Recentelijk heeft de Rechtbank Overijssel (Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827) voor het eerst in de Nederlandse rechtspraak een schadevergoeding toegewezen wegens een schending van de privacyregels uit de Algemene Verordening Gegevensbescherming (AVG). Ondanks dat de AVG al meer dan een jaar geleden in werking is getreden, was tot voor deze uitspraak nog nooit een schadevergoeding op grond van artikel 82 AVG toegekend. De vraag is nu in hoeverre de uitspraak van de Rechtbank Overijssel gaat leiden tot meer procedures over schadevergoedingen vanwege schendingen van de AVG.

 

Feiten

De uitspraak van de Rechtbank Overijssel werd gedaan in een geschil tussen Eiser (een burger) en het college van burgemeester en wethouders van de gemeente Deventer (het “College”). Eiser heeft in het verleden bij het College enkele informatieverzoeken gedaan op basis van de Wet openbaarheid van bestuur (Wob). Eiser heeft daarnaast in 2017 aan het College een inzageverzoek gedaan om na te gaan welke persoonsgegevens de gemeente van hem had en met wie deze persoonsgegevens gedeeld zijn. Uit de door de gemeente verstrekte gegevens bleek dat de gemeente Deventer zijn persoonsgegevens had doorgestuurd aan zo’n veertig tot vijftig andere (centrale) overheden in het kader van intern overleg over hoe deze overheden moesten omgaan met de Wob-verzoeken van Eiser. De Rechtbank Overijssel heeft in een procedure tussen partijen in 2018 (ECLI:NL:RBOVE:2018:2496) bepaald het College door dit handelen de beginselen van proportionaliteit en subsidiariteit uit de AVG heeft geschonden en daarmee in strijd met de privacyregels heeft gehandeld. Het College legde zich bij deze uitspraak neer, maar weigerde aan Eiser een schadevergoeding te betalen. Eiser is daarom nogmaals naar de bestuursrechter gegaan om zijn immateriële schade vergoed te krijgen op grond van artikel 82 AVG.

 

Uitspraak

De rechtbank neemt tot uitgangspunt dat het handelen van het College in strijd was met de regels uit de AVG. Op grond van artikel 82 lid 1 AVG kan de betrokkene die als gevolg van dergelijke schendingen materiële of immateriële schade heeft geleden, die schade vergoed krijgen door de Verwerkingsverantwoordelijke. Eiser stelde in dit geval, als gevolg van de privacy schending,  immateriële schade te hebben geleden. De rechtbank overweegt in haar beoordeling dat bij beantwoording van de vraag of Eiser een schadevergoeding toekomt op basis van de AVG, aansluiting moet worden gezocht bij het civiele schadevergoedingsrecht. Daarom moet op grond van artikel 6:106 BW beoordeeld worden of Eiser door de schending van de regels uit de AVG in zijn persoon is aangetast waardoor hij immateriële schade heeft geleden. De rechtbank concludeert dat dit het geval is, aangezien Eiser ‘de controle over zijn persoonsgegevens’ is verloren. Daarom heeft Eiser recht op een naar billijkheid vast te stellen schadevergoeding, waarbij de hoogte onder meer wordt afgestemd op het feit dat door het College geen rechtvaardiging is gegeven voor de verwerking van de persoonsgegevens. Zonder nadere motivering bepaalt de rechtbank dat een schadevergoeding van €500,- haar billijk voorkomt en zij veroordeelt het College tot vergoeding van deze schade.

 

Commentaar

De bijzonderheid van deze uitspraak is gelegen in het feit dat dit de eerste gepubliceerde uitspraak is waarin een Nederlandse rechter een schadevergoeding toekent op basis van een schending van een AVG-bepaling. Wat de toegevoegde waarde van deze uitspraak precies is voor de toekenning van schadevergoedingen wegens privacy schendingen is  echter lastig vast te stellen. De rechtbank motiveert haar uitspraak immers zeer beperkt en geeft niet aan op basis van welke omstandigheden moet worden bepaald welke vergoeding van immateriële schade precies ‘billijk’ is. Wat deze uitspraak in ieder geval duidelijk maakt is dat de Verwerkingsverantwoordelijke serieus rekening moet houden de schadevergoedingsplicht uit artikel 82 AVG. De uitspraak benadrukt daarnaast dat bij de vaststelling van de hoogte van de schadevergoeding altijd aansluiting moet worden gezocht bij de vergoeding van (im)materiële schade volgens het civiele recht.

Wat dit laatste punt betreft is het interessant dat de rechter overweegt dat ‘de aantasting van de persoon’, zoals wordt vereist door artikel 6:106 BW, gelegen is in het feit dat de betrokkene de controle over zijn persoonsgegevens is verloren. Men zou zich kunnen afvragen of het enkele verlies van de controle over persoonsgegevens zonder meer voldoende is om te kunnen spreken van een daadwerkelijke aantasting in de persoon. De AVG noemt dit verlies als voorbeeld van immateriële schade en geeft aan dat ook ‘enig ander aanzienlijk economisch of maatschappelijk nadeel’ als schade kan worden vergoed (overweging 85). Gelet op de bewoording van die bepaling lijkt het in de reden te liggen dat het verlies van de controle over persoonsgegevens ook daadwerkelijk een (aanzienlijk) concreet nadeel voor de betrokkene moet opleveren, voordat sprake is van immateriële schade. Dit hoeft niet altijd het geval te zijn, aangezien het enkele verlies van de controle over persoonsgegevens niet zonder meer nadelig hoeft te zijn voor de betrokkene. De rechtbank gaat aan dit punt eenvoudig voorbij en stelt dat het verlies van de controle over persoonsgegevens in dit geval zonder meer tot schade leidt.

Voor de Verwerkingsverantwoordelijke die geconfronteerd wordt met een schadeclaim kan het echter lonen om te betwisten dat de betrokkene daadwerkelijk nadeel ondervindt door het verlies van de controle over zijn gegevens en dat de vergoeding van de schade niet ‘billijkheid’ is. Bij dit laatste punt moet worden opgemerkt dat in het schadevergoedingsrecht geen ruimte is voor toekenning van geldbedragen met een punitief karakter. Aan de hand van deze omstandigheden kan de verantwoordelijke zijn verplichting, tot vergoeding van de eventuele schade, onder bepaalde omstandigheden beperken.