Op 28 mei 2019 had Nederland (voor zover bekend) de primeur op het toekennen van een schadevergoeding op grond van de AVG (Algemene verordening gegevensbescherming). Nu, nog geen vier maanden later heeft de kantonrechter van de rechtbank Amsterdam geoordeeld dat ook het UWV een schadevergoeding van € 250,- aan de betrokkene moet betalen.
Primeur schadevergoeding
Op 28 mei van dit jaar heeft de rechtbank Overijssel de gemeente Deventer tot een schadevergoeding van € 500,- veroordeeld. De rechtbank oordeelde in deze zaak dat de gemeente Deventer de persoonsgegevens van betrokkene niet in overeenstemming met de Algemene verordening gegevensbescherming (AVG) heeft verwerkt. Door de onrechtmatigheid van de verwerking heeft de betrokkene schade geleden.
Eerder schreven wij al in “Het recht op schadevergoeding onder de AVG” dat er niet eerder een schadevergoeding op grond van de AVG aan een betrokkene was toegekend. Deze zaak openende volgens velen dan ook de deuren voor meer schadevergoedingclaims onder de AVG.
Op 2 september is dit vermoeden bevestigd. Ook hier ging het om een overheidsinstelling, namelijk het UWV, waarbij op onrechtmatige wijze persoonsgegevens van een betrokkene zijn verwerkt. Het UWV werd in deze zaak veroordeeld tot de betaling van een bedrag van € 250,-.
Onrechtmatige verwerking ex-werkneemster
Een werkneemster raakte voor langere tijd arbeidsongeschikt vanwege een burn-out. Zij werkte toen nog bij haar, inmiddels oude werkgever. Het UWV stuurt de werkneemster op 13 november 2017 een brief waarin staat dat als de werkneemster weer beter is, zij niets hoeft te doen. Op 14 november 2017 treedt de werkneemster in dienst bij een nieuwe werkgever. Bijna een jaar later ontvangt de nieuwe werkgever een brief van het UWV dat zijn werkneemster al anderhalf jaar ziek is. Bij het UWV stond de werkneemster nog steeds als ziek geregistreerd. Haar nieuwe werkgever wist echter nergens van.
Volgens de kantonrechter die uitspraak deed in deze zaak, is er sprake van een mededeling van gevoelige persoonsgegevens. Ook al bevat de mededeling aan de nieuwe werkgever als zodanig geen medische gegevens. De persoonsgegevens zijn zonder toestemming van werkneemster bekend geworden bij derden. Dit betekent dat werkneemster op dat moment geen controle had over haar persoonsgegevens.
Verlies van controle
De AVG heeft tot doel dat organisaties rechtmatig omgaan met persoonsgegevens, zodat de privacy van een natuurlijk persoon wordt beschermd. Dit betekent onder meer dat de betrokkene controle moet hebben over zijn of haar persoonsgegevens. Verlies van controle wordt dan ook beschouwd als een inbreuk en is daarmee onrechtmatig.
Het verlies van controle kan in dit geval leiden tot ernstige nadelige gevolgen voor de werkneemster. In het bijzonder doordat de persoonsgegevens bij een derde bekend zijn geworden zonder de toestemming van de werkneemster.
Fout UWV
Het UWV heeft van het begin af aan erkend dat het onjuist was om de attenderingsbrief te zenden naar de nieuwe werkgever. Deze werkgever was immers niet betrokken bij de ziekmelding. De verzending van dergelijke berichten bij het UWV gaat volledig geautomatiseerd, zonder dat hier een inhoudelijke toets op wordt uitgevoerd. Een controle op de juistheid van de mededeling is volgens de kantonrechter in de gegeven omstandigheden echter wel noodzakelijk. Daarbij oordeelt de kantonrechter dat een dergelijke controle ook redelijkerwijs mogelijk was. Het UWV heeft echter nagelaten redelijke maatregelen te treffen ter voorkoming van een (al dan niet per ongeluk gedane) mededeling van een persoonsgegeven die onjuist is en/of wordt gedaan aan een geadresseerde die deze niet behoort te ontvangen.
Immateriële schadevergoeding
In deze zaak was het de vraag of er sprake is van aantoonbaar geestelijk letsel en of er daadwerkelijk aanleiding bestaat voor een immateriële schadevergoeding. Daarbij stond de vraag ter discussie of de door werkneemster gestelde nadelige gevolgen daarvoor wel ernstig genoeg zijn.
De kantonrechter verwijst voor zijn beoordeling naar een arrest van de Hoge Raad van 15 maart 2019. Uit deze uitspraak blijkt dat ook buiten gevallen van geestelijk letsel sprake kan zijn van aanspraak op vergoeding van immateriële schade.
In de woorden van de kantonrechter: “[…] namelijk indien de aard en de ernst van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen.”
De AVG heeft als uitgangspunt dat het begrip “schade” ruim moet worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie. In dit geval zijn de persoonsgegevens van werkneemster tegen haar wil bij derden bekend geworden. De nieuwe werkgever heeft kennis gekregen van de ziekte van werkneemster. Dit kan grote gevolgen hebben, aangezien de mededeling is gedaan in een periode waarin de nieuwe werkgever moest beslissen over het al dan niet verlengen van de arbeidsovereenkomst van de werkneemster. Dat het voor een werkgever niet geoorloofd is om een arbeidsovereenkomst vanwege ziekte niet te verlengen, betekent volgens de kantonrechter niet dat de werkgever het ook niet zal doen. Deze omstandigheden hebben bij de werkneemster angst en stress veroorzaakt. De klachten van werkneemster zijn daarbij verergerd door het feit dat zij niet lang daarvoor een burn-out heeft gehad.
Conclusie
De bovengenoemde schade is volgens de kantonrechter blijvend en onherstelbaar, ondanks dat het bedoelde risico op het niet verlengen van de arbeidsovereenkomst zich niet heeft verwezenlijkt. Dit betekent enkel dat de onrechtmatige verwerking van de persoonsgegevens niet hebben geleid tot economische of maatschappelijke schade van de werkneemster. Het verlies van controle en de angst- en stressklachten van werkneemster hebben ertoe geleid dat een schadevergoeding van € 250,- passend en billijk wordt geacht.
Na deze tweede uitspraak, waarbij er schadevergoeding aan een betrokkene van onrechtmatige verwerking van persoonsgegevens is toegekend, lijken meer uitspraken enkel een kwestie van tijd te zijn. Een rechtmatige, behoorlijke en transparante verwerking zijn daarom van groot belang voor organisaties.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.