In 2019 schreven wij al over het recht op schadevergoeding bij een overtreding van de Algemene Verordening Gegevensbescherming (AVG). De AVG was toen pas net in Nederland van toepassing en er was weinig rechtspraak over dit onderwerp. Ondertussen zijn we een aantal jaren verder en is het recht op schadevergoeding bij een inbreuk op de privacy een stuk vaker in rechtszaken aan bod gekomen. Hoog tijd om weer een blog over dit onderwerp te schrijven.
Wanneer een verplichting uit de AVG wordt geschonden bestaat er volgens art. 82 AVG een recht op schadevergoeding. Schadevergoeding zou bijvoorbeeld mogelijk zijn als je gegevens zonder grondslag worden verwerkt. In Nederland is er wel het uitgangspunt dat alleen schade wordt vergoed die je ook echt geleden hebt. Bij een overtreding van de AVG is dit nog niet zo makkelijk. Bij een botbreuk is de schade makkelijker te bepalen dan bij een privacy-inbreuk. De schade bij privacy-inbreuken is niet makkelijk in geld uit te drukken.
In 2020 heeft de Afdeling Bestuursrechtspraak Raad van State zich uitgelaten over de vraag of alleen de schending van de AVG recht geeft op schadevergoeding, zelfs wanneer er geen duidelijke schade aanwezig is. Deze vraag heeft zij overduidelijk met ‘nee’ beantwoord. Er bestaat alleen een recht op schadevergoeding wanneer benadeelden de geleden schade daadwerkelijk kunnen bewijzen. Dit kan bijvoorbeeld een doktersverklaring zijn waaruit blijkt dat je medische klachten (zoals stress en angst) hebt door de inbreuk op jouw privacy. Dit maakt het krijgen van schadevergoeding bij een privacy-inbreuk dus wel lastig. Het is vaak heel moeilijk om de specifieke schade die is ontstaan door een AVG-schending te bewijzen.
Wanneer de hoogste rechter een uitspraak doet is het gebruikelijk dat lagere rechters dit oordeel volgen. Daar is op dit gebied echter geen sprake van. Dat is misschien ook niet zo heel bijzonder, door de hoge eis van de Afdeling is het namelijk heel moeilijk om schadevergoeding te krijgen bij privacy-inbreuken. Zo staan burgers met lege handen terwijl er toch sprake is van een overtreding van de AVG. In lagere rechtspraak komt het dan ook regelmatig voor dat rechters schadevergoeding toekennen aan benadeelden zonder dat de schade bewezen kan worden. Zo werd in een zaak maar liefst een bedrag van €2.500,- toegewezen aan een vrouw waarvan de medische gegevens 10 jaar onrechtmatig waren bewaard. Hoewel dit natuurlijk zeer ernstig is had zij hierdoor geen concrete schade geleden. Als de hoofdregel van de Afdeling gevolgd zou worden had zij nergens recht op gehad. De rechter besluit dit niet te doen en kent toch een schadevergoeding toe.
In een andere zaak benadrukte de rechter zelfs dat geen concrete schade nodig was voor schadevergoeding door handelen in strijd met de AVG. Dit is dus totaal het tegenovergestelde van de uitspraak van de Afdeling. In deze zaak had een bouwbedrijf onrechtmatig een Excelbestand toegestuurd naar 1100 personen met de persoonsgegevens van de eiser. De eiser kon zijn schade niet met behulp van concrete gegevens onderbouwen. Om ervoor te zorgen dat de eiser niet met niks achter bleef wees de rechter toch schadevergoeding toe. De Nederlandse rechtspraak zorgt dus voor een versplinterd beeld wat betreft de vergoeding van schade.
Het is heel begrijpelijk dat de rechtspraak van hierboven leidt tot verwarring. Is er nu schade vereist voor schadevergoeding bij een privacy-inbreuk of niet? Omdat de in Nederland geldende regels over privacy van oorsprong Europees zijn is de hoogste Europese rechter bevoegd zich hier over uit te laten. Dat is ook precies wat er op dit moment gebeurt. In een Oostenrijkse zaak is aan het Europese Hof van Justitie gevraagd of de enkele schending van de AVG automatisch recht geeft op schadevergoeding. De uitspraak zelf laat al even op zich wachten maar er zijn wel al aanwijzingen welke kant het op gaat. De Advocaat-Generaal van het Europees Hof (dit is de belangrijkste adviseur) heeft zich in een conclusie uitgebreid uitgelaten over deze vraag. In het gros van de zaken volgt het Hof dit advies.
De A-G adviseert het Hof om niet de enkele schending van de AVG voldoende te laten zijn voor schadevergoeding. Hij is van mening dat alleen schade die daadwerkelijk geleden is (schade die bewezen kan worden) voor vergoeding in aanmerking komt. Het feit dat deze schade bij privacy-inbreuken heel moeilijk te bewijzen is doet hier niks aan af. De A-G vindt dat schadevergoeding niet moet worden gebruikt als een manier voor de handhaving van overtredingen van de AVG. Deze rol is weggelegd voor de nationale toezichthouders (in Nederland is dit de Autoriteit Persoonsgegevens). Deze toezichthouders hebben namelijk de mogelijkheid om boetes op te leggen bij AVG-schendingen. De mening van de A-G komt dus heel erg overeen met die van de hoogste rechter in Nederland. De kans is groot dat dat dit ook het oordeel wordt van het Europees Hof.
Hoewel we nog een slag om de arm moeten houden lijkt het erop dat het Europees Hof dezelfde weg volgt als de hoogste rechter in Nederland: er bestaat alleen een recht op schadevergoeding bij een privacy-inbreuk als er daadwerkelijk schade geleden is én deze door de benadeelde partij ook bewezen kan worden. Om het zekere voor het onzekere te nemen is het dus belangrijk om zoveel mogelijk bewijs te verzamelen van de schade die voortvloeit uit een privacy-schending. Wanneer je genoeg concrete gegevens verzamelt kan de rechter er niet zomaar aan voorbij gaan. In een eerdere blog sprak mijn collega over de mogelijkheid dat het recht op schadevergoeding als het zwaard van Damokles boven het hoofd van organisaties zou hangen. Als de conclusie van de A-G gevolgd wordt kunnen we een paar jaar later zeggen dat organisaties zich geen zorgen hoeven te maken. De handhaving van de AVG blijft in Nederland de verantwoordelijkheid van de AP.
Wil je meer lezen over dit onderwerp? Zie dan ook:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.