• nl
  • en
Menu
Eerste schadevergoeding onder de AVG

Eerste schadevergoeding onder de AVG

25 juni 2019

Een primeur onder de Algemene Verordening Gegevensbescherming (AVG), de eerste schadevergoeding wegens een inbreuk van de AVG is toegekend. Op 28 mei 2019 heeft de Rechtbank Overijssel daarover uitspraak gedaan. Daarbij is aan de eiser in kwestie een schadevergoeding van € 500,00 toegekend voor overtreding van de AVG door de Gemeente Deventer. In dit artikel wordt ten eerste ingegaan op de feiten die speelden in deze kwestie. Daarna wordt ingegaan op de relevante (juridische) overwegingen en ten slotte wordt stilgestaan bij de uitkomst en betekenis daarvan.

Feiten

Wat speelde er in deze kwestie? De eiser heeft een verzoek tot inzage op grond van artikel 35 Wbp ingediend bij de gemeente Deventer. De gemeente heeft bij besluit van 24 augustus 2017 dit verzoek gehonoreerd en een overzicht van de van eiser verwerkte persoonsgegevens verstrekt. Eiser had in het verleden twee Wob-verzoeken ingediend bij de gemeente Deventer. Daarover hebben ambtenaren van de gemeente Deventer ambtenaren van andere bestuursorganen per e-mail geïnformeerd. Dit was echter niet opgenomen in het overzicht dat eiser ontving in reactie op zijn inzageverzoek. Het bezwaar dat eiser daartegen maakte, werd echter door de gemeente Deventer ongegrond verklaard.

Eiser is tegen de ongegrondverklaring in beroep gegaan. In de uitspraak daarover heeft de Rechtbank Overijssel op 18 juli 2018 geoordeeld dat de gemeente Deventer ten onrechte niet de doorzending van de persoonsgegevens aan andere bestuursorganen had opgenomen in het verstrekte overzicht. Als gevolg daarvan moest de gemeente Deventer een nieuw besluit op bezwaar nemen.

In het nieuwe besluit op bezwaar heeft de gemeente Deventer het bezwaar alsnog gegrond verklaard. Echter, het verzoek om schadevergoeding van eiser is afgewezen. Tegen dat laatste onderdeel komt eiser in deze uitspraak in beroep. Eiser beroept zich daarbij op artikel 82 van de AVG (voorheen artikel 49 Wbp). De rechtbank moet daarom beoordelen in hoeverre eiser recht heeft op schadevergoeding.

Rechtsoverwegingen

Artikel 82 van de AVG bepaalt dat een betrokkene recht heeft op schadevergoeding van de partij die een inbreuk maakt op de AVG met schade voor de betrokkene tot gevolg. Volgens de eiser is dit de enige basis voor de beoordeling van diens vordering tot schadevergoeding. De rechter is het daarmee oneens. Artikel 82 AVG staat er volgens een uitspraak van de Raad van State niet aan in de weg dat aansluiting mag en moet worden gezocht bij de bepalingen uit het Nederlandse recht over schadevergoeding. Sterker nog, artikel 82 AVG biedt daarvoor op zichzelf in beginsel onvoldoende grondslag. De uitspraak van de Raad van State zag op artikel 49 Wbp, maar wordt hier dus rechtstreeks overgenomen onder de AVG.

Dat heeft tot gevolg dat de rechtbank de bepalingen uit boek 6 BW, met name artikel 6:106 BW over immateriële schade meeneemt in de beoordeling van de vordering. Artikel 6:106 BW bepaalt dat iemand recht heeft op een naar billijkheid vast te stellen schadevergoeding bij immateriële schade. Volgens de rechtbank is daarvan sprake, nu de eiser is aangetast in een persoonlijkheidsrecht, namelijk het recht op controle over zijn persoonsgegevens. Door de onrechtmatige verzending van diens persoonsgegevens aan andere bestuursorganen, heeft eiser dat recht verloren. Dat is volgens de rechtbank reden voor vergoeding van immateriële schade. Ook neemt de rechtbank titel 8.4 van de Awb in acht, dat bepalingen bevat over schadevergoeding als gevolg van een onrechtmatig besluit. Dit samen vormt – alsnog – voldoende grondslag om op de vordering te beslissen.

Het onrechtmatige handelen van de gemeente bestond uit twee aspecten. Dat was al vastgesteld in de eerste uitspraak van de rechtbank van 18 juli 2018. Ten eerste het feit dat de gemeente onvoldoende onderzoek heeft gedaan naar de verwerkingen van de persoonsgegevens van de eiser. Had zij dat wel gedaan, dan was het verstrekte overzicht na het inzageverzoek compleet geweest. Ten tweede is de doorzending van de persoonsgegevens aan andere bestuursorganen in strijd met de eisen van proportionaliteit en subsidiariteit. De gemeente kon geen bijzondere omstandigheden aanvoeren die doorzending noodzakelijk zou maken. Dit tweede aspect heeft daarom vooral kenmerken van een datalek, dat (ook) aansprakelijkheid in het leven roept.

Of sprake is van schadeveroorzakend handelen door de gemeente komt hierdoor eigenlijk niet meer aan de orde in deze uitspraak. De reden daarvoor is dat inmiddels in rechte vast is komen te staan dat de gemeente een onrechtmatig besluit had genomen, namelijk het eerste besluit waar het overzicht van de persoonsgegevens werd verstrekt. De rechtbank had dat in haar eerdere uitspraak al vastgesteld en daartegen was geen hoger beroep ingesteld, waardoor het onrechtmatig handelen vaststond. Dat de gemeente nog aanvoerde dat geen sprake was van opzettelijke benadeling van de eiser, deed daarom niet meer ter zake. Dat had in een eventueel hoger beroep aangevoerd moeten worden. Daarmee is deze uitspraak ook een illustratie van de werking van de leer van de formele rechtskracht.

Beslissing

De rechtbank komt op grond van het vastgestelde onrechtmatige handelen tot het oordeel dat de eiser is aangetast in diens persoonlijkheidsrecht. Namelijk het recht op controle over diens persoonsgegevens. De daarvoor verschuldigde schadevergoeding wordt onder verwijzing naar artikel 6:106 BW door de rechter in billijkheid bepaald op € 500,00.

Betekenis voor de praktijk

Over het algemeen zijn uitspraken waarin schadevergoeding wordt toegekend voor inbreuken op iemands privacy zeer zeldzaam. Het is daarom interessant om te kijken wat de betekenis van deze uitspraak is.

De uitspraak illustreert allereerst de werking van artikel 82 AVG. De bestaande lijn over diens voorloper, artikel 49 Wbp, wordt namelijk doorgetrokken. Artikel 82 AVG biedt geen zelfstandige grondslag voor schadevergoeding, daarvoor moet aansluiting worden gezocht bij het Nederlandse schadevergoedingsrecht. Dat kan onder meer worden gevonden in boek 6 BW en – in het kader van onrechtmatige besluiten van bestuursorganen – titel 8.4 Awb.

Daarnaast laat deze uitspraak ook zien dat bestuursorganen hun gegevensadministratie op orde moeten hebben. Het ontoereikend beantwoorden van een inzageverzoek levert mogelijk een inbreuk op de AVG op en daarmee mogelijk aansprakelijkheid voor schade.

Ten derde zou de uitspraak een voorbeeld kunnen zijn van wat als een billijke schadevergoeding wordt gezien. Helaas geeft de rechtbank vrijwel geen inzicht in zijn overwegingen hierover. Het enige dat wordt gezegd, is dat de gemeente Deventer geen rechtvaardiging heeft kunnen geven voor de doorzending van de gegevens van de betrokkene. Voorstelbaar is dat de rechtbank in acht neemt dat de inbreuk feitelijk gezien geen ernstige gevolgen heeft voor de betrokkene, maar de gemeente wel op een bepaalde manier gestraft moet worden voor de inbreuk die is gemaakt.

De uitspraak laat ten slotte helaas in het midden aan welke inbreuk het meeste gewicht wordt toegekend, de onvolledige reactie op het inzageverzoek of het datalek van de gemeente Deventer. Gelet op de overweging over het ontbreken van een rechtvaardiging voor de doorzending, kan worden geconcludeerd dat het datalek leidend is geweest. Als hoger beroep wordt ingesteld, komt dat mogelijk nog aan de orde. Op dit moment is niet bekend of hoger beroep is of wordt ingesteld.

In ieder geval is duidelijk dat bestuursorganen inzageverzoeken serieus moeten nemen. Ook kan deze uitspraak aanleiding geven voor nieuwe vorderingen tot schadevergoeding, omdat voor een relatief beperkte overtreding, wel schadevergoeding wordt toegekend. De (rechts)praktijk zal het uitwijzen.

Dit artikel is geschreven door mr. Henk-Jan Ligtenberg en ook verschenen in SDU OpMaat Privacyrecht.

Wilt u op de hoogte blijven?

  • nl
  • en