2.4 Collectieve procedure bij een datalek

Gezien de gesignaleerde problemen met betrekking tot het instellen van een individuele procedure en omdat datalekken veelal een grote groep benadeelden treffen, ligt collectivisering van claims voor de hand. De Europese Toezichthouder voor gegevensbescherming (‘EDPS’) erkent het belang van mechanismen van collectieve schadeacties bij de handhaving van het gegevensbeschermingsrecht. Volgens hem stappen betrokkenen niet snel naar de rechter in verband met de hoge kosten, de lange wachttijd en de onzekerheid van een procedure. Deze obstakels kunnen volgens de EDPS (deels) worden weggenomen door de inzet van een collectieve procedure. Bovendien signaleert hij dat het risico voor de verwerkingsverantwoordelijke om een collectieve schadevergoeding te betalen, een belangrijke prikkel is om het gegevensbeschermingsrecht na te leven. Aldus zou een collectieve schadeactie een aanvulling vormen op de publiekrechtelijke handhaving.1

Ook de Europese wetgever onderkent dat een individuele procedure niet een optimaal instrument is voor de handhaving van het gegevensbeschermingsrecht.2 Artikel 80 lid 1 AVG bepaalt dat de betrokkene het recht heeft om zijn recht op schadevergoeding over te dragen aan een belangenorganisatie, mits het recht van de lidstaat daarin voorziet. Het Nederlandse recht kent twee mogelijke wijzen van collectieve afwikkeling: de collectieve actie van artikel 3:305a BW en de collectieve schikking neergelegd in artt. 7:907-910 BW en 1013-1018 Rv (ook wel: ‘WCAM’). Daarnaast is een wetsvoorstel aanhangig dat een collectieve schadevergoedingsactie mogelijk maakt. In de volgende paragrafen bespreken wij de verschillende collectieve procedures en onderzoeken wij of deze een oplossing zijn voor de in paragraaf 3 gesignaleerde obstakels.