Een rondgemaild Excelbestand kan je zomaar 250 euro per persoon kosten van de AVG

tomfield / Pixabay

Het standaardvoorbeeld van een “datalek in het klein”: een Excelbestand met een berg mensen hun gegevens, rondgemaild naar die hele berg. Ergerlijk, vervelend maar “in het klein” want het zal zelden meer zijn dan een paar honderd mensen en gaat meestal om basale gegevens. Zoals je naam, 06 en huisadres naar de dertig mede-ouders van de schoolklas. Maar wat nu als het gaat om 1100 mensen en dan ook je jaarinkomen, eigen vermogen en hypotheek van een te kopen huis? Dat kan dus 250 euro kosten, aldus de rechtbank Rotterdam.

Aanleiding was het nieuwbouwproject ‘Koningskwartier’ in Zevenhuizen in 2021. Ongeveer 1100 mensen hadden zich met interesse gemeld, en daarbij allerlei financiële gegevens verstrekt zoals gewenste koopsom, maximaal te lenen bedrag en jaarinkomen, naast natuurlijk naam en contactgegevens. En toen kwam een dikke vinger:

Op 12 april 2021 heeft [gedaagde] een e-mail verzonden aan alle personen die zich hebben ingeschreven voor het project Koningskwartier. Bij deze e-mail heeft [gedaagde] een onbeveiligd Excelbestand gevoegd met daarin de gegevens van alle ongeveer1100 personen die zich hebben ingeschreven voor het nieuwbouwproject.
Auw. Ja, een minuut later probeerde men dit in te trekken maar dat werkt eigenlijk nooit buiten de eigen organisatie. Datalek dus. Diezelfde avond is iedereen nagemaild met de vraag het bestand te wissen, maar dan is het kwaad natuurlijk al geschied.

Een van de getroffenen ondervoer naar eigen zeggen zo veel overlast dat hij een nieuwe mobiele telefoon moest aanschaffen. De kosten daarvan (750 euro) claimde hij als schade bij de organisatie. Die wilde dat niet betalen, waarop een rechtszaak ontstond. Kern van die zaak was natuurlijk hoe je de schade nu precies onderbouwt. Die 750 euro wordt bijvoorbeeld afgewezen, omdat een nieuwe telefoon het probleem niet oplost (immers met nummerbehoud overgestapt) en het nummer van de man bovendien op onder meer zijn Linkedin vermeld stond.

Eerder hadden we een duidelijke afwijzing, geen 500 euro schadeclaim enkel omdat de AVG is geschonden. Je moet nog steeds aantonen dat er schade is. Dat lukte in één zaak, omdat het daar ging om medische gegevens en het dan “voor de hand lag” dat dit tot schade zou lijden. De rechtbank hier noemt deze zaken niet, maar lijkt wel hetzelfde te redeneren: omdat het gaat om gevoelige financiële gegevens die ook nog eens bij (waarschijnlijk) toekomstige buren terechtgekomen zijn. Dan is schade (reputatieschade, lastig gevallen worden met verzoeken om geld, kwetsbaarheid) wel te voorzien. Daarom kent de rechtbank hier 250 euro schadevergoeding toe.

Een kleine opsteker dus weer voor al die mensen die dachten dat schadevergoeding er onder de AVG niet in zit. Het kan wel, maar het moet wel echt om een pijnlijk datalek gaan. En hoe je dat precies onderbouwt, dat blijft nog onduidelijk.

Arnoud

Consumentenbond wil dat Facebook gebruikers compenseert voor schenden privacy

De Consumentenbond en de Data Privacy Stichting hebben Facebook gedagvaard in een poging om het socialenetwerkbedrijf te dwingen gebruikers te compenseren voor het schenden van hun privacy. Dat meldde Tweakers dinsdag. Deelname is gratis, wel wordt 18% van de toe te kennen schadevergoeding aan een advocatenkantoor betaald dat op no-cure-no-pay basis (of nou ja, niet helemaal) de zaak doet. De exacte dagvaarding kan ik nog niet vinden maar de kern is natuurlijk geen toestemming (grondslag) en geen verplichte informatieverstrekking onder de AVG. Ik zeg #teamConsumentenbond.

De AVG is er natuurlijk al sinds 2018 maar de reden dat de Bond nu pas deze stap maakt, is dat het pas sinds kort mogelijk is om een massaclaim met schadevergoeding te brengen bij de Nederlandse rechter (art. 3:303a BW). Tot die tijd had de Bond alleen een verbod kunnen eisen, maar dat schiet niet zo op want dat zal Facebook niet echt pijn doen. Dan verzinnen ze weer wat nieuws. Een schadeclaim, en vooral heel veel vervolgclaims vanuit de rest van Europa, dát doet pijn.

Had dit nu niet beter via de toezichthouder kunnen gaan? Die is natuurlijk al naar Facebook aan het kijken en ik zie daar ook echt wel boetes vandaan komen. Alleen, het is voor de AP lastiger om een boete op te leggen dan voor de Consumentenbond om een schadeclaim te doen. Een boete vereist een heel bestuursrechtelijk traject: inspraak, reacties, concepten, toetsing aan boetekaders en richtlijnen, zorgvuldige besluitvorming et cetera. Dat duurt naar zijn aard twee jaar. (Plus AVG-gedoe over de competente leidende toezichthoudende autoriteit, juristen krijgen hoofdpijn van deze wetsartikelen, artsen staan versteld).

Terwijl een schadeclaim bij de burgerlijke rechter gewoon een jaartje is met een paar rondes verweerschriften en repliek/dupliek en dan een uitspraak. De onderbouwing kan makkelijker: een boete moet je gedetailleerd motiveren, de schadevergoeding kan -in theorie- zijn “wat uwedelachtbare billijk acht (artikel 6:97 BW)”. En ja, het grote probleem is natuurlijk dat de Bond geen harde getallen op de schade kan zetten. Wat is je schade doordat Facebook je profiel blootstelde aan rare advertenties of politieke manipulatie? Inderdaad, laat ik ook liever aan de dikke duim, pardon het rechtsgevoel van de rechter. Maar denk aan 50 tot 100 euro.

Per persoon ja. En we hebben in Nederland iets van 14 miljoen volwassenen die dus kwalificeren als consument. Ook Facebook vindt iets van 14 miljoen maal 50 euro, zeker als er een dwangsom achteraan komt én andere consumentenbonden deze zelfde claim btrengen vanuit hun land. (Dit is meer dan de 10,4 miljoen Nederlandse Facebookgebruikers want daar zitten ook minderjarigen tussen en bovendien volgt Facebook je ook als je geen lid bent.)

Het voornaamste voor mij is dat dit volgens mij is hoe de AVG moet werken. Toezichthouders zijn leuk en aardig maar naar hun aard te grofmazig en traag om elke overtreding aan te pakken. Massaal kleinschalig handhaven werkt veel beter (daarom was ik ook zo blij met die Belgen). Het kan natuurlijk uit de hand lopen – lees daarvoor mijn World of 2K38 of voorinteken voor de graphic novel.

Arnoud

Toch geen 500 euro schadeclaim onder de AVG

Wie onder de AVG schade wil claimen, moet wel aantonen dat hij daadwerkelijk schade heeft geleden. Dat besliste de Raad van State onlangs. Daarmee is die zaak uit 2019 van tafel, waarin een man 500 euro kreeg omdat zijn naam en e-mailadres aan allerlei gemeenten werd doorgegeven in strijd met de AVG. De rechter vond “verlies van controle over zijn persoonsgegevens” genoeg grond om van immateriële schade te spreken, maar de Raad van State (de hogerberoepsrechter in gemeentezaken) vond dat er echt wel iets van een onderbouwing moet zijn. Enkel in je grondrechten aangetast zijn, is niet genoeg.

Dat laatste is in lijn met een Hoge Raad-arrest uit 2019, dat niet over de AVG ging maar wel over wanneer immateriële schade toegekend kan worden. Enkel dat je in een grondrecht aangetast wordt, is niet genoeg. Dat kan immers van zeer gering tot zeer ernstig zijn, en om ze allemaal voor schadevergoeding in aanmerking te laten komen, gaat dan veel te ver. Er zijn wel mogelijkheden:

In beginsel zal degene die zich hierop beroept de aantasting in zijn persoon met concrete gegevens moeten onderbouwen. In voorkomend geval kunnen de aard en de ernst van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen.

De Raad van State borduurt hierop voort en stelt dat je inderdaad moet onderbouwen dat je enige schade hebt geleden. De rechter mag daar dan met de dikke duim een bedrag van maken, maar enkel “de AVG is geschonden dus ik wil geld” gaat hem niet worden. Ook niet als je artikel 82 AVG erbij haalt, want daar staat alleen dat je recht hebt op vergoeding van geleden schade, niet dat er per definitie schade ís als de AVG is geschonden.

Het is overigens ook weer niet onmogelijk: in een andere zaak kende de RvS wél 500 euro schadevergoeding toe wegens AVG-schending. Het ging hier wel om medische gegevens die ook nog eens in een klachtprocedure tegen de betrokkene werden gebruikt. Daarbij “ligt het voor de hand” dat er schade moet zijn geleden.

Arnoud

De eerste schadeclaim onder de AVG is binnen, maar het is wel een rare zaak

Het is waarschijnlijk een juridische primeur: een rechter heeft een schadevergoeding toegekend op grond van de Algemene verordening gegevensbescherming (AVG). Dat meldde RTL Z afgelopen vrijdag. De gemeente Deventer moet van de rechter 500 euro betalen aan een man van wie de gemeente de naam en woonplaats doorspeelde naar tientallen andere gemeenten. Ik ken ook geen andere uitspraken waarin sec voor misbruik van persoonsgegevens een schadevergoeding moest worden betaald. Het bedrag is niet mis dus ik hoop dat dit andere organisaties aan het denken zet. Want privaat handhaven kan iedereen, zelfs zonder advocaat.

De man wordt in diverse media als een professioneel wobber aangeduid, wat de zaak een reukje moet geven want wie doet dat nou, stelselmatig gemeentes om informatie vragen? Maar het is een grondrecht dat je dat mag doen. Gemeentes worstelen daar soms mee, en gaan dan onderling tips uitwisselen. RTL legt uit:

Een aantal van die gemeenten wilde kennis uitwisselen over hoe ze moesten omgaan met zijn verzoeken. In een e-mail aan ongeveer veertig tot vijftig andere overheden gaf de gemeente Deventer aan ook een Wob-verzoek van de man te hebben ontvangen, waarbij ze zijn naam noemden, aangaven dat het om een man ging (‘hij’), waar hij woonde en hoe ze zijn verzoek hadden afgehandeld.

Dat was een probleem, want onder de Wbp én de AVG is het zomaar delen van persoonsgegevens niet echt de bedoeling. Onrechtmatig dus, en een onrechtmatige daad geeft aanleiding tot een schadevergoeding. Alleen, wat is dan je schade? Dat is al een decennium of zo het discussiepunt bij privacykwesties. En waar ze dan bij andere rechten – zoals het auteursrecht – een willekeurige tarieflijst erbij pakken of een bedrag uit de duim zuigen, word je bij persoonsgegevens er hard op gewezen dat je schade écht moet onderbouwen meneertje. Frustrerend ja.

Deze rechter pakt het in zoverre verfrissend aan dat hij het als immateriële schade aanmerkt en dan een bedrag van €500 billijk verklaart. De grond is dan de algemene “schending van de privacy”, dat de rechter herleidt tot “verlies van controle over zijn persoonsgegevens”. Controle over persoonsgegevens is één van de kerndoelen van de AVG (overweging 7), dus dat is een mooie invulling van dat grondrecht. Blijf van mijn gegevens af.

Opvallend daarbij is wel dat de rechter nadrukkelijk vaststelt dat Deventer geen oogmerk had de man kwaad te doen. Dit is dus uitdrukkelijk de schade bij een onschuldige inbreuk. En dat maakt het precedent des te interessanter. Als deze vogel tot een zomer leidt, dan kunnen dus heel wat organisaties 500 euro per geval af gaan tikken voor onschuldige slordigheden. Ik zei al, private handhaving gaat het helemaal worden.

Arnoud

Help, mijn persoonsgegevens zijn gelekt, wat nu?

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataEen lezer vroeg me:

Je hebt regelmatig aandacht besteed aan datalekken, maar vanuit het perspectief van een slachtoffer wilde ik toch wat vragen. Afgelopen zaterdag informeerde mijn werkgever me dat mijn adres en BSN op straat ligt door een fout van een ingehuurd bedrijf. Maar meer dan “de kans op fraude is laag” en dat ik goed op mijn rekening moet letten zie ik niet. Kan ik hier juridisch wat mee?

Helaas komen datalekken erg vaak – te vaak – voor. Gelukkig niet altijd van deze omvang. Je zou hopen dat die nieuwe wet hier snel verandering in brengt.

Een bedrijf is verplicht datalekken te melden bij de toezichthouder, en bij vermoedelijke negatieve gevolgen ook bij betrokkenen zelf. Die brief is dus op zich terecht verstuurd. De brief moet ook vermelden wat “de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken” zijn (art. 34a lid 3 Wbp).

De tekst van die brief doet wat plichtmatig aan. Dat kan ik zelf ook wel bedenken, dat ik goed moet gaan uitkijken. Maar ja, heel veel meer dan “let op je creditcard” en “log regelmatig overal even in om te zien of niemand met je bsn identiteitsfraude heeft gepleegd” kan ik ook niet bedenken. Want er ís niet veel meer dat je kunt doen als consument.

Ja, heb je concreet nadeel van dit datalek dan is dat te verhalen. Schending van de Wbp is een onrechtmatige daad, en wie die pleegt moet de schade vergoeden. Dit even los van boetes die de toezichthouder oplegt. Alleen, wat is je schade bij een privacyschending? Welk getal zet je op de tijd en het gedoe met je energiemaatschappij of zorgverzekeraar omdat een grapjas bijvoorbeeld je contract heeft opgezegd?

Ik zou graag positiever zijn maar helaas is het best wel slecht geregeld voor mensen die getroffen worden door een datalek.

Arnoud

Vijf auteursrechtelijke mythes die ook maar eens naar de prullenbak moeten

mythe-verhaalMijn blog over vijf juridische mythes riep veel reacties op. Dus ik dacht, tijd voor nog wat meer mythes die naar de prullenbak moeten, en dan nu over het onderwerp auteursrecht.

  1. Je mag iemands werk gebruiken als je maar bronvermelding doet (en niet commercieel bent.) Nope. De auteurswet kent geen algemene regel dat je een werk mag overnemen. De eis van naamsvermelding komt uit het citaatrecht, maar dat staat je niet toe een geheel werk te gebruiken. Er was een persexceptie maar die is de facto afgeschaft omdat je met een simpel “Alle rechten voorbehouden” de pers kunt verbieden je werk over te nemen. Alleen voor eigen gebruik (thuiskopie) mag je een werk overnemen, bijvoorbeeld een foto naschilderen voor je schildercursus of een artikel kopiëren om het later nog eens te lezen.
  2. Als je iets op een Amerikaanse site doet, valt dat onder Amerikaans auteursrecht (fair use). Nope. De locatie van de server is niet relevant bij de vraag welk recht (welke wet) van toepassing is. Het gaat erom in welk land je iets verspreidt (openbaar maakt) of kopieert. En dat kan best in meerdere landen tegelijk zijn. Als Google vanaf haar Amerikaanse serverfarm andermans werk als doodle opvoert bij Google.nl, wordt dat onder de Nederlandse auteurswet beoordeeld.
  3. Als er geen copyright-notice of watermerk bij staat, dan mag je het gebruiken (mits met bronvermelding). Nope. De auteurswet is duidelijk: je hebt toestemming nodig, of een wettelijke uitzondering. Het maakt niet uit of de maker bekend is of zijn auteursrechten actief claimt. En dat het zonder makernaam lastig is deze te vinden, is jouw probleem en niet dat van de maker.
  4. Als je een auteursrecht schendt, moet de rechthebbende je eerst waarschuwen voordat hij een schadeclaim mag doen. Nope. Juridisch gezien is het schenden van iemands auteursrecht hetzelfde als het bekrassen van iemands auto. Je moet de schade vergoeden, en de ander hoeft niet eerst te waarschuwen dat je daarmee op moet houden. Dat systeem van waarschuwingen (“notice/takedown”) bestaat wel maar dan alleen voor hostingproviders en andere tussenpersonen die niet zelf auteursrechten schenden. Zij hoeven geen schadeclaims te betalen als ze na klachten over hun klanten meteen ingrijpen.
  5. Als je de film al hebt gekocht, mag je deze ook downloaden. Dit is een subtiele. Downloaden uit illegale bron mag niet (meer), en iets van zeg Bittorrent afhalen is downloaden uit illegale bron. Of streamen met Popcorn Time. Dit wordt niet anders omdat je ook een dvd hebt gekocht met hetzelfde werk. De dvd-aankoop geeft je rechten met betrekking tot de film op de dvd, maar geen recht om uit eender welke bron een kopie van die film te betrekken. De dvd rippen naar een digitaal formaat mag wél.

Ik ben het onmiddellijk eens met iedereen die nu roept dat dit dus betekent dat auteursrecht niet goed samengaat met internet.

Misschien moet ik maar eens een mythische woensdag instellen?

Arnoud

Ben ik aansprakelijk voor auteursrechtinbreuk in een template?

gallery-website-templates.pngEen lezer vroeg me:

Ik exploiteer een aantal webshops en bouw deze vaak met templates die ik netjes aankoop bij de welbekende template-sites. Maar laatst kreeg ik een factuur van een fotograaf vanwege een foto uit zo’n template. Toen ik verwees naar de templatesite zei hij dat hem dat niet uitmaakte en dat ik gewoon aansprakelijk was. Klopt dat? Moet ik echt betalen?

Hoofdregel is dat degene die iets publiceert op internet, aansprakelijk is bij eventuele rechtenschendingen. Dat is hier dus de vraagsteller: het is zijn webshop, dus hij is aansprakelijk voor de foto’s en andere inhoud die hij daar neerzet. (De bescherming voor forumbeheerders lijkt me niet van toepassing.)

Het is gek dat je aansprakelijk bent voor iets dat je niet zelf deed. Maar binnen de auteurswet is dit logisch: anders gaat iedereen naar elkaar verwijzen en blijkt de daadwerkelijk verantwoordelijke toevallig nét even op voetreis in Tibet de komende zeven jaar, sorry. Het systeem is dan ook dat degene die publiceert, het moet regelen met de fotograaf en het daarna kan verhalen op de maker van de site of de leverancier van het sjabloon.

Bij de templatesites die ik ken, is het best lastig om schade te verhalen want de algemene verkoopvoorwaarden zijn expliciet: geen aansprakelijkheid voor inbreuk op rechten van derden, of een beperking van aansprakelijkheid tot de prijs van het template. Of je daar doorheen kunt breken, is een goede vraag. Het lijkt me goed verdedigbaar dat het onredelijk is om je aansprakelijkheid zodanig te beperken dat je vrijelijk werk van derden mag copypasten en de klant met de rekening laten zitten.

Of is dit logisch en een gevalletje goedkoop is duurkoop?

Arnoud