Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/4.3.2
4.3.2 Eigen verantwoordelijkheid betrokkene volgt uit begrensde verantwoordelijkheid verwerkingsverantwoordelijke
mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.F. Walree
- JCDI
JCDI:ADS267403:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
Article 29 Data Protection Working Party 2014a, p. 1-4. Zie bijvoorbeeld R. Gellert 2018, p. 279-288.
Vergelijk Kamerstukken II 1997-1998, 25 892, nr. 3 (MvT), p. 99.
Vergelijk Hof Arnhem-Leeuwarden 4 september 2018, ECLI:NL:GHARL:2018:7967, r.o. 5.8.
Zie overweging 118 in de versie van 12 maart 2014 (EP-PE_TC1-COD(2012)0011). Te raadplegen via: http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+TC+P7-TC1-COD-2012-0011+0+DOC+PDF+V0//EN.
Van Alsenoy 2016, p. 276, 283; Wolters 2017, p. 153.
Het Ministerie van Veiligheid en Justitie stelt bijvoorbeeld in de Nationale Cybersecuritystrategie: “Van burgers wordt een zekere mate van cyberhygiëne (het toepassen van basis-veiligheidsvereisten) en een eigen verantwoordelijkheid verwacht.” Die verantwoordelijkheid bestaat uit het “voorzichtig zijn met persoonlijke gegevens, het uitvoeren van updates, het gebruik van sterke wachtwoorden”.Zie Ministerie van Veiligheid en Justitie 2013, p. 8, 20.
Ten aanzien van cybersecurity spreekt de Europese Commissie over ‘gedeelde verantwoordelijkheden’ tussen overheden, de private sector, en individuen, en zegt de Commissie dat alle actoren zich moeten beschermen. Zie European Commissie, Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace, JOIN (2013) 1 final, p. 4.
Daarnaast sluit het feit dat ook een betrokkene soms (gedeeltelijk) zijn eigen schade moet dragen aan bij de oude gedachte dat het leerstuk van eigen schuld een compromis vormt tussen de twee in het buitencontractuele aansprakelijkheidsrecht tegengestelde uitgangspunten, namelijk dat ‘ieder zijn eigen schade draagt’ en dat ‘onrechtmatig toegebrachte schade moet worden vergoed’. Zie Rutten 1954, p. 543.
Kamerstukken II 2012-2013, 33 662, nr. 3 (MvT), p. 9.
Een eigen verantwoordelijkheid voor de betrokkene volgt indirect uit het feit dat de AVG een risk-based approach hanteert.1 Die benadering gaat ervan uit dat het niveau van de maatregelen die de verwerkingsverantwoordelijke moet treffen, wordt gebaseerd op de risico’s die gepaard gaan met de gegevensverwerking.2 Tegelijkertijd stelt die benadering grenzen aan de verantwoordelijkheid van de verwerkingsverantwoordelijke. Die begrensde verantwoordelijkheid komt bijvoorbeeld tot uitdrukking in de beveiligingsplicht ex art. 32 AVG. Dit artikel bepaalt dat de verwerkingsverantwoordelijke ‘passende technische en organisatorische maatregelen’ moet nemen om ‘een op het risico afgestemd beveiligingsniveau te waarborgen’. Art. 32 AVG vereist niet dat de technische en organisatorische maatregelen moeten beschermen tegen elke onrechtmatige verwerking. Een inbreuk op de beveiliging van de verwerkingsverantwoordelijke duidt dus niet noodzakelijkerwijs op nalatigheid ten aanzien van de beveiligingsplicht.3 In die zin wordt de verantwoordelijkheid van de verwerkingsverantwoordelijke begrensd. Die begrenzing is niet onlogisch, aangezien een verwerkingsverantwoordelijke geen waterdichte beveiliging kan garanderen die beschermt tegen elk denkbaar scenario.4
De begrensde verantwoordelijkheid van de verwerkingsverantwoordelijke volgt ook uit de disculpatieclausule in art. 82 lid 3 AVG. Deze clausule luidt: “Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.” De verwerkingsverantwoordelijke wordt bijvoorbeeld van aansprakelijkheid vrijgesteld als de schade het gevolg is van een fout van de betrokkene. Dit blijkt uit overweging 55 van de Dataprotectierichtlijn (de voorganger van de AVG). Hierin staat, ten aanzien van de disculpatieclausule in art. 23 lid 2 van de Dataprotectierichtlijn, dat de (verwerkings)verantwoordelijke niet aansprakelijk is als hij bewijst dat er sprake is ‘van een fout van de betrokkene of van overmacht’. In de finale tekst van de AVG ontbreekt de overweging over een fout van de betrokkene. Dit is opmerkelijk, omdat die overweging wel stond in een eerdere versie.5 Het is onduidelijk waarom deze passage is verdwenen. Er zijn geen aanwijzingen dat de disculpatieclausules van art. 23 lid 2 Dataprotectierichtlijn en art. 82 lid 3 AVG op verschillende manieren moeten worden uitgelegd.6
Het gegevensbeschermingsrecht beoogt geen oneindige verantwoordelijkheid in het leven te roepen voor de verwerkingsverantwoordelijke. Deze begrenzing van de verantwoordelijkheid leidt tot een eigen verantwoordelijkheid voor de betrokkene. Het gegevensbeschermingsrecht gaat er immers vanuit dat de betrokkene in sommige situaties zelf het risico draagt van schade door misbruik van zijn persoonsgegevens. Ook in beleidsstukken veronderstellen de Nederlandse7 en Europese8 overheid een eigen verantwoordelijkheid van de betrokkene. In het licht van die eigen verantwoordelijkheid conflicteert de mogelijkheid van een eigen schuld-verweer door de verwerkingsverantwoordelijke dus niet met de strekking en doelstellingen van het gegevensbeschermingsrecht.9 Dat een eigen schuld-verweer tot de mogelijkheden behoort, wordt zelfs expliciet bevestigd door staatssecretaris Teeven. Hij signaleert dat er mogelijk sprake kan zijn van eigen schuld als de betrokkene na een melding van een datalek geen gehoor geeft aan de door de (verwerkings)verantwoordelijke voorgestelde maatregelen.10