Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/2.3.1
2.3.1 Het aantonen van normschending
mr. T.E. van der Linden, mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.E. van der Linden, mr. T.F. Walree
- JCDI
JCDI:ADS267434:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
Verscheidene auteurs leiden uit de verantwoordingsplicht (artikel 5 lid 2 AVG) af dat de bewijslast voor de onrechtmatigheid van de verwerking zou moeten liggen op de verwerkingsverantwoordelijke, in plaats van op de betrokkene. Zie bijvoorbeeld Van Alsenoy 2016, p. 282-283; De Hert e.a. 2013, p. 141; Zie ook Neun & Lubitzsch 2017, p. 2568. Deze vergaande interpretatie blijkt niet uit de tekst van de AVG. De tekst maakt niet duidelijk of de verantwoordingsplicht kan worden ingeroepen door de betrokkene. Wij gaan daarom niet verder in op de verantwoordingsplicht.
Van Alsenoy 2016, p. 275; De Hert e.a. 2013, p. 141.
Lynskey 2015, p. 211-213.
Kamerstukken II 2012–2013, 33 662, nr. 3 (MvT), p. 13. De Memorie van Toelichting bespreekt artikel 13 Wbp en niet artikel 32 AVG, maar de norm van ‘passende technische en organisatorische maatregelen’ is niet gewijzigd.
Sommige veranderingen aan een bestaande gegevensverwerking vereisen een nieuwe analyse van de verwerkingsrisico’s.
Bijvoorbeeld tijdens een ‘gegevensbeschermingseffectbeoordeling’ (artikel 35 AVG).
Van de verwerkingsverantwoordelijke wordt geen waterdichte beveiliging verwacht die beschermt tegen elke aanval of verlies van gegevens. Zie: Kamerstukken II 1997-1998, 25 892, nr. 3 (MvT), p. 99; Hof Arnhem-Leeuwarden 8 maart 2016, ECLI:NL:GHARL:2016:1697, r.o. 4.17. Zie ook Van Alsenoy 2016, p. 273, 277, 282; Studer & De Werra 2017, p. 513.
Kamerstukken II 1997-1998, 25 892, nr. 3 (MvT), p. 99.
Jacquemain 2017, p. 247.
Vergelijk Van Alsenoy 2016, p. 275.
Op grond van artikel 150 Rv is het aan de betrokkene om te stellen en bij betwisting te bewijzen dat de verwerkingsverantwoordelijke tekort is geschoten in het nemen van adequate beveiligingsmaatregelen die moeten beschermen tegen de onrechtmatige verwerking van persoonsgegevens. Een onrechtmatige verwerking betreft onder andere diefstal, verlies, aantasting, onbevoegde wijziging of onbevoegde inzage van persoonsgegevens.1 Daarvoor zal de betrokkene moeten aanvoeren dat de verwerkingsverantwoordelijke in strijd heeft gehandeld met de wettelijke plicht tot het nemen van ‘passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen’ (artikel 32 lid 1 AVG). Een voorbeeld van een technische maatregel is het gebruik van versleuteling. Een organisatorische maatregel kan bijvoorbeeld zijn het screenen van werknemers of het hanteren van een datalekprotocol.
De hoge mate van informatieasymmetrie tussen de betrokkene en de verwerkingsverantwoordelijke maakt het aantonen van de schending van de beveiligingsplicht lastig voor de betrokkene. Het gegevensverwerkingsproces vindt immers plaats achter gesloten deuren.2 De betrokkene is daarom afhankelijk van de informatie die hij van de verwerkingsverantwoordelijke moet ontvangen op grond van de informatieplicht (artikel 12-14 AVG), het inzagerecht (artikel 15 AVG) of de meldingsplicht bij een datalek (artikel 34 AVG). Dit betekent dat de betrokkene slechts in beperkte mate kennis kan nemen van eventuele onregelmatigheden in de gegevensverwerking en de gevolgen daarvan slechts beperkt kan inschatten.3
Bovendien biedt de open norm van artikel 32 lid 1 AVG weinig houvast. 4 Of de maatregelen ‘passend’ waren, toetst de rechter over het algemeen pas nadat het datalek heeft plaatsgevonden. Daarbij neemt de rechter de risico’s die voorafgaand aan of tijdens5 de verwerking door de verwerkingsverantwoordelijke zijn waargenomen, of hadden moeten zijn gesignaleerd, als uitgangspunt.6 De beveiligingsmaatregelen zijn passend als de verwerkingsverantwoordelijke adequaat beveiligd heeft tegen al hetgeen redelijkerwijs voorzienbaar is geweest.7 Een datalek duidt dus niet noodzakelijkerwijs op nalatigheid in de beveiliging.8
Voor de gemiddelde betrokkene is het lastig om te achterhalen of de maatregelen passend waren, aangezien hij niet dezelfde technische kennis en deskundigheid heeft als de verwerkingsverantwoordelijke.9 Hij kan daarom slechts beperkt inschatten wat de verwerkingsrisico’s waren en in hoeverre de beveiligingsmaatregelen daarop aansloten.10