Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/1.3:1.3 Schade door oneigenlijk gebruik van persoonsgegevens

Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/1.3

1.3 Schade door oneigenlijk gebruik van persoonsgegevens

Documentgegevens:

mr. T.F. Walree, datum 01-02-2021

Datum: 01-02-2021
Auteur: mr. T.F. Walree
JCDI: JCDI:ADS267411:1
Vakgebied(en): Privacy / Verwerking persoonsgegevens

Datacenters stromen vol met persoonsgegevens, omdat organisaties ervan uitgaan dat die gegevens in de toekomst nog wel eens van waarde kunnen zijn. Gegevens kunnen bijvoorbeeld worden (her)gebruikt voor productinnovatie of klantanalyse, óf worden verkocht aan databrokers. Hierbij ligt oneigenlijk (her)gebruik1 op de loer: de ongeïnformeerde verwerking van persoonsgegevens voor andere doeleinden dan waarvoor de gegevens oorspronkelijk zijn verzameld en waarover de betrokkene is geïnformeerd.2 Oneigenlijk gebruik kan op talloze wijzen geschieden.3 Een Amerikaanse tv-fabrikant verzamelde bijvoorbeeld kijkgegevens en locatiegegevens en verkocht deze aan adverteerders, zonder de gebruikers daarover te informeren.4 Facebook gebruikte persoonsgegevens voor gerichte advertenties zonder daarover de benodigde informatie te geven aan haar gebruikers.5

Het doelbindingsprincipe (artikel 5 lid 1 sub b AVG) stelt grenzen aan het oneigenlijk gebruik van persoonsgegevens, zodat de betrokkene een redelijke verwachting over de verwerking kan vormen en zodoende kan oordelen over de voorzienbare gevaren.6 Niet altijd is evident wat de schade is voor de betrokkene bij oneigenlijk gebruik.7 Stel dat een bank klantgegevens, in strijd met haar privacybeleid, doorverkoopt aan een adverteerder. Hoewel het oneigenlijk gebruik zorgt voor een schending van het doelbindingsprincipe, zal het doorverkopen van de persoonsgegevens van de betrokkene ten hoogste leiden tot irritatie of ergernis. Daarnaast zijn gevoelens subjectief en vrijblijvend: terwijl de ene betrokkene de onrechtmatige verkoop van zijn persoongegevens beschouwt als een inbreuk op zijn privacy, haalt de ander er zijn schouders bij op.8 Bovendien kan ongevraagde reclame eenvoudig worden beperkt met behulp van spamfilters, het bel-me-niet-register of het Postfilter. Dergelijke triviale gevoelens bieden dan ook onvoldoende grond voor smartengeld.9

Uit een uitspraak van de Rechtbank Noord-Holland volgt dat onder bijkomende omstandigheden wel ruimte is voor immateriële schadevergoeding bij oneigenlijk gebruik van persoonsgegevens. Een advocatenkantoor had gegevens uit het WSNP-register overgenomen en vervolgens een aanbod tot rechtsbijstand aan de betrokkene gedaan. De rechtbank veroordeelde het kantoor tot betaling van 100 euro, omdat de betrokkene ‘door het onverwachts vinden van de brief op haar deurmat, geschrokken en geëmotioneerd’ was.10 De verwachtingen van de betrokkene, de gevoeligheid van de verwerking en de hoedanigheid van de verwerkingsverantwoordelijke lijken in deze uitspraak bijkomende omstandigheden die compensatie van de immateriële schade legitimeren.

Bij oneigenlijk gebruik kan de betrokkene ook een beroep doen op ‘integriteitsschade’. Giessen beschrijft integriteitsschade als de inbreuk op een fundamenteel recht, die geen vermogensschade aanricht en te gering is om te gelden als ‘geestelijk letsel’, maar wel de integriteit van de persoon aantast.11 De immateriële schade bestaat dan niet uit concreet leed, maar uit de rechtsinbreuk als zodanig, welke dan kwalificeert als een ‘aantasting in de persoon’ in de zin van artikel 6:106 lid 1 sub b BW.12 De Hoge Raad hanteert hiervoor een streng criterium. Alleen ernstige schendingen van fundamentele rechten komen voor vergoeding in aanmerking.13

De bescherming van persoonsgegevens is als grondrecht gewaarborgd (artikel 8 Handvest EU)14 en heeft horizontale directe werking.15 Voor een schending van het recht is niet vereist dat het gaat om gevoelige gegevens of dat de betrokkene op enige wijze wordt gehinderd.16 Wel moet de betrokkene stellen dat de schending (het oneigenlijk gebruik) een ‘aantasting van zijn persoon’ oplevert. Gezien de hoge drempel die de Hoge Raad stelt aan integriteitsschade, is het onwaarschijnlijk dat triviale gevoelens als gevolg van het oneigenlijke gebruik van persoonsgegevens, zonder bijkomende omstandigheden, voor vergoeding in aanmerking komen. De vraag rijst dan onder welke bijkomende omstandigheden integriteitsschade bestaat. Ook in dit kader kunnen de verwachtingen van de betrokkene, de gevoelige aard van de verwerking en de hoedanigheid van de verwerkingsverantwoordelijke bijkomende omstandigheden zijn die ervoor zorgen dat de integriteitsschade moet worden vergoed. Denk bijvoorbeeld aan een ziekenhuis dat medische gegevens verkoopt aan een verzekeraar, een opsporingsinstantie die strafrechtelijke gegevens deelt met ongeautoriseerde derden of een gemeente die gevoelige persoonsgegevens deelt in het kader van een aanbesteding.17

Ten slotte kan de betrokkene een beroep doen op afdracht van de behaalde winst (artikel 6:104 BW) ten aanzien van het oneigenlijk gebruik van zijn persoonsgegevens. Sieburgh stelt dat persoonlijkheidsrechten op vergelijkbare wijze moeten worden beschermd als zaken.18 Persoonlijkheidsrechten omvatten onder meer het recht op de bescherming van persoonsgegevens.19 De bezitter van dit persoonlijkheidsrecht, in dit geval de betrokkene, is exclusief bevoegd tot het uitoefenen van zijn recht, waardoor de vruchten van dat recht hem toekomen. Als de vruchten (de winst) vervolgens toevallen aan de verwerkingsverantwoordelijke die het persoonlijkheidsrecht schendt, dan moeten die vruchten worden afgegeven.20Artikel 6:104 BW vereist niet dat de benadeelde concreet nadeel aantoont. Wel moet hij de aanwezigheid van enige (im)materiële schade aannemelijk maken.21 De betrokkene kan bijvoorbeeld stellen dat door de onrechtmatige doorgifte van zijn persoonsgegevens de marktwaarde van zijn persoonsgegevens is afgenomen. Zijn persoonsgegevens zijn per slot van rekening nu minder schaars dan voorheen.22 Daarnaast kan de betrokkene betogen dat hij kosten heeft gemaakt bij het verzet tegen het oneigenlijk gebruik van zijn persoonsgegevens. De betrokkene hoeft geen winst aan te tonen. De verwerkingsverantwoordelijke wordt geacht verantwoording af te leggen over de winst die hij mogelijk heeft gemaakt door het oneigenlijk gebruik van de persoonsgegevens. Winst is immers zichtbaar voor diegene die hem gemaakt heeft.23 Als de verwerkingsverantwoordelijke nalaat om de winstcijfers te overleggen, kan de rechter de gevolgtrekking maken die hij geraden acht (artikel 21 jo. 22 Rv) en overgaan op een schatting van de behaalde winst.24

Toon alle voetnoten

Voetnoten

Voetnoten

Term ontleend aan Van Gulijk & Op Heij 2016, p. 453-458.

Nissenbaum 2011, p. 33.

De KNVB verkocht persoonsgegevens van haar leden aan een databeheerbedrijf, die de gegevens gebruikte voor het versturen van inlegkruisjes naar meisjes tussen de elf en dertien jaar. Zie M. Oostveen, ‘Hoe de KNVB en Always meisjes maandverband opdringen’, De Volkskrant 18 mei 2016. Nike verwerkte prestatiegegevens van haar gebruikers in de Nike Runner App voor eigen onderzoeks- en analysedoeleinden, zonder haar gebruikers daarover te informeren. Zie College bescherming persoonsgegevens 2015.

The Washington Post, ‘Vizio agrees to pay $2.2 million to settle FTC’s television-spying case’, washingtonpost.com 6 februari 2017.

Autoriteit Persoonsgegevens 2017b.

Colonna 2014, p. 304.

Zie ook Van Gulijk & Op Heij 2016, p. 453-458; Solove 2007, p. 770.

Vergelijk Thierer 2014, p. 419-420.

Zie paragraaf 2.

10.

Rb. Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700 (X/Advocatenkantoor), r.o. 4.10.

11.

Giesen 2014, p. 44.

12.

Verheij 2003, p. 484. Verheij stelt dat het zinloos zou zijn als na een inbreuk op een subjectief recht het privaatrecht geen mogelijkheid biedt om op die inbreuk te reageren: “zonder (re)actie geen recht”. Zie ook Giesen 2014, p. 44.

13.

HR 18 maart 2005, ECLI:NL:HR:2005:AR5213, NJ 2006/606 (Wrongful life); HR 9 juli 2004, ECLI:NL:HR:2004:AO7721, NJ 2005/391 (Oudjaarsrellen); HR 29 juni 2012, ECLI:NL:HR:2012:BW1519, NJ 2012/410 (Blauw oog), r.o. 3.5; Rb. Noord-Nederland 1 maart 2017, ECLI:NL:RBNNE:2017:715 (Groningenveld/NAM), r.o. 4.4.6.; Rb. Amsterdam 2 november 2010, ECLI:NL:RBAMS:2010:BO6456 (X/Amsterdam), r.o. 3.3. Zie ook K.J.O. Jansen 2017, p. 39-45. Zie in dezelfde zin Hartlief 2008, p. 245; Nguyen 2009, p. 1812-1818.

14.

Zie ook artikel 16 VWEU.

15.

HvJ EU 13 mei 2014, C-131/42 (Google Spain/Costeja), punt 68-69; HR 24 februari 2017, ECLI:NL:HR:2017:316, r.o. 3.3; Rb. Amsterdam 24 december 2015, ECLI:NL:RBAMS:2015:9515, r.o. 4.7-4.8. Zie voor een diepere analyse Emaus 2015, p. 67-76; De Mol 2016 p. 458-471.

16.

HvJ EU 8 april 2014, C-293/12, ECLI:EU:C:2014:238 (Digital Rights Ireland), punt 33; HvJ EG 20 mei 2003, gevoegde zaken C-465/00, C-138/01 en C-139/01, ECLI:EU:C:2003:294 (Österreichischer Rundfunk), punt 75.

17.

AanbestedingsNieuws, ‘TenderNed schendt privacy gehandicapte leerlingen met publicatie aanbestedingen’, aanbestedingsnieuws.nl 7 juli 2017.

18.

Sieburgh 2010, p. 394-395. Sieburgh stelt dat winstafdracht in geval van een schending van persoonlijkheidsrechten en andere immateriële belangen een meer prominente rol kan spelen in de privaatrechtelijke handhaving dan thans het geval is.

19.

Kamerstukken II 1997–1998, 25892, nr. 3 (MvT), p. 10.

20.

Artikel 3:120 en 3:121 BW.

21.

HR 18 juni 2010, ECLI:NL:HR:2010:BM0893, (Stichting Ymere), r.o. 3.6; HR 16 juni 2006, ECLI:NL:HR:2006:AU8940 (Kecofa/Lancôme), r.o. 3.5.2.

22.

Romanosky & Acquisti 2009, p. 1062-1063.

23.

Vergelijk over de waarde van persoonsgegevens Malgieri & Custers 2017; F. Rolvink Couzy, ‘Wanneer je gegevens geld waard zijn’, Het Financieele Dagblad 3 juli 2017.

24.

HR 14 november 2014, ECLI:NL:HR:2014:3241 (Sjopspel) r.o. 4.2.2-4.2.3.