De “AVG”, bij sommige een meer bekend begrip dan bij anderen. De afkorting AVG staat voor ‘Algemene Verordening Gegevensbescherming’. De...
De “AVG”, bij sommige een meer bekend begrip dan bij anderen. De afkorting AVG staat voor ‘Algemene Verordening Gegevensbescherming’. De AVG ziet op de bescherming van persoonsgegevens, op onze privacy dus. De AVG geldt voor eenieder en wanneer er in strijd met de AVG wordt gehandeld, kan dit vergaande gevolgen hebben.
In de AVG is onder andere bepaald dat iedereen die materiële of immateriële schade heeft geleden als gevolg van een inbreuk op de AVG, het recht heeft om van de “verwerker” schadevergoeding te ontvangen. De verwerker is degene die de persoonsgegevens verwerkt. Een inbreuk kan bijvoorbeeld zijn: het verlies van controle over persoonsgegevens, identiteitsdiefstal of -fraude, reputatieschade, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de persoon in kwestie.
Kan een schadevergoeding zoals bedoeld in de AVG met succes worden gevorderd, indien er een email ondoordacht is verzonden waarin persoonsgegevens staan opgenomen? Deze vraag stond centraal in de zaak die speelde bij de rechtbank Rotterdam eind februari dit jaar.
Wat was er aan de hand?
In deze zaak konden alle personen die belangstelling hadden voor de eventuele koop van een nieuwbouwwoning zich via een website inschrijven als kandidaat-koper. Na deze inschrijvingen heeft de uitvoerder van het nieuwbouwproject een email gestuurd aan alle personen die zich hadden ingeschreven voor het project. In deze e-mail was, onbedoeld, een Excel bestand toegevoegd zonder daarbij enige vorm beveiliging of afscherming. Dit Excel-bestand bevatte onder andere de financiële gegevens en de NAW-gegevens, zoals het jaarinkomen en de eigen middelen, van de 1100 personen die zich als kandidaat-koper hadden aangemeld. De uitvoerder heeft nog geprobeerd om de e-mail in te trekken, helaas zonder succes.
Dezelfde avond stuurt de uitvoerder alle betrokkene weer een e-mail ter uitleg van het ongelukkige voorval en met zijn excuses. In deze mail wordt verzocht om de eerder gezonden mail te verwijderen en niet te lezen. Ook geeft de uitvoerder aan dat er met het sturen van de onbedoelde email sprake is van een datalek en dat er daarom een melding gedaan wordt bij de Autoriteit Persoonsgegevens over dit voorval.
Een van de betrokkene, een persoon wiens naam en gegevens ook in het desbetreffende Excel-bestand zijn terug te vinden, spant een zaak aan tegen de uitvoerder en vordert een schadevergoeding. Ze stelt dat ze voor €20.000 aan immateriële schade heeft geleden, omdat ze is aangetast in haar persoon nu haar intieme persoonsgegevens bekend zijn bij minimaal 1099 andere personen. De betrokkene voert hierbij aan zich onveilig te voelen na het sturen van de mail. Haar naam zou namelijk meer opvallen, nu haar naam boven aan de alfabetische lijst staat.
Wat oordeelt de rechter?
De rechter oordeelt dat er sprake is van verwerking nu vaststaat dat er een grote hoeveelheid persoonsgegevens is verspreid onder een grote groep mensen. Dit is alleen rechtmatig indien er sprake is van één van de verwerkingsgrondslagen in de AVG, maar dat is in deze zaak niet het geval. De rechtbank komt dan ook tot de conclusie dat de uitvoerder de persoonsgegevens van de persoon in kwestie onrechtmatig heeft verwerkt en dat er daarmee inbreuk is gemaakt op de AVG.
Een andere vraag die de rechter moet beantwoorden is of er sprake is van juridisch relevante schade zoals bedoeld in de wet? De rechter vindt van wel. De gevolgen van de onrechtmatige verwerking kunnen wel degelijk schade opleveren, ook al kan die schade niet direct gegrond worden.
De doelstelling van de AVG, namelijk dat iedereen de controle houdt over zijn of haar persoonsgegevens, is hierbij van doorslaggevend belang. De kantonrechter stelt dat de betrokkene deze controle is kwijtgeraakt nu de uitvoerder de gegevens naar een aanzienlijk grote groep mensen heeft gestuurd en waarbij het niet is te controleren waar de gegevens nu allemaal rondcirculeren. Dit dient daarom als schade te worden aangemerkt volgens de kantonrechter.
Vervolgens moet de rechter ingaan op de omvang van de schade. Bedraagt de schade inderdaad €20.000, zoals door de betrokkene wordt gevorderd? De aard en ernst van de onrechtmatige verwerking moeten hierbij in kaart gebracht te worden. De rechter acht het hierbij van belang dat de gegevens niet aan een algemeen publiek openbaar zijn gemaakt, maar aan een beperkte groep.
Daarnaast weegt het ook mee dat het meesturen van de lijst een menselijke fout betreft, dat de uitvoerder daarna meteen heeft gehandeld om de schade te beperken en dat de inbreuk netjes is gemeld. Ook relevant is dat de openbaar gemaakte persoonsgegevens geen bijzondere persoonsgegevens bevatten. Op basis van deze punten wordt er dan ook maar een schadevergoeding van ‘slechts’ €250,- aan de betrokkene toegekend.
Conclusie
Als er inbreuk wordt gemaakt op de AVG, is het mogelijk om een schadevergoeding te vorderen en dus ook te verkrijgen. Het begrip ‘schade’ moet daarbij ruim uitgelegd worden. De hoogte van de schadevergoeding is sterk afhankelijk van verschillende factoren. De aard en de ernst van de schending zijn namelijk van doorslaggevend belang.
In deze zaak zagen we doordat de gegevens niet publiekelijk openbaar zijn gemaakt, het een menselijk fout betreft, er vervolgens schadebeperkend is gehandeld, het incident is gemeld en het geen bijzondere persoonsgegevens betreft, de schadevergoeding niet op €20.000 wordt vastgesteld, maar “slechts” op €250.
Het uitgangspunt is dus de geleden schade met concrete gegevens onderbouwd moet worden. Dit kan ingewikkeld zijn. Wanneer jij degene bent die persoonsgegevens ‘per ongeluk’ heeft geopenbaard, neem dan direct contact met ons op. We kunnen in dat geval bespreken welke stappen er gezet moeten worden om de schade te beperken. Ook kunnen we kijken of er een melding gemaakt moet worden naar aanleiding van het incident. Aarzel dus niet en neem gerust contact met ons op, wij helpen je graag verder.