Eerste schadevergoeding voor AVG-overtreding toegekend

Voor de zomer heeft de rechtbank Overijssel de gemeente Deventer veroordeeld tot betaling van een schadevergoeding van € 500,-, voor het overtreden van de Algemene Verordening Gegevensbescherming (AVG). Alhoewel het niet om een aanzienlijk bedrag gaat, is dit de eerste civielrechtelijke schadevergoeding die in Nederland is toegekend op grond van de AVG.

17 sep. 2019

Wat was er aan de hand?

De gemeente Deventer heeft ambtenaren van andere gemeenten per e-mail geïnformeerd over het feit dat door een man twee Wob-verzoeken (verzoeken aan een overheidsinstantie om bepaalde informatie openbaar te maken) zijn ingediend bij de gemeente Deventer. Daarbij werden persoonsgegevens – namelijk de naam en woonplaats – van deze man gedeeld. De gemeente heeft geen rechtvaardiging gegeven voor deze verspreiding (hetgeen een verwerking is in de zin van de AVG) van deze persoonsgegevens. Dit leverde volgens de rechtbank dan ook een privacyschending op. De rechtbank veroordeelde de gemeente tot het betalen van een schadevergoeding van 500 euro aan de man.

Vindplaats: ECLI:NL:RBOVE:2019:1827

AVG

De AVG is sinds 25 mei 2018 van toepassing in de gehele Europese Unie. In de kern zorgt de AVG voor versterking en uitbreiding van de privacyrechten van betrokkenen, meer verantwoordelijkheden voor organisaties (zowel verwerkingsverantwoordelijken als verwerkers) en voor stevige bevoegdheden voor de toezichthouder, de Autoriteit Persoonsgegevens (AP). De boetebevoegdheid van laatstgenoemde is enorm toegenomen. Uit de genoemde uitspraak blijkt echter dat organisaties bij overtreding van de AVG niet alleen een boete van de AP kunnen krijgen, maar ook tot schadevergoeding kunnen worden veroordeeld. Des te meer reden om te zorgen dat uw organisatie AVG compliant is. Hoe zorgt u hiervoor?

U mag in ieder geval alleen persoonsgegevens verwerken indien u daar een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde voor heeft en indien u daar een wettelijke grondslag voor heeft. Die wettelijke grondslag zou toestemming van de betrokkene kunnen zijn, maar ook andere grondslagen zijn denkbaar (en liggen vaak meer voor de hand). Op grond van de AVG gelden daarnaast nog een aantal andere verplichtingen. Welke verplichtingen voor u gelden, is echter afhankelijk van de vraag of u verwerkersverantwoordelijke of verwerker bent. Benieuwd wat in dat kader uw privacy-rechtelijke rol is? Lees dan onze blog:

Ken uw rol in de privacy-keten! Verwerkingsverantwoordelijke of verwerker?