Einde inhoudsopgave
Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (O&R nr. 126) 2021/1.1
1.1 Inleiding
mr. T.F. Walree, datum 01-02-2021
- Datum
01-02-2021
- Auteur
mr. T.F. Walree
- JCDI
JCDI:ADS267436:1
- Vakgebied(en)
Privacy / Verwerking persoonsgegevens
Voetnoten
Voetnoten
Wolters & Verbruggen 2016, p. 832; Rotenberg & Jacobs 2016, p. 307; Schneier 2015, p. 195; Varney 2016, p. 550-567; Van Eeten 2011, p. 149-150; Solove & Keats Citron 2018, p. 782.
W. van Noort, ‘Privacywaakhond CBP kampt met onderbezetting’, NRC 30 december 2015. In de begroting van het ministerie van Veiligheid & Justitie is een structurele verhoging van het huidige budget (7,7 miljoen euro) aangekondigd, oplopend tot 7 miljoen euro per jaar. Kamerstukken II 2017-2018, 34775 VI, nr. 2, p. 47. In een onafhankelijk onderzoeksrapport wordt echter een budget geadviseerd van 19,6 tot 29,4 miljoen euro per jaar. Zie Andersson Elffers Felix 2017, p. 32.
Moerel & Prins 2016, p. 114.
Vergelijk Rb. Midden-Nederland 7 juli 2017, ECLI:NL:RBMNE:2017:3421; Rb. Midden-Nederland 7 juli 2017, ECLI:NL:RBMNE:2017:3422; Rb. Gelderland (vzr.) 13 juli 2017, ECLI:NL:RBGEL:2017:3665.
Larouche, Peitz & Purtova 2016, p. 57.
FRA 2014, p. 50; Zwenne & Steenbruggen 2015, p. 17.
Het gebrek aan kennis is mogelijk te relateren aan de abstracte, open en vaag geformuleerde normen in het gegevensbeschermingsrecht. Zie Zwenne e.a. 2007, p. 45; Kamerstukken II 2012–2013, 33662, nr. 3 (MvT), p. 3, 13.
FRA 2014, p. 10, 30, 33, 37 en 50.
Zie Hildebrandt 2010, p. 273-282; Moerel 2014, p. 41; Hustinx 2014, p. 2.
Tjong Tjin Tai 2016a, p. 282.
Van Alsenoy 2016, p. 274-275.
Moerel & Prins 2016, p. 114; Solove & Keats Citron 2018, p. 785-786.
Er zijn heden ten dage maar weinig organisaties die geen persoonsgegevens verwerken. Een organisatie kwalificeert als ‘verwerkingsverantwoordelijke’ als zij het ‘doel en de middelen voor de verwerking van de persoonsgegevens vaststelt’.1 De verwerkingsverantwoordelijke is op grond van artikel 5 lid 2 Algemene Verordening Gegevensbescherming (hierna: AVG) verantwoordelijk voor de persoonsgegevens die hij verwerkt en heeft dienaangaande verschillende verplichtingen. De handhaving van deze verplichtingen is essentieel voor een effectieve gegevensbescherming.2 Zij kan op tweeërlei wijze geschieden: publiekrechtelijk en privaatrechtelijk. Publiekrechtelijke handhaving door de Autoriteit Persoonsgegevens is ontoereikend. De toezichthouder kampt met een structurele onderbezetting wegens budgettaire beperkingen,3 pakt individuele klachten van de betrokkene niet of nauwelijks op4 en treedt niet altijd voldoende handhavend op.5 Privaatrechtelijke aansprakelijkheid is daarom een noodzakelijk, complementair mechanisme voor een effectieve gegevensbescherming. Zij kent compensatie toe aan de betrokkene6 waardoor hij een sterker motief heeft om actief toezicht te houden.7 De privaatrechtelijke handhaving schiet echter ook tekort. Betrokkenen initiëren slechts zelden een civiele procedure.8 Zij hebben beperkte kennis van het gegevensbeschermingsrecht9 en de correctiemogelijkheden die hun ten dienste staan. Daarnaast duurt procederen lang en zijn de proceskosten hoog. Over de toepassing en werking van het gegevensbeschermingsrecht wordt dan ook weinig geprocedeerd, waardoor rechters geen expertise opdoen en rechtsontwikkeling achterwege blijft.10
Het fundamentele recht op gegevensbescherming streeft er primair naar om immateriële waarden te beschermen. Het recht beschermt onder meer de menselijke waardigheid en de morele autonomie, die de betrokkene de vrijheid geeft om zich in verschillende contexten verschillend te gedragen en om zijn eigen identiteit te construeren.11 De rechter kent echter zelden compensatie toe voor immateriële schade na een onrechtmatige verwerking van persoonsgegevens.12 Dit komt onder meer door het ontbreken van een helder begrip van (de vergoedbare) schade. Daarnaast is niet altijd vast te stellen of de onrechtmatige verwerking in causaal verband staat met de opgetreden (im)materiële schade.13 Een effectieve gegevensbescherming blijft zodoende illusoir.14
Met ingang van 25 mei 2018 wordt de Dataprotectierichtlijn, en de daaruit afgeleide Wet bescherming persoonsgegevens (hierna: Wbp), vervangen door de AVG. De AVG versterkt de verhaalsmogelijkheden van de betrokkene door de introductie van een verantwoordingsplicht (artikel 5 lid 2 AVG), de collectieve actie tot schadevergoeding (artikel 80 lid 1 AVG) en de mogelijkheid om ook de ‘verwerker’ aansprakelijk te stellen15 (artikel 82 lid 1 AVG). Ook de AVG biedt echter geen raamwerk voor het vaststellen van (im)materiële schade. Doordat de betrokkene nog steeds niet weet in hoeverre de door hem geleden schade voor vergoeding in aanmerking komt, blijft zijn verhaalspositie onzeker.
De onderzoeksvraag in dit artikel luidt daarom als volgt:
‘Welke vormen van schade kunnen ontstaan door onrechtmatige verwerkingen van persoonsgegevens? In hoeverre komen deze schadeposten voor vergoeding in aanmerking?’
Aan de hand van drie gegevensbeschermingsprincipes – beveiliging (paragraaf 2), doelbinding (paragraaf 3) en data-integriteit (paragraaf 4) – illustreer ik welke schade zoal kan ontstaan als deze principes worden geschonden en in hoeverre het huidige juridische raamwerk ruimte geeft voor vergoeding van die schade. Deze bijdrage gaat hierbij vooral in op de bestaande problemen bij het verkrijgen van schadevergoeding bij een onrechtmatige verwerking, en streeft niet naar een volledige uitwerking van deze problemen. In paragraaf 5 onderzoek ik in hoeverre de AVG andere voorwaarden stelt dan het huidige aansprakelijkheidsregime. In paragraaf 6 sluit ik af met een conclusie.