Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/6.2.3:6.2.3 Doelstellingen AVG: controle over persoonsgegevens en handhaving

Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/6.2.3

6.2.3 Doelstellingen AVG: controle over persoonsgegevens en handhaving

Documentgegevens:

mr. T.F. Walree, datum 01-02-2021

Datum: 01-02-2021
Auteur: mr. T.F. Walree
JCDI: JCDI:ADS267463:1
Vakgebied(en): Privacy / Verwerking persoonsgegevens

Uit de overwegingen 75 en 85 AVG volgt dat (onrechtmatige) gegevensverwerkingen kunnen resulteren in materiële of immateriële schade voor natuurlijke personen, waaronder het ‘verlies van controle over hun persoonsgegevens’. De AVG noemt het verlies van controle over persoonsgegevens als een risico waartegen de verwerkingsverantwoordelijke passende maatregelen moet nemen (overweging 75)1 en als een risico waardoor hij de toezichthoudende autoriteit of de betrokkene op de hoogte moet brengen van een datalek (overweging 85). Deze overwegingen zijn niet bedoeld om aan te geven wat de vergoedbare schade is van artikel 82 AVG.2 Dit neemt niet weg dat het controleverlies als vergoedbare schade kan gelden. De controle over persoonsgegevens komt namelijk ook terug op andere plekken. De AVG stelt dat natuurlijke personen controle over hun eigen persoonsgegevens dienen te hebben3 en dat de betrokkene het recht moet hebben om de rechtmatigheid van de verwerking te controleren.4 Controle over persoonsgegevens door de betrokkene is dus kennelijk een belangrijke doelstelling van de AVG, waardoor aan het verlies daarvan ook een waarde toekomt.5

De AVG zwijgt over wat controle over persoonsgegevens (en het verlies daarvan) exact omvat.6 Controle veronderstelt in ieder geval geen exclusieve gebruiksbevoegdheid van de betrokkene ten aanzien van zijn persoonsgegevens, in de zin dat hij zelf bepaalt welke persoonsgegevens hij deelt en met wie hij die deelt. De betrokkene zou onder die definitie bijvoorbeeld ook de controle verliezen bij de onvrijwillige maar rechtmatige verwerking van zijn inkomensgegevens door de Belastingdienst. Een uitleg die onder ‘controle over persoonsgegevens’ verstaat dat de gegevens slechts door daartoe bevoegde partijen worden verwerkt, is plausibeler. Het verlies van controle vindt dan plaats als een onbevoegde en onvoorziene partij de persoonsgegevens verzamelt of ontvangt.7 Dit is een wat beperkte uitleg van het verlies van controle, die geen recht doet aan het hoge beschermingsniveau dat de AVG nastreeft.

Er is echter nog een andere interpretatie van controle(verlies) mogelijk. De AVG formuleert allerlei beginselen met betrekking tot de rechtmatige en zorgvuldige verwerking van persoonsgegevens.8 De belangrijkste zijn rechtmatigheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid of integriteit, opslagbeperking en vertrouwelijkheid.9 Als de verwerkingsverantwoordelijke deze beginselen naleeft, kan een betrokkene begrijpen, overzien en voorzien welke van zijn gegevens worden verwerkt, voor welke doeleinden en voor hoe lang zij worden verwerkt. Op deze manier houdt de betrokkene de ‘controle’ (of het overzicht) over zijn persoonsgegevens, zo nodig met behulp van de uitoefening van zijn rechten (bijvoorbeeld het recht op inzage, rectificatie, beperking) op grond van hoofdstuk III AVG.10 Als de verwerking buiten de grenzen van de rechtmatigheid treedt, en de betrokkene de onrechtmatige verwerking niet meer kan corrigeren door zijn rechten uit te oefenen,11 verliest hij de controle.

Ik sluit niet uit dat deze laatste interpretatie van controleverlies voor vergoeding in aanmerking komt. Het kunnen handhaven van transparantie, doelbinding, vertrouwelijkheid en integriteit van persoonsgegevens is immers essentieel voor een doeltreffende bescherming van persoonsgegevens.12 Handhaving is dan ook een belangrijke doelstelling van de AVG.13 Het uitgebreide arsenaal aan handhavingsmogelijkheden in hoofdstuk VIII, zoals het recht op schadevergoeding en zware bestuurlijke boetes, getuigt hier ook van. Handhaving door toezichthouders komt echter nog maar langzaam op gang.14 Civiele handhaving door betrokkenen of belangenorganisaties, zoals door middel van een schadeclaim, is daarom des te belangrijker.15

Het Hof van Justitie benadrukt dat het recht op schadevergoeding kan bijdragen aan de ‘volle werking’ van het Unierecht.16 In een aantal zaken waarin het een schending van het mededingingsrecht betrof, overweegt het Hof van Justitie dat het recht op schadevergoeding schendingen ‘minder aantrekkelijk’ maakt en kan bijdragen aan de handhaving van een ‘daadwerkelijke mededinging’. De mogelijkheid van een schadevergoeding kan op vergelijkbare wijze inbreuken op de AVG ontmoedigen en bijdragen aan de handhaving van de AVG.17 Een (te) hoge drempel voor schadevergoeding voor inbreuken op de AVG verkleint een ‘handhavingstekort’18 niet. Bovendien kan dit in strijd zijn met het Unierechtelijke beginsel van ‘doeltreffendheid’.19 Dit beginsel vereist dat de uitoefening van regels van het Unierecht in de praktijk niet onmogelijk of uiterst moeilijk mag zijn.20 Een ruime interpretatie van schade draagt zo bij aan de handhaving, en dus aan de doeltreffendheid en de volle werking van de AVG.21

In dit licht, maar ook gezien het belang van controle over persoonsgegevens en de handhaving daarvan, kan het verlies van controle over persoonsgegevens of de beperking van rechten van de betrokkene22 een vergoedbare schadepost zijn. Dit betekent dat de enkele schending van de AVG kan leiden tot een recht op schadevergoeding, ook zonder dat de inbreuk leidde tot concrete gevolgen. In dit geval moet het wel gaan om een substantiële inbreuk op de AVG, waarbij handhaving van de geschonden regel belangrijk is en bijdraagt aan de doeltreffendheid en volle werking van de AVG.23 Een lichte schending van de AVG, waarbij er geen of verwaarloosbare gevolgen (zullen) optreden, leidt niet tot een recht op schadevergoeding. In dit laatste geval weegt de Unierechtelijke eis van reële en zeker geleden schade zwaarder dan het belang van controle over persoonsgegevens en de handhaving van de AVG.

Toon alle voetnoten

Voetnoten

Voetnoten

Zie in combinatie met overweging 74 AVG.

Engelhard 2019b, p. 193. Vergelijk ook Court of Appeal 27 maart 2015, [2015] EWCA Civ 311 (Vidal-Hall/Google), punt 72; Court of Appeal 2 oktober 2019, [2019] EWCA Civ 1599 (Lloyd/Google), punt 42.

Overweging 7 AVG.

Overweging 63 AVG. Vergelijk ook overweging 78 AVG.

Zie ook Court of Appeal 2 oktober 2019, [2019] EWCA Civ 1599 (Lloyd/Google), punt 46, 56.

Vergelijk O. Lynskey 2015, p. 180.

Ook de Nederlandse rechtbanken hanteren het begrip ‘verlies van controle over persoonsgegevens’ (zie paragraaf 4.1). Die uitspraken hebben met elkaar gemeen dat het in het onderhavige geval telkens gaat om een onrechtmatige doorgifte aan een partij die onbevoegd was om kennis te nemen van de persoonsgegevens (zie uitgebreid paragraaf 4). Vergelijk ook Rb. Midden-Nederland 28 januari 2020, ECLI:NL:RBMNE:2020:348 (X/CIZ), r.o. 4.1.

De Hert & Gutwirth 2009, p. 3-4.

Artikel 5 lid 1 AVG.

10.

Vergelijk Lynskey 2015, p. 179-185.

11.

Voorbeelden zijn het verwijderen van gegevens waarvan de rechtmatige bewaartermijn is verstreken (artikel 17 lid 1 sub a AVG) of het corrigeren van onjuiste persoonsgegevens door de verwerkingsverantwoordelijke (artikel 16 AVG), op verzoek van de betrokkene.

12.

Vergelijk overweging 11 AVG.

13.

Overwegingen 7, 129 en 148 AVG.

14.

N. Vinocur, ‘“We have a huge problem”: European regulator despairs over lack of enforcement’, Politico.eu 27 december 2019.

15.

Walree 2017, p. 921 (hoofdstuk 1, paragraaf 1); Engelhard 2019b, p. 194.

16.

HvJ EG 20 september 2001, C-453/99, ECLI:EU:C:2001:465 (Courage/Crehan), punt 25-27; HvJ EG 13 juli 2006, gevoegde zaken C-295/04-C-298/04, ECLI:EU:C:2006:461 (Manfredi), punt 89-91; HvJ EU 6 november 2012, C-199/11, ECLI:EU:C:2012:684 (Europese Gemeenschap/Otis e.a.), punt 41-42; HvJ EU 6 juni 2013, C-536/11, ECLI:EU:C:2013:366 (Donau Chemie e.a.), punt 22-23; HvJ EU 5 juni 2014, C-557/12, ECLI:EU:C:2014:1317 (Kone), punt 21-23; HvJ EU 14 maart 2019, C-724/17, ECLI:EU:C:2019:204 (Skanska), punt 43-45; HvJ EU 12 december 2019, C-435/18, ECLI:EU:C:2019:1069 (Otis e.a./Land Oberösterreich e.a.), punt 22-24.

17.

Truli 2018, p. 310; Walree & Wolters 2020, p. 6-7 (hoofdstuk 5, paragraaf 3.3.2).

18.

Walree 2017 (hoofdstuk 1); Van der Linden & Walree 2018 (hoofdstuk 2).

19.

Vergelijk artikel 79 lid 1 AVG. Dit artikel geeft de betrokkene het recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of verwerker. Zie Ellingsen 2018, p. 1882-1883.

20.

HvJ EG 16 december 1976, C-33/76, ECLI:EU:C:1976:188 (Rewe), punt 5; HvJ EG 16 december 1976, C-45/76, ECLI:EU:C:1976:191 (Comet), punt 16; HvJ EG 13 maart 2007, C-432/05, ECLI:EU:C:2007:163 (Unibet/Justitiekanslern), punt 43; HvJ EU 9 december 2010, C-568/08, ECLI:EU:C:2010:751 (Combinatie Spijker/Provincie Drenthe), punt 91; HvJ EU 5 juni 2014, C-557/12, ECLI:EU:C:2014:1317 (Kone), punt 24-25. Zie uitvoerig over het doeltreffendheidsbeginsel: Tridimas 2006, p. 424; Tjong Tjin Tai 2018, p. 31-36; Aronstein 2019, p. 235-245; Heinze 2019, p. 197-221.

21.

Vergelijk Wiekeraad 2020, p. 111-112.

22.

Vergelijk overwegingen 75 en 85 AVG.

23.

Bij de beoordeling of er sprake is van een substantiële inbreuk, kan de rechter eventueel kijken naar artikel 83 lid 2 AVG. Dit artikel bepaalt dat bij het besluit of een administratieve geldboete wordt opgelegd en over de hoogte daarvan voor het concrete geval rekening wordt gehouden met een aantal gezichtspunten. Daarin worden onder meer genoemd ‘de aard, de ernst en de duur van de inbreuk’ (sub a) en ‘de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft’ (sub g).