In onze blog over het recht op immateriële schadevergoeding op grond van de AVG bespraken we het arrest van het Hof van Justitie van de Europese Unie (‘Hof’) in de zaak UI/Österreichische Post. In deze uitspraak verduidelijkte het Hof dat de AVG een grond biedt voor vergoeding van immateriële schade, maar niet elke inbreuk op de AVG leidt tot een recht op schadevergoeding. In deze blog bespreken we de Nederlandse rechtspraak omtrent immateriële schadevergoeding vanwege een datalek van bijzondere of gevoelige persoonsgegevens.
Immateriële schadevergoeding op grond van de AVG
Artikel 82 AVG bepaalt dat zowel materiële als immateriële schade in aanmerking komt voor vergoeding. Vooral de vergoeding voor immateriële schade is interessant, omdat een AVG-inbreuk vaak geen directe vermogensschade veroorzaakt, maar wel emotionele of psychische schade kan opleveren.
In onze blog over het recht op immateriële schadevergoeding op grond van de AVG bespraken we dat de Nederlandse rechtspraak wat betreft immateriële schadevergoeding naar aanleiding van een AVG-inbreuk aansluit bij artikel 6:106 BW en het EBI-arrest. Op grond van het EBI-arrest moet voor een schadevergoeding van immateriële schade sprake zijn van geestelijk letsel welke naar objectieve maatstaven moet worden vastgesteld. Daarbij kunnen andere factoren, zoals de ernst van de normschending en de gevolgen voor de benadeelde, ook meespelen bij de beoordeling van de schade.
Gevalstypen in Nederlandse rechtspraak
In Nederland zijn verschillende uitspraken gedaan over vergoeding van immateriële schade naar aanleiding van een AVG-inbreuk. Uit de bestaande rechtsspraak zijn verschillende gevalstypen te herkennen. Deze gevalstypen bespreken wij in aparte blogs:
Rechtspraak over datalekken van bijzondere of gevoelige persoonsgegevens
Rb. Eiser/Stichting Hogeschool van Arnhem en Nijmegen
Op 4 oktober 2023 heeft de rechtbank Gelderland geoordeeld dat de Hogeschool Arnhem-Nijmegen (HAN) een schadevergoeding van € 300,- moet betalen aan een voormalige student. De persoonsgegevens, inclusief medische informatie over zijn studievertraging, waren na een datalek in handen gekomen van een derde.
In 2022 kreeg de Hogeschool Arnhem Nijmegen te maken met een hack. Door deze hack kwam een deel van de persoonsgegevens, die zich op de server van de hogeschool bevonden, in handen van een hacker. Onder de gegevens bevonden zich de gegevens van een voormalige student, een alumnus van de hogeschool en eiser in deze zaak. Hij eiste een schadevergoeding van de hogeschool omdat die geen passend beschermingsniveau had gewaarborgd voor het beschermen van zijn persoonsgegevens. Hierdoor waren zowel algemene persoonsgegevens, waaronder naam, adres en contactgegevens, als bijzondere persoonsgegevens, namelijk de (medische) reden van zijn studievertraging door de hacker buitgemaakt.
De rechtbank Gelderland kwam tot de conclusie dat het lekken van algemene persoonsgegevens van de eiser geen reden is voor het toekennen van een schadevergoeding. Het lekken van deze gegevens had volgens de rechtbank immers niet tot schade geleid. Echter, het lekken van bijzondere persoonsgegevens, de persoonlijke omstandigheden, van deze zelfde eiser geeft wel aanleiding tot het toekennen van schadevergoeding. Deze bijzondere persoonsgegevens zijn volgens de rechtbank immers bij uitstek gegevens waarvan niet gewenst is dat ze openbaar worden. Daarbij is van belang dat de eiser in eerste instantie al terughoudend was met het delen van zijn medische gegevens met de hogeschool. Doordat zijn medische gegevens nu alsnog zijn uitgelekt, heeft het vertrouwen van eiser in de woorden van de rechtbank ‘een flinke deuk opgelopen’. Dat een hacker deze gegevens heeft kunnen inzien en vervolgens heeft kunnen verspreiden, is volgens de kantonrechter voldoende voor het aannemen van schade. De hogeschool wordt daarom veroordeeld tot het betalen van een schadevergoeding aan de voormalige student ter hoogte van € 300,-.
Rb. Eiser/Gemeente Oldambt
Dat de aard van de persoonsgegevens, die lekken, van belang is bij de vraag of immateriële schadevergoeding wordt toegekend of niet, blijkt ook uit een uitspraak van de rechtbank Noord-Nederland. In deze zaak werden het BSN-nummer, e-mailadres en telefoonnummer van betrokkene meerdere keren (onrechtmatig) door de gemeente Oldambt openbaar gemaakt. Alhoewel de betrokkene in deze zaak naar het oordeel van de rechtbank onvoldoende heeft onderbouwd dat hij psychische schade heeft geleden, wordt toch een immateriële schadevergoeding toegekend. Vanwege de gevoelige aard van de gelekte persoonsgegevens, met name het BSN-nummer, ligt identiteitsfraude op de loer. Met deze overweging lijkt de rechtbank, zonder dit expliciet te onderbouwen, van mening dat de gevoelige aard van gelekte gegevens voldoende kan zijn voor het toekennen van een immateriële schadevergoeding. De betrokkene wordt voor de immateriële schade die hij heeft geleden een schadevergoeding van € 500,- toegekend.
Conclusie
Artikel 82 AVG bepaalt dat zowel materiële als immateriële schade in aanmerking komt voor vergoeding. In onze blog over het recht op immateriële schadevergoeding op grond van de AVG bespraken we al dat Nederlandse rechtspraak wat betreft immateriële schadevergoeding naar aanleiding van een datalek aansluit bij artikel 6:106 BW en het EBI-arrest. In deze blog zagen we hoe uit de rechtspraak blijkt dat een immateriële schadevergoeding eerder wordt toegekend in het geval bijzondere of gevoelige persoonsgegevens bij het lek betrokken zijn.
Meer weten?
Wilt u meer weten over immateriële schadevergoeding bij een inbreuk op de AVG of heeft u andere vragen met betrekking tot de bescherming van persoonsgegevens? Neem dan vrijblijvend contact op met Sven van Dooren of ons team via ons contactformulier.
