Privacy en aansprakelijkheid Privacy en aansprakelijkheid
IT-recht
IT-contracten en continuïteitsregelingen voor on-premise software en cloudsystemen
Privacy
Privacyrecht, AVG en het treffen van daaraan gerelateerde maatregelen binnen je organisatie
Intellectueel eigendom (IE)
Vaststellen, vastleggen, waarderen, verpanden en overdragen van IE-rechten en software

Privacy en aansprakelijkheid
11 oktober 2024

Wanneer ben je als verwerkingsverantwoordelijke of verwerker aansprakelijk?

Als je persoonsgegevens verwerkt, komen daar de nodige risico’s bij kijken. Omdat informatie over een persoon gevoelig kan zijn, wordt er van je verwacht als verwerkingsverantwoordelijke of verwerker dat je op een veilige manier omgaat met die gegevens. Als het toch fout gaat en gegevens komen op straat te liggen, riskeer je niet alleen een boete, maar bestaat er ook de mogelijkheid dat de betrokkene schadevergoeding kan vorderen.

Volgens de AVG heeft iedereen die materiële of immateriële schade heeft geleden als gevolg van een inbreuk op de AVG recht op volledige schadevergoeding. In de AVG staan een aantal aanknopingspunten tot welke materiële of immateriële schade een inbreuk op de AVG kan leiden. Denk hierbij aan lichamelijk letsel, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, of reputatieschade, maar ook verlies van controle over je persoonsgegevens of de beperking van de rechten van degene wiens persoonsgegevens worden verwerkt (de betrokkene).

In de AVG staat echter niet hoe die schade moet worden vastgesteld en berekend: dat is een taak van de nationale rechter. Dit heeft in de afgelopen jaren geleid tot de toekenning van uiteenlopende bedragen, maar ook vooral tot de afwijzing van veel schadeclaims. Gelukkig heeft het Hof van Justitie van de Europese Unie in 2023 in een arrest over het onrechtmatig verzamelen van persoonsgegevens duidelijkheid geschept over schadevergoeding op grond van de AVG.

Inbreuk geeft niet per definitie recht op schadevergoeding

Allereerst stelt het Hof vast dat een inbreuk niet per definitie recht geeft op schadevergoeding. Er moet aan een drietal voorwaarden zijn voldaan, voordat er een recht op schadevergoeding uit de AVG bestaat:

  1. Een verwerking van persoonsgegevens die inbreuk maakt op de AVG (bijvoorbeeld een datalek);
  2. daadwerkelijk geleden schade; en
  3. een causaal verband tussen de inbreuk en de geleden schade.

Hiermee zegt de rechter dat een inbreuk op de AVG op zichzelf dus niet voldoende is voor schadevergoeding, zoals eerder in lagere rechtspraak wel eens werd aangenomen. Hij legt hierbij ook de nadruk op het feit dat er in de AVG staat dat een inbreuk op de AVG kan leiden tot schade, maar dat dit niet vanzelfsprekend is. Het aantonen van daadwerkelijk geleden schade en het causale verband tussen de inbreuk en de schade blijkt in de praktijk echter lastig. Wanneer mensen zich ergeren aan een inbreuk op de AVG, betekent dit niet meteen dat zij schade lijden. De schade moet volgens vaste rechtspraak ook nog reëel en zeker zijn en dus niet speculatief of toekomstig.

Schade hoeft niet bijzonder ernstig te zijn

Ten tweede oordeelt het hof over de vraag of een vordering tot schadevergoeding kan worden afgewezen als de schade niet voldoende ernstig is. In deze zaak ging het om Oostenrijks recht, dat zegt dat er een bepaalde ‘drempel van ernst’ moet zijn om schadevergoeding voor immateriële schade te kunnen vorderen. Zo’n extra drempel staat echter op gespannen voet met de AVG. Schadevergoeding moet namelijk ruim worden uitgelegd en moet recht doen aan de doelstelling van de AVG: personen een consistent en hoog beschermingsniveau bieden tegen de verwerking van hun persoonsgegevens.

Het is daarom onwenselijk om een extra drempel voor schadevergoeding te hanteren. Dat zou er immers voor zorgen dat het in aanmerking komen voor schadevergoeding afhankelijk is van of een rechter de schade ‘voldoende ernstig’ vindt, wat niet leidt tot consistente bescherming voor de getroffen personen. Ook als de schade dus erg laag uitvalt en bijvoorbeeld niet voldoet aan de Oostenrijkse ‘drempel van ernst’, moet er een recht op schadevergoeding kunnen bestaan.

De hoogte van de schadevergoeding is aan nationaal recht

Ten derde geeft de rechter antwoord op de vraag of de hoogte van de schadevergoeding moet worden vastgesteld aan de hand van Europees recht of van nationaal recht. Volgens vaste Europese rechtspraak is het aan de Europese lidstaten zelf om regels vast te stellen over rechtszaken binnen hun eigen rechtsorde, als dat niet op Europees niveau wordt geregeld. Nu er in de AVG geen regels staan over de hoogte van de schadevergoeding, moet dat dus volgens het nationale recht worden bepaald. Het enige waar rechters op moeten letten, is dat de schadevergoeding de schade ‘volledig en daadwerkelijk’ vergoedt en dat die vergoeding niet hoger uitvalt dan de geleden schade. De schadevergoeding is namelijk enkel ter compensatie en niet om de verwerkingsverantwoordelijke of de verwerker te bestraffen. Zij kunnen immers al bestraft worden door middel van een boete.

Aansprakelijkheid van verwerkingsverantwoordelijke en verwerker

Als is voldaan aan de door het Hof gestelde eisen, kan de betrokkene iedere verwerkingsverantwoordelijke die bij de verwerking betrokken is aanspreken om schadevergoeding te vorderen. Een verwerker kan alleen aansprakelijk worden gesteld (1) voor zover hij zijn verplichtingen uit de AVG niet nakomt of (2) wanneer hij de instructies van de verwerkingsverantwoordelijke niet opvolgt.

Iedere betrokken verwerkingsverantwoordelijke of verwerker kan voor het hele bedrag worden aangesproken door de betrokkene. Op die manier wordt gegarandeerd dat de schade van de betrokkene ook daadwerkelijk wordt vergoed. Wanneer een verwerkingsverantwoordelijke of verwerker de hele schade vergoedt, kan hij de andere betrokken verwerkingsverantwoordelijken/verwerkers aanspreken om de schade eerlijk te verdelen.

Zelfs als aan alle vereisten is voldaan, kan de verwerkingsverantwoordelijke of de verwerker nog wel worden vrijgesteld van aansprakelijkheid. Dit is alleen het geval wanneer hij kan aantonen dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit. Dit is echter moeilijk te bewijzen en de bewijslast hiervoor ligt volledig bij de verwerkingsverantwoordelijke of de verwerker zelf. Je beroepen op nalatig handelen van een medewerker is in ieder geval niet voldoende: het is immers je taak als verwerkingsverantwoordelijke of verwerker om ervoor te zorgen dat medewerkers jouw instructies opvolgen.

Beter voorkomen dan genezen

Kortom kom je niet snel in aanmerking  voor schadevergoeding, omdat het lastig is om schade op grond van een inbreuk op de AVG aan te tonen. Anderzijds, als er sprake is van schade dan moet alles worden vergoed, ook al gaat het maar om een klein bedrag. Dat de lat hoog ligt, betekent niet dat je nooit aansprakelijk kunt worden gesteld als verwerkingsverantwoordelijke of verwerker.

Meer weten over het AVG-compliant inrichten van je organisatie? Neem dan contact met ons op via info@it-jurist.nl of 050 534 4574!

Tags

 

Neem contact op

Meer informatie of een afspraak maken? Bel 050-5344574 of laat hier een bericht achter via ons contactformulier.

Ook interessant om te lezen

Hoe vraag je toestemming volgens de AVG?
Als je persoonsgegevens verwerkt, moet je een geldige grondslag hebben. In deze blog bekijken we de grondslag ‘toestemming’.
Testen met productie data mag dat
Mogen organisaties in verband met de AVG wel testen met echte klantgegevens?
Hoe kun je een domeinnaam overdragen?
Stel je wil je domeinnaam overdragen aan een andere partij. Wat dien je dan te doen?