De rechtbank Amsterdam heeft in deze omvangrijke collectieve procedure geoordeeld dat Stichting ICAM geen schadevergoeding kan vorderen voor miljoenen Nederlanders naar aanleiding van het GGD-datalek tijdens de coronapandemie. De uitspraak biedt belangrijke richting voor de toepassing van artikel 82 AVG en de inzet van collectieve acties bij datalekken.
Centraal stond de vraag of immateriële schadevergoeding kan worden toegekend aan personen van wie niet vaststaat dat hun persoonsgegevens daadwerkelijk zijn gelekt, maar die wel vrezen dat dit mogelijk is gebeurd. ICAM stelde dat circa 6,5 miljoen Nederlanders schade hebben geleden doordat hun gegevens blootgesteld waren aan ongeautoriseerde toegang. De rechtbank maakt echter een scherp onderscheid tussen twee groepen: (A) personen van wie niet vaststaat dat hun gegevens zijn gelekt en (B) personen van wie dat wél is vastgesteld.
Voor groep A oordeelt de rechtbank dat geen recht bestaat op schadevergoeding. Onder verwijzing naar recente jurisprudentie van het Hof van Justitie van de EU (o.a. Österreichische Post, VB/NAP en MediaMarktSaturn) stelt de rechtbank dat een enkele inbreuk op de AVG niet volstaat: er moet sprake zijn van daadwerkelijke schade. De vrees dat gegevens mogelijk zijn gelekt (“vrees voor een inbreuk”) is onvoldoende. Alleen “vrees na een vastgestelde inbreuk” kan onder omstandigheden immateriële schade opleveren. Daarmee wijst de rechtbank expliciet het idee af dat blootstelling aan een risico op datalekken op zichzelf schade oplevert.
Voor groep B – waarbij daadwerkelijk datalekken zijn vastgesteld – strandt de vordering om andere redenen. Een groot deel van deze groep heeft reeds een financiële tegemoetkoming van €500 geaccepteerd, met finale kwijting. Voor de resterende groep oordeelt de rechtbank dat ICAM onvoldoende representatief is en niet kan aantonen dat zij deze groep adequaat vertegenwoordigt, zoals vereist onder de WAMCA.
De uitspraak onderstreept dat collectieve schadeclaims onder de AVG hoge eisen kennen: zowel qua aantoonbare schade als qua representativiteit van de belangenorganisatie. Tegelijkertijd blijft de deur open voor andere collectieve vorderingen, zoals verklaringen voor recht en bevelen tot verbetering van beveiligingsmaatregelen, waarover de procedure wordt voortgezet.
Voor privacyprofessionals is deze uitspraak cruciaal: zij bevestigt dat niet elk datalek automatisch leidt tot schadeplichtigheid, en dat het onderscheid tussen risico en daadwerkelijke inbreuk juridisch doorslaggevend is. Dit heeft directe implicaties voor incidentrespons, aansprakelijkheidsinschatting en compliance-strategieën binnen organisaties.
