Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/3.3.1
3.3.1 Algemeen
mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.F. Walree
- JCDI
JCDI:ADS267446:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
De beveiligingsplicht is opgenomen in artikel 32 AVG en artikel 13 Wbp (oud).
De plicht om een betrokkene te informeren over de verwerking van zijn persoonsgegevens is opgenomen in artikel 13-14 AVG en artikel 33-34 Wbp (oud). Zie ook ICO 2018, p. 27.
De Wbp betrof de nationale omzetting van die richtlijn.
Zie uitvoerig Walree 2017, p. 928-930 (hoofdstuk 1, paragraaf 5).
HvJ EG 10 april 1984, C-14/83, ECLI:EU:C:1984:153 (Von Colson en Kamann), punt 23; HvJ EG 2 augustus 1993, C-271/91, ECLI:EU:C:1993:335 (Marshall), punt 24; HvJEG 22 april 1997, C-180/95, ECLI:EU:C:1997:208 (Draehmpaehl), punt 25. Specifiek voor het gegevensbeschermingsrecht vereist het EHRM ‘voldoende genoegdoening’, zie EHRM 17 juli 2008, nr. 20511/03, ECLI:CE:ECHR:2008:0717JUD002051103 (I./Finland), punt 55.
Lynskey 2015, p. 196-228; Walree 2017, p. 921-930 (hoofdstuk 1); Descheemaeker 2015, p. 278-306.
HR 21 september 2007, ECLI:NL:HR:2007:BA7624 (Manege Bergemo), r.o. 3.4.
Rb. Noord-Nederland, 1 maart 2017, ECLI:NL:RBNNE:2017:715 (Groningenveld/NAM), r.o. 4.4.4.
HR 21 februari 1997, ECLI:NL:HR:1997:ZC2286, NJ 1999/145 (Wrongful Birth), r.o. 3.14.
HR 22 februari 2002, ECLI:NL:HR:2002:AD5356, NJ 2002/240 (Taxibus), r.o. 4.3; HR 9 oktober 2009, ECLI:NL:HR:2009:BI8583, NJ 2010/387 (Kleijnen/Reaal), r.o. 3.5.
HR 9 mei 2003, ECLI:NL:HR:2003:AF4606, NJ 2005/168 (Beliën/Prov. Noord-Brabant), r.o. 5.2.3; HR 19 december 2003, ECLI:NL:HR:2003:AL7053, NJ 2004/348 (S.J./Staat), r.o. 5.2.3.
HR 9 juli 2004, ECLI:NL:HR:2004:AO7721, NJ 2005/391 (Oudejaarsrellen); HR 18 maart 2005, ECLI:NL:HR:2005:AR5213, NJ 2006/606 (Wrongful life); HR 29 juni 2012, ECLI:NL:HR:2012:BW1519, NJ 2012/410 (Blauw oog); Rb. Noord-Nederland 1 maart 2017, ECLI:NL:RBNNE:2017:715 (Groningenveld/NAM). Zie ook Nguyen 2009, p. 1812-1818; K.J.O. Jansen 2017, p. 39-45.
Zie uitvoerig Giesen 2014.
HR 29 juni 2012, ECLI:NL:HR:2012:BW1519, NJ 2012/410 (Blauw oog), r.o. 3.5.
Rb. Noord-Nederland 1 maart 2017, ECLI:NL:RBNNE:2017:715 (Groningenveld/NAM), r.o. 4.4.6. De rechtbank verwijst naar HR 9 juli 2004, ECLI:NL:HR:2004:AO7721, NJ 2005/391 (Oudejaarsrellen). Zie ook Nguyen 2009.
Giesen 2014, p. 66.
Door het ‘open’ API-design maakte Facebook het mogelijk dat Kogan gegevens van miljoenen Facebookgebruikers kon verzamelen. Hierdoor kan Facebook worden verweten dat het geen ‘passende’ maatregelen heeft genomen om de gegevens van zijn gebruikers te beveiligen.1 Ook informeerde Facebook zijn gebruikers onvoldoende over de mogelijkheid dat gegevens van hen konden worden verzameld via hun Facebookvrienden.2 Omdat Facebook heeft nagelaten om te voldoen aan basale verplichtingen van het gegevensbeschermingsrecht, is de onrechtmatigheid van de ‘verwerking’3 evident. Hiermee is echter niet gezegd dat de Nederlandse Facebookgebruiker ook (im)materiële schade lijdt door de onrechtmatige verwerking van zijn persoonsgegevens, die voor vergoeding in aanmerking komt. Ik behandel dit in de volgende paragrafen.
De onrechtmatige verwerking door Facebook geschiedde vóór de inwerkingtreding (25 mei 2018) van de Algemene Verordening Gegevensbescherming (AVG). Evenwel bepaalde artikel 49 Wet bescherming persoonsgegevens (Wbp) voor inwerkingtreding van de AVG ook al dat schade, als gevolg van een inbreuk op de Wbp, moet worden vergoed. Voor immateriële schade had de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding (artikel 49 lid 2 Wbp). Het Hof van Justitie had de bevoegdheid om het schadebegrip van artikel 23 lid 1 van de Dataprotectierichtlijn4 uit te leggen, zoals het nu de bevoegdheid heeft om schade uit leggen in het kader van artikel 82 AVG.5 De AVG bepaalt dat schade ‘ruim’ moet worden uitgelegd ‘op een wijze die ten volle recht doet aan de doelstellingen van deze verordening.’6 Het Hof van Justitie heeft in een bredere context bepaald dat een schadevergoeding een ‘echt afschrikkende werking’ moet hebben en in ‘passende verhouding tot de geleden schade’ moet staan.7 Het Hof van Justitie heeft zich echter nooit uitgelaten over het schadebegrip bij een onrechtmatige verwerking van persoonsgegevens. Daarnaast heeft de Nederlandse rechter, in die zaken waarin een schadevergoedingsverzoek werd gedaan na een inbreuk op de Wbp, nooit richtlijnconforme interpretatie toegepast of prejudiciële vragen gesteld aan het Hof van Justitie over de omvang van de vergoedbare schade bij een onrechtmatige verwerking van persoonsgegevens. In deze bijdrage ga ik daarom uit van de uitgangspunten van het Nederlandse recht ten aanzien van de vergoedbare schade.
Een onrechtmatige verwerking van persoonsgegevens kan zowel vermogensschade als immateriële schade veroorzaken.8 Beide categorieën komen volgens het Nederlandse Burgerlijk Wetboek voor vergoeding in aanmerking (artikel 6:95 BW). Vermogensschade omvat zowel geleden verlies als gederfde winst (artikel 6:96 lid 1 BW). Ook redelijke kosten gemaakt ter voorkoming of beperking van de schade (lid 2 sub a), ter vaststelling van schade en aansprakelijkheid (lid 2 sub b) en ter verkrijging van voldoening buiten rechte (lid 2 sub c) zijn vergoedbare schadeposten, mits zij de ‘dubbele redelijkheidstoets’ doorstaan.9
Immateriële schade komt voor vergoeding in aanmerking als de benadeelde ‘in zijn persoon is aangetast’ (artikel 6:106 lid 1 sub b BW). De drempel voor de toekenning van een immateriële schadevergoeding is hoog.10 Het enkele psychische onbehagen, zoals frustratie of ergernis, is onvoldoende.11 Voor vergoeding van immateriële schade moet de benadeelde aantonen dat hij ‘geestelijk letsel’ ondervindt. Er moet sprake zijn van een in de psychiatrie erkend ziektebeeld12 dat is vastgesteld aan de hand van concrete en objectieve gegevens.13
Een benadeelde heeft ook recht op een immateriële schadevergoeding als er sprake is van een ernstige inbreuk op een fundamenteel recht,14 ook wel ‘integriteitsschade’ genoemd.15 De schadevergoeding geldt dan als genoegdoening voor de inbreuk op het fundamentele recht. Bij de beoordeling of de schending van een fundamenteel recht leidt tot een persoonsaantasting in de zin van artikel 6:106 lid 1 sub b BW zijn van belang ‘de bijzondere ernst van de normschending en de gevolgen daarvan voor het slachtoffer.’16 De gevolgen van die inbreuk moeten de benadeelde rechtstreeks treffen.17 De rechtspraak laat zien dat terughoudendheid geboden is bij toepassing van de leer van integriteitsschade. Zoals Giesen signaleert: “er moet dus wel echt iets aan de hand zijn.”18 Ten slotte komt de benadeelde een immateriële schadevergoeding toe als hij in zijn ‘eer of goede naam is geschaad’ (artikel 6:106 lid 1 sub b BW).