Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/2.3.2
2.3.2 Het ontbreken van juridisch relevante schade
mr. T.E. van der Linden, mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.E. van der Linden, mr. T.F. Walree
- JCDI
JCDI:ADS267392:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
Solove & Keats Citron 2018, p. 755. Zie ook FRA 2014, p. 28; Descheemaeker 2015, p. 278-306. Zie de noot van O.L. van Daalen bij Rb. Oost-Brabant 20 juli 2016, ECLI:NL:RBOBR:2016:3892, Mediaforum 2016, afl. 8, p. 240.
Solove & Keats Citron 2018, p. 745; Calo 2011, p. 1144-1147.
Rb. Noord-Nederland, 1 maart 2017, ECLI:NL:RBNNE:2017:715 (Groningenveld/NAM), r.o. 4.4.4. Zie in soortgelijke zin: Engelhard, Giesen & Van Schaick 2018, p. 1.
HR 21 februari 1997, ECLI:NL:HR:1997:ZC2286, NJ 1999/145 (Wrongful Birth), r.o. 3.14; Giesen 2014, p. 60.
HR 21 februari 1997, ECLI:NL:HR:1997:ZC2286, NJ 1999/145 (Wrongful Birth), r.o. 3.14.; HR 19 december 2003, ECLI:NL:HR:2003:AL7053, NJ 2004/348 (S.J./Staat), r.o. 5.2.3; HR 9 mei 2003, ECLI:NL:HR:2003:AF4606, NJ 2005/168 (Beliën/Prov. Noord-Brabant), r.o. 5.2.3. Zie ook Engelhard, Giesen & Van Schaick 2018, p. 1.
Giesen 2014, p. 44; HR 18 maart 2005, ECLI:NL:HR:2005:AR5213, NJ 2006/606 (Wrongful life); HR 9 juli 2004, ECLI:NL:HR:2004:AO7721, NJ 2005/391 (Oudejaarsrellen); HR 29 juni 2012, ECLI:NL:HR:2012:BW1519, NJ 2012/410 (Blauw oog), r.o. 3.5; Rb. Noord-Nederland 1 maart 2017, ECLI:NL:RBNNE:2017:715 (Groningenveld/NAM), r.o. 4.4.6.; Rb. Amsterdam 2 november 2010, ECLI:NL:RBAMS:2010:BO6456 (X/Amsterdam), r.o. 3.3. Zie ook K.J.O. Jansen 2017, p. 39-45; Hartlief 2008, p. 245; Nguyen 2009, p. 1812-1818.
Nguyen 2009, p. 1812-1818. Zie voor toekenning van integriteitsschade bij de onrechtmatige doorgifte van persoonsgegevens: Rb. Utrecht 12 oktober 2009, ECLI:NL:RBUTR:2009:BJ5273.
ENISA 2017, p. 91.
D. Victor, ‘The Ashley Madison Data Dump, Explained’, The New York Times 19 augustus 2015.
Solove & Keats Citron 2018, p. 755.
Denk bijvoorbeeld aan het ongeautoriseerde gebruik van andermans persoonsgegevens voor het afsluiten van een geldlening.
Narayanan & Shmatikov 2008; Ohm 2010, p. 1726-1727; Solove 2013, p. 1889; Purtova 2011, p. 46.
Kreimer 2016, p. 753-754.
Een datalek heeft in de meeste gevallen een immateriële impact.1 Zo kan de betrokkene gevoelens van schaamte en frustratie ervaren en, in een uiterst geval, zelfs reputatieschade ondervinden. Bovendien kan de onzekerheid over potentieel toekomstig misbruik aanleiding geven tot stress of angstgevoelens.2
De lat voor de toekenning van immateriële schadevergoeding ligt hoog.3 Op grond van artikel 6:106 lid 1 sub b BW komen ergernis of ongemak niet voor vergoeding in aanmerking.4 De betrokkene heeft recht op vergoeding van immateriële schade als hij aantoont dat de onrechtmatige verwerking heeft geleid tot ‘geestelijk letsel’, zoals een psychische aandoening.5 Geestelijk letsel als gevolg van een datalek lijkt echter over het algemeen afwezig of moeilijk aantoonbaar te zijn, tenzij er sprake is van een meer extreem geval. Zo een geval kan zich voordoen indien een betrokkene psychische klachten ontwikkelt als gevolg van de openbaarmaking van diens naaktfoto’s door een beveiligingslek bij een cloudprovider.
Daarnaast heeft de betrokkene recht op compensatie indien hij ‘integriteitsschade’ ondervindt.6 Hiervan is sprake bij een ernstige inbreuk, met rechtstreekse gevolgen voor de benadeelde, op een fundamenteel recht dat nauw samenhangt met de geestelijke of lichamelijke integriteit van de persoon.7 Omdat de gevolgen van een datalek in veel gevallen onbekend of speculatief zijn,8 zal integriteitsschade niet snel worden toegekend. Slechts in een uitzonderlijk geval zal dit anders zijn. Te denken valt aan het geval dat de betrokkene reputatieschade oploopt of zich zodanig in zijn persoonlijke levenssfeer voelt aangetast, omdat – door een gebrekkige beveiliging op een online trefpunt voor vreemdgangers – zijn accountgegevens zijn buitgemaakt door een hacker en vervolgens openbaar zijn gemaakt.9
Verder is het niet altijd duidelijk of het datalek materiële schade heeft veroorzaakt. 10 Materiële schade kan bijvoorbeeld ontstaan als persoonsgegevens worden misbruikt in het kader van identiteitsfraude.11 Problematisch is wel dat de vermogensrechtelijke gevolgen zich pas na geruime tijd (kunnen) manifesteren.12 Het potentiële gebruik van data is daarnaast eindeloos: in tegenstelling tot stoffelijke objecten kunnen data wereldwijd door een onbepaald aantal partijen worden (her)gebruikt.13 Het datalek zorgt dus voor een verhoogd risico op (toekomstige) schade bij de betrokkene. Dit verhoogde risico komt echter niet voor vergoeding in aanmerking.
In het geval dat vermogensschade wel intreedt, is dit bovendien voor de betrokkene niet altijd bekend. De betrokkene kan bijvoorbeeld niet zonder meer achterhalen of hij door de gelekte gegevens een lucratieve opdracht is misgelopen of dat hij vanwege zijn medisch verleden herhaaldelijk niet in aanmerking komt voor een sollicitatiegesprek.