Een lezer vroeg me:
Een online muziekdienst waar ik gebruik van maakte heeft wegens een groot datalek van de Franse toezichthouder een boete gekregen. Bij dit datalek werden ook mijn persoonlijke gegevens gestolen. Alleen, het geld van die boete gaat nu naar de Franse overheid. Als gedupeerde Nederlandse gebruiker zie ik hier helemaal niets van terug. Waarom is dit zo en kun je er als getroffen gebruiker iets aan doen?Inderdaad kunnen onder de AVG boetes worden opgelegd voor gebrekkige beveiliging van persoonsgegevens, zeker als die daardoor in onbevoegde handen zijn gekomen.
De bevoegde toezichthouder die zo’n maatregel neemt, hangt (in principe) af van het land waarin het incident plaatsvond, wat vaak samenhangt met waar de verwerkingsverantwoordelijke gevestigd is. In dit geval was dat dus Frankrijk, vandaar dat daar de boete is opgelegd. (Wie de juridische details wil: artikelen 55 en 56 AVG.)
Doel van een boete is organisaties bestraffen, en anderen afschrikken zodat die hun zaakjes beter gaan regelen. Uit de boete worden slachtoffers dus niet schadeloos gesteld, en ze kunnen ook geen aanspraak maken op een kostenvergoeding of iets dergelijks. De boete gaat ‘gewoon’ de staatskas in.
Getroffenen mogen wél een schadeclaim indienen bij de organisatie in kwestie, al dan niet via een collectieve procedure met alle andere gedupeerden samen. Dat de organisatie is beboet door de toezichthouder, is dan een heel sterk argument dat die schade moet worden vergoed. Maar formeel staat deze procedure los van het boetetraject. (In het Nederland strafrecht kun je je als slachtoffer voegen, wat betekent dat je via de strafrechter je schade vergoed krijgt van de dader. In het bestuursrecht, waar de AVG onder valt, bestaat zo’n route niet.)
Arnoud
De vraagsteller lijkt te suggereren dat de boete is opgelegd vanwege een datalek. Naar mijn weten is een datalek an sich geen overtreding van de AVG. De achterliggende oorzaak, zoals gebrekkige beveiliging, natuurlijk wel.
Het feit dat je gegevens gelekt zijn, maakt niet automatisch dat er schade is. Voor een schadevergoeding moet er sprake zijn van een inbreuk op de AVG (het boetebesluit helpt daarbij), er moet sprake zijn van schade (aantoonbaar, materieel en/of immaterieel) én er moet een causaal verband zijn tussen de overtreding en die schade. Welke gegevens
Ik ken de casus niet helemaal, maar welke persoonsgegeven zijn er gelekt? Je guilty pleasures moeten wel héél fout zijn, wil het uitlekken van je muziekvoorkeuren tot schade leiden…
Muziekdienst Deezer
“email addresses, IP addresses, names, usernames, genders, DoBs and the geographic location of the customer”
En, zoals Arnoud anders meestal ook wel noemt; om een financiële schadevergoeding te vragen, moet je ook financiële schade hebben opgelopen. Dat benoemd je niet expliciet, maar de intentie was er misschien wel.
Privacyschending zelf kost niets. Gemaakte kosten door gevolgen wel. Maar bij gelekte gegevens is dat niet zomaar evident te koppelen.
Je ziet in de VS dat bij grote lekken bij bijvoorbeeld creditcard-bedrijven dat ze een jaar gratis een abonnement geven op een dienst om identiteitsdiefstal te voorkomen.
Je kunt niet hardmaken wat je schade nu is, tenzij je netjes je deezer account gekoppeld hebt aan een uniek mailadres waar je nu misschien meer spam en phishing binnenkrijgt.
@Arnout: denk je dat hier ooit standaardboetes voor gaan komen? Of moet dit juist altijd maatwerk blijven?
Zelfs als je spam/phishing mails ontvangt; Dat is voor de meeste mensen eigen tijd. En die eigen tijd heeft geen financiële waarde.