo’n hoge schadevergoeding toegekend in het kader van de AVG. Een verzoek tot immateriële schadevergoeding wordt in de regel immers niet snel toegewezen. De gestelde immateriële schade moet namelijk met concrete informatie worden onderbouwd. Dit blijkt in de praktijk lastig.

22 sep 2021

Juridische artikelen

Juridische artikelen

Leidt een overtreding altijd tot schadevergoeding?

Hoewel artikel 82 AVG recht geeft op een vergoeding van de daadwerkelijk geleden immateriële schade bij een inbreuk op de AVG, is in de verordening niet vastgelegd hoe deze schade moet worden berekend of vastgesteld. Lidstaten hebben dus zelf de gelegenheid om hier regels over op te stellen, mits deze regels rekening houden met het gelijkwaardigheidsbeginsel en het doeltreffendheidsbeginsel. Daarbij is het van belang dat, in lijn met overweging 146 AVG, de verantwoordelijke of verwerker alle schade moet vergoeden die iemand kan lijden als gevolg van een inbreuk op de AVG. Het begrip ‘schade’ moet dus ruim worden uitgelegd.

In Nederland wordt aansluiting gezocht bij het civiele schadevergoedingsrecht: artikel 6:106 BW. Op basis daarvan kan immateriële schade als gevolg van een overtreding van de AVG als ‘een aantasting van de persoon’ kwalificeren. Daarvan is in elk geval sprake als de betrokkene geestelijk letsel heeft opgelopen. Concreet houdt dit het volgende in:

  • Degene die zich beroept op ‘een aantasting van de persoon’, zal voldoende concrete gegevens moeten aanvoeren waaruit kan volgen dat in verband met de omstandigheden van het geval psychische schade is ontstaan. Het moet in dat geval mogelijk zijn om naar objectieve maatstaven het bestaan van geestelijk letsel vast te stellen; of

  • De betrokkene moet aantonen dat de aard en de ernst van de normschending met zich brengen dat de relevante nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen

Het is overigens naar huidig Nederlands recht niet zo dat elke schending van een fundamenteel recht leidt tot een aantasting in de persoon.

De deur stond al op een kier

In de afgelopen jaren zijn reeds enkele keren immateriële schadevergoedingen toegekend door een rechtbank in verband met privacyschendingen. Dat die mogelijkheid bestaat, is dus niet nieuw. De Afdeling Bestuursrechtspraak (hierna: ‘de Afdeling’) heeft de reikwijdte van die mogelijkheid verder geconcretiseerd in de uitspraak van 1 april 2020. De Afdeling achtte het redelijk om een bedrag van €500,- toe te kennen voor (i) het zonder toestemming en (ii) buiten medeweten om verstrekken van medische gegevens met (iii) daarin strikt vertrouwelijke persoonsgegevens van de betrokkene. Hierdoor was sprake van geestelijk letsel, wat ook wel ‘verlies van controle over persoonsgegevens’ wordt genoemd.

Nu het ging om bijzondere persoonsgegevens, namelijk gegevens over de gezondheid, lag het volgens de Afdeling voor de hand dat de verstrekking tot nadelige gevolgen zou leiden voor de betrokkene. Daarbij werd mede in aanmerking genomen dat er geen rechtvaardigingsgrond bestond voor het verstrekken van de gegevens, de gegevens bij een kleine groep professionals belast met geheimhoudingsplicht terecht zijn gekomen en getracht is de gegevensverstrekking ongedaan te maken na het toezenden hiervan.

Op dezelfde dag wees de Afdeling een verzoek tot immateriële schadevergoeding overigens af vanwege een gebrek aan bewijs met betrekking tot de gestelde geleden schade.

Staat de deur nu wagenwijd open?

In de uitspraak van de rechtbank Rotterdam stelde de rechter vast dat het college in het onderhavige geval de privacygevoelige persoonsgegevens voor een periode van tien jaar heeft bewaard. Gezien de duur van de inbreuk en het gegeven dat de betrokkene meermaals heeft gepoogd haar gegevens te vernietigen, achtte de rechtbank het voldoende aannemelijk dat immateriële schade was geleden. Dit lijkt een contrast met eerdere uitspraken, zoals die van de Afdeling, waarin verzoeken tot schadevergoeding werden afgewezen omdat de gelede immateriële schade onvoldoende met concrete gegevens was onderbouwd of juist werden toegewezen maar dan op basis van meer concrete informatie.

Voor de hoogte van de schadevergoeding refereert de rechtbank naar de uitspraak van 1 april 2020, waarin zoals genoemd naar het oordeel van de Afdeling een vergoeding van €500,- billijk werd geacht voor een kortdurende onrechtmatige verwerking van medische gegevens. Gelet op het gegeven dat in het onderhavige geval de medische gegevens voor een periode van tien jaar onrechtmatig zijn bewaard en verwerkt, achtte de rechtbank €2.500,- passend. 

WAMCA

Voornoemde uitspraak kan ook invloed hebben op schadeclaims op grond van de Wet Afwikkeling Massaschade in Collectieve Actie (hierna: ‘WAMCA’), die per 1 januari 2020 van kracht is geworden. Bij een grootschalige inbreuk die kan worden aangemerkt als ‘een aantasting in de persoon’ en waar veel mensen bij betrokken zijn, is het namelijk goed denkbaar dat ten behoeve van benadeelden een massaclaim wordt geïnitieerd, bijvoorbeeld op basis van de WAMCA. De uitspraak van de rechtbank Rotterdam kan mogelijk tot gevolg hebben dat meer massaclaims worden geïnitieerd, nu het in bepaalde gevallen eenvoudiger lijkt om een vordering toegewezen te krijgen.

Tot slot

Het Europese Hof zal zich binnenkort buigen over de reikwijdte van artikel 82 AVG naar aanleiding van prejudiciële vragen uit Oostenrijk. Ondanks dat deze zaak naar verwachting veel impact zal hebben op toekomstige schadeclaims onder de AVG, is de exacte impact momenteel nog onduidelijk.

Hoewel dus nog zal moeten blijken hoe rechters in de toekomst zullen omgaan met het Rotterdamse vonnis en de eventuele uitkomst van het Europese Hof, lijkt voor nu in ieder geval een stevige basis te zijn gevestigd voor het vorderen van substantieel bedrag aan schadevergoeding wegens inbreuk op de AVG. Gemeentes, maar ook ondernemingen die grote hoeveelheden (gevoelige) persoonsgegevens (langdurig) verwerken, lopen hierdoor, mede met het oog op de WAMCA, een risico op forse bedragen aan schadevergoeding te moeten betalen nu de lat voor het eerst op €2.500,- is gelegd. Daarnaast biedt deze uitspraak een basis voor de vraag wanneer nadelige gevolgen dusdanig voor de hand liggen, dat een aantasting in persoon kan worden aangenomen.  

AKD

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.