Naast een boete ook schadevergoeding?

Wanneer een verwerkingsverantwoordelijke zijn wettelijke verplichtingen niet nakomt, kan deze beboet worden door de Autoriteit Persoonsgegevens (AP). Boetes dienen doeltreffend, evenredig en afschrikkend te zijn.[1] In deze blog staan we stil bij de reikwijdte van schadeclaims onder de AVG naar aanleiding van een uitspraak van het Europese Hof.

Het boetemechanisme functioneert onder het motto ‘’voorkomen is beter dan genezen’’. Er hoeft geen daadwerkelijke schade te zijn geleden of data gelekt te zijn; het onvoldoende beveiligen van persoonsgegevens kan, zonder de aanwezigheid van een datalek, al voldoende zijn voor een boete. De boetes die de AP kan opleggen zijn begrensd, tot maximaal €20.000.000,- of 4% van de wereldwijde jaaromzet.[1]
Binnen het aansprakelijkheidsrecht zijn we de stap van preventie al voorbij. De schade is immers al geleden. In dat geval moet de aansprakelijke partij de positie van de benadeelde zoveel mogelijk herstellen naar een situatie waarin deze zou hebben verkeerd indien de schadende gebeurtenis niet had plaatsgevonden. Met andere woorden: de schade moet volledig worden vergoed. Binnen het privacyrecht is immateriële schadevergoeding ook mogelijk. Uit Nederlandse jurisprudentie blijkt dat het hier veelal om enkele honderden euro’s gaat.

In het aansprakelijkheidsrecht is de hoogte van de schadevergoeding, behoudens de redelijkheid en billijkheid, niet begrensd. Een overtreding die normaliter een boete van €200.000,- oplevert, kan aanvullend tot schadevergoeding leiden. Voor een volledig beeld van de risico’s die u loopt, is dus belangrijk om ook de civielrechtelijke kant van de privacymedaille mee te nemen.

De zaak.

Op 4 mei 2023 heeft het Hof van Justitie van de Europese Unie (HvJ-EU) zich voor het eerst uitgesproken over de mogelijkheid tot schadevergoeding onder de AVG. Hierin stelt zij de voorwaarden voor het recht op vergoeding uiteen en de samenwerking met nationaal recht. De Oostenrijkse postdienst ‘’Österreichische Post’’ verwerkte sinds 2017 gegevens waaruit zij de politieke gezindheid van burgers afleidde door gebruik van een algoritme. Deze informatie verkocht zij aan verschillende organisaties om hen in staat te stellen doelgericht reclame te verzenden. De eiser vorderde schadevergoeding voor immateriële schade, omdat hij zich zodanig beledigd voelde door de politieke affiniteit die de postdienst had verondersteld.

De AVG.

De AVG bevat in art. 82 een eigen aansprakelijkheidsregeling dat in de plaats is gekomen voor de in de lidstaten geldende regelingen.[3] Dit betekent dat de invulling van begrippen als ‘’schade’’ niet door het nationale recht gebeurt, maar op basis van het Unierecht.

Het Hof stelt dat voor toepassing van art. 82 aan drie cumulatieve voorwaarden moet zijn voldaan:

1. 1. De betrokkene moet daadwerkelijk schade hebben geleden;
2. 2. Er bestaat een inbreuk op de AVG in de verwerking van persoonsgegevens;
3. 3. Er is een causaal verband tussen de inbreuk en de geleden schade.

Niet elke inbreuk leidt dus zonder meer tot schadevergoeding; de benadeelde moet bewijzen dat hij schade heeft en dat deze schade het gevolg is van de inbreuk.

De AVG gaat niet in op wat onder ‘’schade’’ moet worden verstaan, en het nationale recht biedt zoals gesteld geen handvatten. Het betreft zowel materiële en immateriële schade, zonder enige drempel van ernst die vaak in nationale stelsels wel wordt geëist. In deze zin is het aansprakelijkheidsregime onder de AVG dus ruimer dan die van vele nationale stelsels, waaronder het Nederlandse.[4]

De AVG geeft ook geen invulling omtrent de vaststelling van de hoogte van de schadevergoeding. Dit laat zij aan de nationale rechters over, mits deze het gelijkwaardigheidsbeginsel en het doeltreffendheidsbeginsel in acht houden. Hierbij wijst het Hof erop dat de AVG een volledige en daadwerkelijke vergoeding van de geleden schade beoogt te waarborgen[5].

Binnen Nederland.

Dat de aanspraak op de AVG is gebaseerd, betekent niet dat men telkens naar de Europese rechter hoeft te gaan. Art. 82 AVG biedt een aansprakelijkheidsgrond binnen het Nederlandse rechtsstelsel. Tot dusver zijn de schadevergoedingen vaak (betrekkelijk) laag geweest, omdat de ernst beperkt was. Zo was er in deze gevallen sprake van gegevens die niet als bijzondere persoonsgegevens aan zijn te merken[6] of waren de bijzondere persoonsgegevens bij een kleine groep professionals terecht gekomen in het kader van een klachtprocedure.[7] Deze gevallen waren eerder uitzondering dan regel. Mocht het wel bijzondere (gevoelige) persoonsgegevens betreffen die bij veel, of verkeerde mensen terechtkomt, dan kan men enkel gissen naar de hoogte van de aansprakelijkheid.

Conclusie.

De AVG kent meerdere strafmechanismen. De twee zwaarste zijn de administratieve boetes via diverse nationale instanties, zoals de AP, en het aansprakelijkheidsregime onder art. 82. De Europese rechter heeft voor het eerst duidelijkheid verschaft in de werking van art. 82 waar rechter en professionals mee kunnen werken. Duidelijk is dat het een ruim aansprakelijkheidsregime betreft, wat de mogelijke kosten van datalekken aanzienlijk hoger maakt. Zorg daarom dat de verwerking van gegevens, zeker wanneer u met grote hoeveelheden (of) gevoelige persoonsgegevens werkt, aan alle standaarden voldoet. Zo dekt u zichzelf bestuursrechtelijk en privaatrechtelijk in tegen iedere vorm van schade.

Sébastian van der Veen
Adviseur L2P