De AVG en schadevergoeding

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter
AVG-schadevergoeding

De Algemene Verordening Gegevensbescherming (AVG) beoogt om regels vast te stellen waarbij de grondrechten en fundamentele vrijheden van personen worden beschermd, met name hun recht op bescherming van persoonsgegevens. Worden deze regels geschonden, dan biedt de AVG verschillende mogelijkheden voor betrokkenen om voor zichzelf op te komen. In deze blog bespreek ik één van die mogelijkheden, namelijk het recht op schadevergoeding.

Artikel 82 AVG

Artikel 82 van de AVG omschrijft dat de betrokkene het recht heeft op vergoeding van de materiële en immateriële schade wanneer een verwerkingsverantwoordelijke of verwerker zich niet aan de AVG heeft gehouden. Alhoewel het lastig is om een bedrag toe te kennen aan (im)materiële schade ten gevolge van een privacyschending, moet het begrip ‘schade’ ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie van de Europese Unie, op een wijze die ten volle recht aan de doelstellingen van de AVG.1

De eerste schadevergoeding in Nederland

Normaliter dient schadevergoeding te worden gevorderd in een civiele procedure bij de burgerlijke rechter. De eerste toegekende schadevergoeding op grond van de AVG is echter toegewezen door de bestuursrechter, omdat het ging om een besluit van een bestuursorgaan. In deze zaak had eiser in 2017 een verzoek tot inzage in zijn persoonsgegevens gedaan bij de gemeente Deventer. Het verstrekte overzicht van persoonsgegevens door de gemeente zou volgens eiser niet compleet zijn. Hij was er namelijk achtergekomen dat zijn persoonsgegevens ook waren doorgestuurd naar andere gemeenten via een e-mail en dit stond niet in het overzicht. De rechter gaf eiser gelijk en stelde een privacyschending vast, oordelend dat de gemeente nader onderzoek had moeten doen of persoonsgegevens van eiser vaker zijn verwerkt in de mailboxen. Bovendien zou het onnodig zijn geweest om die persoonsgegevens door te sturen naar andere gemeenten.2 In een aparte procedure heeft de rechtbank Overijssel daarop vastgesteld dat eiser ‘in zijn persoon is aangetast vanwege verlies van zijn controle over persoonsgegevens’ en is een schadevergoeding toegewezen van 500 euro.3 Waarom de rechtbank dit bedrag billijk vindt, wordt niet onderbouwd.

De afdeling Bestuursrecht van de Raad van State

De gemeente Deventer is tegen bovenstaande uitspraak in beroep gegaan bij de hoogste bestuursrechter: de Afdeling Bestuursrecht van de Raad van State. Deze heeft op 1 april 2020 een streep gezet door de uitspraak van de rechtbank en beslist dat eiser geen aanspraak kan maken op een schadevergoeding. De Afdeling heeft daarbij niet miskend dat een inbreuk op de persoonsgegevens kan resulteren in (im)materiële schade waarvoor volledige en daadwerkelijke vergoeding van de geleden schade moet worden ontvangen. Echter, volgens het civiele schadevergoedingsrecht moet de geleden schade ook met concrete gegevens worden onderbouwd. Eiser had dus aannemelijk moeten maken waarom het noemen van zijn naam en adres in de e-mail als aantasting van zijn persoon kan worden gekwalificeerd en welke nadelige gevolgen hij daarvan rechtstreeks had ondervonden. En dat was niet gebeurd.4

De Afdeling heeft op diezelfde dag nog drie andere uitspraken gewezen over de toekenning van schadevergoeding op grond van de AVG,5 waarvan slechts in één zaak ook daadwerkelijk schadevergoeding is toegekend. In die zaak waren ten onrechte medische gegevens verstrekt aan het tuchtcollege voor de gezondheidszorg, hetgeen volgens de Afdeling een schadevergoeding van 500 euro rechtvaardigt. Bij het bepalen van het bedrag betrekt de Afdeling enerzijds dat sprake is van onrechtmatige verwerking van persoonsgegevens met een bijzondere gevoeligheid en anderzijds dat deze alleen terecht zijn gekomen bij een kleine groep professionals.

De Afdeling heeft verder bepaald in de vier uitspraken dat degene die op grond van artikel 82 van de AVG aanspraak stelt te maken op vergoeding van schade die het gevolg is van het onrechtmatig verwerken van persoonsgegevens door een bestuursorgaan, de keuzevrijheid heeft om zijn verzoek aan de bestuursrechter voor te leggen dan wel zijn aanspraak op schadevergoeding via de civielrechtelijke weg te realiseren. Als het verzoek een hoger bedrag dan 25.000 euro betreft, is de burgerlijke rechter exclusief bevoegd om van een dergelijke verzoek kennis te nemen.

Conclusie

Veel houvast is er (nog) niet als het gaat om schadevergoeding op grond van de AVG. Duidelijk is nu wel naar welke rechter een betrokkene kan gaan en dat de geleden schade onderbouwd moet worden volgens het civiele schadevergoedingsrecht. De aangewezen rechter zal dan rekening houden met de aard van de gegevens en met de duur en de ernst van de inbreuk.

1. Zie overweging 146 van de AVG.
2. Rechtbank Overijssel 18 juli 2018, ECLI:NL:RBOVE:2018:2496.
3. Rechtbank Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827. Opmerkelijk is overigens dat deze bestuursrechter de privacyschending alleen ziet in het doorsturen van de persoonsgegevens, maar niks zegt over het onvolledige overzicht die is ontvangen na het inzageverzoek. Zie bijvoorbeeld ook Rechtbank Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490, waarbij de burgerlijke rechter oplegde aan het UWV een schadevergoeding van 250 euro te betalen omdat het onterecht informatie met de nieuwe werkgever van de werkneemster deelde over haar eerdere burn-out.
4. ABRvS 1 april 2020, ECLI:NL:RVS:2020:899.
5. Zie ABRvS 1 april 2020, ECLI:NL:RVS:2020:898, ECLI:NL:RVS:2020:900 & ECLI:NL:RVS:2020:901.

Robin Creuels

Robin Creuels

Robin Creuels is werkstudent bij The Privacy Factory en volgt de master ICT- en privacyrecht aan de VU te Amsterdam. Onderwerpen die haar bezighouden zijn big data toepassingen, met name door overheden.

Abonneer u op privacyartikelen

U ontvangt alleen updates van onze blog
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.