Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/I.5:I.5 Terminologie

Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/I.5

I.5 Terminologie

Documentgegevens:

mr. T.F. Walree, datum 01-02-2021

Datum: 01-02-2021
Auteur: mr. T.F. Walree
JCDI: JCDI:ADS267357:1
Vakgebied(en): Privacy / Verwerking persoonsgegevens

Ik hanteer de terminologie zoals die voorkomt in de AVG en ander relevante regelgeving. Ten behoeve van de leesbaarheid en begripsvorming bespreek ik de belangrijkste begrippen.

In dit proefschrift bespreek ik de mogelijkheid van schadevergoeding bij een onrechtmatige verwerking van persoonsgegevens. Dit onderstreepte begrip bevat drie bestanddelen; (i) persoonsgegevens; (ii) de verwerking daarvan en (iii) de onrechtmatigheid van de verwerking van persoonsgegevens:

i.: Persoonsgegevens zijn ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’)’.1 Het begrip persoonsgegevens is van essentieel belang. Als het gaat om persoonsgegevens zijn de bepalingen van de AVG van toepassing.2 Er is sprake van persoonsgegevens als deze een persoon identificeren of herleidbaar naar hem zijn. De gegevens hoeven dus niet direct naar een betrokkene te wijzen. Zij kunnen ook indirect, bijvoorbeeld door combinatie met andere gegevens, naar hem leiden. Ook de context van de gegevensverwerking en de hoedanigheid van de verwerkingsverantwoordelijke kunnen een doorslaggevende rol spelen bij het antwoord op de vraag of er sprake is van persoonsgegevens. Het eerste voorbeeld is een huisnummer of een postcode. Deze zijn als zodanig geen persoonsgegevens, maar in combinatie zijn zij dat wel.3 Het tweede voorbeeld is een ‘dynamisch’ IP-adres.4 De ‘gemiddelde’ internetgebruiker kan van een dynamisch IP-adres niet afleiden van wie dat afkomstig is.5 Voor een internetserviceprovider die dat IP-adres aan de betrokkene heeft toebedeeld,6 of een websitehouder die beschikt over ‘wettige middelen’ waarmee hij uiteindelijk de natuurlijke persoon kan identificeren,7 is dit wel een persoonsgegeven. Niet beslissend voor de kwalificatie persoonsgegevens is het feit dat er ‘extra informatie’ nodig is om die persoon te kunnen identificeren. Wel beslissend is het feit dat identificatie door het achterhalen van die extra informatie ‘bij de wet verboden’ is of ‘in de praktijk ondoenlijk is’, bijvoorbeeld omdat de identificatie ‘gelet op de vereiste tijd, kosten en mankracht een excessieve inspanning vergt’.8 In dit geval gaat het niet om persoonsgegevens. In de meeste gevallen betreft het echter wel persoonsgegevens. Het gebruik van de woorden ‘iedere informatie’ in het begrip persoonsgegevens9 geeft immers aan dat het de bedoeling van de Uniewetgever was om aan het begrip persoonsgegevens ‘een ruime betekenis’ te geven.10
ii.: De AVG is van toepassing op zowel ‘de geautomatiseerde verwerking van persoonsgegevens’ als op ‘de handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand.’11 Een verwerking van die persoonsgegevens betreft vrijwel elke handeling12 die men kan plegen ten aanzien van die persoonsgegevens, in elk geval de verzameling, raadpleging, verspreiding of de vernietiging van persoonsgegevens.13
iii.: De Uniewetgever stelt in de AVG allerlei waarborgen voor een rechtmatige en behoorlijke verwerking van persoonsgegevens. Met de onrechtmatige verwerking van persoonsgegevens bedoel ik elke mogelijke inbreuk op of schending van die bepalingen in de AVG. De onrechtmatigheid van de verwerking heeft dus niet uitsluitend betrekking op het schenden van artikel 6 AVG.14 Ik hanteer de (on)rechtmatige verwerking in bredere zin. In mijn visie heeft rechtmatigheid ook betrekking op het naleven van andere beginselen en verplichtingen die de bescherming van persoonsgegevens waarborgen, die bijvoorbeeld ‘transparantie’, ‘minimale gegevensverwerking’, ‘juistheid’, ‘opslagbeperking’, ‘integriteit en vertrouwelijkheid’ aangaan.15 In dit proefschrift zijn de termen ‘inbreuk op/schending van de AVG’ en ‘de onrechtmatige verwerking van persoonsgegevens’ onderling inwisselbaar.

In dit proefschrift staan twee partijen centraal: de ‘betrokkene’ en de ‘verwerkingsverantwoordelijke’.

■: De betrokkene is de identificeerbare of geïdentificeerde natuurlijke persoon van wie persoonsgegevens worden verwerkt. Deze persoon kan elke hoedanigheid bekleden. Hij kan bijvoorbeeld een consument, burger, werknemer of een gebruiker van een dienst zijn. Hij kan ook een bestuurder of werkgever zijn. De AVG beschermt primair de betrokkene, en dicteert ten behoeve van hem verplichtingen ten aanzien van het gebruik van zijn persoonsgegevens. De betrokkene heeft een scala aan rechten die hij kan inroepen, zoals het recht op inzage,16 het recht op vergetelheid17 en het recht op dataportabiliteit.18
■: Op een verwerkingsverantwoordelijke rusten de verplichtingen van de AVG.19 De verwerkingsverantwoordelijke is ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.’20 Hij verwerkt de persoonsgegevens van de betrokkene. Hij kan een werkgever zijn, een bestuursorgaan of de leverancier van een dienst of product. Van doorslaggevend belang voor het antwoord op de vraag of een partij verwerkingsverantwoordelijke is, is of hij (i) het doel van en (ii) de middelen voor de gegevensverwerking vaststelt. Het begrip verwerkingsverantwoordelijke moet volgens het Hof van Justitie ruim worden uitgelegd. Dit is om een hoog niveau van bescherming aan de betrokkene te waarborgen.21

Een partij die in dit proefschrift nauwelijks ter sprake komt, maar wel vermelding verdient in het kader van de verantwoording en afbakening, is de ‘verwerker’. De verwerker is de partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.22 Voorbeelden daarvan zijn aanbieders van bedrijfsapplicaties of een partij die de administratie verricht voor opdrachtgevers. Sommige verplichtingen van de AVG gelden ook voor de verwerker, zoals het nemen van ‘passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen’.23 Ten aanzien van de voor dit proefschrift relevante aansprakelijkheidsvereisten (schade, causaal verband, relativiteit) geldt voor de verwerker hetzelfde als voor de verwerkingsverantwoordelijke. In dit proefschrift stel ik ten aanzien van het recht op schadevergoeding de verhouding betrokkene-verwerkingsverantwoordelijke centraal, en laat ik de verwerker daarbij achterwege.

Toon alle voetnoten

Voetnoten

Voetnoten

Artikel 4 sub 1 AVG. Zie uitgebreid over de vier elementen van dit begrip Zuiderveen Borgesius 2016b, p. 57-59.

Artikel 2 lid 1 AVG.

HvJ EG 6 november 2003, C-101/01, ECLI:EU:C:2003:596 (Lindqvist), punt 24.

Dit is een IP-adres dat wijzigt bij elke nieuwe verbinding met het internet. HvJ EU 19 oktober 2016, C-582/14, ECLI:EU:C:2016:779, NJ 2017/392 (Breyer/Duitsland), punt 16, 36.

Een ‘statisch’ IP-adres daarentegen is eenvoudiger te herleiden naar een natuurlijk persoon. Vergelijk whois.domaintools.com.

HvJ EU 24 november 2011, C-70/10, ECLI:EU:C:2011:771 (Scarlet/SABAM), punt 51.

HvJ EU 19 oktober 2016, C-582/14, ECLI:EU:C:2016:779, NJ 2017/392 (Breyer/Duitsland), punt 49.

HvJ EU 19 oktober 2016, C-582/14, ECLI:EU:C:2016:779, (Breyer/Duitsland), punt 44-46. Zie ook Rb. Midden-Nederland 9 januari 2020, ECLI:NL:RBMNE:2020:24 (X/Spec Entertainment), r.o. 4.4; Rb. Noord-Holland 22 januari 2020, ECLI:NL:RBNHO:2020:364 (X/Gemeente Landsmeer), r.o. 6.4.

Artikel 2 sub a Dataprotectierichtlijn. In artikel 4 sub 1 AVG, dat het begrip ‘persoonsgegevens’ definieert en artikel 2 sub a Dataprotectierichtlijn vervangt, staat ‘alle informatie’.

10.

HvJ EU 20 december 2017, C-434/16, ECLI:EU:C:2017:994 (Nowak/DPC), punt 34. Zie ook HvJ EU 20 december 2017, C-434/16, ECLI:EU:C:2017:994 (Nowak/DPC), punt 62; Hof Den Haag 17 september 2019, ECLI:NL:GHDHA:2019:2398 (De Gereformeerde Kerk Dordrecht), r.o. 4.13. Vergelijk ook Kulk 2018, p. 207; Purtova 2018, p. 40-81; Koops 2019, p. 537-538; Brouwer e.a. 2020, p. 8; Orlić & Lucassen 2020, p. 19.

11.

Overweging 15 en artikel 2 lid 1 AVG.

12.

Voigt & Von dem Bussche 2017, p. 9. Het enkel (op)vragen van persoonsgegevens is geen verwerking. Kranenborg & Verhey 2018, hfdst. 5.3.1.

13.

Artikel 4 sub 2 AVG.

14.

In dit artikel zijn de grondslag voor de verwerking en het doelbindingsprincipe geregeld en heeft als titel ‘Rechtmatigheid van de verwerking’.

15.

Artikel 5 lid 1 AVG. Vergelijk ook artikel 23 lid 1 Dataprotectierichtlijn: ‘De Lid-Staten bepalen dat een ieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van enige andere daad die onverenigbaar is met de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen.’

Artikel 15 AVG.

Artikel 17 AVG.

Artikel 20 AVG.

Artikel 3 lid 1 AVG.

Artikel 4 sub 7 AVG.

HvJ EU 13 mei 2014, C-131/12, ECLI:EU:C:2014:317 (Google Spain/Costeja), punt 34; HvJ EU 5 juni 2018, C-210/16, ECLI:EU:C:2018:388 (Wirtschaftakademie), punt 27; HvJ EU 10 juli 2018, C-25/17, ECLI:EU:C:2018:551 (Jehovan Todistajat), punt 66; HvJ EU 29 juli 2019, C-40/17, ECLI:EU:C:2019:629 (Fashion ID/Verbraucherzentrale) punt 65-66. Zie ook Vaal & Laan 2019, p. 156-158.

22.

Artikel 4 sub 8 AVG.

23.

Artikel 3 lid 1 jo. artikel 32 AVG.