Schadevergoeding bij onrechtmatige gegevensverwerking belangrijk voor naleving AVG

Kun je straks een schadevergoeding van tientallen of honderden euro’s verwachten bij het volgende datalek van Facebook, LinkedIn of een willekeurige webshop? Volgens Tim Walree moet het in ieder geval makkelijker worden om een schadevergoeding te krijgen. Hoewel de Algemene Verordening Gegevensbescherming (AVG) sinds 2018 betere bescherming van persoonsgegevens afdwingt, lijkt het aantal datalekken alleen maar toe te nemen. Schadevergoedingen kunnen zorgen voor betere handhaving van de AVG, zo zegt Walree, die hierop op 30 juni promoveert aan de Radboud Universiteit.

Jaarlijks worden er tienduizenden klachten ingediend bij de Autoriteit Persoonsgegevens (AP), bijvoorbeeld omdat een organisatie onveilig is omgegaan met persoonsgegevens. Door beperkte menskracht en middelen wordt echter slechts een relatief klein deel van de zaken opgepakt, en kan het bij complexe zaken jaren duren voor er een besluit volgt. In zijn promotieonderzoek bekeek Tim Walree daarom of en hoe het recht op schadevergoeding via civielrechtelijke procedures kan helpen bij de handhaving van de AVG.

‘De regels zoals die gelden in de AVG zijn niets waard als die niet gehandhaafd kunnen worden. Dat kan op twee manieren: door een toezichthouder, maar ook via het civiele recht’, legt Walree uit. ‘We zien nu eigenlijk dat de toezichthouder niet voldoende middelen heeft om de AVG goed te handhaven. Maar als consumenten zelf via het civiele recht schadevergoedingen kunnen eisen bij organisaties die onzorgvuldig met data omgaan, zorgt dat óók voor een financiële prikkel bij die organisaties - en op termijn voor betere naleving.’

Schade bij datalek moeilijk vast te stellen

Nu zijn rechters vaak nog terughoudend met het toekennen van schadevergoedingen, omdat concrete schade vaak ontbreekt. ‘Een inbreuk op de AVG zorgt meestal niet voor een aantasting van het vermogen van een slachtoffer, en op het gebied van immateriële schade is het hooguit onbehagen of frustratie. Dat is juridisch geen relevante schade.’

En als er dan wél duidelijke schade is, dan valt die weer moeilijk in een bedrag uit te drukken, of is deze juist zo laag dat het amper loont om naar de rechter te stappen. Walree: ‘Als er miljoenen persoonsgegevens uitlekken, zijn losse data wellicht hooguit enkele centen waard. Maar je weet niet waar die gegevens uiteindelijk terecht komen, welke criminelen ermee aan de haal gaan en waarvoor ze de data gebruiken. De exacte schade kan daardoor soms pas jaren later duidelijk zijn.’

‘Stel dat iemand op termijn verschillende gestolen, anonieme datasets bij elkaar brengt, dan kan zelfs het kleinste beetje data een belangrijk puzzelstukje zijn in het opstellen van hele persoonlijke gebruikersprofielen. Die kunnen uiteindelijk wél veel geld waard zijn, waardoor op dat moment alsnog materiële en immateriële schade duidelijk worden.’

Andere aanpak vereist

We moeten daarom toe naar een nieuw begrip van vergoedbare schade, bepleit Walree. ‘We moeten het begrip van schade meer toespitsen op de aard van het gegevensbeschermingsrecht. Een schending van het gegevensbeschermingsrecht leidt over het algemeen niet onmiddellijk tot een hap uit je portemonnee, of zijn niet zintuiglijk, zoals een kras op je auto of een gebroken arm. De gevolgen zijn veel vaker abstract, onzeker, of niet te meten. Daarom is vastklampen aan het traditionele schadebegrip niet correct. Rechters zouden daarom eerder naar het Hof van Justitie moeten stappen voor prejudiciële vragen, zodat ze sneller tot een nieuw, moderner begrip van schade kunnen komen. Het Hof heeft uiteindelijk het laatste woord over het begrip van schade.

'Daarnaast zouden vooraf bepaalde bedragen vastgesteld kunnen worden, uit te keren bij substantiële inbreuk op de AVG. Denk bijvoorbeeld aan een bedrijf dat zonder te informeren je gegevens doorverkoopt, of uitgelekte informatie over je afspraken bij de dokter.'

‘Door organisaties te verplichten in zulke gevallen direct een vergoeding van bijvoorbeeld enkele honderden euro’s uit te keren, neem je ook wat apathie weg bij mensen. Het mes moet aan twee kanten gaan snijden: als mensen weten welk bedrag ze kunnen verwachten, ondernemen ze eerder actie, waardoor organisaties ook eerder onder druk staan om de AVG voldoende serieus te nemen.’

Meer weten? Neem contact op met

• Tim Walree, t.walree@ru.nl
• Persvoorlichting en wetenschapscommunicatie Radboud Universiteit, media@ru.nl, 024 361 6000