Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/2.1
2.1 Inleiding
mr. T.E. van der Linden, mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.E. van der Linden, mr. T.F. Walree
- JCDI
JCDI:ADS267437:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
Een datalek is een inbreuk op de beveiliging die leidt tot een onrechtmatige verwerking van persoonsgegevens (diefstal, verlies, aantasting, onbevoegde wijziging of inzage), zie ook: artikel 4 sub 12 AVG. Wij beperken ons in dit onderzoek tot datalekken die een inbreuk maken op de vertrouwelijkheid van persoonsgegevens en gaan niet in op datalekken die een inbreuk maken op de integriteit of beschikbaarheid van persoonsgegevens.
Autoriteit Persoonsgegevens 2018.
ENISA 2017, p. 72.
T. Siegel Bernard e.a., ‘Equifax Says Cyberattack May Have Affected 143 Million in the U.S.’, nytimes.com 7 september 2017.
J. van Eerten, ‘Uber geeft datalek van 57 miljoen klanten toe’, NRC Handelsblad 22 november 2017.
Lynskey 2015, p. 196-228; Walree 2017, p. 921-930 (hoofdstuk 1).
De verwerkingsverantwoordelijke is ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (artikel 4 sub 7 AVG). In dit artikel gaan we alleen in op de mogelijke aansprakelijkheid van de verwerkingsverantwoordelijke en laten we de ‘verwerker’ buiten beschouwing. De verwerker is ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt’ (artikel 4 sub 8 AVG).
J. Leupen & J. Piersma, ‘Privacywaakhond mist tanden op moment suprême’, Het Financieele Dagblad 25 mei 2018.
FRA 2014, p. 50.
Van der Sype 2014, p. 315-324.
Europese Commissie, ‘Commission Staff Working Paper Impact Assessment’, SEC(2012) 72 final, p. 114.
Verbruggen e.a. 2016, p. 103; Larouche, Peits & Purtova 2016, p. 58; Van Boom 2007, p. 989-990; Schäfer 2000, p. 184; Tjong Tjin Tai e.a. 2015, p. 140, 155.
Te denken valt aan het schandaal rondom Cambridge Analytica, waarbij een onderzoeker de gegevens van miljoenen mensen onrechtmatig verzamelde en vervolgens verkocht aan Cambridge Analytica, zie W. van Noort & C. Paauwe, ‘Gegevens miljoenen Facebookgebruikers misbruikt voor campagne Trump’, NRC Handelsblad, 18 maart 2018. Bij massaschendingen van het gegevensbeschermingsrecht spelen mogelijk ook IPR-aspecten. Deze laten we in dit artikel buiten beschouwing.
In 2017 werden er meer dan 10.000 datalekken1 gemeld bij de Autoriteit Persoonsgegevens (hierna: ‘AP’), een toename van 70% ten opzichte van 2016.2 Ook buiten Nederland is een toename van datalekken waarneembaar.3 Spraakmakende voorbeelden zijn recente datalekken bij het Amerikaanse kredietbureau Equifax4 en transportbedrijf Uber,5 waardoor (financiële) persoonsgegevens van miljoenen klanten op straat kwamen te liggen. Datalekken kunnen leiden tot materiële en immateriële schade.6 De Algemene Verordening Gegevensbescherming (hierna: ‘AVG’), die op 25 mei 2018 in werking is getreden, verplicht de ‘verwerkingsverantwoordelijke’7 om ‘passende maatregelen’ te nemen teneinde persoonsgegevens te beveiligen tegen verlies, diefstal of onbevoegde kennisname door derden (artikel 32 AVG).
Handhaving van artikel 32 AVG geschiedt via twee routes: de publiekrechtelijke en de civielrechtelijke. Publiekrechtelijke handhaving laat vooralsnog te wensen over.8 Civielrechtelijke handhaving is noodzakelijk om dit handhavingstekort op te vangen (zie paragraaf 2). Uit onderzoek van de European Union Agency for Fundamental Rights blijkt tegelijkertijd dat de ‘betrokkene’9 zelden een individuele schadevergoedingsactie initieert tegen de verwerkingsverantwoordelijke.10 De obstakels voor een succesvolle individuele procedure zijn talrijk.11 Zo heeft de betrokkene een lastige processuele positie als het gaat om het bewijzen van de normschending, schade en causaal verband (zie paragraaf 3). Dit heeft tot gevolg dat de civiele handhaving van het gegevensbeschermingsrecht zowel op microniveau (verkrijging van compensatie in het individuele geval) als op macroniveau (het voorkomen van datalekken en schade) tekortschiet.
Aangezien een schending van het gegevensbeschermingsrecht in de regel een grote groep benadeelden raakt,12 rijst de vraag of deze obstakels door een bundeling van krachten kunnen worden weggenomen.13 In dit artikel beantwoorden wij de volgende onderzoeksvraag: ‘In hoeverre dragen de Nederlandse collectieve procedures bij aan de handhaving van de beveiligingsplicht van de verwerkingsverantwoordelijke (artikel 32 AVG)?’
In dit artikel onderzoeken we de meerwaarde van de collectieve procedure ten opzichte van de individuele civiele actie. Wij richten ons met name op de mogelijkheden voor de betrokkene(n) om compensatie te verkrijgen. Hierbij nemen we in beschouwing het huidige artikel 3:305a BW, de Wet collectieve afwikkeling massaschade (hierna: ‘WCAM’) en het wetsvoorstel aangaande de collectieve schadevergoedingsactie.14 Daarbij kijken we ook naar onderlinge verschillen. Ons onderzoek is beperkt tot datalekken die (mogelijk) het gevolg zijn van een schending van de beveiligingsplicht (artikel 32 AVG). Onze bevindingen kunnen ook van belang zijn voor andere schendingen van het gegevensbeschermingsrecht waarbij een grote groep betrokkenen wordt geraakt.15
Wij behandelen de problematiek als volgt. In paragraaf 2 gaan wij in op het publiekrechtelijke handhavingstekort en de noodzaak voor civielrechtelijke handhaving. In paragraaf 3 signaleren we vier obstakels die ervoor zorgen dat betrokkenen na een datalek problemen ondervinden om hun schade in een individuele procedure te verhalen. Paragraaf 4 beschrijft de aandacht op Europees niveau voor collectieve procedures voor handhaving van het gegevensbeschermingsrecht. In paragraaf 5-7 geven wij een overzicht van de Nederlandse collectieve procedures en onderzoeken wij in hoeverre het huidige artikel 3:305a BW, de WCAM en de voorgestelde collectieve schadevergoedingsactie een oplossing bieden voor de problemen bij de privaatrechtelijke handhaving na een datalek. Wij ronden af met een conclusie.