Schadevergoeding onder de Avg

Algemene verordening gegevensbescherming

Onlangs was het dan zover: de eerste zaak, waarin een Nederlandse rechter een schadevergoeding toekende op grond van artikel 82 van de Algemene verordening gegevensbescherming (Avg). Zoals PrivacyPunt al in vele zaken al naar voren heeft gebracht, is onder de Avg sprake van een zelfstandig schadebegrip. Dit maakt dat de nationale bepalingen op het gebied van schadevergoedingen buiten toepassing moeten worden gelaten of overeenkomstig de Avg moet worden toegepast. Dit laatste, ook wel een verordeningsconforme interpretatie genoemd, is nu gebeurd.

Wob- en inzageverzoeken

In de gepubliceerde zaak had de betrokkene bij de gemeente Deventer twee Wob-verzoeken ingediend. De gemeente Deventer had vervolgens, zonder toestemming van de betrokkene, de persoonsgegevens van de betrokkene (te weten naam en woonplaats) op 20 augustus 2013 per e-mail aan andere bestuursorganen gestuurd. Op 27 juli 2017 diende de betrokkene vervolgens op grond van de Wet bescherming persoonsgegevens een inzageverzoek in. Het op 24 augustus 2017 ontving de betrokkene had daarop door de gemeente genomen besluit, waarin de desbetreffende e-mail ontbrak.

Onrechtmatig besluit

De rechtbank concludeerde op 18 juli 2018 dat de gemeente de andere bestuursorganen ook had kunnen informeren zonder het vermelden van de persoonsgegevens van de betrokkene. Daarmee voldeed de doorzending van de persoonsgegevens niet aan de beginselen van proportionaliteit en subsidiariteit. Tevens was de rechter van oordeel dat de gemeente nader onderzoek had moeten doen of persoonsgegevens van de betrokkene vaker waren verwerkt in de e-mailboxen binnen de gemeente Deventer. De rechtbank vernietigde het door de gemeente Deventer genomen besluit en besliste dat de gemeente het besluit moest heroverwegen en dat bij dat besluit de vraag aan de orde diende te komen in hoeverre er aanleiding bestond een schadevergoeding toe te kennen. De gemeente Deventer ging niet tegen deze uitspraak in hoger beroep.

Schadevergoeding

Nadat de gemeente Deventer een verzoek om schadevergoeding op 26 september 2018 had afgewezen, volgde een tweede procedure. Op 28 mei 2019 doet de rechtbank uitspraak. Omdat in de rechter “ex nunc” toetst (dat wil zeggen naar de situatie van nu) en de Avg inmiddels in werking was getreden, wordt een expliciet oordeel over artikel 82 van de Avg gegeven. Naar het oordeel van de rechtbank “laat artikel 82 van de Avg onverlet dat voor de toekenning van schadevergoeding aansluiting mag en moet worden gezocht bij het Nederlands rechtsbestel”. Daarnaast stelt de rechtbank dat de betrokkene “als gevolg van dat onrechtmatige besluit in zijn persoon aangetast wegens verlies van controle over zijn persoonsgegevens”. De rechtbank oordeelt vervolgens dat dit persoonlijkheidsrecht is. Dit betekent dat betrokkene op grond van artikel 82 van de Avg in samenhang met artikel 6:106 van het BW recht heeft op een naar billijkheid vast te stellen schadevergoeding.

Hoogte van de schadevergoeding

Wat betreft de hoogte van die vergoeding neemt de rechtbank in acht dat in het onrechtmatige besluit geen rechtvaardiging is gegeven voor de verwerking van de persoonsgegevens van eiser. De rechtbank neemt mede in aanmerking het gestelde onder 75, 85 en 146 van de preambule bij de Avg. Daarin wordt onder meer gesteld dat onder schade onder meer verlies van controle van betrokkenen over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie wordt verstaan en het begrip schade ruim moet worden uitgelegd. Op grond daarvan achtte de rechtbank uiteindelijk een schadevergoeding van € 500,- billijk.

Contact

Met deze uitspraak wordt PrivacyPunt nog beter in staat gesteld schade voor gedupeerden van onrechtmatige verwerkingen en datalekken op de verantwoordelijken te verhalen. Meent u dat uw persoonsgegevens onrechtmatig zijn verwerkt of dat u schade hebt geleden door een privacyschending, neem dan vrijblijvend contact op met PrivacyPunt. In veel gevallen kunnen wij de schade voor u verhalen op basis van ons ‘no cure, no pay’-tarief.