Een rondgemaild Excelbestand kan je zomaar 250 euro per persoon kosten van de AVG

| AE 13215 | Privacy | 14 reacties

tomfield / Pixabay

Het standaardvoorbeeld van een “datalek in het klein”: een Excelbestand met een berg mensen hun gegevens, rondgemaild naar die hele berg. Ergerlijk, vervelend maar “in het klein” want het zal zelden meer zijn dan een paar honderd mensen en gaat meestal om basale gegevens. Zoals je naam, 06 en huisadres naar de dertig mede-ouders van de schoolklas. Maar wat nu als het gaat om 1100 mensen en dan ook je jaarinkomen, eigen vermogen en hypotheek van een te kopen huis? Dat kan dus 250 euro kosten, aldus de rechtbank Rotterdam.

Aanleiding was het nieuwbouwproject ‘Koningskwartier’ in Zevenhuizen in 2021. Ongeveer 1100 mensen hadden zich met interesse gemeld, en daarbij allerlei financiële gegevens verstrekt zoals gewenste koopsom, maximaal te lenen bedrag en jaarinkomen, naast natuurlijk naam en contactgegevens. En toen kwam een dikke vinger:

Op 12 april 2021 heeft [gedaagde] een e-mail verzonden aan alle personen die zich hebben ingeschreven voor het project Koningskwartier. Bij deze e-mail heeft [gedaagde] een onbeveiligd Excelbestand gevoegd met daarin de gegevens van alle ongeveer1100 personen die zich hebben ingeschreven voor het nieuwbouwproject.
Auw. Ja, een minuut later probeerde men dit in te trekken maar dat werkt eigenlijk nooit buiten de eigen organisatie. Datalek dus. Diezelfde avond is iedereen nagemaild met de vraag het bestand te wissen, maar dan is het kwaad natuurlijk al geschied.

Een van de getroffenen ondervoer naar eigen zeggen zo veel overlast dat hij een nieuwe mobiele telefoon moest aanschaffen. De kosten daarvan (750 euro) claimde hij als schade bij de organisatie. Die wilde dat niet betalen, waarop een rechtszaak ontstond. Kern van die zaak was natuurlijk hoe je de schade nu precies onderbouwt. Die 750 euro wordt bijvoorbeeld afgewezen, omdat een nieuwe telefoon het probleem niet oplost (immers met nummerbehoud overgestapt) en het nummer van de man bovendien op onder meer zijn Linkedin vermeld stond.

Eerder hadden we een duidelijke afwijzing, geen 500 euro schadeclaim enkel omdat de AVG is geschonden. Je moet nog steeds aantonen dat er schade is. Dat lukte in één zaak, omdat het daar ging om medische gegevens en het dan “voor de hand lag” dat dit tot schade zou lijden. De rechtbank hier noemt deze zaken niet, maar lijkt wel hetzelfde te redeneren: omdat het gaat om gevoelige financiële gegevens die ook nog eens bij (waarschijnlijk) toekomstige buren terechtgekomen zijn. Dan is schade (reputatieschade, lastig gevallen worden met verzoeken om geld, kwetsbaarheid) wel te voorzien. Daarom kent de rechtbank hier 250 euro schadevergoeding toe.

Een kleine opsteker dus weer voor al die mensen die dachten dat schadevergoeding er onder de AVG niet in zit. Het kan wel, maar het moet wel echt om een pijnlijk datalek gaan. En hoe je dat precies onderbouwt, dat blijft nog onduidelijk.

Arnoud

Consumentenbond wil dat Facebook gebruikers compenseert voor schenden privacy

| AE 12057 | Privacy | 15 reacties

De Consumentenbond en de Data Privacy Stichting hebben Facebook gedagvaard in een poging om het socialenetwerkbedrijf te dwingen gebruikers te compenseren voor het schenden van hun privacy. Dat meldde Tweakers dinsdag. Deelname is gratis, wel wordt 18% van de toe te kennen schadevergoeding aan een advocatenkantoor betaald dat op no-cure-no-pay basis (of nou ja, niet helemaal) de zaak doet. De exacte dagvaarding kan ik nog niet vinden maar de kern is natuurlijk geen toestemming (grondslag) en geen verplichte informatieverstrekking onder de AVG. Ik zeg #teamConsumentenbond.

De AVG is er natuurlijk al sinds 2018 maar de reden dat de Bond nu pas deze stap maakt, is dat het pas sinds kort mogelijk is om een massaclaim met schadevergoeding te brengen bij de Nederlandse rechter (art. 3:303a BW). Tot die tijd had de Bond alleen een verbod kunnen eisen, maar dat schiet niet zo op want dat zal Facebook niet echt pijn doen. Dan verzinnen ze weer wat nieuws. Een schadeclaim, en vooral heel veel vervolgclaims vanuit de rest van Europa, dát doet pijn.

Had dit nu niet beter via de toezichthouder kunnen gaan? Die is natuurlijk al naar Facebook aan het kijken en ik zie daar ook echt wel boetes vandaan komen. Alleen, het is voor de AP lastiger om een boete op te leggen dan voor de Consumentenbond om een schadeclaim te doen. Een boete vereist een heel bestuursrechtelijk traject: inspraak, reacties, concepten, toetsing aan boetekaders en richtlijnen, zorgvuldige besluitvorming et cetera. Dat duurt naar zijn aard twee jaar. (Plus AVG-gedoe over de competente leidende toezichthoudende autoriteit, juristen krijgen hoofdpijn van deze wetsartikelen, artsen staan versteld).

Terwijl een schadeclaim bij de burgerlijke rechter gewoon een jaartje is met een paar rondes verweerschriften en repliek/dupliek en dan een uitspraak. De onderbouwing kan makkelijker: een boete moet je gedetailleerd motiveren, de schadevergoeding kan -in theorie- zijn “wat uwedelachtbare billijk acht (artikel 6:97 BW)”. En ja, het grote probleem is natuurlijk dat de Bond geen harde getallen op de schade kan zetten. Wat is je schade doordat Facebook je profiel blootstelde aan rare advertenties of politieke manipulatie? Inderdaad, laat ik ook liever aan de dikke duim, pardon het rechtsgevoel van de rechter. Maar denk aan 50 tot 100 euro.

Per persoon ja. En we hebben in Nederland iets van 14 miljoen volwassenen die dus kwalificeren als consument. Ook Facebook vindt iets van 14 miljoen maal 50 euro, zeker als er een dwangsom achteraan komt én andere consumentenbonden deze zelfde claim btrengen vanuit hun land. (Dit is meer dan de 10,4 miljoen Nederlandse Facebookgebruikers want daar zitten ook minderjarigen tussen en bovendien volgt Facebook je ook als je geen lid bent.)

Het voornaamste voor mij is dat dit volgens mij is hoe de AVG moet werken. Toezichthouders zijn leuk en aardig maar naar hun aard te grofmazig en traag om elke overtreding aan te pakken. Massaal kleinschalig handhaven werkt veel beter (daarom was ik ook zo blij met die Belgen). Het kan natuurlijk uit de hand lopen – lees daarvoor mijn World of 2K38 of voorinteken voor de graphic novel.

Arnoud

Toch geen 500 euro schadeclaim onder de AVG

| AE 11870 | Privacy | 3 reacties

Wie onder de AVG schade wil claimen, moet wel aantonen dat hij daadwerkelijk schade heeft geleden. Dat besliste de Raad van State onlangs. Daarmee is die zaak uit 2019 van tafel, waarin een man 500 euro kreeg omdat zijn naam en e-mailadres aan allerlei gemeenten werd doorgegeven in strijd met de AVG. De rechter vond “verlies van controle over zijn persoonsgegevens” genoeg grond om van immateriële schade te spreken, maar de Raad van State (de hogerberoepsrechter in gemeentezaken) vond dat er echt wel iets van een onderbouwing moet zijn. Enkel in je grondrechten aangetast zijn, is niet genoeg.

Dat laatste is in lijn met een Hoge Raad-arrest uit 2019, dat niet over de AVG ging maar wel over wanneer immateriële schade toegekend kan worden. Enkel dat je in een grondrecht aangetast wordt, is niet genoeg. Dat kan immers van zeer gering tot zeer ernstig zijn, en om ze allemaal voor schadevergoeding in aanmerking te laten komen, gaat dan veel te ver. Er zijn wel mogelijkheden:

In beginsel zal degene die zich hierop beroept de aantasting in zijn persoon met concrete gegevens moeten onderbouwen. In voorkomend geval kunnen de aard en de ernst van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen.

De Raad van State borduurt hierop voort en stelt dat je inderdaad moet onderbouwen dat je enige schade hebt geleden. De rechter mag daar dan met de dikke duim een bedrag van maken, maar enkel “de AVG is geschonden dus ik wil geld” gaat hem niet worden. Ook niet als je artikel 82 AVG erbij haalt, want daar staat alleen dat je recht hebt op vergoeding van geleden schade, niet dat er per definitie schade ís als de AVG is geschonden.

Het is overigens ook weer niet onmogelijk: in een andere zaak kende de RvS wél 500 euro schadevergoeding toe wegens AVG-schending. Het ging hier wel om medische gegevens die ook nog eens in een klachtprocedure tegen de betrokkene werden gebruikt. Daarbij “ligt het voor de hand” dat er schade moet zijn geleden.

Arnoud

De eerste schadeclaim onder de AVG is binnen, maar het is wel een rare zaak

| AE 11321 | Privacy | 22 reacties

Het is waarschijnlijk een juridische primeur: een rechter heeft een schadevergoeding toegekend op grond van de Algemene verordening gegevensbescherming (AVG). Dat meldde RTL Z afgelopen vrijdag. De gemeente Deventer moet van de rechter 500 euro betalen aan een man van wie de gemeente de naam en woonplaats doorspeelde naar tientallen andere gemeenten. Ik ken ook… Lees verder

Vijf auteursrechtelijke mythes die ook maar eens naar de prullenbak moeten

| AE 6621 | Intellectuele rechten | 25 reacties

Mijn blog over vijf juridische mythes riep veel reacties op. Dus ik dacht, tijd voor nog wat meer mythes die naar de prullenbak moeten, en dan nu over het onderwerp auteursrecht. Je mag iemands werk gebruiken als je maar bronvermelding doet (en niet commercieel bent.) Nope. De auteurswet kent geen algemene regel dat je een… Lees verder

Ben ik aansprakelijk voor auteursrechtinbreuk in een template?

| AE 5986 | Intellectuele rechten | 19 reacties

Een lezer vroeg me: Ik exploiteer een aantal webshops en bouw deze vaak met templates die ik netjes aankoop bij de welbekende template-sites. Maar laatst kreeg ik een factuur van een fotograaf vanwege een foto uit zo’n template. Toen ik verwees naar de templatesite zei hij dat hem dat niet uitmaakte en dat ik gewoon… Lees verder