De eerste schadeclaim onder de AVG is binnen, maar het is wel een rare zaak

Het is waarschijnlijk een juridische primeur: een rechter heeft een schadevergoeding toegekend op grond van de Algemene verordening gegevensbescherming (AVG). Dat meldde RTL Z afgelopen vrijdag. De gemeente Deventer moet van de rechter 500 euro betalen aan een man van wie de gemeente de naam en woonplaats doorspeelde naar tientallen andere gemeenten. Ik ken ook geen andere uitspraken waarin sec voor misbruik van persoonsgegevens een schadevergoeding moest worden betaald. Het bedrag is niet mis dus ik hoop dat dit andere organisaties aan het denken zet. Want privaat handhaven kan iedereen, zelfs zonder advocaat.

De man wordt in diverse media als een professioneel wobber aangeduid, wat de zaak een reukje moet geven want wie doet dat nou, stelselmatig gemeentes om informatie vragen? Maar het is een grondrecht dat je dat mag doen. Gemeentes worstelen daar soms mee, en gaan dan onderling tips uitwisselen. RTL legt uit:

Een aantal van die gemeenten wilde kennis uitwisselen over hoe ze moesten omgaan met zijn verzoeken. In een e-mail aan ongeveer veertig tot vijftig andere overheden gaf de gemeente Deventer aan ook een Wob-verzoek van de man te hebben ontvangen, waarbij ze zijn naam noemden, aangaven dat het om een man ging (‘hij’), waar hij woonde en hoe ze zijn verzoek hadden afgehandeld.

Dat was een probleem, want onder de Wbp én de AVG is het zomaar delen van persoonsgegevens niet echt de bedoeling. Onrechtmatig dus, en een onrechtmatige daad geeft aanleiding tot een schadevergoeding. Alleen, wat is dan je schade? Dat is al een decennium of zo het discussiepunt bij privacykwesties. En waar ze dan bij andere rechten – zoals het auteursrecht – een willekeurige tarieflijst erbij pakken of een bedrag uit de duim zuigen, word je bij persoonsgegevens er hard op gewezen dat je schade écht moet onderbouwen meneertje. Frustrerend ja.

Deze rechter pakt het in zoverre verfrissend aan dat hij het als immateriële schade aanmerkt en dan een bedrag van €500 billijk verklaart. De grond is dan de algemene “schending van de privacy”, dat de rechter herleidt tot “verlies van controle over zijn persoonsgegevens”. Controle over persoonsgegevens is één van de kerndoelen van de AVG (overweging 7), dus dat is een mooie invulling van dat grondrecht. Blijf van mijn gegevens af.

Opvallend daarbij is wel dat de rechter nadrukkelijk vaststelt dat Deventer geen oogmerk had de man kwaad te doen. Dit is dus uitdrukkelijk de schade bij een onschuldige inbreuk. En dat maakt het precedent des te interessanter. Als deze vogel tot een zomer leidt, dan kunnen dus heel wat organisaties 500 euro per geval af gaan tikken voor onschuldige slordigheden. Ik zei al, private handhaving gaat het helemaal worden.

Arnoud

22 reacties

  1. Ik vind hem leuk. En ook helemaal terecht in deze tijd. Zo jammer dat je dan weer naar de rechter moet om het af te dwingen. Wel weer leuk dat je het zelf kan doen. Maar wat gebeurd er nu met de gegevens die doorgespeeld zijn? Ik moet hier lichtelijk denken aan het Barbara Streisand effect.

      1. Met deze uitspraak van de rechter zal een volgende gemeente je een bloemetje aanbieden bij een datalek en ik verwacht dat er gemeentes zijn die je, als je daarop aandringt, een schadevergoeding van een honderdtal euro’s zullen aanbieden.

        Als ik lees hoeveel advocaten bij de zaak betrokken waren is die schadevergoeding maar een druppel op de advocatenrekening.

  2. Nou, ik vind dit helemaal niet zo positief.

    Ik ben een kleine ondernemer, en ik kan me heel goed voorstellen dat ik een onschuldige fout maak met een naam of adres. Oei, en schande, aan een klant refereren als hij of zij….!

    Hiermee maak je kleine ondernemers failliet. En OK, dit was een gemeente, maar toch. Het enige wat ze gedaan hebben is overleggen met andere overheden hoe om te gaan met een lastige klant. En tja, dan moet je de klant wel noemen.

    En ik vraag me af Arnoud, wordt er bij jou nooit een email van een klant geforward naar een collega? Wordt iedere email van een potentiele klant binnen een paar weken vernietigd? Hoe zij jij het vinden om elke keer 500€ te moeten aftikken als de naam van een klant genoemd wordt?

    (misschien ga ik maar in mijn privacyverklaring en AV opnemen dat ik elke klant ‘hij’ zal noemen maar dat dat geen geslacht aanduid, en dat als ik een adres (email of gewoon) en naam noem dat iedereen dat als fantasienaam en adres moet beschouwen)

    1. Was de maximale boete niet een percentage van je inkomsten? Ik vermoed dat een onbedoelde fout dan daar significant onder moet zitten. Ik vermoed dat een kleine ondernemer niet zomaar 500 euro p.p. hoeft neer te leggen.

  3. Hulde voor deze man. Zonder hem geen tanden aan de wet. Over de kwalificatie van ‘professioneel wobber’. Een van mijn ‘guilty pleasures’ is om mijn incidenteel gebruik van de WOB te laten vallen in gezelschap van (hogere) ambtenaren. Nog nooit heb ik een andere reactie gekregen dan dat ze nog nooit iemand hebben ontmoet die wel eens een WOB-verzoek doet. Dan geef ik een paar voorbeelden van hoe ik (lokale) politici beter op pad heb kunnen sturen met dank aan een opgevraagd setje documentatie hier of daar en ontstaat meestal wat begrip. Maar de eerste blik is er altijd een van ongeloof.

  4. In de uitspraak staat dat voor toekenning van de schadevergoeding aansluiting gezocht wordt bij artikel 6:106 van het Burgerlijk Wetboek . De hoogste rechter in Oostenrijk (Oberster Gerichtshof) beschouwt Art. 82 AVG juist als een lex specialis van het algemene recht mbt schadevergoedingen, namelijk specifiek voor privacy zaken. bron: noyb.eu.

  5. Maar wat is er nou uiteindelijk echt gedeeld over de man? Zijn geslacht e naw staan in het basisregister. En daar kan iedere gemeente sowieso al bij. Er is nu toch niet meer gedaan dan hem aanwijzen, in een bak van personen die aan de andere kant al bekend zijn?

    1. Ja dat vindt ik ook. Het hoort bij de normale taken van de diverse overheden om hun eigen werking, en die van de overheid als geheel, te optimaliseren, en daarbij hoort het coordineren van de omgang met ‘bijzondere’, zij het volledig rechtmatig handelende, personen.

      Ik zou het erger vinden als de diverse overheden niet hadden gecoordineerd, maar elk op hun eigen eilandje een eigen omgangsmethodiek (misschien zelfs soms in tegenspraak met elkaar) met deze persoon hadden ontwikkeld.

      Eigen gerechtvaardigd belang/uitvoering wettelijke taken lijkt me hier toch een goede verdediging.

    2. “Meneer doet Wob-verzoek bij gemeente Deventer” is op zich al informatie, zeker als je dat deelt om te kijken of meerdere overheidsinstanties Wob-verzoeken van hem krijgen. Dat je bestaat is het spannende niet, wat je doet wel.

  6. Als deze vogel tot een zomer leidt, dan kunnen dus heel wat organisaties 500 euro per geval af gaan tikken voor onschuldige slordigheden.
    Het ging hier niet om een slordigheid (een onbewuste actie) maar juist om een bewuste actie van de gemeente om iemands gegevens te delen. Dat maakt wel degelijk een verschil. Ik denk niet dan je voor een onschuldige slordigheid ook 500 euro per geval hoeft af te tikken.

    1. Het was een bewuste actie om te coordineren met andere overheden hoe om te gaan met een moeilijke klant.

      Het opnemen van de gegevens in een communicatie in het kader van die coordinatie zie ik op zijn hoogst als een administratieve slordigheid, waarschijnlijk op basis van onnadenkendheid van een ambtenaar, niet een bewuste actie om die man dwars te zitten en hem de controle over zijn gegevens te laten verliezen.

      1. Want onnadenkendheid moet onbestraft blijven? Dan ga ik morgen even “onnadenkend” 100 rijden waar ik 80 mag, kijken of de politie ook vindt dat het “onnadenkend” was en me daarom geen boete geeft.

  7. Hi Arnoud,

    Ik lees in de uitspraak niet dat de rechter nadrukkelijk vaststelt dat de gemeente Deventer geen oogmerk had de man kwaad te doen. In overweging 7 zie ik enkel de stelling van de gemeente zelf terug, waarover de rechtbank in overweging 8 zegt verweerder daarin niet te volgen. Het lijkt mij dus dat er niet expliciet beslist is over het al dan niet hebben van een oogmerk om kwaad te doen. In zoverre zie ik dan ook niet dat dit uitdrukkelijk schade is bij een onschuldige inbreuk betreft.. Of zie ik de overweging over het ontbreken van een oogmerk om kwaad te doen van de rechtbank over het hoofd?

    Groet, Merel

    1. Je hebt gelijk, ik had gemist dat dit een stelling van verweerder was waar de rechtbank niet in meegaat. Het leek mij zelf ook een onschuldige actie, daarom zag ik te snel bevestiging daarvan. Ik zie dat de rechtbank niet verder gaat dan “het is onrechtmatig” en niet bevestigt of ontkent dat sprake zou zijn van boze opzet – wat ook niet relevant is bij een civiele schadeclaim. Ik pas dit aan.

  8. Dit vind ik precies het probleem met dit soort regelgeving: het lokt parasitisme van juristen uit. Wij zijn er godverdorie met zijn allen niet niet om juristen aan werk te helpen. Daar betaal ik mijn gemeentebelasting niet voor.

  9. Persoonlijke gegevens van vermoedelijk tienduizenden mensen zijn in verkeerde handen gevallen door een lek bij het bedrijf Ticketcounter. Het gaat om namen, e-mails, geboortedata, adressen en bankrekeningnummers. Ticketcounter regelt in opdracht van dierentuinen, pretparken, musea en evenementen reserveringen en betalingen.

    Het bedrijf werd afgeperst en besluit om geen losgeld te betalen. Kunnen de getroffenen nu dezelfde schade op dit bedrijf gaan verhalen en allen 500 euro eisen? Het bedrijf neemt zelf de bewuste keuze om niet te betalen en daarmee het risico dat de gegevens op straat komen te liggen.

    https://nos.nl/artikel/2370818-groot-datalek-bij-reserveringssysteem-dierentuinen-en-pretparken.html

      1. Huh? Nee. Tauvic en jij trekken een verkeerde conclusie. Het bedrijf heeft gegevens niet goed beveiligd, en heeft ze in verkeerde handen laten vallen. Daarom moet het bedrijf een mogelijke schadevergoeding betalen. Dat het bedrijf geen afperssom betaalt, geeft alleen geen verzachtende omstandigheden. Als het bedrijf echt niks te verwijten viel, kon het zich nog op overmacht beroepen. Maar zeggen zelf ‘menselijke fout’, zou ik niet weten waarom ze geen schadevergoeding moeten betalen.

        Overigens is dit vrij ernstig. “namen, e-mails, geboortedata, adressen en bankrekeningnummers” komt bij mij over als alle gegevens die misschien bij hen nodig waren om een ‘betaling’ te doen. En dat dit om gegevens vanaf periode medio 2017, maakt dat een hele dikke boete bovenop de schadevergoedingen niet gek klinkt.

        1. Bedankt voor de reactie. Ik ben het met je eens een bedrijf dat goede beveiligingsmaatregelen heeft genomen en toch getroffen word door een hele goede hacker dat kan overmacht zijn. Maar als je niet betaald voor afpersing neem je als bedrijf zelf de keuze om de data vrij te geven want das is dan wat de dief gaat doen.

          Je had toch ook een verzekering kunnen afsluiten om dit afpers bedrag te dekken. Moet een bedrijf dan niet naast beveiliging ook verzekering maatregelen nemen tegen afpersing. Net zoiets als een ontvoering verzekering. Je weet niet of de dief na betaling van het losgeld ook de data terug geeft maar het is wel aannemelijk. Want consistent data teruggeven na betaling dat maakt het voor de dief makkelijker om dit bij een ander slachtoffer nog eens te doen. Het is natuurlijk niet netjes van de dief. Maar beperkt wel de schade voor degene waarvan de persoonlijke data op straat ligt. De verzekering zal dan ook een aantoonbaar deugdelijke beveiliging eisen. Vastgesteld door een security auditor. Het rapport hiervan kan dan weer op de website worden getoond als geruststelling voor de klanten.

          Nu gaat de dief zijn winst halen door de data te verkopen. De getroffenen moeten nu de rest van hun leven alles in de gaten houden. Je weet niet wat er met de data gebeurt. Ik vind het idee dat je schade eerst moet kunnen aantonen niet echt een goed middel om druk te krijgen op organisaties die te weinig aan beveiliging doen en als het toch gebeurt er niet alles aan doen om de gevolgen te minimaliseren.

      2. Juridisch gedwongen lijkt mij niet, maar een simpele economische rekensom wel. Als je weet dat je laakbaar gehandeld hebt met die gegevens, en je vatbaar bent voor claims van de slachtoffers dan kan het goedkoper zijn om het losgeld te betalen (als het daarmee ook permanent verdwijnt), als dat zou betekenen dat je daarmee niet meer vatbaar bent voor claims.

    1. Ticketcounter kun je aanspreken op dat lek ongeacht of ze wel of niet betalen. Betalen aan de afpersers heeft so-wie-so geen zin, want dat is een criminele organisatie die je helemaal niet kunt vertrouwen: het risico dat de gegevens op straat komen veranderd dus niet door te betalen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.