Afgelopen augustus speelde een zaak bij de Rechtbank Noord-Holland. In die zaak kwam de vraag aan de orde of beweerdelijk geleden immateriële schade wegens een datalek voor vergoeding in aanmerking kan komen. De betrokkene (hierna: eiseres) was bang dat derden haar (medische)gegevens hadden kunnen inzien en ervoer daardoor stress- en angstklachten. Daarbij was ze bevreesd dat criminelen haar gegevens zouden gebruiken voor bijvoorbeeld identiteitsfraude. Kan ze die schade verhalen? Lees verder voor het oordeel van de rechtbank.
Recht op schadevergoeding vanuit de AVG
Wanneer u schade heeft geleden als gevolg van een inbreuk op een van de bepalingen van de Algemene verordening gegevensbescherming (AVG, ook wel de privacywet genoemd), kunt u mogelijk een schadevergoeding krijgen. Rechters krijgen steeds vaker te maken met zulke vorderingen. Een eiser moet zijn schade in beginsel wel kunnen aantonen. Dat is in het geval van materiële schade minder moeilijk dan bij immateriële schade.
Immateriële schade is schade die is veroorzaakt door verdriet, smart of geestelijk gemis. Deze schade is in de meeste gevallen niet gemakkelijk aan te tonen en daarnaast vaak niet direct in geld uit te drukken. Om laatstgenoemde redenen worstelen rechters vaak met immateriële schadevergoedingen.
Om meer duidelijkheid te krijgen over de vergoeding van immateriële schade in het geval van overtreding van de AVG, heeft de hoogste rechter van Oostenrijk vragen gesteld aan de hoogste rechter van de Europese Unie: Het Hof van Justitie. Het Hof zelf moet zich nog over deze vragen uitlaten, maar de Advocaat-Generaal ( A-G, een onafhankelijk adviseur van het Hof, die voorbereidend werk doet en een met redenen omklede conclusie geeft over de feiten in relatie tot de relevante rechtsregels en wetgeving) heeft zich er al wel over uitgelaten. De conclusie van de A-G heeft veel gewicht en wordt regelmatig gevolgd door het Hof. De A-G is kort gezegd van mening dat het enkele feit dat er inbreuk is gemaakt op een bepaling in de AVG, niet automatisch betekent dat de benadeelde recht heeft op een schadevergoeding.
Bij een schadevergoeding op grond van de AVG moet dus goed worden onderbouwd welke schade er is geleden en waaruit die schade bestaat. Bij materiële schade (bijv. gekochte aankopen als gevolg van identiteitsfraude) is de schade heel precies aan te tonen, maar hoe zit dat bij immateriële schade?
Zaak Heemskerk
Over immateriële schadevergoeding bij een privacy-schending ging was opgesteld. Dit dossier bevatte persoonsgegevens, waaronder medische gegevens. Eiseres had bezwaar gemaakt en daarom had de gemeente Heemskerk dit dossier per post verstuurd naar een lid van een adviescommissie. Het kwam echter nooit aan. Men heeft bovendien niet kunnen achterhalen wat er met het dossier gebeurd was. Doordat men niet weet waar de gegevens zijn, en dus ook niet of een derde ze heeft ingezien, kan de vertrouwelijkheid van de gegevens niet worden gewaarborgd, aldus eiseres. Eiseres vreest dat er derden met haar gegevens aan de haal zijn gegaan en haar angst kan als schade worden aangemerkt die de gemeente moet vergoeden, aldus eiseres.
Verweer gemeente Heemskerk
De gemeente stelt dat een datalek niet automatisch betekent dat er schade vergoed moet worden. Het gaat hier volgens de gemeente niet om ernstig verwijtbaar gedrag. De kans dat er daadwerkelijk een onbevoegde toegang heeft gekregen tot de gegevens acht de gemeente heel klein. Het dossier is bovendien in juli 2019 al zoekgeraakt (bijna 2 jaar eerder dan het verzoek om schadevergoeding). De gemeente meent daarom dat als de gegevens nu nog steeds niet zijn misbruikt, het onwaarschijnlijk is dat dat op enig moment alsnog zou gaan gebeuren.
Oordeel rechter
De rechter oordeelt dat niet ter discussie staat dat er sprake is van een datalek. De rechter kijkt daarom alleen naar de vraag of de gevorderde schadevergoeding moet worden toegewezen. Omdat het hier gaat om immateriële schade kijkt de rechter of eiseres lichamelijk letsel heeft opgelopen dan wel op een andere wijze is aangetast in haar persoon. Van lichamelijk letsel is in ieder geval sprake bij geestelijk letsel. De rechter oordeelt dat eiseres onvoldoende heeft aangetoond dat ze geestelijk letsel heeft opgelopen als gevolg van het datalek. Er is geen mentale aandoening als gevolg van het datalek bij haar gediagnosticeerd.
Nu er geen sprake is van (vastgesteld) lichamelijk letsel kijkt de rechter of eiseres op andere wijze in persoon is aangetast. Aantasting op andere wijze moet met concrete gegevens worden onderbouwd. Eiseres heeft dit volgens de rechter niet gedaan. Volgens de rechtbank is namelijk niet gebleken dat de gegevens van eiseres bij derden terecht zijn gekomen. Eiseres heeft geen identiteitsfraude ondervonden en geen verdachte brieven, fishing mails of telefoontjes ontvangen, die in verband kunnen worden gebracht met het datalek. Het verzoek tot schadevergoeding wijst de rechter daarom af.
Afdronk van deze uitspraak is dan ook: dat er sprake is van een datalek betekent niet zonder meer dat er ook schade wordt geleden die vergoed moet worden. Dit is in overeenstemming met het advies van de A-G van het Hof. Of iemand recht heeft op schade, hangt af van de vraag of diegene de schade hard kan maken, ook in het geval van immateriële schade vergoeding.
Meer weten over datalekken en schadevergoeding? Neem gerust contact met ons op. Ons kantoor staat veel organisaties (verwerkingsverantwoordelijken) bij. Overkomt u een datalek? Dan helpen wij u ook graag.