In onze blog over het recht op immateriële schadevergoeding op grond van de AVG bespraken we het arrest van het Hof van Justitie van de Europese Unie (‘Hof’) in de zaak UI/Österreichische Post. In deze uitspraak verduidelijkte het Hof dat de AVG een grond biedt voor vergoeding van immateriële schade, maar niet elke inbreuk op de AVG leidt tot een recht op schadevergoeding. In deze blog bespreken we de Nederlandse rechtspraak omtrent immateriële schadevergoeding vanwege een onveilig gevoel door een datalek.
Immateriële schadevergoeding op grond van de AVG
Artikel 82 AVG bepaalt dat zowel materiële als immateriële schade in aanmerking komt voor vergoeding. Vooral de vergoeding voor immateriële schade is interessant, omdat een AVG-inbreuk vaak geen directe vermogensschade veroorzaakt, maar wel emotionele of psychische schade kan opleveren.
In onze blog over het recht op immateriële schadevergoeding op grond van de AVG bespraken we dat de Nederlandse rechtspraak wat betreft immateriële schadevergoeding naar aanleiding van een AVG-inbreuk aansluit bij artikel 6:106 BW en het EBI-arrest. Op grond van het EBI-arrest moet voor een schadevergoeding van immateriële schade sprake zijn van geestelijk letsel welke naar objectieve maatstaven moet worden vastgesteld. Daarbij kunnen andere factoren, zoals de ernst van de normschending en de gevolgen voor de benadeelde, ook meespelen bij de beoordeling van de schade.
Gevalstypen in Nederlandse rechtspraak
In Nederland zijn verschillende uitspraken gedaan over vergoeding van immateriële schade naar aanleiding van een AVG-inbreuk. Uit de bestaande rechtsspraak zijn verschillende gevalstypen te herkennen. Deze gevalstypen bespreken wij in aparte blogs:
Rechtspraak over onveilig gevoel door een datalek
In een procedure bij de rechtbank Rotterdam eiste een betrokkene immateriële schadevergoeding nadat de uitvoerder van een nieuwbouwproject een Excel-bestand met daarin de gegevens van ongeveer 1100 personen per ongeluk had gedeeld met iedereen die zich op het project hadden ingeschreven. Eiser, waarvan de gegevens in het Excel-bestand waren opgenomen, stelde hierdoor immateriële schade te hebben geleden. Zij zou zich onveilig en bekeken hebben gevoeld, omdat kort na het datalek iemand foto’s had gemaakt van haar appartement en zij sms’jes met spamberichten ontving. Daarnaast wist ze niet waar haar gegevens rondgingen, en daardoor niet wat haar te wachten stond.
De rechtbank stelde in deze zaak vast dat het onveilige gevoel van de betrokkene schade betreft in de zin van de AVG. Het verweer van de uitvoerder dat de schade geen juridisch relevante schade zou zijn in de zin van artikel 6:106 BW ging niet op. Volgens de rechtbank moet artikel 82 van de AVG autonoom worden uitgelegd en op een wijze die ten volle recht doet aan de doelstellingen van de AVG. Ondanks dat de schade van het datalek op zichzelf niet onderbouwd kon worden, kan het kwijtraken van de controle over de gegevens volgens de rechtbank wel schade opleveren zoals in artikel 82 van de AVG wordt bedoeld. Daarmee wijkt de rechtbank nadrukkelijk af van artikel 6:101 BW en het EBI-arrest, op grond waarvan geestelijk letsel naar objectieve maatstaven moeten worden vastgesteld.
De betrokkene wordt voor de immateriële schade die zij heeft geleden een schadevergoeding van € 250,- toegekend. Daarbij weegt de rechter mee dat
- het in dit geval ging om een grote hoeveelheid persoonsgegevens die zijn gelekt;
- het ging om gevoelige financiële informatie over het inkomen en vermogen van de eiser;
- de gegevens slechts in beperkte kring gedeeld zijn;
- de uitvoerder alle ontvangers diezelfde avond verzocht om de mail met hierin de persoonsgegevens te verwijderen;
- de inbreuk direct door de uitvoerder gemeld is bij Autoriteit Persoonsgegevens; en
- het geen bijzondere persoonsgegevens betroffen.
Te brede interpretatie door de rechtbank?
De vraag is overigens of de rechtbank met deze interpretatie niet een te brede uitleg heeft gegeven aan artikel 82 AVG. Het Hof van Justitie heeft in de zaak UI/Österreichische Post verduidelijkt dat een inbreuk op de AVG, geleden schade en een causaal verband tussen de geleden schade en de inbreuk voorwaarden zijn voor het verkrijgen van een schadevergoeding op grond van de AVG. Door enkel de AVG inbreuk, namelijk het datalek, als voldoende aan te merken voor een recht op schadevergoeding, lijkt de rechtbank voorbij te gaan aan de voorwaarden van schade en het causaal verband.
Dat de rechtbank hier artikel 82 te breed interpreteert, blijkt ook in twee recente arresten van het Hof van Justitie van de Europese Unie. In de zaken GP/Juris en Verzoeker tegen MediaMarktSaturn benadrukte het Hof dat een schending van de AVG of verlies van controle over gegevens op zichzelf niet volstaan om in aanmerking te komen voor een schadevergoeding op grond van artikel 82 AVG, ongeacht of de door de betrokkene geleden schade enige ernst vertoont.
Conclusie
Artikel 82 AVG bepaalt dat zowel materiële als immateriële schade in aanmerking komt voor vergoeding. In onze blog over het recht op immateriële schadevergoeding op grond van de AVG bespraken we al dat Nederlandse rechtspraak wat betreft immateriële schadevergoeding naar aanleiding van een datalek aansluit bij artikel 6:106 BW en het EBI-arrest. In deze blog zagen we dat het hebben van een onveilig gevoel voldoende grond kan zijn voor een recht op immateriële schadevergoeding. Recente uitspraken van het Hof van Justitie tonen echter aan dat een schending van de AVG of verlies van controle over gegevens op zichzelf niet volstaan om in aanmerking te komen voor een schadevergoeding op grond van artikel 82 AVG.
Meer weten?
Wilt u meer weten over immateriële schadevergoeding bij een inbreuk op de AVG of heeft u andere vragen over privacyrecht? Neem dan vrijblijvend contact op met Sven van Dooren of ons team via ons contactformulier.
