Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/II.4.2.2
II.4.2.2 Boetes en aansprakelijkheid
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278922:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Ibid.
A. Raul, ‘United States’, in: A. Raul (ed.), The privacy data protection and cybersecurity law review, London: Law Business Research Ltd. 2014, p. 292.
In 2017 vonden er bijvoorbeeld al 76 class actions plaats, zie D. Zetoony e.a., ‘2017 Data breach litigation report’, Bryan Cave 2017, te raadplegen op https://www.bryancave.com/en/thought-leadership/2017-data-breach-litigation-report.html (laatst bezocht 6 juli 2018).
‘Negligence’.
U.S. S.C. 13.1339, 136 S. Ct. 1540 (24 mei 2016). “To establish injury in fact, a plaintiff must show that he or she suffered ‘an invasion of a legally protected interest’ that is ‘concrete and particularized’ and ‘actual or imminent, not conjectural or hypothetical’”.
663 Fed. Appx. 384 (6th Cir. 2016), 12 september 2016, Galaria v Nationwide; 846 F3d 625 (3d Cir. 2016), 12 juli 2016 (In re: Horizon Healthcare Services Breach Notification) resp. 819 F3d 963 (7th Cir. 2016; Chang’s China Bistro); In alledrie de zaken werd standing aangenomen. Anders: 848 F3d 252 (4th Circ. 2017; Beck v Mcdonald).
T.F. Walree, ‘De vergoedbare schade bij de onrechtmatige verwerking van persoonsgegevens’, WPNR 2017/7172, p. 921-930. Zie ook T. Tjong Tjin Tai, ‘Een Europees schadebegrip?’, NTBR 2018/5, p. 31-36.
Overtreding van de voorschriften van de AVG kan leiden tot een door de toezichthoudende autoriteit opgelegde boete (artikel 83 AVG).1 Deze boete kan oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet indien dat bedrag hoger is (artikel 83 lid 5 AVG). De boete moet doeltreffend, evenredig en afschrikwekkend zijn en kan worden gecombineerd met corrigerende maatregelen (artikel 83 lid 1-2 jo 58 lid 2 AVG). Voorbeelden daarvan zijn het opleggen van een verwerkingsbeperking (waaronder een verwerkingsverbod), het gelasten van de verwerkingsverantwoordelijke tot het rectificeren of wissen van persoonsgegevens en het intrekken van certificeringen (artikel 58 lid 2 sub f-h AVG).
In vergelijking met de maximale boetebedragen in bijvoorbeeld de HIPAA (anderhalf miljoen dollar) zijn de maximale boetes in Europa hoog. Dit betekent echter niet dat de Europese toezichthouders ook echt meer of hogere boetes dan hun Amerikaanse collega’s zullen gaan opleggen. In geen enkel land ter wereld wordt zoveel geprocedeerd en worden er zoveel boetes uitgedeeld (dan wel schikkingen getroffen) ten aanzien van overtredingen van privacyregelgeving als in de VS.2
Naast het opleggen van boetes voorziet de AVG in een mogelijkheid voor betrokkenen om op basis van de AVG een vordering tot schadevergoeding in te dienen (artikel 82 AVG), bijvoorbeeld wegens het schenden van de beveiligingsverplichting (artikel 32 AVG). In de VS wordt regelmatig geprocedeerd over het verkrijgen van schadevergoeding wegens overtredingen van de privacyregelgeving, met name in het geval van datalekken.3 Daarbij wordt vaak op verschillende grondslagen een beroep gedaan: overtreding van federale wetten (FCRA), statelijke meldplichten voor datalekken en onrechtmatige daad.4
In de civiele class actions die in de VS worden gevoerd, hebben de benadeelden evenwel regelmatig grote moeite om aan te tonen dat zij ontvankelijk zijn in hun vordering (‘standing’). Het blijkt bij datalekken moeilijk om aan te tonen dat er daadwerkelijk sprake is van schade (‘injury in fact’). In de zaak Spokeo v. Robins oordeelde het U.S. Supreme Court dat de enkele overtreding van regelgeving niet voldoende was voor standing, tenzij de benadeelde kon aantonen dat hij ook schade had geleden die ‘particularized’ en ‘concrete’ was.5 De jurisprudentie na Spokeo is evenwel wisselend.6
Ook onder de Europese regelgeving is niet direct helder of de schade die betrokkenen kunnen oplopen na een inbreuk op de AVG wel daadwerkelijk vergoedbaar is.7 Dat er op het punt van de schade nog de nodige vragen openstaan, neemt evenwel niet weg dat de AVG aan benadeelde betrokkenen wel de expliciete mogelijkheid biedt om gerechtelijke procedures te starten (zie ook artikel 79 AVG), met alle (verdedigings)kosten voor de aangesproken partij van dien. De enkele dreiging van procedures, administratief wegens opgelegde boetes of civiel wegens gestelde aansprakelijkheid, kan dus zeer wel een reden zijn voor bedrijven om zich hiertegen te verzekeren.