HvJ EU, 14-12-2023, nr. C-340/21

De onderhavige zaak heeft betrekking op interessante en deels nieuwe vragen over de uitlegging van verschillende bepalingen van de AVG.4.

Alle vijf de prejudiciële vragen draaien om dezelfde kwestie: de voorwaarden waaronder de immateriële schade kan worden vergoed aan een persoon wiens persoonsgegevens die in het bezit zijn van een overheidsinstantie, na een hackaanval zijn gepubliceerd op internet.

Gemakshalve zal ik bondige en afzonderlijke antwoorden voorstellen voor alle prejudiciële vragen in de verwijzingsbeslissing. Ik ben mij evenwel bewust van een zekere conceptuele overlapping, aangezien de eerste vier vragen alle betrekking hebben op de voorwaarden waaronder de verwerkingsverantwoordelijke verantwoordelijk kan worden gehouden voor de inbreuk op de bepalingen van de AVG5. en de vijfde vraag meer in het bijzonder gaat over het begrip ‘immateriële schade’ in het kader van schadevergoeding.6.

Ik merk op dat thans verschillende zaken over artikel 82 AVG bij het Hof aanhangig zijn en dat in een van die zaken de conclusie van de advocaat-generaal reeds beschikbaar is. Bij deze analyse zal ik hiermee rekening houden.7.

Alvorens op de gestelde vragen in te gaan, acht ik het zinvol vooraf enige opmerkingen over de beginselen en doelstellingen van de AVG te maken die nuttig zijn voor de beantwoording van de afzonderlijke prejudiciële vragen.

In artikel 24 AVG is in algemene bewoordingen bepaald dat de verwerkingsverantwoordelijke verplicht is om passende technische en organisatorische maatregelen te treffen om te waarborgen dat de verwerking van persoonsgegevens in overeenstemming met de verordening wordt uitgevoerd en dat hij dit moet kunnen aantonen, terwijl in artikel 32 diezelfde verplichting is opgenomen meer bepaald wat betreft de beveiliging van de verwerking. In de artikelen 24 en 32 is hetgeen in artikel 5, lid 2, reeds is bepaald verder uitgewerkt. In laatstgenoemde bepaling is als een van de ‘beginselen inzake verwerking van persoonsgegevens’ het ‘beginsel van de verantwoordingsplicht’ opgenomen. Dit beginsel is een logisch uitvloeisel van en vormt een aanvulling op het ‘beginsel van integriteit en vertrouwelijkheid’ van artikel 5, lid 1, onder f), en beide beginselen moeten worden gelezen in het licht van de risicobenadering waarop de AVG is gebaseerd.

Het beginsel van de verantwoordingsplicht is een van de pijlers van de AVG en een van de belangrijkste vernieuwingen ervan. Volgens dit beginsel is de verwerkingsverantwoordelijke ervoor verantwoordelijk dat hij proactieve stappen neemt om te waarborgen dat de AVG wordt nageleefd en dat hij kan aantonen dat hij dat heeft gedaan.8.

In de rechtsleer is er gesproken van een reële culturele omslag als gevolg van ‘de algehele omvang van de verantwoordingsplicht’.9. Het is niet zozeer de formele naleving van een wettelijke verplichting of van een individuele maatregel als wel de algehele bedrijfsstrategie om de verwerkingsverantwoordelijke vrij te stellen van aansprakelijkheid omdat hij voldoet aan de regelgeving inzake gegevensbescherming.

De technische en organisatorische maatregelen die op grond van het beginsel van de verantwoordingsplicht vereist zijn, moeten ‘passend’ zijn gelet op de in artikel 24 genoemde factoren: de aard, de omvang, de context en het doel van de verwerking, evenals de waarschijnlijkheid en ernst van de risico's voor de rechten en vrijheden van natuurlijke personen.

In artikel 24 is dus bepaald dat de maatregelen passend moeten zijn om te kunnen aantonen dat de verwerking in overeenstemming met de beginselen en bepalingen van de AVG wordt uitgevoerd.

In artikel 32 daarentegen is het beginsel van de verantwoordingsplicht gericht op de concrete maatregelen die moeten worden getroffen om ‘een op het risico afgestemd beveiligingsniveau’ te waarborgen. En daarbij zijn de stand van de techniek en de uitvoeringskosten toegevoegd aan de reeds genoemde factoren waarmee rekening moet worden gehouden bij het opstellen van de technische en organisatorische maatregelen.

Het begrip ‘passend’ vereist dat de oplossingen voor de beveiliging van informatiesystemen een bepaald niveau van aanvaardbaarheid hebben, zowel in technisch opzicht (relevantie van de maatregelen) als in kwalitatief opzicht (doeltreffendheid van de bescherming). Een verwerking moet, om te waarborgen dat de beginselen van noodzakelijkheid, relevantie en evenredigheid worden nageleefd, niet alleen geschikt zijn, maar ook beantwoorden aan de beoogde doelen. En volgens deze logica is een beslissende rol weggelegd voor het beginsel van minimale gegevensverwerking op grond waarvan in alle fasen van gegevensverwerking voortdurend moet worden gestreefd naar zo min mogelijk beveiligingsrisico's.10.

De AVG is geheel gericht op het voorkomen van risico's en op de verantwoordingsplicht van de verwerkingsverantwoordelijke en heeft derhalve een teleologische benadering die het best mogelijke resultaat qua doeltreffendheid nastreeft en dus verre blijft van een formalistische logica waarbij het louter gaat om de verplichting om te voldoen aan specifieke procedures teneinde niet aansprakelijk te worden gesteld.11.

In artikel 24 is geen uitputtende opsomming van ‘passende’ maatregelen opgenomen: een beoordeling van geval tot geval is noodzakelijk. Dit strookt met de filosofie van de AVG waaruit blijkt dat de te volgen procedures moeten worden gekozen op basis van een zorgvuldige beoordeling van de situatie in kwestie zodat zij zo doeltreffend mogelijk zijn.12.

Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of de artikelen 24 en 32 AVG aldus moeten worden uitgelegd dat een ‘inbreuk in verband met persoonsgegevens’, zoals gedefinieerd in artikel 4, punt 12, op zichzelf volstaat om te concluderen dat de door de verwerkingsverantwoordelijke genomen technische en organisatorische maatregelen niet ‘passend’ waren om de bescherming van de gegevens te garanderen.

Uit de tekst van de artikelen 24 en 32 AVG blijkt dat de verwerkingsverantwoordelijke bij zijn keuze voor de technische en organisatorische maatregelen die hij moet treffen om te waarborgen dat de AVG wordt nageleefd, rekening moet houden met een reeks beoordelingsfactoren die in die artikelen zijn genoemd en hierboven zijn aangehaald.

De verwerkingsverantwoordelijke heeft een zekere vrijheid om te bepalen welke maatregelen in het licht van zijn specifieke situatie het meest geschikt zijn, maar die keuze kan niettemin worden onderworpen aan een rechterlijke toetsing of de gehanteerde maatregelen voldoen aan alle verplichtingen en doelstellingen van de AVG.

In artikel 32, lid 1, wordt in het bijzonder ten aanzien van de beveiligingsmaatregelen aan de verwerkingsverantwoordelijke de verplichting opgelegd om rekening te houden met de ‘stand van de techniek’. Dit impliceert dat het technologische niveau van maatregelen die moeten worden getroffen, beperkt is tot hetgeen redelijkerwijs haalbaar is op het moment dat zij worden getroffen: de geschiktheid van de maatregel om risico's te voorkomen moet dan ook in verhouding staan tot de oplossingen die mogelijk zijn op basis van de huidige stand van de wetenschap, de techniek, de technologie en het onderzoek, mede gelet op, zoals hierna zal worden uiteengezet, de uitvoeringskosten.

Maatregelen kunnen op een bepaald moment ‘passend’ zijn en desondanks worden omzeild door cybercriminelen die zeer geavanceerde middelen gebruiken waarmee ook inbreuk kan worden gemaakt op beveiligingsmaatregelen die in overeenstemming zijn met de stand van de techniek.

Het lijkt daarentegen niet logisch om aan te nemen dat de Uniewetgever de bedoeling had om de verwerkingsverantwoordelijke te verplichten om iedere inbreuk in verband met persoonsgegevens te voorkomen, los van de zorgvuldigheid bij het opstellen van beveiligingsmaatregelen.13.

Zoals hierboven uiteengezet, is in de optiek van de AVG geen ruimte voor automatismen en heeft de verwerkingsverantwoordelijke een grote verantwoordingsplicht die er echter niet toe kan leiden dat het voor hem onmogelijk is om aan te tonen dat hij zijn verplichtingen naar behoren is nagekomen.

Voorts is in artikel 32, lid 1, bepaald dat rekening moet worden gehouden met, zoals gezegd, de ‘uitvoeringskosten’ van de betreffende technische en organisatorische maatregelen. Hieruit volgt dat bij de beoordeling of die maatregelen passend zijn, een afweging moet worden gemaakt tussen de belangen van de betrokkene, die doorgaans gericht zijn op een hoger niveau van bescherming, en de economische belangen en technologische capaciteiten van de verwerkingsverantwoordelijke, die soms gericht zijn op een lager niveau van bescherming. Bij die afweging moet worden voldaan aan de vereisten van het algemene evenredigheidsbeginsel.

Hieraan moet nog worden toegevoegd dat de wetgever, volgens een systematische uitlegging, voorziet in de mogelijkheid dat zich inbreuken op de systemen voordoen; artikel 32, lid 1, onder c), noemt als een van de voorgestelde maatregelen het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen. Indien wordt aangenomen dat een inbreuk op de systemen op zichzelf al het bewijs vormt dat de maatregelen niet passend zijn, zou deze maatregel als een van de beveiligingsmaatregelen die een op het risico afgestemd beveiligingsniveau waarborgen, zinloos zijn.

Met de tweede vraag wenst de verwijzende rechter in wezen te vernemen waarop de rechterlijke toetsing betrekking moet hebben en welke omvang die toetsing moet hebben bij het onderzoek van de vraag of de door de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen passend zijn in de zin van artikel 32 AVG.

Gelet op het feit dat zich in de praktijk verschillende situaties kunnen voordoen, zijn in de AVG, zoals gezegd, geen bindende bepalingen opgenomen voor de vaststelling van de technische en organisatorische maatregelen die de verwerkingsverantwoordelijke moet treffen om aan de vereisten van de AVG te voldoen. De vraag of de getroffen maatregelen passend zijn, moet derhalve in de praktijk worden beoordeeld door te toetsen of de maatregelen in kwestie geschikt zijn om het risico redelijkerwijs te voorkomen en om de negatieve gevolgen van de inbreuk tot een minimum te beperken.

Hoewel de keuze en de uitvoering van deze maatregelen aan de subjectieve beoordeling van de verwerkingsverantwoordelijke zijn overgelaten, aangezien de in de AVG genoemde maatregelen slechts voorbeelden zijn, kan het onderzoek door de rechter zich niet beperken tot de toetsing of de verwerkingsverantwoordelijke de verplichtingen van de artikelen 24 en 32 heeft nageleefd, dat wil zeggen of hij (formeel) bepaalde technische en organisatorische maatregelen heeft getroffen. Die rechter moet de inhoud van deze maatregelen, de wijze waarop zij zijn toegepast en de gevolgen ervan in de praktijk concreet analyseren op basis van het bewijs waarover hij beschikt en de omstandigheden van het specifieke geval. Zoals de Portugese regering terecht heeft opgemerkt, ‘lijkt de wijze waarop hij heeft voldaan aan zijn verplichtingen niet los te kunnen worden gezien van de inhoud van de getroffen maatregelen om aan te tonen — rekening houdend met de specifieke gegevensverwerking (de aard, de omvang, de context en de doeleinden), met de stand van de beschikbare technologieën en de kosten ervan, alsook met de risico's voor de rechten en vrijheden van burgers — dat de verwerkingsverantwoordelijke alle maatregelen heeft getroffen die noodzakelijk en passend zijn om een op het onderliggende risico afgestemd beveiligingsniveau te waarborgen’.14.

Bij de rechterlijke toetsing moet derhalve rekening worden gehouden met alle factoren die zijn genoemd in de artikelen 24 en 32 waarin, zoals gezegd, diverse criteria zijn opgesomd om te beoordelen of maatregelen passend zijn en waarin voorbeelden van maatregelen zijn gegeven die als passend kunnen worden beschouwd. Zoals is benadrukt door de Commissie en door alle lidstaten die opmerkingen bij de tweede vraag hebben ingediend, is voorts in artikel 32, leden 1 tot en met 3, de nadruk gelegd op de noodzaak om ‘een op het risico afgestemd beveiligingsniveau te waarborgen’ en zijn nog andere daartoe relevante factoren genoemd, zoals de vraag of de verwerkingsverantwoordelijke een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme als bedoeld in respectievelijk artikel 40 en artikel 42 AVG heeft vastgesteld.

Een gedragscode of een certificeringsmechanisme kan een nuttig beoordelingselement zijn met het oog op de vervulling van de bewijslast en de rechterlijke toetsing in verband daarmee. Hierbij moet echter worden opgemerkt dat het niet volstaat dat de verwerkingsverantwoordelijke zich heeft aangesloten bij een gedragscode, maar dat hij moet kunnen bewijzen dat hij de betreffende maatregelen concreet heeft getroffen overeenkomstig het beginsel van de verantwoordingsplicht. Certificering daarentegen vormt ‘op zichzelf het bewijs dat de verwerking wordt uitgevoerd in overeenstemming met de verordening hoewel dit in de praktijk kan worden weerlegd’.15.

Tot slot moet worden opgemerkt dat deze maatregelen op grond van artikel 24, lid 1, moeten worden geëvalueerd en indien nodig geactualiseerd. En ook dit zal door de nationale rechter worden beoordeeld. Krachtens artikel 32, lid 1, AVG16. rust op de verwerkingsverantwoordelijke immers de verplichting tot voortdurende toetsing en monitoring, zowel voor als na de verwerkingsactiviteiten, maar ook de verplichting tot het onderhouden en eventueel actualiseren van de getroffen maatregelen teneinde niet alleen inbreuken te voorkomen, maar ook eventuele gevolgen ervan te beperken.

Mijns inziens moet echter de mogelijkheid worden uitgesloten dat in het te geven arrest een opsomming van essentiële elementen wordt gegeven, zoals de door de Portugese regering voorgestelde opsomming.17. Dit zou ruimte laten voor tegenstrijdige uitleggingen aangezien de opsomming uiteraard nooit volledig kan zijn.

Met het eerste onderdeel van zijn derde vraag wenst de verwijzende rechter in wezen van het Hof te vernemen of, gelet op het beginsel van de verantwoordingsplicht van artikel 5, lid 2, en van artikel 24 juncto overweging 7418.AVG, in het kader van een vordering tot schadevergoeding in de zin van artikel 82, de bewijslast voor het feit dat de technische en organisatorische maatregelen passend zijn in de zin van artikel 32, op de verwerkingsverantwoordelijke rust.

Op basis van de bovenstaande argumenten kan ik deze vraag bevestigend en bondig beantwoorden.

De bewoordingen, de context en de doelstellingen van de AVG wijzen er immers ondubbelzinnig op dat de bewijslast berust bij de verwerkingsverantwoordelijke.

Uit de bewoordingen van verschillende bepalingen van de AVG blijkt dat de verwerkingsverantwoordelijke moet ‘kunnen aantonen’ dat de verplichtingen uit de AVG zijn nageleefd en in het bijzonder dat hij daartoe passende maatregelen heeft getroffen, zoals is vermeld in overweging 74, in artikel 5, lid 2, en in artikel 24, lid 1. Zoals de Portugese regering heeft benadrukt, blijkt uit bovengenoemde overweging 74 dat de bewijslast die dus bij de verwerkingsverantwoordelijke is gelegd, zich ook moet uitstrekken tot de ‘doeltreffendheid van de maatregelen’ in kwestie.

Mijns inziens vindt deze letterlijke uitlegging steun in de volgende praktische en teleologische overwegingen.

Wat betreft de verdeling van de bewijslast in het kader van een vordering tot schadevergoeding op grond van artikel 82, moet de betrokkene die de vordering heeft ingesteld tegen de verwerkingsverantwoordelijke ten eerste aantonen dat sprake is van een inbreuk op de verordening, ten tweede dat hij schade heeft geleden en ten derde dat er een causaal verband tussen beide voornoemde elementen bestaat, zoals in alle schriftelijke opmerkingen over de vijfde prejudiciële vraag naar voren is gebracht. Het gaat om drie cumulatieve voorwaarden, zoals tevens blijkt uit de vaste rechtspraak van het Hof en van het Gerecht in het kader van de niet-contractuele aansprakelijkheid van de Unie.19.

Mijns inziens kan de verplichting van de verzoeker om aan te tonen dat er sprake is van een inbreuk op de AVG niet zover gaan dat van hem wordt geëist dat hij aantoont in welk opzicht de door de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen niet passend zijn in de zin van de artikelen 24 en 32.

Zoals de Commissie heeft benadrukt, is het in de praktijk vaak bijna onmogelijk om dat bewijs te leveren, aangezien betrokkenen doorgaans over onvoldoende kennis beschikken om die maatregelen te kunnen analyseren en geen toegang hebben tot alle gegevens die in het bezit zijn van de betrokken verwerkingsverantwoordelijke, met name wat betreft de methoden die zijn gebruikt om de beveiliging van die verwerking te waarborgen. Voorts zou de verwerkingsverantwoordelijke daarbij kunnen aanvoeren dat zijn weigering om deze feiten aan de betrokkenen bekend te maken gerechtvaardigd is omdat hij zijn interne zaken of gegevens die onder een beroepsgeheim vallen niet openbaar wil maken, onder meer juist om veiligheidsredenen.

Indien wordt aangenomen dat de bewijslast berust op de betrokkene, zou dit derhalve in de praktijk tot gevolg hebben dat het recht op beroep van artikel 82, lid 1, grotendeels zijn inhoud zou verliezen. Naar mijn mening is dit niet in overeenstemming met de bedoelingen van de Uniewetgever die met de vaststelling van de AVG heeft getracht de rechten van betrokkenen en de verplichtingen van verwerkingsverantwoordelijken te versterken ten opzichte van richtlijn 95/46 die door de AVG is vervangen. Derhalve is het logischer en is het juridisch te verdedigen dat de verwerkingsverantwoordelijke, in het kader van zijn verweer tegen een vordering tot schadevergoeding, moet aantonen dat hij de verplichtingen van de artikelen 24 en 32 AVG heeft nageleefd door daadwerkelijk passende maatregelen te treffen.

Met het tweede onderdeel van zijn derde vraag wenst de verwijzende rechter in wezen van het Hof te vernemen of een gerechtelijk deskundigenonderzoek als een noodzakelijk en toereikend bewijsmiddel kan worden beschouwd om vast te stellen dat de door de verwerkingsverantwoordelijke getroffen technische en organisatorische maatregelen passend waren, wanneer de ongeoorloofde toegang tot en de ongeoorloofde verstrekking van persoonsgegevens het gevolg zijn van een hackaanval.

Ik ben van mening dat, zoals ook de Bulgaarse en de Italiaanse regering, Ierland en de Commissie (in wezen) hebben benadrukt, het antwoord op deze vragen gebaseerd moet zijn op de vaste rechtspraak van het Hof volgens welke het op basis van het beginsel van de procedurele autonomie, bij gebreke van Unievoorschriften ter zake, een zaak van de interne rechtsorde van elke lidstaat is om de procesregels te geven voor rechtsvorderingen ter bescherming van de rechten van justitiabelen, op voorwaarde evenwel dat die regels in situaties waarop het Unierecht van toepassing is, niet ongunstiger zijn dan die welke gelden voor soortgelijke situaties die onder het nationale recht vallen (gelijkwaardigheidsbeginsel) en dat zij de uitoefening van de door het Unierecht verleende rechten in de praktijk niet onmogelijk of uiterst moeilijk maken (doeltreffendheidsbeginsel).

In casu merk ik op dat de AVG geen enkele bepaling bevat voor de vaststelling van toelaatbare bewijsmethoden en de bewijskracht ervan, met name wat betreft maatregelen van instructie (zoals een deskundigenonderzoek) waartoe nationale rechters opdracht kunnen of moeten geven om te beoordelen of een verwerkingsverantwoordelijke passende maatregelen heeft getroffen in de zin van de AVG. Derhalve is het mijns inziens, bij gebreke van geharmoniseerde regels, een zaak van de interne rechtsorde van elke lidstaat om die procesregels vast te stellen, met eerbiediging van de beginselen van gelijkwaardigheid en doeltreffendheid.

Het hierboven genoemde ‘doeltreffendheidsbeginsel’ dat impliceert dat een onafhankelijke rechter een onpartijdige toetsing moet verrichten, zou kunnen worden ondermijnd indien het bijvoeglijk naamwoord ‘toereikend’ moet worden opgevat in de betekenis die de verwijzende rechter daar volgens mij aan toekent, namelijk dat op basis van een deskundigenonderzoek automatisch kan worden geconcludeerd dat de door de verwerkingsverantwoordelijke getroffen maatregelen passend zijn.20.

Met de vierde vraag wenst de verwijzende rechter in wezen te vernemen of artikel 82, lid 3, AVG aldus moet worden uitgelegd dat een inbreuk op de AVG (die, zoals in casu, bestaat in de ‘ongeoorloofde verstrekking’ van of de ‘ongeoorloofde toegang’ tot persoonsgegevens in de zin van artikel 4, punt 12) door personen die geen medewerkers van de verwerkingsverantwoordelijke zijn en niet onder zijn toezicht staan, een feit is waarvoor de verwerkingsverantwoordelijke op geen enkele wijze verantwoordelijk is en dat bijgevolg rechtvaardigt dat hij wordt vrijgesteld van aansprakelijkheid in de zin van artikel 82, lid 3.

Het antwoord op deze vraag volgt rechtstreeks uit hetgeen hierboven is uiteengezet met betrekking tot de algemene filosofie van de AVG: er is geen sprake van automatismen en de verwerkingsverantwoordelijke kan dan ook niet worden vrijgesteld van aansprakelijkheid op grond van het enkele feit dat de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens heeft plaatsgevonden door toedoen van personen die niet onder zijn toezicht staan.

Allereerst moet worden opgemerkt dat noch uit de tekst van artikel 82, lid 3, noch uit die van overweging 146 volgt dat de verwerkingsverantwoordelijke wordt vrijgesteld van aansprakelijkheid indien aan bepaalde voorwaarden is voldaan, tenzij hij bewijst dat ‘hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit’. Uit die bewoordingen blijkt ten eerste dat de verwerkingsverantwoordelijke slechts kan worden vrijgesteld van aansprakelijkheid indien hij bewijst dat hij niet verantwoordelijk is voor het betreffende schadeveroorzakende feit en ten tweede, dat de in die bepaling verlangde bewijsstandaard hoog is gelet op het gebruik van de uitdrukking ‘op geen enkele wijze’, zoals de Commissie heeft benadrukt.21.

De aansprakelijkheidsregeling van artikel 82 en meer in het algemeen van de gehele AVG heeft aanleiding gegeven tot een breed debat in de rechtsleer van verschillende lidstaten. Die regeling bevat namelijk traditionele elementen die kenmerkend zijn voor niet-contractuele aansprakelijkheid, maar ook elementen die volgens de structuur van de bepalingen in de buurt liggen van contractuele aansprakelijkheid of zelfs van een vorm van objectieve aansprakelijkheid vanwege het intrinsiek risicovolle karakter van gegevensverwerking. Dit is niet de plek om dieper in te gaan op dat debat, maar naar mijn mening lijkt in artikel 82 geen sprake te zijn van een regeling van objectieve aansprakelijkheid.22.

Schade als gevolg van een inbreuk in verband met persoonsgegevens kan ontstaan indien — niet-opzettelijk, maar uit nalatigheid — geen technische en organisatorische maatregelen zijn getroffen die redelijk en in elk geval passend zijn om die schade te voorkomen, gelet op de risico's voor de rechten en vrijheden van de personen wier gegevens verwerkt worden. Deze risico's leiden tot een striktere verplichting om schade te voorkomen en te vermijden en tot een grotere zorgvuldigheidsplicht voor de verwerkingsverantwoordelijke. Op basis van de gedragsverplichtingen voor verwerkingsverantwoordelijken en de bepaling inzake bevrijdend bewijs ten laste van de schadeveroorzaker, in onderlinge samenhang gelezen, kan derhalve worden geconcludeerd dat wordt erkend dat aansprakelijkheid in het geval van onrechtmatige verwerking van persoonsgegevens in de zin van artikel 82 AVG het karakter heeft van verruimde aansprakelijkheid voor veronderstelde schuld.23.

Hieruit volgt de mogelijkheid voor de verwerkingsverantwoordelijke om bevrijdend bewijs te leveren (wat niet mogelijk is bij objectieve aansprakelijkheid). Met betrekking tot de verdeling van de bewijslast is in artikel 82, lid 3, AVG een regeling ten gunste van de benadeelde uiteengezet, waarbij is bepaald dat voor de schuld van de schadeveroorzaker een omgekeerde bewijslast geldt24., geheel in lijn met de hiervoor genoemde omgekeerde bewijslast wat betreft het feit dat de getroffen maatregelen passend zijn. De wetgever toont op die manier aan dat hij zich bewust is van de gevaren wanneer een andere verdeling van de bewijslast zou worden toegestaan en dat, wanneer hij de bewijslast voor de schuld van de schadeveroorzaker bij de natuurlijke persoon/benadeelde zou leggen, dit uiteindelijk een buitensporige belasting voor diens positie zou betekenen en dus in feite de doeltreffendheid van het recht op schadevergoeding zou aantasten in het kader van regels met betrekking tot het gebruik van nieuwe technologieën. Het kan voor de betrokkene bijzonder bezwaarlijk blijken te zijn om de wijze waarop de schade is ontstaan te reconstrueren en daarvan kennis te hebben en bijgevolg om de schuld van de verwerkingsverantwoordelijke aan te tonen. De verwerkingsverantwoordelijke daarentegen kan beter het bevrijdende bewijs leveren om aan te tonen dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.25.

In lijn met het hiervoor genoemde beginsel van de verantwoordingsplicht moet de verwerkingsverantwoordelijke ook aantonen dat hij al het mogelijke heeft ondernomen om de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.

Terugkomend op de vraag van de verwijzende rechter of de verwerkingsverantwoordelijke, op basis van de voorgaande overwegingen over de aard van de aansprakelijkheid van de verwerkingsverantwoordelijke, zoals gezegd, kan worden vrijgesteld van aansprakelijkheid wanneer hij bewijst dat de inbreuk is veroorzaakt door een feit waarvoor hij op geen enkele wijze verantwoordelijk is, kan de enkele omstandigheid dat dit feit is veroorzaakt door een persoon die niet onder zijn toezicht staat, niet als zodanig worden aangemerkt.

Wanneer een verwerkingsverantwoordelijke slachtoffer is van een aanval door cybercriminelen, kan het schadeveroorzakende feit niet aan de verwerkingsverantwoordelijke worden toegerekend, maar is het niet uitgesloten dat aan de betreffende aanval nalatigheid van de verwerkingsverantwoordelijke ten grondslag heeft gelegen en dat de aanval is vergemakkelijkt doordat de beveiligingsmaatregelen die laatstgenoemde voor de persoonsgegevens had moeten treffen, ontbraken of niet passend waren. Het gaat om feitelijke beoordelingen die per geval verschillen en die aan de betrokken nationale rechter worden overgelaten in het licht van het voor hem aangevoerde bewijs.

Voorts is het algemeen bekend dat externe aanvallen op systemen van publieke of private entiteiten die in het bezit zijn van grote hoeveelheden persoonsgegevens, veel vaker voorkomen dan interne aanvallen. Derhalve moet de verwerkingsverantwoordelijke beschikken over passende maatregelen om zich met name tegen externe aanvallen te wapenen.

In de laatste plaats moet vanuit teleologisch oogpunt worden opgemerkt dat de AVG een hoog niveau van bescherming nastreeft. In dit verband heeft het Hof reeds onderstreept dat uit artikel 1, lid 2, AVG, gelezen in samenhang met de overwegingen 10, 11 en 13 ervan, blijkt dat deze verordening de instellingen, organen en instanties van de Unie en de bevoegde autoriteiten van de lidstaten de verplichting oplegt om een hoog niveau van bescherming van de door artikel 16 VWEU en artikel 8 van het Handvest gewaarborgde rechten ten aanzien van de bescherming van persoonsgegevens te waarborgen.26.

Mocht het Hof kiezen voor de uitlegging waarbij de verwerkingsverantwoordelijke, ingeval een derde inbreuk maakt op de AVG, automatisch moet worden vrijgesteld van aansprakelijkheid in de zin van artikel 82, lid 3, dan zou een dergelijke uitlegging onverenigbaar zijn met het door deze verordening nagestreefde doel van bescherming gelet op het feit dat de rechten van de betrokkenen zouden worden verzwakt, aangezien die aansprakelijkheid dan beperkt zou zijn tot de gevallen waarin de inbreuk toe te rekenen is aan personen die onder het gezag en/of het toezicht van deze verwerkingsverantwoordelijke staan.

Met de vijfde vraag verzoekt de nationale rechter het Hof in wezen om een uitlegging van het begrip ‘immateriële schade’ in de zin van artikel 82 AVG. Hij wenst in het bijzonder te vernemen of de bepalingen van artikel 82, leden 1 en 2, AVG junctis de overwegingen 85 en 146 ervan27., aldus moeten worden uitgelegd dat bij een inbreuk op deze verordening in de vorm van de ongeoorloofde toegang tot persoonsgegevens en van de ongeoorloofde verstrekking van die gegevens door cybercriminelen, het feit dat de betrokkene vreest voor mogelijk misbruik van zijn persoonsgegevens in de toekomst op zich (immateriële) schade kan opleveren waarvoor recht op schadevergoeding bestaat.

Noch artikel 82 noch de overwegingen met betrekking tot schadevergoeding geven een duidelijk antwoord op de vraag, maar voor de analyse kunnen daaruit wel enkele nuttige elementen worden gehaald: immateriële (of morele) schade kan naast materiële schade (of vermogensschade) voor vergoeding in aanmerking komen; een inbreuk op de verordening wordt niet automatisch gevolgd door schade die daardoor wordt ‘veroorzaakt’ of, meer bepaald, een inbreuk in verband met persoonsgegevens ‘kan resulteren in’ lichamelijke, materiële of immateriële schade voor natuurlijke personen; het begrip ‘schade’ moet ‘ruim’ worden uitgelegd in het licht van de rechtspraak van het Hof, op een wijze die ten volle recht doet aan de doelstellingen van de AVG; de ‘geleden’ schade moet ‘volledig en daadwerkelijk’ worden vergoed.

Elke mogelijke suggestie dat er vanzelfsprekend sprake is van schade, wordt door de bewoordingen van de bepalingen van de AVG reeds uit de wereld geholpen: de primaire doelstelling van de wettelijke aansprakelijkheid waarin de AVG voorziet, is het geven van genoegdoening aan de betrokkene, en wel precies door middel van een ‘volledige en daadwerkelijke’ vergoeding van de schade die hij heeft geleden, en dus het herstellen van het evenwicht van de rechtssituatie die door de inbreuk op het recht in negatieve zin is gewijzigd (geschaad).28.

Echter ook vanuit systematisch oogpunt, zoals in de antitrustwetgeving, biedt de AVG twee pijlers van bescherming: één van publieke aard, waarbij sancties gelden indien inbreuk wordt gemaakt op de bepalingen van de AVG, en één van particuliere aard die juist voorziet in wettelijke aansprakelijkheid van niet-contractuele aard, die kan worden aangemerkt als verruimde aansprakelijkheid voor veronderstelde schuld met de bovengenoemde kenmerken, mede in verband met het leveren van bevrijdend bewijs.29.

Derhalve kan een brede uitlegging30. van het begrip (morele) schade niet zover strekken dat de wetgever zou hebben afgezien van het vereiste van reële ‘schade’.

Het werkelijke probleem is de vraag of er, zodra de inbreuk en het causale verband zijn vastgesteld, een recht op schadevergoeding kan ontstaan louter vanwege de bezorgdheid en ongerustheid van de betrokkene over en zijn vrees voor mogelijk misbruik van zijn persoonsgegevens in de toekomst, zonder dat een dergelijk misbruik is vastgesteld en/of de betrokkene verdere schade heeft geleden.

Volgens vaste rechtspraak van het Hof moeten begrippen in een bepaling van Unierecht die voor de betekenis en de draagwijdte ervan niet uitdrukkelijk naar het recht van de lidstaten verwijst, normaliter in de gehele Unie autonoom en uniform worden uitgelegd, rekening houdend met de bewoordingen van de betreffende bepaling, met de context waarin zij is geplaatst, met de doelstellingen van de regeling waarvan zij deel uitmaakt en met de ontstaansgeschiedenis van die bepaling.31.

Zoals advocaat-generaal Campos in herinnering heeft gebracht32., heeft het Hof geen algemene definitie van ‘schade’ uitgewerkt die zonder onderscheid op elk gebied kan worden toegepast.33. Wat immateriële schade betreft, kan uit zijn rechtspraak worden afgeleid dat, wanneer een van de doelen van de uit te leggen bepaling bestaat in de bescherming van het individu, of van een bepaalde categorie individuen34., het begrip ‘schade’ ruim moet worden opgevat, en dat de schadevergoeding zich in overeenstemming met dit criterium uitstrekt tot immateriële schade, ook al wordt dit soort schade niet in de uitgelegde bepaling genoemd.35.

Gelet op de rechtspraak van het Hof kan er weliswaar voor worden gepleit dat er in het Unierecht op de aangegeven wijze een beginsel bestaat dat immateriële schade wordt vergoed, maar ik sluit mij aan bij advocaat-generaal Campos dat daaruit geen regel kan worden afgeleid volgens welke alle immateriële schade, ongeacht de ernst ervan, in aanmerking komt voor vergoeding.36.

In dit verband is een relevant aanknopingspunt het onderscheid tussen immateriële schade die in aanmerking komt voor vergoeding, en andere ongemakken die voortvloeien uit de niet-nakoming van de wet maar die wegens hun geringe belang niet noodzakelijkerwijs recht op schadevergoeding zouden geven.37.

Het Hof erkent dit verschil door moeilijkheden en ongemakken als een zelfstandige categorie — die van de categorie schade losstaat — aan te merken op gebieden waarop het van oordeel is dat die moeilijkheden en ongemakken moeten worden vergoed.38.

Op basis van ervaring kan worden gesteld dat elke inbreuk op een regel inzake de bescherming van persoonsgegevens kan leiden tot een negatieve reactie van de betrokkene. Schadevergoeding die louter voortvloeit uit een gevoel van onbehagen over het feit dat een ander de wet niet eerbiedigt, wordt gemakkelijk verward met schadevergoeding zonder schade, die, zoals gezegd, in het in artikel 82 AVG bedoelde geval niet mogelijk is.

Het feit dat in omstandigheden als die van het hoofdgeding misbruik van persoonsgegevens slechts een mogelijkheid is die nog geen werkelijkheid is geworden, volstaat om aan te nemen dat de betrokkene immateriële schade kan hebben geleden als gevolg van de inbreuk op de AVG, op voorwaarde dat de betrokkene bewijst dat de vrees voor dat misbruik hem in concreet en specifiek opzicht reële en zekere emotionele schade heeft berokkend.39.

De scheidslijn tussen louter ergernis (geen vergoeding mogelijk) en reële immateriële schade (wel vergoeding mogelijk) is zeker dun, maar de nationale rechters, die tot taak hebben om die scheidslijn in elk afzonderlijk geval te trekken, moeten alle gegevens die zijn aangeleverd door de betrokkene die om schadevergoeding verzoekt, zorgvuldig beoordelen. Op laatstgenoemde rust de verplichting om nauwkeurig en niet in algemene termen aan te voeren welke concrete gegevens kunnen leiden tot ‘daadwerkelijk geleden immateriële schade’ als gevolg van de inbreuk in verband met persoonsgegevens, zonder dat voor die schade echter een vooraf bepaalde graad van ernst geldt: wat telt is niet een louter subjectieve beleving die veranderlijk en ook afhankelijk is van karakter- en persoonlijke eigenschappen, maar de objectivering van de voor de eigen fysieke of psychische toestand of voor het eigen sociale leven bestaande moeilijkheden, zelfs als zij gering maar wel aantoonbaar zijn, de aard van de betreffende persoonsgegevens en het belang daarvan in het leven van de betrokkene en misschien ook de immer aanwezige maatschappelijke perceptie omtrent die specifieke moeilijkheden ten opzichte van de gegevensinbreuk.40.