De Algemene Verordening Gegevensbescherming en aansprakelijkheid

De Algemene Verordening Gegevensbescherming en aansprakelijkheid

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (hierna: AVG) in werking. Inmiddels is de AVG een hot item en veel ondernemers en organisaties zijn zich ervan bewust dat er op privacy gebied dingen gaan veranderen. Wanneer niet wordt voldaan aan de regels in de AVG kan dat leiden tot hoge boetes. In het ergste geval kan de Autoriteit Persoonsgegevens een boete opleggen die kan oplopen tot maar liefst € 20.000.000,-. Alle reden om ervoor te zorgen dat aan de regels in de AVG wordt voldaan. Op zo'n hoge boete zit immers niemand te wachten. Maar is er ook nog een ander risico? Namelijk het risico aansprakelijk te zijn voor schade van derden wegens het handelen in strijd met de AVG?

Artikel 82 AVG

Het antwoord wordt gegeven in artikel 82 van de AVG. Lid 1 van deze bepaling, met als titel “Recht op schadevergoeding en aansprakelijkheid”, luidt als volgt:

“Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijken of de verwerker schadevergoeding te ontvangen voor de geleden schade."

De AVG windt er geen doekjes om: wanneer iemand schade lijdt doordat een onderneming of instantie, dan wel een voor de gegevensverwerking ingeschakelde derde – in jargon respectievelijk de “verwerkingsverantwoordelijk” en de “verwerker” - in strijd handelt met de AVG, zijn deze verwerkingsverantwoordelijke en/of verwerker aansprakelijk voor de door die inbreuk ontstane schade.

Uitsluiting van aansprakelijkheid mogelijk?

Een vraag die vervolgens opkomt, is de vraag of het mogelijk is deze vorm van aansprakelijkheid in bijvoorbeeld algemene voorwaarden of een overeenkomst uit te sluiten. Het antwoord op deze vraag luidt ontkennend. Dit zou namelijk afbreuk doen aan de werking van de AVG. De AVG is van dwingend recht en het is daarom niet mogelijk om deze vorm van aansprakelijkheid in een contract of algemene voorwaarden uit te sluiten. Op een dergelijk eenvoudige wijze is dit latente probleem dus niet te tackelen.

Wat is het risico?

Nu het niet mogelijk is het risico van aansprakelijkheid in de algemene voorwaarden of in een overeenkomst uit te sluiten, zal beoordeeld moeten worden wat het concrete risico met betrekking tot aansprakelijkheid is. Zoals uit artikel 82 AVG is af te leiden, bestaat recht op vergoeding van "materiële" en "immateriële" schade, wanneer deze schade wordt geleden doordat niet voldaan wordt aan de AVG. De risico's worden duidelijker als meer wordt ingezoomd op deze twee vormen van schade.

Materiële schade

Bij deze vorm van schade gaat het om een concreet en duidelijk waardeerbaar nadeel. Gedacht kan bijvoorbeeld worden aan een geplunderde bankrekening, doordat bankgegevens in handen van kwaadwillende personen zijn gekomen als gevolg van een datalek. Een ander sprekend voorbeeld, is de situatie waarin producten op iemands naam besteld worden, doordat de daarvoor benodigde gegevens eveneens in verkeerde handen terecht zijn gekomen. In deze situaties is het nadeel direct voelbaar. Het saldo van de bankrekening neemt af en er wordt een factuur gepresenteerd voor bestelde producten die men nooit heeft  ontvangen.

Als zo'n situatie zich voordoet en in strijd met de AVG is gehandeld, is het vrij evident dat de schade vergoed dient te worden. Echter doen zulke overduidelijke situaties zich meestal niet voor. Het ligt vaak gecompliceerder. Wanneer persoonsgegevens op straat komen te liggen, zal dat namelijk veelal niet direct tot dergelijke concrete schade lijden. Meestal zal het nadeel van degene om wiens persoonsgegevens het gaan veel meer bestaan uit een unheimisch gevoel over de vraag wat er met zijn gegevens gebeurd en in wiens handen deze gegevens terecht zijn gekomen. Met name als het hele persoonlijke gegevens zijn, zoals bijvoorbeeld medische gegevens. Van concrete schade, althans conform onze nationale normen, is dan echter geen sprake.

Immateriële schade

Kan er dan in zo'n situatie sprake zijn van de in artikel 82 AVG genoemde "immateriële schade"? Deze vraag zal in beginsel op grond van Nederlands recht beoordeeld dienen te worden. In art. 6: 106 van het Nederlandse Burgerlijk Wetboek is voor de beantwoording van de vraag wat immateriële schade is een regeling opgenomen. Uitgangspunt daarbij is dat een vergoeding voor immateriële schade niet snel wordt toegekend. Enkel een onprettig gevoel over de onzekerheid wat er met de persoonsgegevens gebeurt, is daarvoor onvoldoende.

Europese norm

Zoals gezegd, zal het nadeel voor degene om wiens persoonsgegevens het gaat bij een inbreuk op de AVG dus meestal bestaan uit een gevoel van onzekerheid over de vraag wat er met zijn gegevens zal en kan gebeuren. Omdat er op grond van het Nederlandse aansprakelijkheidsrecht bij enkel zo’n gevoel in beginsel geen recht op schadevergoeding bestaat, is het risico van aansprakelijkheid op grond van onze Nederlandse wetgeving niet groot. De schade zal immers meestal niet concreet zijn, behoudens de uitzonderlijke situatie dat bijvoorbeeld een bankrekening wordt geplunderd. Een vordering strekkende tot schadevergoeding zal op grond van onze nationale aansprakelijkheidsregels in mijn optiek dus niet snel worden toegewezen.

De vraag rijst dan of de AVG op dat punt zijn doel voorbij schiet. In art. 82 AVG staat immers dat er recht bestaat op schadevergoeding. Er wordt daarbij expliciet gesproken over "immateriële schade".

Contextafhankelijke interpretatie

Over deze vraag zijn de pennen in de juridische literatuur inmiddels in beweging gekomen. Er wordt daarbij verdedigd dat nationale wetgeving in aansprakelijkheidsprocedures in de context van de AVG geïnterpreteerd dient te worden. Zodoende zou bijvoorbeeld ons nationale begrip van immateriële schadevergoeding in het licht van de AVG en daardoor ruimer geïnterpreteerd dienen te worden. In de tekst van de AVG is daarvoor ook een aanknopingspunt te vinden. In overweging 146 van de considerans van de AVG staat het volgende:

“(…) Het begrip „schade” moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening.  (..)”

Een ruimere definitie van het begrip schade heeft het Hof van Justitie van de Europese Unie ook al eens geformuleerd in een geschil over het derven van vakantiegenot. Volgens ons nationale recht zal “het gemis aan vakantiegenot” niet als concrete schade worden gekwalificeerd en evenmin vallen onder onze strenge en beperkte nationale regels over immateriële schadevergoeding. Toch zal het gemis aan vakantiegenot op grond van de rechtspraak van het Hof van Justitie als schade gecompenseerd moeten worden. De nationale rechter zal daartoe zijn nationale normen dus ruimer toe moeten passen.

Waarom zou dat niet kunnen gelden voor de situatie dat inbreuk wordt gemaakt op de AVG? Waarom kan het nare gevoel dat iemand heeft doordat hij of zij niet weet wat er met zijn persoonsgegevens gebeurt niet  eveneens onder ons Nationale begrip van immateriële schadevergoeding worden gebracht? Het zou in mijn optiek wel recht doen aan het doel dat de Europese wetgever met de AVG voor ogen heeft.

De tijd zal het leren

De vraag of de nationale regelgeving van een EU-lidstaat in het licht van de AVG toegepast dient te worden, zal uiteindelijke door het Hof van Justitie beoordeeld dienen te worden. Ik zie het niet zo snel gebeuren dat een individu daartoe een procedure zal opstarten. Gelukkig biedt artikel 80 AVG de mogelijkheid ook een collectieve actie op poten te zetten. Bij een grote inbreuk op de AVG met een datalek van veel gegevens tot gevolg, is het goed voorstelbaar dat de benadeelden gezamenlijk optrekken en toch een gang maken naar het Hof van Justitie.

Conclusie

Tot die tijd zal echter gekeken moeten worden naar onze huidige nationale regelgeving. Als ik daar naar kijk, zet dat in mijn optiek wel een rem op de ruimhartige wijze waarop de Europese wetgever een mogelijkheid tot schadevergoeding presenteert in het hiervoor geciteerde artikel 82 AVG. Concrete schade wordt vergoed, maar meestal zal het nadeel van een inbreuk op de AVG bestaan uit het onzekere en onprettige gevoel over de vraag wat er met de soms zeer gevoelige persoonsgegevens in de toekomst mogelijk gebeurt. Zoals ik dit vraagstuk op basis van onze nationale wetgeving nu beoordeel, bestaat er voor enkel dat nare gevoel geen recht op schadevergoeding. De tekst van artikel 82 AVG suggereert dus wel dat er bij inbreuk op de AVG het risico bestaat dat schadevergoeding betaald dient te worden, maar of dat risico in de praktijk ook echt zo groot is, waag ik te betwijfelen. Hopelijk brengt het Hof van Justitie daar in haar jurisprudentie duidelijkheid over en zal recht worden gedaan aan de beschermende gedachte achter de AVG.

Voor de goede orde: laat u door het voorgaande uiteraard niet weerhouden om voor 25 mei a.s. aan de eisen in de AVG te voldoen. Zoals gezegd, riskeert u hoge boetes als blijkt dat uw onderneming of instantie niet aan de AVG voldoet. Daarnaast is er ook een ander risico dat ik niet vaak hoor, maar naar mijn mening misschien nog wel het belangrijkste is, namelijk het risico op imagoschade. Het zal de naam van uw onderneming of instantie uiteraard geen goed doen als blijkt dat er niet zorgvuldig met persoonsgegeven wordt omgegaan. Een goede reputatie komt te voet, maar gaat te paard!

Deel deze pagina