Vorig jaar publiceerden wij een artikel over de primeur in Nederland: de eerste AVG-schadevergoeding die de rechtbank Overijssel had opgelegd aan een gemeente in Oost Nederland. Nog geen jaar later heeft de rechter op 7 april 2020 die toegekende schadevergoeding al weer herroepen.

Voorliggende kwestie
Wat was in het kort de basis voor de toegekende schadevergoeding?

Een burger had meermaals verzoeken op grond van de Wet Openbaar bestuur (WOB) bij de gemeente ingediend. Toen de burger vervolgens ter ore was gekomen dat de gemeente informatie over hem aan een ander bestuursorgaan had verzonden, diende hij ook een verzoek in tot inzage in de persoonsgegevens die de gemeente van hem had verwerkt.

Er ontstond vervolgens een discussie tussen de partijen over dat laatste verzoek. Nadat eerst in rechte was komen vast te staan dat de gemeente geen juridische grond had gehad om de persoonsgegevens met het andere bestuursorgaan te delen, stond de onrechtmatigheid van de verwerking van persoonsgegevens vast.
In de laatste procedure kende de rechtbank aan de burger een schadevergoeding van € 500,- toe, met als motivering dat het verlies van de controle over zijn persoonsgegevens een naar billijkheid vast te stellen schadevergoeding rechtvaardigde, op grond van zowel art. 82 AVG, als art. 6:106 BW, de juridische basis voor immateriële schadevergoeding.

Onrechtmatige verwerking leidt niet automatisch tot schadevergoeding
De rechter in hoger beroep fluit de rechtbank Overijssel terug. In de uitspraak overweegt de Afdeling bestuursrechtspraak van de Raad van State dat de AVG bepaalt dat er volledige vergoeding moet plaatsvinden van de daadwerkelijke geleden immateriële schade ten gevolge van inbreuken op de AVG, maar ook dat in de AVG niet is vastgelegd op welke wijze die immateriële schade moet worden vastgesteld en berekend.

Na analyse van de te volgen stappen om tot berekening en vaststelling van de toe te kennen schade te kunnen komen, overweegt de Afdeling dat volgens vaste rechtspraak van het Europese Hof van Justitie geldt dat te vergoeden schade reëel en zeker moet zijn. In de uiteindelijke beoordeling overweegt de Afdeling dat in deze vast staat dat er sprake is geweest van onrechtmatige verwerking en dus van een normschending.

Ten aanzien van de mogelijk daaraan te koppelen schadevergoeding overweegt de Afdeling:
Dat een inbreuk op persoonsgegevens kan resulteren in (im)materiële schade en dat een betrokkene volledige en daadwerkelijke vergoeding van de door hem geleden schade moet ontvangen, betekent niet dat een normschending per definitie tot schade leidt en dat schade niet reëel en zeker moet zijn geleden.”

Waar het uiteindelijk om gaat is dat het doel van schadevergoeding onder de AVG is herstel van of het bieden van compensatie voor een onrechtmatige inbreuk op privacy. Het opleggen van een bestraffende sanctie als een boete, die vanuit de toezichthouder kan worden opgelegd, is hier niet aan de orde en heeft tot doel de overtreder van de geschonden norm terecht te wijzen en leed toe te voegen. In deze concrete situatie komt de Afdeling tot het oordeel dat de burger geen concrete gegevens ter onderbouwing van de door hem geleden schade in het geding heeft gebracht. Daarmee heeft hij kort gezegd de rechter niet kunnen overtuigen van het feit dat hij reële en zekere schade heeft geleden als gevolg van de, wel zekere, normschending.

Conclusie
Uit de uitspraak van de Afdeling kan worden geconcludeerd dat een natuurlijk persoon, onder de AVG, een betere mogelijkheid dan voorheen heeft om geleden schade, als gevolg van onrechtmatig verwerkte persoonsgegevens, vergoed te krijgen. De geleden schade zal dan wel moeten worden aangetoond of aannemelijk gemaakt.

Het gaat uiteindelijk om vergoeding van geleden schade van de natuurlijke persoon en niet om vergelding voor het onrechtmatig hebben verwerkt van persoonsgegevens.
Voor het sanctioneren van partijen die onrechtmatig persoonsgegevens hebben verwerkt bestaat de bestuurlijke boete en die kan alleen worden opgelegd door de toezichthouder.

Meer informatie
Indien u wilt weten of een verwerking waarvan u gebruik maakt moet worden onderworpen aan een DPIA of u andere vragen heeft over de verwerking van persoonsgegevens en/of het maken van een ‘DPIA’ neemt u dan contact op met ons team privacy. Wij kunnen u hierover adviseren en in overleg met u inventariseren in hoeverre een of meerdere van uw verwerkingen moeten worden onderworpen aan een DPIA.

April 2020