Uit voorgaande is gebleken dat de bewijslast van de betrokkene een belemmering vormt voor een aanspraak op immateriële schadevergoeding. De betrokkene moet de schending en het causale verband tussen de schade en de schending bewijzen. Bovendien moeten bijkomende omstandigheden worden aangevoerd om een aanname van de persoonsaantasting te rechtvaardigen. Dit hoofdstuk biedt een mogelijke oplossing en behandelt daarmee de vijfde deelvraag: ‘Hoe kan geleden immateriële schade bij een datalek wel voor vergoeding in
aanmerking komen krachtens artikel 6:106 BW?’ Wellicht kan gebruikmaking van het recht op
informatie krachtens de AVG in combinatie met een bewijslastomkering (met betrekking tot de causaliteit) oplossing bieden.
160 Van Alsenoy 2016, p. 275.
161 Van der Linden & Walree, AV&S 2018/20, p. 108. 162 Kamerstukken II 1997/98, 25892, 3 (MvT), p. 99.
5.2 Samenwerking AVG
Bij de bewijsvoering speelt met name het probleem dat de betrokkene vaak over onvoldoende informatie beschikt. De aanname van een persoonsaantasting wegens schending van het fundamentele privacyrecht vereist dat de betrokkene bijkomende omstandigheden aanvoert. Dat de betrokkene de aard van de verwerkingsverantwoordelijke en de verwerking moet concretiseren impliceert dat de betrokkene informatie bezit omtrent de verwerking. Dergelijke informatie kan de betrokkene verkrijgen door gebruik te maken van zijn recht op informatie dat is uitgewerkt in artikel 13 en 14 AVG. Dit recht vloeit voort uit het transparantiebeginsel van de AVG, welke impliceert dat het voor de betrokkene duidelijk is dát zijn persoonsgegevens worden verwerkt, door wie, waarom en op welke manier.163 Door zich op dit recht te beroepen
beschikt de betrokkene over informatie die relevant is voor het aanvoeren van bijkomende omstandigheden en het aantonen van de schending.
5.3 Omkeringsregel
Naast de schending en de schade moet ook de causaliteit door de betrokkene worden bewezen. Toepassing van de omkeringsregel kan echter resulteren in een andere bewijslastverdeling. Wanneer wel vaststaat dat misbruik van de gegevens het gevolg is van een schending van de beveiligingsplicht, maar niet duidelijk is welk beveiligingsincident de oorzaak van de schade is, kan een andere bewijslastverdeling worden gehanteerd op grond van artikel 6:99 BW (alternatieve causaliteit).164 De rechter acht in dit geval het bestaan van causaal verband tussen
de onrechtmatige gedraging (schending beveiligingsplicht) en de immateriële schade voorshands aannemelijk, tenzij de verwerkingsverantwoordelijke tegenbewijs levert.165 Tevens
kunnen de eisen van redelijkheid en billijkheid leiden tot een andere bewijslastverdeling. Een beroep hierop dient te worden gemotiveerd.166 Het bestaan van bewijsnood is op zichzelf
onvoldoende reden voor een omkering van de bewijslast.167 Een bewijslastomkering kan echter
geboden zijn als degene die de bewijslast draagt door toedoen van de wederpartij in een onredelijk zware bewijspositie is geraakt.168 De betrokkene kan stellen dat hiervan sprake is
door te wijzen op de informatie-asymmetrie tussen de betrokkene en verwerkingsverantwoordelijke, en de afhankelijkheid van de betrokkene op informatie van de
163 Zwenne, in: T&C Privacy- en telecommunicatierecht art. 13 AVG, aant. 1 (online, laatst bijgewerkt op 26 juli
2019).
164 Walree, WPNR 2017/7172 p. 924.
165 HR 9 juli 2004, ECLI:NL:PHR:2004:AO7190 (AZG/V).
166 Beenders, in: T&C Rv art. 150 Rv, aant. 4 (online, bijgewerkt op 1 januari 2019).
167 HR 31 oktober 1997, ECLI:NL:HR:1997:ZC2476 (Maatschappij van Assurantie/Zonneveld). 168HR 20 januari 2006, ECLI:NL:PHR:2006:AU4529 (B./Interpolis).
verwerkingsverantwoordelijke. Alsnog moet de schending van de beveiligingsplicht worden bewezen, waarbij via artikel 13 of 14 AVG verkregen informatie kan helpen.
6. Conclusie
In deze scriptie is de verhouding tussen de grondslagen voor immateriële schadevergoeding in het gegevensbeschermings- en civiele recht onderzocht en of artikel 6:106 BW voldoende soelaas biedt voor een vergoeding van geleden schade door een datalek. Een datalek kan vervelende gevolgen hebben, mede afhankelijk van de aard van de gegevens. De onzekerheid omtrent de persoonsgegevens kan immateriële schade toebrengen in de vorm van gevoelens van angst, stress en frustratie. Immateriële schade is emotionele schade welke niet in geld kan worden uitgedrukt en kan onder bepaalde omstandigheden worden vergoed. Een schadevergoeding kan een functie van compensatie, preventie, rechtshandhaving, genoegdoening en erkenning vervullen, en inhoud en betekenis geven aan rechten en plichten. Bij een datalek zit de schending in het tekortschieten van een passend beschermingsniveau. De gedraging die ter discussie staat is het nalaten van de plicht technische en organisatorische maatregelen te nemen om persoonsgegevens adequaat te beschermen (artikel 32 AVG). Schending van een AVG-bepaling geeft recht op vergoeding van geleden (im)materiële schade ten gevolge van de inbreuk (artikel 82 AVG). Volgens de AVG dient alle schade volledig en daadwerkelijk te worden vergoed, in het licht van rechtspraak van het Hof van Justitie. Schadevergoeding in het privacyrecht is echter nog maar beperkt ontwikkeld. De AVG bepaalt slechts of een recht op schadevergoeding bestaat, maar niet hoe dit recht wordt vastgesteld. Omdat op Europees niveau geen kader bestaat voor de vaststelling van de omvang van de immateriële schadevergoeding wordt aangesloten bij het nationale civiele recht, dat wel een duidelijk kader biedt.
Naast de publiekrechtelijke grondslag voor (im)materiële schadevergoeding bestaat een civielrechtelijke grondslag (artikel 6:162 BW). Beiden sluiten aan bij het beoordelingskader van artikel 6:106 lid 1 sub b BW, op grond waarvan immateriële schade moet worden vergoed wanneer sprake is van een ‘aantasting in de persoon’. Met name relevant voor deze scriptie is de persoonsaantasting ‘op andere wijze’. Uitgebreide rechtspraak toont de hoge drempel hiervan. In beginsel moet de betrokkene de aantasting in persoon stellen en met concrete gegevens onderbouwen (lees: geestelijk letsel aantonen), maar de aard en de ernst van de normschending kunnen meebrengen dat de aantasting in de persoon mag worden aangenomen.
Het civiele beoordelingskader past niet bijster goed op het fenomeen datalekken door de onbekende en speculatieve gevolgen van datalekken. Wel kan het kader geschikt worden gemaakt door een AVG-conforme interpretatie: een schending van de AVG is een inbreuk op de persoonlijke levenssfeer, die als zodanig een aantasting in de persoon is. Motivering hiervoor is te vinden in het zware belang dat de wetgever aan het gegevensbescherming heeft gehecht. Zonder bijkomende omstandigheden lijkt schending van de fundamentele rechten op privacy- en gegevensbescherming echter niet voor vergoeding in aanmerking te komen.
Ondanks de mogelijkheid dat (middels een AVG-conforme interpretatie) bij schending van het gegevensbeschermingsrecht een persoonsaantasting kan worden aangenomen, en daarom een recht op immateriële schadevergoeding bij een datalek bestaat, betekent dat niet dat artikel 6:106 BW voldoende soelaas biedt. Het is namelijk aan de betrokkene om de schade, schending en het causaal verband te bewijzen. Deze bewijslast vormt de grootste belemmering voor toewijzing van een vergoeding. Allereerst moet de betrokkene bijkomende omstandigheden aanvoeren wil een persoonsaantasting worden aangenomen. Dit impliceert dat de betrokkene informatie omtrent de verwerking bezit. De betrokkene bezit echter vaak onvolledige informatie en is bovendien hiervoor afhankelijk van de verwerkingsverantwoordelijke. Een beroep op het recht op informatie krachtens de AVG kan helpen. Daarnaast moet de betrokkene de schending en causaliteit bewijzen. Het is moeilijk de specifieke schadeveroorzaker aan te tonen, omdat vrijwel elke organisatie persoonsgegevens verwerkt waardoor vele potentiele schadeveroorzakers bestaan. Toepassing van de omkeringsregel van artikel 6:99 BW kan ervoor zorgen dat de rechter de causaliteit aanneemt, tenzij de verwerkingsverantwoordelijke tegenbewijs levert. De schending dient de betrokkene wel nog te bewijzen. Mogelijk kan de informatie verkrijgbaar via artikel 13 en 14 AVG hierbij helpen.
Al met al is het niet makkelijk om aan de vereisten van het civiele beoordelingskader te voldoen. Een AVG-conforme interpretatie kan het kader passend maken voor datalekken. Desalniettemin wordt in de praktijk zelden een schadevergoeding toegewezen (die ertoe doet). Het is juist dat een zekere drempel bestaat om voor een vergoeding in aanmerking te komen en moet worden voorkomen dat voor elk minimaal incident een schadeclaim wordt gestart. Het moet echter wel zo zijn dat, indien de betrokkene nadeel ondervindt, een gepaste mogelijkheid wordt geboden om dit nadeel te compenseren. Wanneer de betrokkene een recht heeft op immateriële schadevergoeding is de vergoeding echter zeer minimaal en weegt het niet of nauwelijks op tegen de proceskosten.
Bibliografie
LiteratuurAbas, NTBR 2007/24
P. Abas, ‘Aantasting in een persoonlijkheidsrecht als bedoeld in art. 6:106 lid 1 BW’, NTBR 2007/24, p. 194-198.
Alsenoy, van, JIPITEC 2016/3
B. van Alsenoy, ‘Liability under EU Data Protection Law. From Directive 95/46 to the General Data Protection Regulation’, JIPITEC 2016/3, p. 270-288.
Hartkamp 2011-2
A. Hartkamp, Europees recht en Nederlands Vermogensrecht, Asser-serie 3-I, Deventer: Kluwer 2011.
Beenders, in: T&C Rv art. 150 Rv 2019
D.J. Beenders, ‘Bewijslastverdeling’, in: A.I.M. van Mierlo & C.J.J.C. van Nispen, Tekst &
Commentaar Burgerlijke Rechtsvordering, Deventer: Kluwer (online). Bloembergen 2002
A.R. Bloembergen, ‘Een halve eeuw schadevergoeding’ in: J. Spier & W.A.M. van Schendel (red.), Schadevergoeding: een eeuw later, Deventer: Kluwer 2002, p. 5-35.
Blok 2017
P.W. Blok, ‘Compensatie voor onveiligheid?’, annotatie PS 2017-0200, PS-Updates.nl 1 mei 2017.
Daalen, van, Mediaforum 2016
O. Van Daalen, annotatie bij Rb. Oost-Brabant 20 juli 2016, ECLI:NL:RBOBR:2016:3892,
Mediaforum 2016, afl. 6, p. 239-240. Dam, van, VR 2015/6
C.C. van Dam, ‘Het aansprakelijkheidsrecht 25 jaar later. Hoe het EVRM het perspectief op het aansprakelijkheidsrecht verandert’, VR 2015/6, 63, p. 221-226.
Dijck, van, 2016, NJB 2016/1127
G. van Dijck 2016, ‘Naar een nieuw schadevereiste in het aansprakelijkheidsrecht’, NJB 2016/1127, afl. 23, p. 1608-1616.
Dorsser, van, JA 2017/88
F.I. van Dorsser, annotatie bij Rb. Noord-Nederland 1 maart 2017, ECLI:NL:RBNNE:2017:715 (Groningerveld/NAM), JA 2017/88.
Emaus 2013
J.M. Emaus, Handhaving van EVRM-rechten via aansprakelijkheidsrecht, Utrecht: Boom Juridische Uitgevers 2013.
Engelhard, Giesen & Van Schaick, NTBR 2018/1
E.F.D. Engelhard, I. Giesen & A.C. van Schaick, ‘Nieuwe schadesoorten’, NTBR 2018/1, p. 1-3.
FRA 2013
FRA (European Union Agency for Fundamental Rights), Access to data protection remedies
in EU Member States, Luxembourg: Publications Office of the European Union 2013.
Beschikbaar via: https://fra.europa.eu/en/publication/2014/access-data-protection-remedies- eu-member-states.
Giesen & Tjittes 2004
S.C.P. Giesen & R.P.J.L. Tjittes, ‘De rekening van het kind – de begroting van
arbeidsvermogensschade en smartengeld bij jonge kinderen met blijvend en ernstig letsel’, in: S.D. Lindenbergh e.a. (red.), Schade, vergoeden of beperken?, Den Haag: SDU uitgevers 2004, p. 73-90.
Gulijk, van, & Op Heij, WPNR 2016/7110
S. van Gulijk & D.J.B. Op Heij, ‘Oneigenlijk gebruik van data: een verkenning van privaatrechtelijke oplossingen’, WPNR 2016/7110, p. 453-458.
Hartlief, AV&S 2008/34
Hartlief, WPNR 2008/6772
T. Hartlief, ‘Handhaving in het aansprakelijkheidsrecht. Op weg naar een betere samenleving’, WPNR 2008/6772, p. 769-777.
Jagt, van der, 2013
F.C. van der Jagt 2013, ‘Het recht op bescherming van persoonsgegevens’ in: J.H. Gerards e.a. (red.), Grondrechten. De nationale, Europese en internationale dimensie, Nijmegen: Juridische Uitgeverij Ars Aequi 2013, p. 163-183.
Jagt-Vink, van der, MvV 2019
F.C. Van der Jagt, ‘Schadevergoeding onder de Algemene Verordening Gegevensbescherming, MvV 2019/7&8, p. 286-292.
Jansen, WPNR 2017/7133
K.J.O. Jansen, ‘Het schadebegrip in de eenentwintigste eeuw. Over autonomiedenken en constitutionalisering van het schadevergoedingsrecht’, WPNR 2017/7133, p. 39-45.
Kranenborg 2007
H.R. Kranenborg, Toegang tot documenten en bescherming van persoonsgegevens in de
Europese Unie: over de openbaarheid van persoonsgegevens, Deventer: Kluwer 2007. Langemeijer 2016
F.F. Langemeijer, ‘Angst en onzekerheid als schadefactor’ in: T. Hartlief & M.G. Faure (red.), De Spier-bundel. De agenda van het aansprakelijkheidsrecht, Deventer: Wolters Kluwer 2016.
Leczkiewicz 2010
D. Leczkiewicz, ‘Private Party Liability in EU Law: In search of the general regime’, in: C. Barnard en O. Odudu (red.), Cambridge Yearbook of European Legal Studies, Oxford: Hart Publishing 2010.
Linden, van der, & Walree, AV&S 2018/20
T.E. Van der Linden & T.F. Walree, ‘De collectieve procedure als oplossing voor het privaatrechtelijke handhavingstekort bij een datalek?’, AV&S 2018/20, p. 105-113.
Lindenbergh 1998
S.D. Lindenbergh, Smartengeld (diss. Leiden), Deventer: Kluwer 1998.
Lindenbergh, TPR 1999/36
S.D. Lindenbergh, ‘De positie en de handhaving van persoonlijkheidsrechten in het Nederlandse privaatrecht’, TPR 1999/36, p. 1665-1707.
Lindenbergh 2002
S.D. Lindenbergh, ‘Een halve eeuw schadevergoeding’ in: J. Spier & W.A.M. van Schendel (red.), Schadevergoeding: een eeuw later, Deventer: Kluwer 2002.
Lindenbergh 2008
S.D. Lindenbergh, Smartengeld tien jaar later, Deventer: Kluwer 2008.
Lindenbergh 2011
S.D. Lindenbergh, ‘Vermogensrechtelijke remedies bij schending van fundamentele rechten’, in: G.E. van Maanen & S.D. Lindenbergh, EVRM en Privaatrecht: is alles van waarde
weerloos? (preadviezen VBR 2011) Deventer: Kluwer 2011. Lindenbergh 2019
S.D. Lindenbergh, annotatie bij HR 15 maart 2019, ECLI:NL:HR:2019:376, NJ 2019/162, afl. 19, p. 2724-2729.
Lindenbergh, in: GS Schadevergoeding art. 6:106 BW 2019
S.D. Lindenbergh, ‘2.6 Eer en goede naam (onder b)’, in: A.T. Bolt, Groene Serie
Schadevergoeding, Deventer: Wolters Kluwer (online). Lindenbergh, NTBR 2019/20
S.D. Lindenbergh, ‘Smartengeld wegens spanning, frustratie, ergernis en (ander) onbehagen?’, NTBR 2019/20, afl. 6, p. 112-130.
Lückers, in: T&C art. 8 EVRM 2019
M.L.C.C. Lückers, ‘Commentaar op art. 8 EVRM’, in: M.J.C. Koens & A.P.J.M. Vonken, Tekst
Moerel & Prins 2016
E.M.L. Moerel & J.E.J. Prins, ‘Privacy voor de homo digitalis’ in: Homo digitalis.
Preadviezen (Handelingen Nederlandse Juristen Vereniging, deel 2016-I), Deventer: Wolters Kluwer 2016/1.
Nguyen, NJB 2009/1408
T.H. Nguyen, ‘Voorwaarden voor smartengeld bij schending fundamentele rechten zonder letsel’, NJB 2009/1408, p. 1812-1818.
Oude Elferink & Reus, NtEr 2017/6
E. Oude Elferink & J.G. Reus, ‘Handhaving van de Algemene Verordening Gegevensbescherming vanuit Nederlands perspectief’, NtEr 2017/6, p. 157-164.
Pon, du, & Van Zeben 1981
J.W. du Pon & C.J. van Zeben, Parlementaire geschiedenis van het Nieuw Burgerlijk
Wetboek, Deventer: Kluwer 1981. Rijnhout, NTBR 2013/20
R. Rijnhout e.a., ‘Beweging in het aansprakelijkheidsrecht’, NTBR 2013/20, afl. 5, p. 171- 184.
Schild 2012
A.J.P. Schild, De invloed van het EVRM op het ondernemingsrecht (Instituut voor
Ondernemingsrecht nr. 91) (diss. Leiden), Deventer: Kluwer 2012. Schuijt, Mediaforum 2003
G.A.I. Schuijt, ‘Smartengeld wegens aantasting eer en goede naam of privacy’ (boekbespreking), Mediaforum 2003, afl. 2, p. 50-51.
Tjong Tjin Tai, WPNR 2011/6901
E. Tjong Tjin Tai, ‘Effectiviteitsbeginsel en nationaal privaatrecht’, WPNR 2011/6901, p. 790-797.
Tjong Tjin Tai, WPNR 2016/7110
Tjong Tjin Tai, NTBR 2018/5
E. Tjong Tjin Tai, ‘Een Europees schadebegrip?’, NTBR 2018/5, p. 31-36.
Verbruggen 2016
P.W.J. Verbruggen e.a., ‘Towards Harmonised duties of care and diligence in cybersecurity’ in: European Foresight Cyber Security Meeting, Den Haag 2016.
Verheij 2002
A.J. Verheij, Vergoeding van immateriële schade wegens aantasting in de persoon (diss. VU), Nijmegen: Ars Aequi Libri 2002.
Verheij, NTBR 2018/3
A.J. Verheij, ‘Vergoedbaarheid van angstschade’, NTBR 2018/3, afl. 1, p. 12-22.
Walree, WPNR 2017/7172
T.F. Walree, ‘De vergoedbare schade bij de onrechtmatige verwerking van persoonsgegevens’, WPNR 2017/7172, p. 921-930.
Willink, in: T&C Privacy- en telecommunicatierecht art. 82 AVG 2018
Q.J.T. Willink, ‘Recht op schadevergoeding en aansprakelijkheid’, in: Q.J.T. Willink, Tekst &
commentaar Privacy- en telecommunicatierecht, Deventer: Kluwer (online).
Witting, JIN 2019/69
M.E. Witting, annotatie bij HR 15 maart 2019, ECLI:NL:HR:2019:376, JIN 2019/69, afl. 4.
Zwenne, in: T&C Privacy- en telecommunicatierecht art. 13 AVG 2019
G.J. Zwenne, ‘Informatieplicht als persoonsgegevens bij betrokkenen worden verzameld’, in: G.J. Zwenne & P.C. Knol, Tekst & Commentaar Privacy- en telecommunicatierecht,
Deventer: Kluwer (online).
Zwenne & Steenbruggen, Tijdschrift voor Internetrecht 2015/1
G. Zwenne & W. Steenbruggen, ‘Het belang van de bindende aanwijzing voor goed privacy- toezicht’, Tijdschrift voor Internetrecht 2015, nr. 1, p. 16-18.
Jurisprudentie
Europees Hof voor de Rechten van de Mens
EHRM 21 september 2017, ECLI:CE:ECHR:0921JUD005140512 (Axel Springer/Duitsland). EHRM 8 oktober 2015, ECLI:CE:ECHR:2015:1008JUD002744707 (Kharlamov/Rusland). EHRM 18 april 2012, ECLI:CE:ECHR:2012:0327DEC002004110 (Eternit/Frankrijk). EHRM 14 februari 2012, ECLI:NL:XX:2012:BW2721 (Romet/Nederland).
EHRM 17 juli 2008, ECLI:CE:ECHR:2008:0717JUD002051103 (I/Finland). EHRM 25 juni 1997, ECLI:NL:XX:2007:BA6786 (Halford/Verenigd Koninkrijk). EHRM 9 oktober 1979, ECLI:NL:XX:1979:AC1044 (Airey/Ierland).
EHRM 13 juni 1979, ECLI:CE:ECHR:1979:0613JUD000683374 (Marckx/Belgium). Hof van Justitie van de Europese Unie
HvJ EU 15 januari 2019, ECLI:EU:T:2019:5 (European Medicines Agency). HvJ EG 8 juli 2008, ECLI:EU:T:2008:257 (Franchet and Byk/Commission). HvJ EG 20 mei 2003, ECLI:EU:C:2003:94 (Rundfunk).
HvJ EG 20 september 2001, ECLI:EU:C: 2001:465 (Courage/Crehan). HvJ EG 19 november 1991, ECLI:EU:C:1991:428 (Francovich). HvJ EG 19 juni 1990, ECLI:EU:C:1990:257 (Factortame). Afdeling Bestuursrechtspraak van de Raad van State ABRvS 22 augustus 2018, ECLI:NL:RVS:2018:2751. ABRvS 26 juli 2006, ECLI:NL:RVS:2006:AY5030. Hoge Raad
HR 15 maart 2019, ECLI:NL:HR:2019:376.
HR 19 september 2014, ECLI:NL:HR:2014:2740, m.nt. S.D. Lindenbergh. HR 4 oktober 2013, ECLI:NL:HR:851 (Parool/X).
HR 29 juni 2012, ECLI:NL:HR:2012:BW1519 (Blauw oog). HR 20 januari 2006, ECLI:NL:PHR:2006:AU4529 (B./Interpolis).
HR 18 maart 2005, ECLI:NL:HR:2005:AR5213, m.nt. J.B.M. Vranken (Baby Kelly). HR 9 juli 2004, ECLI:NL:HR:2004:AO7721, m.nt. J.A.E. van der Does (Oudejaarsrellen). HR 9 juli 2004, ECLI:NL:PHR:2004:AO7190 (AZG/V).
HR 22 februari 2002, ECLI:NL:HR:2002:AD5356, m.nt. J.B.M. Vranken (Taxibus). HR 1 februari 2002, ECLI:NL:HR:2002:AD6627 (Van Straaten/Brandts).
HR 17 november 2000, ECLI:NL:HR:2000:AA8358 (Druijff/Bouw). HR 8 september 2000, m.nt. A.R. Bloembergen (Baby Joost).
HR 23 januari 1998, ECLI:NL:HR:1998:ZC2551.
HR 31 oktober 1997, ECLI:NL:HR:1997:ZC2476 (Maatschappij van Assurantie/Zonneveld). HR 21 februari 1997, ECLI:NL:HR:1997:ZC2286, m.nt. C.J.H. Brunner (Wrongful birth). HR 13 januari 1995, ECLI:NL:HR:1995:ZC1608, m.nt. C.J.H. Brunner (Ontvanger/Bos). HR 6 juli 1994, ECLI:NL:HR:1994:ZC5710.
HR 8 juli 1992, ECLI:NL:HR:1992:ZC0665 (AMC/O). HR 1 november 1991, ECLI:NL:HR:1991:ZC0393.
HR 9 januari 1987, ECLI:NL:PHR:1987:AG5500, m.nt. E.A. van der Alkema (Edamse
bijstandsvrouw).
HR 21 mei 1943, ECLI:NL:HR:1943:21 (Van Kreuningen/Bessem). Gerechtshof
Hof Den Haag 28 november 2017, ECLI:NL:GHDHA:2017:4272. Rechtbank
Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490. Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827.
Rb. Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700 (X/Advocatenkantoor). Rb. Noord-Nederland 1 maart 2017, ECLI:NL:RBNNE:2017:715 (Groningerveld/NAM). Rb. Noord-Nederland 21 mei 2014, ECLI:NL:RBNNE:2014:2592.
Rb. Zwolle-Lelystad 4 mei 2011, ECLI:NL:RBZLY:2011:BV6594.
Regelgeving
Europees Verdrag tot bescherming van de Rechten van de Mens en de Fundamentele Vrijheden, CETS No. 005, 1950 (“EVRM”).
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens en betreffende het vrije verkeer van die gegevens (“Europese Privacyrichtlijn”) (PbEG 1995, L 281).
Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (“Wet bescherming persoonsgegevens”) [regeling vervallen per 25-05-2018].
Handvest van de grondrechten van de Europese Unie (PbEU 2012, C 326/391). Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn
95/46/EG (“Algemene verordening gegevensbescherming”) (PbEU 2016, L 119). Burgerlijk Wetboek Boek 6, Verbintenissenrecht.
Wet van 4 juni 2015 tot wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (“Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp”) (Stb. 2015, 230).
Parlementaire stukken
Kamerstukken II 2013/14, 33662, nr. 6 (NV II). Kamerstukken II 1999/00, 25892, nr. 92c (MvA II). Kamerstukken II 1997/98, 25892, nr. 3 (MvT). Kamerstukken II 1986/87, 19095, nr. 6 (MvA). Kamerstukken II 1981/82, 17207, nr. 3 (MvT).
Brief van minister De Jonge van Volksgezondheid Welzijn en Sport aan de Tweede Kamer van 24 juni 2019, 1543736-192285-J (Kamerbrief over datalekken in de jeugdsector).
Beleidsdocumenten
Mededeling van de Commissie aan het Europees Parlement en de Raad van 16 augustus 2018 betreffende Richtsnoeren Commissie voor de directe toepassing van de algemene verordening gegevensbescherming (COM(2018)43/F2).
Beleidsregels van de Autoriteit Persoonsgegevens van 19 februari 2019 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Autoriteit Persoonsgegevens
Overige bronnen
Autoriteit Persoonsgegevens 2019
‘Meldplicht datalekken: facts & figures, Overzicht feiten en cijfers eerste helft 2019’ van de Autoriteit Persoonsgegevens.
Beschikbaar via:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht- datalekken/overzichten-datalekken/cijfers-datalekken-2019.
Boogert, EMERCE 12 april 2018
E. Boogert, ‘D66: ‘Meer handen nodig bij privacytoezicht’’, EMERCE 12 april 2018.
Brouwer & Jansen, Dirkzwager 24 april 2019
N. Brouwer & M. Jansen, ‘Schadeclaims bij schendingen privacy: biedt de Hoge Raad aanknopingspunten?’, Dirkzwager 24 april 2019, Dirkzwager.nl.
FM 18 oktober 2012
‘Organisaties onderschatten datalekken’, FM.NL 18 oktober 2012, Financieel-Management.nl.
Leuben & Piersma, FD 25 mei 2018
J. Leuben & J. Piersma, ‘Waakhond mist tanden op moment suprême’, Het Financiele
Dagblad 25 mei 2018, fd.nl. Lindenbergh 2018
S.D. Lindenbergh, ‘Smartengeld anno 2018’, Smartengeld.nl.
NOS 27 november 2017
Bijlagen
Bijlage 1Verhouding grondslagen AVG en BW:
Bijlage 2
Scala persoonsaantastingen:
Bijlage 3
Artikel 8 EVRM
1.Eenieder heeft recht op de eerbiediging van zijn privé leven, zijn familie – en gezinsleven, zijn woning en zijn correspondentie.
2.Geen inmenging van enig openbaar gezag is toegestaan met betrekking tot de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving nodig is in het belang van ’s lands veiligheid, de openbare veiligheid, of het economisch welzijn van het land, de bescherming van de openbare orde en het voorkomen van strafbare feiten, de bescherming van de gezondheid of de goede zeden, of voor de bescherming van de rechten en vrijheden van anderen.
Bijlage 4
Artikel 8 EU Handvest
1. Eenieder heeft recht op bescherming van persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerk, voor bepaalde doeleinden en met toestemming van de betrokkene op of basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.
Bijlage 5 Artikel 4 AVG
Voor de toepassing van deze verordening wordt verstaan onder:
1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke,