Gemeente veroordeeld tot schadevergoeding datalek
16 februari 2021

Op 12 januari 2021 veroordeelde de Groningse kantonrechter de gemeente Oldambt tot betaling van een bedrag van € 500,- aan schadevergoeding voor het onrechtmatig publiceren van persoonsgegevens (waaronder het BSN) op een publiek deel van de gemeentelijke website.[1] Dit betrof een immateriële schadevergoeding (wordt ook wel smartengeld genoemd); de materiële schadevergoeding die werd geëist van € 11.307,- (vergoeding voor schade die in geld is uit te drukken), is afgewezen. Lees hier verder voor de uitgebreide bespreking van de uitspraak.

Schadevergoeding en Algemene Verordening Gegevensbescherming (AVG)

Voorop staat dat bij een onrechtmatige publicatie van persoonsgegevens er op grond van de AVG recht bestaat op volledige en daadwerkelijke schadevergoeding. Het gaat dan om alle schade die iemand daardoor lijdt en moet ruim worden uitgelegd.[2] Wat nu precies het begrip schade inhoudt en welke schadevergoeding moet worden toegewezen bij een datalek, is in de rechtspraak nog niet uitgekristalliseerd. Wel is bepaald dat een inbreuk op persoonsgegevens niet altijd hoeft te leiden tot (im)materiële schade.[3] Bovendien moet de schade reëel en zeker zijn geleden.[4]

Beslissing Rechtbank Noord-Nederland

Volgens de kantonrechter is het uitgangspunt dat de vordering tot immateriële schadevergoeding kan worden toegewezen gelet op de AVG en de tot nu toe vastgestelde rechtspraak daarover.[5] Zelfs als de schade niet gedetailleerd kan worden onderbouwd, komt de eiser de volledige en daadwerkelijke geleden schade toe. Wél maakt de rechtbank een voorbehoud: een inbreuk op de AVG brengt niet zonder meer met zich mee dat de eiser is aangetast in zijn integriteit en dus recht heeft op immateriële schade. De eiser moet zijn schade met concrete gegevens onderbouwen en aannemelijk maken.

De eiser heeft naar de mening van de rechtbank geen geestelijk letsel opgelopen, maar is wel op ‘andere wijze in zijn persoon aangetast’. Er zijn immers gevoelige gegevens openbaar gemaakt (het BSN-nummer maar ook het e-mailadres en het telefoonnummer van de eiser), zonder toestemming van de eiser. De rechtbank wijst een bedrag toe van € 500, “gelet op de omstandigheden van het onderhavige geval, waaronder de aard, duur, frequentie en ernst van de inbreuk, afgezet tegen de omstandigheid dat niet is gebleken dat de datalekken tot concrete negatieve gevolgen hebben geleid”. Die omstandigheden, het onterecht openbaar maken van onder meer het BSN-nummer maar het ook snel ‘dichten’ van het datalek worden hier dus door de rechter afgewogen.

Beter voorkomen dan genezen

Uit de uitspraak van de rechtbank kunnen we maar weer eens opmaken dat het belangrijk is om zorgvuldig om te gaan met persoonsgegevens. Zorg er daarom voor dat je je organisatie AVG-compliant hebt ingericht, dat je niet meer gegevens verwerkt dan noodzakelijk en dat je adequaat reageert wanneer er toch iets mis gaat. Mocht er bijvoorbeeld een datalek worden geconstateerd, dan is snel reageren van groot belang. De rechter heeft daar in deze rechtszaak duidelijk rekening mee gehouden in zijn overweging bij het toekennen van de schadevergoeding.

Meer weten over het AVG-compliant inrichten van je organisatie en het opstellen van protocollen voor rechtmatige verwerking, beveiliging en opvolging van datalekken? Neem dan contact met ons op via info@it-jurist.nl of 050 534 4574!

Tags

Neem contact op

Meer informatie of een afspraak maken? Bel 050-5344574 of laat hier een bericht achter via ons contactformulier.

Ook interessant om te lezen