De Algemene Verordening Gegevensbescherming en aansprakelijkheid

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG is een hot item en veel ondernemers en organisaties zijn zich ervan bewust dat er op privacy gebied dingen gaan veranderen. Wanneer niet wordt voldaan aan de regels in de AVG kan dat leiden tot hoge boetes. In het ergste geval kan de Autoriteit Persoonsgegevens een boete opleggen die kan oplopen tot maar liefst € 20.000.000,-. Alle reden om aan de AVG te voldoen want op zo’n hoge boete zit niemand te wachten. Maar er is ook nog een ander risico, het risico aansprakelijk te zijn voor schade van derden door het handelen in strijd met de AVG.

In artikel 82 van de AVG is het volgende opgenomen: “Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijken of de verwerker schadevergoeding te ontvangen voor de geleden schade.”

Dus lijdt iemand schade doordat een onderneming of instantie of een voor de gegevensverwerking ingeschakelde derde – ook wel de “verwerkingsverantwoordelijk” en de “verwerker” genoemd – in strijd handelt met de AVG, dan zijn deze verwerkingsverantwoordelijke en/of verwerker aansprakelijk voor de door die inbreuk ontstane schade.

Uitsluiting van aansprakelijkheid mogelijk?

Is het mogelijk deze aansprakelijkheid in bijvoorbeeld algemene voorwaarden of een overeenkomst uit te sluiten? Nee dat kan niet. Dit zou namelijk afbreuk doen aan de werking van de AVG. De AVG is van dwingend recht en het uitsluiten van aansprakelijkheid is niet toegestaan.  

Wat is het risico?

Wat is het concrete risico met betrekking tot deze aansprakelijkheid? Zoals uit artikel 82 AVG is af te leiden, bestaat recht op vergoeding van “materiële” en “immateriële” schade. De risico’s worden duidelijker als meer wordt ingezoomd op deze twee vormen van schade.

Materiële schade

zijn gekomen als gevolg van een datalek. Een ander sprekend voorbeeld, is de situatie waarin producten op iemands naam besteld worden, doordat de daarvoor benodigde gegevens eveneens in verkeerde handen terecht zijn gekomen. In deze situaties is het nadeel direct voelbaar. Het saldo van de bankrekening neemt af en er wordt een factuur gepresenteerd voor bestelde producten die nooit zijn ontvangen.

Als zo’n situatie zich voordoet en in strijd met de AVG is gehandeld, is het duidelijk dat de schade vergoed dient te worden. Maar vaak doen zulke overduidelijke situaties zich niet voor. Het ligt vaak gecompliceerder. Wanneer persoonsgegevens op straat komen te liggen, zal dat meestal niet direct tot concrete schade lijden. Meestal zal het nadeel van degene om wiens persoonsgegevens het gaan veel meer bestaan uit een unheimisch gevoel over de vraag wat er met zijn gegevens gebeurt en in wiens handen deze gegevens terecht zijn gekomen. Met name als het hele persoonlijke gegevens zijn, zoals bijvoorbeeld medische gegevens. Van concrete schade, althans conform onze nationale normen, is dan geen sprake.

Immateriële schade

Kan er dan in zo’n situatie sprake zijn van de in artikel 82 AVG genoemde “immateriële schade”? In art. 6: 106 van het Nederlandse Burgerlijk Wetboek is voor de beantwoording van de vraag wat immateriële schade is een regeling opgenomen. Uitgangspunt daarbij is dat een vergoeding voor immateriële schade niet snel wordt toegekend. Enkel een onprettig gevoel over de onzekerheid wat er met de persoonsgegevens gebeurt, is daarvoor onvoldoende.

Europese norm

Zoals gezegd, zal het nadeel voor degene om wiens persoonsgegevens het gaat bij een inbreuk op de AVG dus meestal bestaan uit een gevoel van onzekerheid over de vraag wat er met zijn gegevens zal en kan gebeuren. Omdat er op grond van het Nederlandse aansprakelijkheidsrecht bij enkel zo’n gevoel in beginsel geen recht op schadevergoeding bestaat, is het risico van aansprakelijkheid op grond van onze Nederlandse wetgeving niet groot. De schade zal meestal niet concreet zijn. Een schadevergoedingsvordering zal dus niet snel worden toegewezen.

De vraag is of de Algemene Verordening Gegevensbescherming op dat punt zijn doel voorbij schiet. In art. 82 AVG staat namelijk duidelijk dat er recht bestaat op schadevergoeding. Er wordt daarbij expliciet gesproken over “immateriële schade”.

Contextafhankelijke interpretatie

Over deze vraag is al veel gesproken en geschreven.. Er wordt daarbij verdedigd dat nationale wetgeving in aansprakelijkheidsprocedures in de context van de AVG geïnterpreteerd dient te worden. Zo zou bijvoorbeeld ons nationale begrip van immateriële schadevergoeding in het licht van de AVG ruimer geïnterpreteerd dienen te worden. In de tekst van de AVG is daarvoor ook een aanknopingspunt te vinden. In overweging 146 van de considerans van de AVG staat het volgende:

“(…) Het begrip „schade” moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening.  (..)”

Een ruimere definitie van het begrip schade heeft het Hof van Justitie van de Europese Unie ook al eens geformuleerd in een geschil over het verlies van vakantiegenot. Volgens ons nationale recht zal “het gemis aan vakantiegenot” geen materiele of immateriële schade zijn. Toch zal het gemis aan vakantiegenot op grond van de rechtspraak van het Hof van Justitie als schade gecompenseerd moeten worden. De nationale rechter zal zijn nationale normen dus ruimer toe moeten passen.

Waarom zou dat niet kunnen gelden voor de situatie dat inbreuk wordt gemaakt op de AVG? Waarom kan het nare gevoel dat iemand heeft doordat hij of zij niet weet wat er met zijn persoonsgegevens gebeurt niet  eveneens onder ons Nationale begrip van immateriële schadevergoeding worden gebracht? Het zou in mijn optiek wel recht doen aan het doel dat de Europese wetgever met de AVG voor ogen heeft.

De tijd zal het leren

De vraag of de nationale regelgeving van een EU-lidstaat in het licht van de Algemene Verordening Gegevensbescherming toegepast dient te worden, zal uiteindelijke door het Hof van Justitie beoordeeld dienen te worden. Ik zie het niet zo snel gebeuren dat een individu hiervoor een procedure zal opstarten. Gelukkig biedt artikel 80 AVG de mogelijkheid ook een collectieve actie op poten te zetten. Bij een grote inbreuk op de AVG met een datalek van veel gegevens tot gevolg, is het goed voorstelbaar dat de benadeelden gezamenlijk optrekken en toch een procedure starten bij het Hof van Justitie.

Conclusie

Concrete schade wordt ook in Nederland vergoed, maar meestal zal het nadeel van een inbreuk op de AVG bestaan uit het onzekere en onprettige gevoel over de vraag wat er met de soms zeer gevoelige persoonsgegevens in de toekomst mogelijk gebeurt. Op dit moment bestaat er waarschijnlijk voor enkel dat nare gevoel geen recht op schadevergoeding. Hopelijk schept het Hof van Justitie in de toekomst duidelijkheid over de vraag of de AVG dit kan veranderen.

Voor de goede orde: laat u door het voorgaande uiteraard niet weerhouden om voor 25 mei a.s. aan de eisen in de Algemene Verordening Gegevensbescherming te voldoen. U riskeert hoge boetes als blijkt dat uw onderneming of instantie niet aan de AVG voldoet. Daarnaast is er ook een ander risico, het risico op imagoschade. Het zal de naam van uw onderneming of instantie zeker geen goed doen als blijkt dat er niet zorgvuldig met persoonsgegeven wordt omgegaan. Een goede reputatie komt te voet, maar gaat te paard!