Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/2.7.2
2.7.2 Draagt de inzet van de collectieve schadevergoedingsactie bij aan de handhaving van de beveiligingsplicht?
mr. T.E. van der Linden, mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.E. van der Linden, mr. T.F. Walree
- JCDI
JCDI:ADS267365:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
Rijsterborgh 2017, p. 325.
Faure & Visscher 2015, p. 14; Rijsterborgh 2017, p. 325 e.v.
Zie ook Van Doorn & De Bruijn 2013, p. 2856-2863.
Zie ook Article 29 Data Protection Working Party 2016, p. 24-25.
Zie ook Autoriteit Persoonsgegevens 2015, p. 28.
Dit kan twee kanten op werken. In sommige gevallen zal de betrokkene in een categorie geplaatst worden waardoor hij meer zal krijgen dan de schade die hij heeft geleden. In andere gevallen zal hij er iets op toe moeten leggen.
Rijsterborgh 2017, p. 330.
Faure & Visscher 2015, p. 44.
Kamerstukken II, 2016-2017, 34 608, nr. 3, p. 1. Zie ook Rijsterborgh 2017, p. 330.
Vergelijk de uitspraak van het Gem. Hof Antillen voorafgaand aan HR 8 juni 2007, ECLI:NL:HR:2007:BA2075, NJ 2007/332 (weergegeven in de Conclusie van A-G Spier, ECLI:NL:PHR:2007:BA2075, 2.8). Tegen deze overweging is wel cassatie ingesteld, maar door een gebrekkige procesvoering kwam de Hoge Raad niet toe aan de voorgelegde rechtsvraag. Zie ook: HR 8 juni 2007, NJ 2007/332, ECLI:NL:HR:2007:BA2075, r.o. 3.5.2.
Via ‘damage scheduling’ kan vervolgens onderscheid worden gemaakt tussen verschillende categorieën integriteitsschade.
Zoals gezegd moet de collectieve schadevergoedingsactie als ‘stok achter de deur’ gaan fungeren. Het grote verschil tussen het huidige artikel 3:305a BW en de voorgestelde collectieve schadevergoedingsactie is de mogelijkheid tot het vorderen van schadevergoeding. Het is de vraag in welke mate de collectieve schadevergoedingsactie de problematiek omtrent het aantonen van schade bij een datalek wegneemt. In onze optiek slaagt de collectieve schadevergoedingsactie hier slechts gedeeltelijk in.
Om te beginnen met de voordelen van collectief schadeverhaal bij datalekken: een bundeling van krachten kan er ten eerste voor zorgen dat de gevolgen van een datalek beter in kaart kunnen worden gebracht. Door de grotere financiële slagkracht kunnen experts op het gebied van cybercrime, cybersecurity of data science worden geraadpleegd. Hierdoor zal de betrokkene eerder te weten komen in wier handen zijn gegevens zijn gevallen, wat de intenties zijn van deze derde partij en of zijn gegevens zijn misbruikt.
Een tweede voordeel van de collectivisering van schadeclaims is dat schadebegroting, door middel van damage scheduling, op een meer abstract niveau plaatsvindt.1 Dit maakt het voor de rechter makkelijker om voorbij te gaan aan lastige, individuele vragen als: heeft iemand daadwerkelijk een lucratieve opdracht of baan misgelopen als gevolg van het datalek? De rechter kan zich dan toeleggen op de totale schade, in plaats van individuele schade, en kan daarbij de ‘gemiddelde betrokkene’ centraal stellen.2 Abstracte schadebegroting betekent echter niet dat de rechter geen rekening hoeft te houden met individuele verschillen. Aan de hand van objectieve factoren kan de rechter betrokkenen categoriseren in schadegroepen.3 De wijze waarop de rechter dit kan doen is nog onduidelijk. Naar onze mening valt in het geval van datalekken te denken aan de volgende (niet-limitatieve) gezichtspunten:
de (bijzondere) aard van de gelekte persoonsgegevens (gaat het om NAW-gegevens of om financiële gegevens, burgerservicenummers, medische gegevens, gegevens over politieke of religieuze overtuiging, gegevens over seksuele voorkeur?);
het volume van de gelekte persoonsgegevens (gaat het om één persoonsgegeven of om een set van meerdere persoonsgegevens?);
de moeilijkheidsgraad om een betrokkene te identificeren aan de hand van de gelekte gegevens (zijn de gegevens bijvoorbeeld versleuteld of gepseudonimiseerd?)4;
de hoedanigheid van de betrokkenen (gaat het om een kwetsbare groep, zoals bejaarden of kinderen?).5
Een bezwaar tegen damage scheduling is dat het niet in alle individuele gevallen een billijke genoegdoening geeft. In de collectieve procedure zal de gemiddelde betrokkene (van de betreffende schadecategorie) centraal staan.6 Rijsterborgh betoogt dan ook dat in complexe situaties zoveel mogelijk gedifferentieerd moet worden. Op die manier kan de rechter tot een resultaat komen dat het dichtst bij de werkelijke schadeverdeling ligt.7 De vraag is echter of dit bij handhaving van het gegevensbeschermingsrecht praktisch gezien haalbaar is. Bij datalekken gaat het om duizenden, zo niet miljoenen benadeelden. Hoewel structurele over- en ondercompensatie uiteraard vermeden moet worden,8 lijkt een indeling in grove schadecategorieën in het geval van datalekken de meest logische route.
Het wetsvoorstel beoogt geen wijziging van het materiële schadevergoedingsrecht.9 Dit betekent dat als immateriële schade in een individuele procedure niet voor vergoeding in aanmerking komt, deze ook niet in een collectieve procedure voor vergoeding in aanmerking komt.10 Voor erkenning van immateriële schade op grond van persoonsaantastingen in de zin van artikel 6:106 lid 1 sub b BW zal er ook in een collectieve actie sprake moeten zijn van ‘geestelijk letsel’ of ’integriteitsschade’ bij de betrokkene. Collectivisering helpt niet in de situatie waarin de gevolgen van het datalek onduidelijk zijn. Een collectieve schadevergoedingsactie biedt slechts een meerwaarde ten opzichte van een individuele procedure in de gevallen waarin duidelijk is dat een datalek concrete en rechtstreekse gevolgen heeft voor de betrokkene.11
Voor het verhaal van strooischade is de collectieve schadevergoedingsactie bij uitstek geschikt. Een collectieve vordering zorgt ervoor dat de kosten van de procedure over de groep worden verdeeld. Dit kan een oplossing bieden voor rationele apathie die bij betrokkenen kan bestaan als het gaat om individueel gezien kleine schadeposten.
In het geval dat de betrokkene kan onderbouwen dat hij schade heeft geleden die voor vergoeding in aanmerking komt, is het vervolgens aan hem om (bij betwisting) aan te tonen dat de schade het gevolg is van de inadequate beveiliging van de aangesproken verwerkingsverantwoordelijke. Collectivisering van de vordering kan tot op zekere hoogte tegemoetkomen aan de bewijsnood van betrokkenen. Ten eerste kunnen betrokkenen door de inzet van meer financiële middelen en met behulp van experts de aanwezigheid van een causaal verband eerder achterhalen. Ten tweede is het csqn-verband tussen de inadequate beveiligingsmaatregelen en de opgetreden schade aannemelijker indien blijkt dat de gemene deler tussen betrokkenen is dat hun gegevens zijn verwerkt door dezelfde verwerkingsverantwoordelijke. Door het maken van een onderverdeling via damage scheduling kan de rechter vervolgens rekening houden met individuele omstandigheden, die van invloed kunnen zijn op de omvang van hun schade.12
In navolging van het huidige artikel 3:305a BW biedt ook de collectieve schadevergoedingsactie een helpende hand bij het aantonen van de normschending. Hoewel onder de collectieve schadevergoedingsactie (aantoonbare) strooischade sneller wordt vergoed en de bewijsnood ten aanzien van een csqn-verband mogelijk wordt verlicht, zal de collectieve schadevergoedingsactie slechts in beperkte mate de handhaving van de beveiligingsplicht bij een datalek bevorderen. Doordat de gevolgen van een datalek veelal onbekend en immaterieel van aard zijn en de drempel voor het toekennen van een immateriële schadevergoeding onveranderd hoog blijft, zal het verkrijgen van een schadevergoeding ook via een collectieve schadevergoedingsactie lastig zijn voor de betrokkene.