Toepassing civiele beoordelingskader

Uit het vorige hoofdstuk is gebleken dat in verschillende situaties een recht op immateriële schadevergoeding kan bestaan. Hierna zullen de situaties waarin een recht op immateriële

141 _{Tjong Tjin Tai, WPNR 2016/7110, p. 462.}

schadevergoeding bij een datalek bestaat worden toegelicht aan de hand van de categorieën van artikel 6:106 lid 1 sub b BW.

4.3.1 Geestelijk letsel

De immateriële schade ten gevolge van een datalek kan voorkomen in verschillende vormen, bijvoorbeeld schaamte, frustratie of onzekerheid wegens mogelijk misbruik in de toekomst, wat weer aanleiding kan geven tot stress of angstgevoelens. De betrokkene heeft dan recht op immateriële schadevergoeding wanneer hij bewijst dat de onrechtmatige verwerking heeft geleid tot geestelijk letsel. Daar zal in geval van een datalek niet snel aan zal worden voldaan. De onzekerheid van het risico op misbruik kan leiden tot ‘reële stress, spanning of angst’ bij de betrokkene, aangezien het lang kan duren voordat de schade werkelijk intreedt.143 _Eerder

hebben we echter gezien dat enkel psychisch onbehagen onvoldoende is, en concrete gegevens het geestelijk letsel moeten onderbouwen. Concrete gegevens zijn bijvoorbeeld de gevoelige aard van de persoonsgegevens, zoals gezondheids- of financiële gegevens, of de aard van de inbreuk, zoals een hack. Een hack is een sterke indicatie dat gegevens worden misbruikt waardoor sneller sprake zal zijn van stress.144 _{Ook het lekken van naaktfoto’s kan ervoor zorgen}

dat de betrokkene psychische klachten ontwikkelt. In beide gevallen dient geestelijk letsel alsnog vastgesteld te worden.

4.3.2 Schending fundamenteel recht

Mogelijk kan een datalek door schending van het fundamentele privacyrecht, de betrokkene in zijn persoon aantasten ‘op andere wijze’. De bescherming van persoonsgegevens en eerbiediging van persoonlijke levenssfeer zijn fundamentele rechten. Afgevraagd moet worden of en in hoeverre een datalek wegens het niet verzorgen van adequate beveiliging van persoonsgegevens een inbreuk maakt op deze fundamentele rechten. De Hoge Raad hanteert strenge eisen voor het aannemen van aantasting in de persoon wegens schending van een fundamenteel recht. Een datalek zou in theorie een uitzondering kunnen zijn op het uitgangspunt dat sprake moet zijn van geestelijk letsel, immers:

‘[…].kunnen de aard en ernst van de normschending en de gevolgen daarvan leiden tot een immateriële schadevergoeding zonder dat concrete onderbouwing wordt vereist, indien de omstandigheden van het geval daartoe aanleiding geven.’

143 _{Langemeijer 2016, p. 103-110.}

Wanneer geen concrete onderbouwing van de aantasting in persoon wordt vereist, moet de schending weliswaar door de betrokkene worden bewezen, maar wordt de aantasting in de persoon aangenomen omdat de nadelige gevolgen zo voor de hand liggen.145 _{Dat de aanname}

van een persoonsaantasting ‘op andere wijze’ is gebaseerd op de aard en ernst van de handeling en het daardoor geschonden belang, en niet zozeer op de concrete gevolgen, biedt gezien de onbekende en speculatieve gevolgen van datalekken meer ruimte voor een aanspraak op immateriële schadevergoeding.146

Er bestaat echter een beperking: rechtspraak van de Hoge Raad en opmerkingen van de wetgever suggereren dat een enkele privacyschending onvoldoende ernstig is. De reden daarvoor zou zijn dat ook op andere wijze genoegdoening voor schendingen kan worden bereikt, ‘bijvoorbeeld door middel van een (al dan niet publieke) melding of een boeteoplegging door de AP.147 _{Nu is een datalek anders dan een traditionele privacyschending en gaat deze}

beperking wellicht niet op. Het moment dat de gegevens openbaar worden is weliswaar een enkele schending, tegelijkertijd zorgt deze schending voor een arsenaal aan potentiële schendingen. Daarnaast kan de betrokkene erop attenderen dat een publieke mededeling en door boete door de AP geen genoegdoening bieden.

Aantasting in de persoon zonder concrete onderbouwing

Het aannemen van een persoonsaantasting sluit aan bij het doel dat burgers door middel van de AVG profiteren van betere bescherming van persoonsgegevens en meer controle krijgen over de manier waarop bedrijven met persoonsgegevens omgaan.148 _{Het Hof van Justitie beschouwt}

het enkel verliezen van controle over persoonsgegevens al als immateriële schade.149 _{In EMA}

waren persoonlijke documenten van verzoekster onrechtmatig verwerkt omdat zij geen toestemming had gegeven. Door verspreiding van de gevoelige gegevens heeft ze immateriële schade geleden in die zin dat haar gezondheid is geschaad. Het Hof oordeelde dat de loutere mogelijkheid en daarmee samenhangende onzekerheid dat anderen (in dit geval collega’s) over persoonsgegevens van verzoekster beschikt, volstaat om de geleden morele schade te rechtvaardigen.150 _{Dat anderen de gelegenheid hebben gehad de gegevens te onderzoeken was}

voldoende en niet werd vereist aan te tonen dat anderen daadwerkelijk toegang tot de gegevens hebben gehad. De door EMA gedane verontschuldiging was van beperkte waarde en niet van

145 _{De bewijslast wordt in paragraaf 4.4 toegelicht.}

146 _{Lindenbergh, in: GS Schadevergoeding, art. 6:106, aant. 2.6 (online, bijgewerkt op 31 juli 2019).} 147 _{Tjong Tjin Tai, WPNR 2016/7110, p. 464; Lindenbergh 2011, p. 96 e.v.}

148 _{COM(2018)43/F2, p. 20.}

149 _{HvJ EU 15 januari 2019, ECLI:EU:T:2019:5 (European Medicines Agency).} 150 _{Ibid, r.o. 57.}

een aard om de morele schade te kunnen compenseren en dus werd EMA veroordeeld tot een (symbolische) schadevergoeding van €1,-. Ook Rechtbank Overijssel oordeelde in haar uitspraak van 28 mei 2019 dat het (enkel) verliezen van controle over persoonsgegevens door een onrechtmatige verspreiding van de gegevens een aantasting in de persoon oplevert.151

Eerder oordeelde de Hoge Raad al in Baby Kelly en Groninger Oudejaarsrellen dat sprake was van een inbreuk op de persoonlijke levenssfeer als zodanig.152 _{Het verlies van controle over}

persoonsgegevens bij datalekken zou kunnen worden vergeleken met verlies van het zelfbeschikkingsrecht in het Baby Kelly-arrest, de betrokkene verliest immers het beschikkingsrecht over zijn persoonsgegevens, wat zeer nadelige gevolgen kan hebben. Daarnaast kan de onzekerheid over potentieel misbruik van de gelekte gegevens door derden mogelijk worden vergeleken met de gevoelens van angst, onveiligheid en onzekerheid in het Oudejaarsrellen-arrest, al dan niet in minder heftige vorm. De persoonsgegevens van de betrokkene zijn immers nauwe verbonden met de persoonlijkheid van de betrokkene, wat hiervoor van groot belang blijkt te zijn.

Belang van gegevensbescherming

Dat een schending van de beveiligingsplicht een persoonsaantasting als zodanig is, kan worden onderbouwd met het belang dat aan het recht op gegevensbescherming is gehecht. Dit is allereerst te zien door de verwezenlijking van de AVG, waarin het fundamenteel rechtelijke kader is geconcretiseerd. De AVG die in het bijzonder het recht op bescherming van persoonsgegevens beoogt te beschermen, toont het belang van gegevensbescherming door de vele verplichtingen die gelden bij de verwerking van persoonsgegevens om rechtmatige verwerkingen te waarborgen en de mogelijkheid voor de AP om boetes op te leggen, oplopend tot 20 miljoen euro.153 _{Ook is het belang terug te zien in het feit dat het recht op bescherming}

van persoonsgegevens in 2002 een eigen grondslag in het EU Handvest heeft gekregen. Bovendien maakt het recht op bescherming van persoonsgegevens onderdeel uit van het fundamentele recht op privacy, dat in meerdere instrumenten terug te vinden is en door verschillende instrumenten van de Europese wetgever wordt gewaarborgd.154

151 _{Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:827, r.o. 9.}

152 _{HR 9 juli 2004, ECLI:NL:HR:2004:AO7721, m.nt. J.A.E. van der Does (Oudejaarsrellen); HR 18 maart}

2005, ECLI:NL:HR:2005:AR5213, m.nt. J.B.M. Vranken (Baby Kelly).

153 _{AP Boetebeleidsregels van 19 februari 2019, Stcrt. 2019, 14586, p. 1.}

Bijkomende omstandigheden

Desalniettemin zal gelet op de strenge vereisten van de Hoge Raad een schending van het recht op gegevensbescherming door een datalek zonder bijkomende omstandigheden hoogstwaarschijnlijk niet voor vergoeding in aanmerking komen.155 _Bijkomende

omstandigheden zoals de aard van de verwerkingsverantwoordelijke, de gevoelige aard van de verwerking en de verwachtingen van de betrokkene kunnen hier verandering in brengen.156 _De

betrokkene dient de schending en zijn geschonden belang zoveel mogelijk te concretiseren waarbij de hoeveelheid en gevoeligheid van de betreffende gegevens, de onzekerheid over wat er mee is gebeurd en de houding van de verwerkingsverantwoordelijke na constatering van het datalek kunnen worden genoemd. Dit vereist dat de betrokkene in zekere mate weet welke persoonsgegevens door wie en voor welke doeleinden worden verwerkt. Uit voorgaande is echter gebleken dat hier het probleem schuilt, omdat de betrokkene vaak slechts over beperkte informatie beschikt.

4.3.3 Schending eer of goede naam

Naast schending van een fundamenteel recht kan schending van eer of goede naam leiden tot een immateriële schadevergoeding. Ook hier zijn factoren als de aard en ernst van de schending en het soort gegevens van belang, en zal niet het enkel openbaar worden van persoonsgegevens tot een aanspraak op schadevergoeding leiden.157 _{Wanneer door een datalek persoonsgegevens}

openbaar zijn geworden zal het feit dat uitlekt dat je in de vakantie op de camping in Valkenswaard gaat staan in plaats van een luxe reis naar Afrika geheid leiden tot grappen van vrienden, maar onvoldoende zijn om schending van eer of goede naam aan te nemen. Uitgelekte naaktfoto’s hebben daarentegen een grotere impact en zullen de eer of goede naam eerder schenden. Waar in Amerika de schadevergoedingen wegens schending van eer of goede naam flink kunnen oplopen, zijn de bedragen in Nederland daarentegen gering.158