Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens
Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/2.8:2.8 Conclusie
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/2.8
2.8 Conclusie
Documentgegevens:
mr. T.E. van der Linden, mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.E. van der Linden, mr. T.F. Walree
- JCDI
JCDI:ADS267380:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Deze functie is alleen te gebruiken als je bent ingelogd.
Deze bijdrage onderzoekt of, in het geval van een datalek, de Nederlandse collectieve procedures (het huidige artikel 3:305a BW, de WCAM en de voorgestelde collectieve schadevergoedingsactie) bijdragen aan de handhaving van de beveiligingsplicht van de verwerkingsverantwoordelijke. Zoals blijkt uit paragraaf 2, is civielrechtelijke handhaving een essentieel mechanisme voor de handhaving van de AVG. Toch laat de individuele civielrechtelijke handhaving te wensen over. Er zijn verscheidene obstakels die ervoor zorgen dat betrokkenen niet eenvoudig hun schade kunnen verhalen. Het is voor de individuele betrokkene lastig om een normschending (paragraaf 3.1), concrete schade (paragraaf 3.2) of causaal verband (paragraaf 3.4) aan te tonen. Daarbij komt dat het in veel gevallen gaat om strooischade (paragraaf 3.3), waardoor de drempel voor het starten van een individuele procedure hoog is. Hierdoor ontbreekt een privaatrechtelijke prikkel voor de verwerkingsverantwoordelijke om beveiligingsmaatregelen te nemen. Wij stellen dat het privaatrechtelijke handhavingsgebrek bij datalekken slechts in beperkte mate wordt gedicht door de huidige en voorgestelde Nederlandse collectieve procedures.
De huidige collectieve actie van artikel 3:305a BW biedt enkele voordelen voor de betrokkene ten opzichte van een individuele procedure. De schaalvoordelen brengen met zich dat de informatieasymmetrie tussen partijen nivelleert en de drempel voor de gang naar de rechter wordt verlaagd. Daarbij kan de inzet van de huidige collectieve actie meer kennis verschaffen aangaande de inkleuring van de beveiligingsplicht. Niettemin is het huidige artikel 3:305a BW niet het antwoord op alle gesignaleerde obstakels in een individuele procedure. De problematiek rondom het vaststellen van schade en causaal verband blijft bestaan. Vanwege het huidige verbod van artikel 3:305a lid 3 BW, laatste volzin, zullen overwegingen omtrent schade en causaal verband slechts in een individuele procedure aan bod kunnen komen. De individuele betrokkene mist dan echter de schaalvoordelen die samengaan met collectivisering.
Op papier lijkt de WCAM een oplossing te zijn voor het handhavingsprobleem bij datalekken. De rechter toetst immers niet of er sprake is van een normschending, schade en causaal verband. Toch verwachten wij dat deze route niet veel gebruikt zal worden. Gelet op de sterke procedurele uitgangspositie van de verwerkingsverantwoordelijke in een individuele procedure of in een 3:305a-actie, zal de verwerkingsverantwoordelijke niet snel geneigd zijn om te gaan schikken.
De voorgestelde collectieve schadevergoedingsactie is een stap in de goede richting. Betrokkenen kunnen bij de collectieve schadevergoedingsactie gebruikmaken van schaalvoordelen om de normschending vast te stellen. Verder kunnen betrokkenen al in een collectieve procedure hun schade vergoed krijgen, waardoor zij niet extra kosten hoeven te maken om hun schadeomvang in een individuele procedure vast te stellen. Toch zullen problemen rondom het vaststellen van schade blijven bestaan. Kenmerkend voor een datalek is namelijk dat de gevolgen vaak onbekend blijven en dat het vaak een immateriële impact op de betrokkene heeft, terwijl de drempel voor het toekennen van immateriële schadevergoeding in een collectieve procedure onveranderd hoog blijft. Hierdoor blijft de handhaving van de beveiligingsplicht, ook via een collectieve procedure, problematisch.