Immateriële
schadevergoeding
bij datalekken
Een
toevlucht tot
het civiele recht gepast?
Een onderzoek naar de geschiktheidvan toepassing van het Nederlandse
schadevergoedingsrecht op privacykwesties
MASTERSCRIPTIE
Naam: Eugenie Mol
E-mailadres: Eugeniemol@hotmail.com Studentnummer: 12428922
Master: Informatierecht (IViR)
Begeleider: mw. prof. dr. N. Helberger Datum: 10 december 2019
Voorwoord
Voor u ligt mijn scriptie ter afronding van de Master Informatierecht aan de Universiteit van Amsterdam. In mijn scriptie heb ik de geschiktheid van de toepassing van het Nederlandse schadevergoedingsrecht op privacykwesties onderzocht. Hierin heb ik mijn belangstelling in het privacyrecht kunnen toespitsen op een in de huidige maatschappij steeds vaker voorkomend probleem. Dank gaat uit naar mijn begeleider mw. prof. dr. N. Helberger voor haar feedback en begeleiding gedurende het scriptietraject. Daarnaast wil ik van deze gelegenheid gebruik maken om alle andere docenten en medewerkers van het IVIR Instituut te bedanken voor de zeer interessante en leerzame lessen gedurende deze master.
Amsterdam,
Abstract
Met de hoeveelheid gegevens die tegenwoordig wordt verwerkt wordt de kans op een datalek steeds groter. Wat als een datalek heeft plaatsgevonden? De verwerkingsverantwoordelijke zal zich weliswaar verontschuldigen, maar wellicht heeft degene wiens persoonsgegevens zijn gelekt meer dan een ‘vervelend’ gevoel overgehouden. Als individu blijkt het in de praktijk lastig te zijn om schadevergoeding voor privacykwesties te vorderen, laat staan bij datalekken waar nadelige gevolgen onduidelijk en speculatief zijn. Mogelijk komt dit doordat het privacyrecht bij de beoordeling van een recht op immateriële schadevergoeding aansluit bij het civiele recht. In deze scriptie wordt onderzocht of toevlucht tot het civiele recht bij privacykwesties geschikt is. Meer specifiek wordt gekeken naar de verhouding tussen de grondslagen voor immateriële schadevergoeding in het gegevensbeschermings- en civiele recht en of artikel 6:106 BW voldoende soelaas biedt voor een aanspraak op immateriële schadevergoeding bij een datalek.
Om een antwoord op deze vraag te kunnen formuleren wordt eerst de juridische kwalificatie van een ‘datalek’ uiteengezet en de risico’s en gevaren die een datalek met zich meebrengt. Vervolgens worden op descriptieve wijze de ratio en functies van immateriële schadevergoeding toegelicht. Voorts wordt de juridische grondslag besproken. Naast de civielrechtelijke grondslag voor schadevergoeding (artikel 6:162 BW) bestaat krachtens artikel 82 AVG een recht op vergoeding van geleden (im)materiële schade wanneer de AVG is geschonden. Bij een datalek zit de schending in het nalaten van een passend beschermingsniveau. De gedraging die ter discussie staat is het nalaten van de plicht technische en organisatorische maatregelen te nemen om persoonsgegevens adequaat te beschermen (artikel 32 AVG). De AVG bepaalt weliswaar dát een recht op schadevergoeding bestaat; het bepaalt niet hoe de omvang van de vergoeding wordt vastgesteld. Het gebrek aan een vaststellingskader omtrent de hoogte van de vergoeding op Europees niveau vereist aansluiting bij het nationale civiele recht. Toepassing van dit strenge beoordelingskader van artikel 6:106 BW zorgt ervoor dat een vordering tot immateriële schadevergoeding slechts in geringe gevallen wordt toegewezen.
Uit onderzoek blijkt dat het verkrijgen van een toewijzing van immateriële schadevergoeding – als deze al aanwezig is – lastig is en de toegekende vergoeding vaak laag is. Optreden in rechte kost daardoor vaak meer dan het oplevert. Reden hiervoor is dat het civiele beoordelingskader niet bijster goed op de kwestie van datalekken past waardoor ‘aantasting in de persoon’ uit artikel 6:106 lid 1 sub b BW moeilijk aantoonbaar is. Aantasting in de persoon
kent ruime jurisprudentie die de lat hoog leg. Een AVG-conforme interpretatie maakt dat een schending van het gegevensbeschermingsrecht als zodanig een persoonsaantasting is. Desalniettemin maakt de bewijslast van de betrokkene het lastig om aan de eisen van artikel 6:106 BW te voldoen. De betrokkene moet immers de schending, causaliteit en bijkomende omstandigheden bewijzen. Dit is lastig aangezien de betrokkene slechts in beperkte mate weet wat er zich heeft afgespeeld. Een mogelijke oplossing is gebruikmaking van het recht op informatie krachtens de AVG in combinatie met toepassing van de omkeringsregel van artikel 6:99 BW. Hierdoor wordt de causaliteit tussen de schade en onrechtmatige gedraging aangenomen, behoudens tegenbewijs van de verwerkingsverantwoordelijke.
Inhoudsopgave
Voorwoord ... 2 Abstract ... 3 Inleiding ... 7 Introductie ... 7 Onderzoeksvragen ... 8 Methodologie ... 9 1. Datalekken ... 11 1.1 Introductie ... 11 1.2 Juridische kwalificatie ... 11 1.3 Risico’s en gevaren ... 12 1.4 Verplichtingen verwerkingsverantwoordelijke ... 13 2. Immateriële schadevergoeding ... 13 2.1 Introductie ... 13 2.2 Schadevergoedingsrecht ... 14 2.3 Schadebegrip ... 142.4 Ratio immateriële schadevergoeding ... 15
2.5 Functies immateriële schadevergoeding ... 15
3. Juridische grondslag ... 16
3.1 Introductie ... 16
3.2 Schadevergoeding op grond van de AVG ... 17
3.2.1 Achtergrond AVG ... 17
3.2.2 Handhaving AVG ... 18
3.2.2 Artikel 82 AVG ... 19
3.3 Schadevergoeding op grond van het BW ... 22
3.3.1 Achtergrond BW ... 23
3.3.2 Artikel 6:106 BW ... 23
3.3.3 Beoordeling ‘aantasting in de persoon’ ... 24
3.3.4 Omvang schadevergoeding ... 29
3.4 Jurisprudentie ... 30
4. Toepassing op datalekken ... 33
4.1 Introductie ... 33
4.2 Bijzondere privacyschending ... 34
4.3 Toepassing civiele beoordelingskader ... 34
4.3.1 Geestelijk letsel ... 35
4.3.3 Schending eer of goede naam ... 38
4.4 Bewijslast als complicerende factor ... 38
5. Oplossingen ... 39 5.1 Introductie ... 39 5.2 Samenwerking AVG ... 40 5.3 Omkeringsregel ... 40 6. Conclusie ... 41 Bibliografie ... 43 Bijlagen ... 53 Bijlage 1 ... 53 Bijlage 2 ... 53 Bijlage 3 ... 53 Bijlage 4 ... 54 Bijlage 5 ... 54 Bijlage 6 ... 54 Bijlage 7 ... 55 Bijlage 8 ... 55 Bijlage 9 ... 56 Bijlage 10 ... 57 Bijlage 11 ... 57 Bijlage 12 ... 57 Bijlage 13 ... 57 Bijlage 14 ... 58
Inleiding
Introductie“Boete van zes ton voor Uber na verzwijgen datalek
De Autoriteit Persoonsgegeven legt taxidienst Uber een boete van €600.000 op voor het verzwijgen van een datalek. De autoriteit spreekt van een ernstig verwijtbare nalatigheid. In 2016 werd Uber gehackt en wereldwijd kwamen de gegevens van 57 miljoen gebruikers in handen van de hackers. Het ging om namen, e-mailadressen en telefoonnummers. In Nederland werden zo'n 174.000 klanten en chauffeurs getroffen. De taxidienst betaalde de hackers $100.000 zwijggeld, en maakte verder geen melding van het datalek. Een jaar later kwam het nieuws alsnog naar buiten.”1
In het privacy- en gegevensbeschermingsrecht kampen we met nieuwe soorten problemen die we 20 jaar geleden nog niet hadden. Technologische ontwikkelingen, de komst van het internet en digitalisering van onze samenleving zorgen voor enorme toename van het dataverkeer. Informatie over ons wordt wereldwijd verspreid en grote hoeveelheden informatie worden verzameld door dienstverleners zoals Uber. Het garanderen van bescherming van deze persoonsgegevens wordt steeds moeilijker en het aantal privacyschandalen neemt toe. Zo ook het aantal datalekken.
De Algemene Verordening Gegevensbescherming (hierna te noemen AVG) verplicht de verwerkingsverantwoordelijke om passende beveiligingsmaatregelen te nemen. Een inadequate beveiliging kan een datalek ten gevolge hebben waardoor betrokkenen controle over hun persoonsgegevens verliezen. Vaak is onbekend wie de gegevens in handen heeft gekregen en wat er met deze gegevens wordt gedaan. Deze onzekerheid kan naast materiële schade ook immateriële schade toebrengen, in de vorm van gevoelens van angst, stress en frustratie. Het niet voldoen aan een passend beschermingsniveau kan als schending van de AVG recht geven op een vergoeding van de daardoor geleden (im)materiële schade. De AVG bepaalt wel
of een recht op schadevergoeding bestaat, maar laat zich niet uit over de omstandigheden
waaronder een recht op schadevergoeding bestaat en welke factoren hierbij relevant zijn. Aangezien het Hof van Justitie zich vooralsnog nauwelijks over schadevergoeding in het privacyrecht heeft gebogen wordt aansluiting gezocht bij het nationale schadevergoedingsrecht,
zo blijkt uit de parlementaire geschiedenis en jurisprudentie. Via het civiele recht kunnen individuele belangen worden beschermd, waar middels de publieke route een meer algemeen belang wordt beschermd. Het is echter de vraag of de privaatrechtelijke route wel voldoende bescherming biedt.
Deze scriptie onderzoekt de verhouding tussen de grondslagen voor immateriële schadevergoeding in het gegevensbeschermings- en civiele recht en of het civiele beoordelingskader geschikt is voor datalekken. Bij toepassing van het civiele beoordelingskader lijken rechters de AVG nauwelijks in acht te nemen. Gelet op de strenge vereisten van dit (civiele) kader is de vraag die centraal staat of toevlucht tot het civiele recht bij de beoordeling van immateriële schadevergoeding voor datalekken voldoende soelaas biedt. (Inter)nationale wetten en jurisprudentie worden hiervoor geanalyseerd. Aan de hand van deze analyse worden belangrijke juridische vraagstukken beantwoord en indien mogelijk opgelost. Naast de bepalingen in de AVG speelt met name boek 6 van het Burgerlijk Wetboek (hierna te noemen BW) een belangrijke rol. Bovendien is de voorganger van de AVG, de Wet bescherming persoonsgegevens (hierna te noemen Wbp) relevant.
Onderzoeksvragen
De centrale onderzoeksvraag in deze scriptie luidt:
Hoe verhoudt het recht op immateriële schadevergoeding van een betrokkene op grond van artikel 82 AVG zich tot het civiele recht en biedt het civiele recht, meer specifiek 6:106 BW, voldoende soelaas voor een aanspraak op immateriële schadevergoeding voor datalekken?
Deze hoofdvraag wordt beantwoord aan de hand van de volgende deelvragen:
1. Wat is een datalek en wat zijn de mogelijke gevolgen ervan? 2. Wat is immateriële schadevergoeding en waarom hebben we het?
3. Wanneer bestaat een recht op immateriële schadevergoeding en wat is hiervoor vereist? 4. Is het beoordelingskader voor immateriële schadevergoeding van het BW geschikt voor
datalekken?
5. Hoe kan geleden immateriële schade bij een datalek wel voor vergoeding in aanmerking komen krachtens artikel 6:106 BW?
Methodologie
De problematiek van de toevlucht tot het civiele recht voor immateriële schadevergoeding bij datalekken vormt het centrale thema van deze scriptie. Hiervoor is de wetgevingsgeschiedenis geanalyseerd en literatuur- en jurisprudentieonderzoek gedaan. Deze scriptie is toegespitst op Nederlandse jurisdictie. Uiteraard met de achterliggende gedachte dat het privacyrecht door het unierecht in Europa is geharmoniseerd. De verschillende rechtsvragen worden beantwoord in het licht van de AVG en relevante jurisprudentie van het Hof van Justitie. Rechtspraak van het EHRM en Nederlandse jurisprudentie worden eveneens in acht genomen.
Allereerst wordt in hoofdstuk 1 op descriptieve wijze uiteengezet wat een datalek is en wat de mogelijke gevolgen ervan zijn. Om het juridische probleem te concretiseren en een oplossing te kunnen bieden, is het van belang om eerst het maatschappelijke probleem in kaart te brengen. Ondanks het feit dat er krachtens de AVG meerdere verplichtingen bestaan voor de verwerkingsverantwoordelijke bij de verwerking van persoonsgegevens, is deze scriptie toegespitst op de beveiligingsplicht uit artikel 32 AVG om passende technische en organisatorische maatregelen te nemen.
Hoofdstuk 2 zet op descriptieve wijze het recht op immateriële schadevergoeding uiteen. Een korte introductie over het schadevergoedingsrecht is hierbij gepast. Aandacht wordt besteed aan de ratio en de functies ervan: wat is het en waarom hebben we het? Met immateriële schade wordt emotionele schade bedoeld, die niet in geld is uit te drukken. Deze scriptie beperkt zich tot schade aan individuen.
In hoofdstuk 3 wordt de juridische grondslag voor een immateriële schadevergoeding beschreven en geanalyseerd. Deze scriptie is toegespitst op de grondslagen in artikel 82 AVG en artikel 6:106 BW. Dit doet er niet aan af dat er mogelijke andere gronden zijn voor immateriële schadevergoeding (zoals artikel 6:162 BW). De vereisten van het civiele beoordelingskader worden toegelicht aan de hand van (Nederlandse) jurisprudentie. Dit is van cruciaal belang om te kunnen oordelen of dit kader geschikt is voor datalekken.
In hoofdstuk 4 wordt het civiele beoordelingskader voor immateriële schadevergoeding geëvalueerd en toegepast op datalekken. In deze juridische analyse wordt onderzocht of het beoordelingskader geschikt is voor datalekken. Er wordt ingegaan op de eigenschappen van datalekken en de complicaties die optreden bij toetsing aan de hand van het civiele kader.
In hoofdstuk 5 worden mogelijke oplossingen geboden voor de complicaties die optreden bij toepassing van het civiele beoordelingskader, zoals de uitoefening van het recht op informatie krachtens de AVG en een omkering van de bewijslast. Aan andere oplossingen om in aanmerking te komen voor een materiële schadevergoeding, zoals collectieve acties of toekomstige schade (op grond van artikel 6:105 BW), wordt in deze scriptie geen aandacht besteed.
Hoofdstuk 6 geeft aan de hand van de voorgaande hoofdstukken antwoord op de onderzoeksvraag.
1. Datalekken
1.1 IntroductieMaar weinig bedrijven verwerken geen persoonsgegevens. De enorme hoeveelheid informatie over individuen die wereldwijd wordt verwerkt brengt de nodige risico’s met zich mee. Steeds vaker komen datalekken en andere soorten privacyschendingen voor, ondanks de vele verplichtingen bij het verwerken van persoonsgegevens om nadelige risico’s te beperken. Waar in 2016 een kleine 6.000 datalekken waren gemeld bij de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (hierna te noemen AP), waren dat er in 2018 zo goed als 21.000 en stond de teller halverwege 2019 al op bijna 12.000.2
Om een beeld te kunnen krijgen van de beschermingsmogelijkheden wanneer een datalek heeft plaatsgevonden, is het van belang het fenomeen datalek eerst zelf onder de loep te nemen. Dit hoofdstuk behandelt daarom de eerste deelvraag: ‘Wat is een datalek en wat zijn de mogelijke
gevolgen ervan?’
1.2 Juridische kwalificatie
De AVG spreekt van een ‘datalek’ wanneer een beveiligingsincident heeft plaatsgevonden waarbij persoonsgegevens zijn vernietigd, gewijzigd of verstrekt, verloren zijn geraakt, of toegankelijk zijn gemaakt (‘een inbreuk in verband met persoonsgegevens’).3 Een
persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.4 Het onvoldoende beschermen van persoonsgegevens wegens inadequate beveiliging
met een mogelijke datalek als gevolg, is een onrechtmatige verwerking, evenals diefstal, aantasting of onbevoegde inzage van persoonsgegevens. Een inbreuk op de beveiliging hoeft echter niet te betekenen dat de beveiliging is tekortgeschoten, ook kan sprake zijn van omzeiling van de beveiligingsmaatregelen door de hack van een ICT-systeem. Een datalek is op zichzelf een bijzondere soort privacyschending met vervelende implicaties voor betrokkenen.5 Des te
meer is het van belang de informatie goed te beveiligen. Deze plicht ligt bij de verwerkingsverantwoordelijke.
2 Autoriteit Persoonsgegevens, ‘Meldplicht datalekken: facts & figures’, p. 2. 3 Artikel 4 onder 12 AVG.
4 Artikel 4 onder 1 AVG.
1.3 Risico’s en gevaren
Een datalek is een specifieke soort inbreuk, met mogelijk een veel grotere impact dan andere vormen van onrechtmatige gegevensverwerkingen. Zo zullen de gevolgen van een onrechtmatig gepubliceerde foto op sociale media geringer zijn dan wanneer financiële data in handen van derden komen, bijvoorbeeld door een hack in het beveiligingssysteem van de bank. Organisaties onderschatten vaak het risico op datalekken en beseffen niet hoeveel overbodige informatie in hun systemen wordt bewaard.6 ‘Informatieveiligheidsrisico’s zijn nooit geheel te
voorkomen, maar we moeten zorgen dat bewustwording groeit, bewaking en beveiliging worden versterkt en voldoende capaciteit bestaat om te ‘blussen’ als het nodig is’, schreef Minister de Jonge in zijn brief aan de Tweede Kamer.7 Onderzoek wijst uit dat 50% van de
gelekte informatie wordt veroorzaakt door medewerkers in plaats van hackers.8 Medewerkers
gebruiken usb-sticks die kwijt kunnen raken, mailen documenten naar zichzelf om thuis te werken en gebruiken hun mail als archief. In bijna twee derde van de meldingen wordt een e-mail met daarin gevoelige persoonsgegevens naar de verkeerde ontvanger verstuurd.9
Datalekken kunnen komen door hacking, phishing en malware, maar ook door laptops die worden gestolen, dossiers die in de trein worden achtergelaten en usb-sticks die verloren zijn geraakt. Wat de risico’s en gevaren van een datalek precies zijn is afhankelijk van het soort persoonsgegeven dat is gelekt.
De meeste datalekken komen uit de zorg, financiële- en Openbaar bestuur sector.10 In 2018 en
2019 hadden de meeste datalekken betrekking op naam, geslacht en contactgegevens.11
Daarnaast waren gegevens over gezondheid en Burgerservicenummers (BSN) veelvuldig gelekt. Gegevens over de gezondheid en BSN zijn over het algemeen zeer gevoelige gegevens welke een hoog risico betekenen en verstrekkende gevolgen kunnen hebben voor de betrokkenen. Betrokkenen kunnen bijvoorbeeld risico lopen op (identiteits-)fraude en dus moet een datalek aan de AP worden gemeld. Maar ook minder gevoelige persoonsgegevens kunnen nadelige gevolgen hebben voor de betrokken. Door gelekte e-mailadressen kunnen naast ongewenste spammails bijvoorbeeld phishing-mails worden verstuurd, die hackers de mogelijkheid bieden nog meer gevoelige gegevens te bemachtigen.
6 ‘Organisaties onderschatten datalekken’, FM.NL 18 oktober 2012, Financieel-Management.nl. 7 Brief van Minister van VWS van 24 juni 2019, 1543736-192285-J.
8 ‘Organisaties onderschatten datalekken’, FM.NL 18 oktober 2012, Financieel-Management.nl 9 Autoriteit Persoonsgegevens, ‘Meldplicht datalekken: facts & figures’, p. 4.
10 Ibid, p. 3. 11 Ibid.
1.4 Verplichtingen verwerkingsverantwoordelijke
Verwerkingsverantwoordelijken en verwerkers hebben vele verplichtingen bij de verwerking van persoonsgegevens. Relevant voor deze scriptie is met name de plicht om passende technische en organisatorische maatregelen te nemen, om persoonsgegevens te beveiligen tegen elke vorm van onrechtmatige verwerking, zoals vernietiging, verlies, onbevoegde kennisneming, wijziging of verstrekking van persoonsgegevens, hetzij per ongeluk hetzij bewust.12 De verwerkingsverantwoordelijke in de zin van de AVG is verantwoordelijk voor een
zorgvuldige gegevensverwerking en stelt het doel van- en de middelen voor de verwerking van persoonsgegevens vast.13 Ziekenhuizen verwerken bijvoorbeeld grote hoeveelheden medische
persoonsgegevens van patiënten. Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. Dossiers dienen daarom intern ook goed beveiligd te worden en bestanden worden verwijderd wanneer deze niet meer nodig zijn. Er moet rekening worden gehouden met- en stil worden gestaan bij het risico van e-mailsystemen, bestanden, databases en financiële systemen.
Los van de beveiligingsplicht heeft de verwerkingsverantwoordelijke een meldplicht.14 De
meldplicht geldt sinds 2016 in Nederland.15 In 2018 is de Wet Meldplicht Datalekken
vervangen door de AVG.16 Organisaties moeten een datalek direct, ten minste binnen 72 uur na
kennisneming, melden aan de toezichthouder en betrokkenen, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor de betrokkene. Het doel van de meldplicht is het beperken van de schade die betrokkenen kunnen ondervinden door het lekken van persoonsgegevens. Deze scriptie is toegespitst op de beveiligingsplicht in artikel 32 AVG en gaat verder niet in op de meldplicht.
2. Immateriële schadevergoeding
2.1 IntroductieNa een datalek waarbij gegevens van individuen zijn gelekt, ondervinden betrokkenen vaak gevoelens van angst en onzekerheid omdat de persoonsgegevens door (kwaadwillende) derden misbruikt kunnen worden, of überhaupt vanwege de mogelijkheid dat, wellicht gevoelige, voor
12 Artikel 32 AVG.
13 Artikel 4 onder 7 AVG. Omwille van de omvang van deze scriptie laat ik de verwerker verder buiten
beschouwing.
14 Kamerstukken II 2013/14, 33662, 6, p. 18. De plicht was voorheen geformuleerd in artikel 34a Wbp. 15 Wet van 4 juni 2015, Stb. 2015, 230.
privé bestemde informatie openbaar is geworden. Deze vormen van nadeel zijn niet in geld uit te drukken maar zijn wel nadelig voor de betrokkene. Dit zijn voorbeelden van immateriële schade, die onder bepaalde omstandigheden kunnen worden vergoed. Het vergoeden van dergelijke schade kan meerdere functies hebben. In dit hoofdstuk wordt de tweede deelvraag
‘Wat is immateriële schadevergoeding en waarom hebben we het?’ behandeld. 2.2 Schadevergoedingsrecht
Immateriële schadevergoeding is als geldelijke tegemoetkoming voor geleden immateriële schade onderdeel van het schadevergoedingsrecht. In dit rechtsgebied staat centraal onder welke omstandigheden op welke grond welke schade voor vergoeding in aanmerking komt.17
Het schadevergoedingsrecht is opgenomen in afdeling 6.1.10 van het Burgerlijk Wetboek en is gericht op privaatrechtelijke vorderingen tot schadevergoeding. De schadevergoeding tracht de benadeelde zoveel mogelijk in de toestand te brengen waarin hij zich zou bevinden indien de schadeveroorzakende gebeurtenis niet had plaatsgevonden.18 Het schadevergoedingsrecht in
Nederland heeft van oorsprong geen punitief karakter: het is niet bedoeld ter bestraffing, maar behelst een compensatie voor- of ongedaan making van de onrechtmatige situatie.
2.3 Schadebegrip
Het begrip ‘schade’ is nergens in de wet, parlementaire stukken of rechtspraak van de Hoge Raad gedefinieerd. Uit rechtspraak kan hooguit worden opgemaakt dat de Hoge Raad in principe schade als ‘feitelijk nadeel’ ervaart, wat tevens in verschillende situaties anders kan worden geïnterpreteerd.19 Toch levert het gebrek aan een begripsomschrijving in de praktijk
geen problemen op omdat afdeling 6.1.10 BW precies bepaalt welke schade voor vergoeding in aanmerking komt en waaruit de schadeposten bestaan.
Bij schade wordt onderscheid gemaakt tussen materiële schade (vermogensschade) en immateriële schade (ander nadeel dan vermogensschade). Materiele schade is direct in geld uit te drukken, bijvoorbeeld een beschadiging aan een eigendom of misgelopen inkomsten. Immateriële schade is alle emotionele schade die niet in geld is uit te drukken, zoals pijn, verdriet, gederfde levensvreugde of een geschokt rechtsgevoel.20 Naast fysiek of geestelijk
17 Lindenbergh 2002, p. 99. 18 Van Dijck 2016, p. 1608.
19 HR 1 februari 2002, ECLI:NL:HR:2002:AD6627 (Van Straaten/Brandts). 20 Handelingen II (2846), Parl. Gesch. Boek 6 BW, p. 373.
letsel gaat het in de praktijk vaak om schending van eer en goede naam en aantasting van fundamentele rechten.21
2.4 Ratio immateriële schadevergoeding
‘Immateriële schadevergoeding, een vermogensoverheveling naar aanleiding van een gebeurtenis die leed toebrengt aan de ‘gelaedeerde’ en die de rechtsorde schokt, maar het een noch het ander is in geld om te rekenen en toch doen we het, omdat we nu eenmaal soms een juridische fictie nodig hebben’.22
Enerzijds is leed niet in geld uit te drukken; anderzijds is het altijd beter dat de benadeelde ter vergoeding van de schade een geldbedrag krijgt dan in het geheel niets.23 Minister van Justitie
Van Agt heeft de ratio van het vergoeden van ander nadeel dan vermogensschade kernachtig verwoord tijdens de vergadering van de vaste commissie voor Justitie over artikel 6:106 BW:
“Het ware zoveel beter indien in het verkeer tussen mensen toegebracht leed kon worden goedgemaakt door het aandragen van vreugde. Aangezien dat echter in veel, zo niet de meeste gevallen niet kan, vallen wij terug op het substituut van materiële schadeloosstelling. Hieraan is wellicht nog deze justificatie te geven. Die materiële schadeloosstelling is de enige methode om de gelaedeerde – die men rechtstreeks geen vreugde kan verschaffen – in staat te stellen zelf vreugde te vinden door wat hij zoal met die schadevergoeding kan doen.”24
2.5 Functies immateriële schadevergoeding
Het aannemen van immateriële schadevergoeding kan uiteenlopende functies hebben.25
Verschillende opvattingen bestaan over de functies van immateriële schadevergoeding, maar duidelijk is dat naast compenseren het ook de rol van preventie, rechtshandhaving, genoegdoening en erkenning kan vervullen, en het inhoud en betekenis kan geven aan rechten en plichten. Deze functies kunnen naast elkaar bestaan.26
21 N. Brouwer & M. Jansen, ‘Schadeclaims bij schendingen privacy: biedt de Hoge Raad aanknopingspunten?’,
Dirkzwager.nl 24 april 2019.
22 Schuijt, Mediaforum 2003/2, p. 51. 23 VV II, Parl. Gesch. Boek 6 BW, p. 371. 24 VC II, Parl. Gesch. Boek 6 BW, p. 385.
25 Conclusie A-G T. Hartlief bij HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 4.3. 26 Lindenbergh 2008, p. 5.
Volgens Lindenbergh heeft immateriële schadevergoeding – in de praktijk vaak aangeduid als smartengeld – in de huidige wetgeving overwegend een rol gekregen op het gebied van bescherming van de menselijke persoon.27 Lindenbergh noemt vier voorbeelden waarin een
recht op schadevergoeding bestaat om verschillende functies van immateriële schadevergoeding toe te lichten.28 Zo is smartengeld bij letsel een compensatie van wat niet kan
worden hersteld. Smartengeld bij seksueel misbruik heeft een rol van genoegdoening voor wat er is gebeurd. Het gedane onrecht wordt goedgemaakt of het geschokte rechtsgevoel van de benadeelde wordt bevredigd, door van de wederpartij een opoffering te verlangen.29
Smartengeld bij verlies van een naaste heeft tot doel erkenning van verdriet. Bij schending van de persoonlijke levenssfeer heeft smartengeld de functie van handhaving van een anders weerloos recht. De handhavingsfunctie heeft ertoe geleid dat immateriële schadevergoeding op zijn plaats kan zijn in gevallen waarin geen sprake is van lichamelijk of geestelijk letsel. Uiteindelijk is de schending van een fundamenteel recht als zodanig erkend als grond voor immateriële schadevergoeding. Naast het feit dat recht wordt gedaan aan hetgeen de benadeelde is overkomen, wordt daarmee onwenselijk gedrag ontmoedigd (preventiefunctie).30
Door een vergoeding voor de geleden immateriële schade bij een datalek toe te kennen, kunnen dezelfde functies als zojuist beschreven troost bieden. Zo kan het de functie van compensatie en genoegdoening hebben voor het feit dat de lek en de verspreiding van de persoonsgegevens naar de vaak onbekende derden heeft plaatsgevonden en niet kan worden hersteld. De preventie- en handhavingsfunctie van de vergoeding kunnen daarnaast voorkomen dat het fundamenteel recht op eerbiediging van de persoonlijke levenssfeer en het recht op gegevensbescherming weerloze rechten worden. Niettemin kan toekenning van schadevergoeding tot een hoop nieuwe claims leiden. Voorkomen moet worden dat voor de minste of geringste lek een claim wordt gestart. In hoofdstuk 3 zullen de functies en mogelijke nadelen nader worden toegelicht.
3. Juridische grondslag
3.1 IntroductieDit hoofdstuk behandelt de derde deelvraag: ‘Wanneer bestaat een recht op immateriële
schadevergoeding en wat is hiervoor vereist?’ Een aanspraak op vergoeding van immateriële
schade vereist een wettelijke grondslag. In geval van een datalek is een grondslag voor
27 Ibid, p. 3, 16. 28 Ibid, p. 6.
29 TM, Parl. Gesch. Boek 6 BW, p. 377.
immateriële schadevergoeding gelegen in artikel 82 AVG, maar ook in artikel 6:162 BW.31 In
deze scriptie wordt ingegaan op de grondslag in artikel 82 AVG. Wanneer in strijd met de AVG wordt gehandeld bestaat een recht op schadevergoeding voor de daardoor geleden (im)materiële schade. Het niet voldoen aan het verplichte beschermingsniveau is in strijd met de beveiligingsplicht uit artikel 32 AVG. Daarnaast bevat artikel 6:162 BW een grondslag voor immateriële schadevergoeding op grond waarvan een onrechtmatige daad-procedure kan worden gestart. Dit blijkt uit overweging 146 AVG waarin staat dat naast een schadevergoedingsvordering krachtens een AVG ook een vordering krachtens het civiele recht kan worden ingesteld. Het recht op immateriële schadevergoeding krachtens beide artikelen wordt nader bepaald aan de hand van artikel 6:106 BW.32
3.2 Schadevergoeding op grond van de AVG 3.2.1 Achtergrond AVG
Vóór de AVG gold de Europese Privacyrichtlijn. Deze richtlijn uit 1995 was de eerste regeling omtrent bescherming van persoonsgegevens op Europees niveau en was in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens.33 Door flinke toename in het
dataverkeer de afgelopen jaren vond de Europese Commissie dat de Privacyrichtlijn toe was aan vernieuwing en stelde daarom in 2012 voor om uniforme regels te ontwikkelen om fragmentatie van gegevensbescherming tegen te gaan: de AVG.34 Op 25 mei 2018 is de AVG
in werking getreden. Met de invoering van de AVG komt de privacywetging in Europa meer op één lijn, met name ten aanzien van bevoegdheden op het gebied van toezicht, handhaving en sancties voor overtredingen.35
De AVG beoogt de grondrechten en fundamentele vrijheden van natuurlijke personen te beschermen, voornamelijk hun recht op bescherming van persoonsgegevens.36 Zij vindt haar
grondslag in artikel 16 VWEU en is de uitvoering van artikel 8 EU Handvest, op grond waarvan eenieder recht heeft op bescherming van zijn persoonsgegevens.37 Dit impliceert dat
persoonsgegevens op een rechtmatige wijze verwerkt worden, om te voorkomen dat de
31 Andere wettelijke grondslagen voor een immateriële schadevergoeding blijven buiten beschouwing. 32 Zie bijlage 1 voor een overzicht.
33 Richtlijn 95/46/EG.
34 Oude Elferink & Reus, NtEr 2017/6, p. 157.
35 Ibid, p. 158; Van der Jagt-Vink, MvV 2019/7&8, p. 287. 36 Artikel 1 lid 2 AVG.
betrokkene er nadeel van ondervindt. Het recht op bescherming van persoonsgegevens maakt deel uit van het recht op privacy en wordt aangeduid met informationele privacy.38
De AVG, die verbindend is in al haar onderdelen en rechtstreeks toepasbaar in elke Europese lidstaat, vereist dat bedrijven, instellingen en overheden op zorgvuldige wijze persoonsgegevens verwerken.39 De AVG bouwt voort op de beginselen van de Privacyrichtlijn,
maar introduceert een reeks nieuwe elementen die de bescherming van individuele rechten versterken.40 Natuurlijke personen hebben meer controle over persoonsgegevens door het
nieuwe recht op overdraagbaarheid van gegevens en betere bescherming tegen datalekken.41
Artikel 82 AVG biedt bijvoorbeeld de mogelijkheid om de verwerker direct aansprakelijk te stellen en schade te vorderen, waar artikel 23 van de Europese Privacyrichtlijn die mogelijkheid niet bood.
3.2.2 Handhaving AVG
Effectieve gegevensbescherming op Europees niveau vereist handhaving.42 De
beveiligingsplicht uit artikel 32 AVG kan publiekrechtelijk en civielrechtelijk worden gehandhaafd.43 De publiekrechtelijke route kan door middel van een klacht bij de AP, die als
zelfstandig bestuursorgaan toeziet op nakoming van de AVG. Ondanks de noodzaak voor een sterke en waakzame toezichthouder door enorme toename in het dataverkeer schiet de route via de AP tekort.44 Oorzaken zijn onder andere overbelasting en tegelijkertijd onderbezetting van
de AP.45 Hierdoor worden individuele klachten niet of nauwelijks opgepakt.46 Daarbij komt dat
de AP weliswaar boetes kan opleggen aan verwerkingsverantwoordelijken, maar geen vergoeding kan toekennen aan betrokkenen.47 Naast de publiekrechtelijke route via de AP kan
de betrokkene op grond van artikel 82 lid 6 jo. 79 AVG rechtstreeks een schadevergoedingsvordering tegen de verwerkingsverantwoordelijke instellen wanneer de persoonsgegevensverwerking in strijd met de AVG heeft plaatsgevonden, zonder eerst naar de
38 Van der Jagt 2013, p. 163. De zelfstandige grondslag van het recht op bescherming van persoonsgegevens in
artikel 8 EU Handvest toont weliswaar het eigen karakter.
39 Artikel 288 VWEU. 40 COM(2018)43/F2, p. 2. 41 Ibid, p. 3.
42 Walree, WPNR 2017/7172, p. 921.
43 Van der Linden & Walree, AV&S 2018/20, p. 105.
44 J. Leuben & J. Piersma, ‘Waakhond mist tanden op moment suprême’, Het Financiële Dagblad 25 mei 2018,
fd.nl.
45 E. Boogert, ‘D66: ‘Meer handen nodig bij privacytoezicht‘’, EMERCE 12 april 2018. 46 Moerel & Prins 2016, p. 114.
toezichthouder te hoeven stappen.48 Nu is het zo dat de AVG wel bepaalt of een recht op
schadevergoeding bestaat (namelijk wanneer een AVG-norm is overschreden), maar niet hoe de immateriële schadevergoeding verder wordt vastgesteld.49 Aangezien nog niet duidelijk is
welke materiële en immateriële schade recht geeft op een vergoeding krachtens de AVG en het Hof van Justitie slechts beperkt heeft geoordeeld over schadevergoeding in het privacyrecht (waardoor een Europees autonome interpretatie uitblijft), zullen nationale regels omtrent schadevorderingen als uitgangspunt moeten worden genomen.50 De reden dat bij het civiele
recht wordt aangesloten terwijl een schending van de AVG een publiekrechtelijke schending is, is omdat via het civiele recht individuele belangen kunnen worden gehandhaafd, daar waar het publiekrecht een meer algemeen (privacy)belang beschermt.51
3.2.2 Artikel 82 AVG
Vóór de invoering van de AVG kon op grond van artikel 49 Wbp materiële en immateriële schade worden gevorderd wanneer in strijd met de Wbp werd gehandeld. Artikel 82 AVG heeft deze bepaling vervangen.
Artikel 82 lid 1 en 2 AVG
1. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
2. Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.
De verwerkingsverantwoordelijke of verwerker is enkel niet aansprakelijk, wanneer hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit. Artikel 82 AVG dient in samenhang te worden gelezen met overwegingen 75, 85 en 146 van de preambule.
48 Willink, in: T&C Privacy- en telecommunicatierecht art. 79 AVG, aant. 1 (online, laatst bijgewerkt op 25 mei
2018).
49 Walree, WPNR 2017/7172, p. 9230
50 HvJ EG 19 november 1991, ECLI:EU:C:1991:428 (Francovich), r.o. 12. Een eerste opheldering over
schadevergoeding in privacykwesties heeft het Hof gegeven in het EMA-arrest, dat in hoofdstuk 4 zal worden besproken.
Daarin staat dat alle schade die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op de AVG moet worden vergoed: betrokkenen dienen ‘volledige en daadwerkelijke’ vergoeding van door hen geleden schade te ontvangen. Het begrip ‘schade’ moet ruim worden uitgelegd, in het licht van de rechtspraak van het Hof van Justitie ‘op een wijze die ten volle recht doet aan de doelstellingen van de verordening’. Hiermee heeft de Europese wetgever er uitdrukkelijk voor gekozen een invulling aan het schadebegrip te geven, wat betekent dat het begrip in de gehele Europese Unie autonoom uitgelegd zou moeten worden.52 Voorbeelden van
immateriële schade die het gevolg kunnen zijn van datalekken zijn identiteitsdiefstal of -fraude, reputatieschade en het verhinderen controle uit te oefenen over persoonsgegevens. Vooralsnog lijken privacyschendingen maar weinig tot schadevergoeding te leiden wegens geringe daadwerkelijke schade en de moeite met het aantonen ervan.53 Dit sluit niet aan bij de nadruk
die de Europese Unie op het gegevensbeschermingsrecht heeft gelegd met de invoering van de AVG.
Bij een datalek zit de schending in het tekortschieten van een passend beschermingsniveau.54
De gedraging die in dat geval ter discussie staat is het nalaten van de plicht technische en organisatorische maatregelen te nemen om persoonsgegevens adequaat te beschermen (artikel 32 AVG). Uit de parlementaire geschiedenis blijkt dat het dan gaat om de gevolgen voor de persoonlijke levenssfeer van de betrokkene.55 Burgers kunnen door het verlies, onrechtmatig
gebruik of misbruik van persoonsgegevens in hun belangen worden geschaad.56 Betrokkenen
verliezen de controle over hun persoonsgegevens, niet alleen omdat de gegevens door een datalek in handen van onbekende derden zijn gekomen, maar ook omdat het voor betrokken vaak moeilijk is om van de verwerkingsverantwoordelijke informatie over de verwerking te verkrijgen en deze onduidelijk en onbegrijpelijk is.
Gebrek aan beoordelingskader
In het privacyrecht is slechts beperkt geoordeeld over het schade-concept.57 In rechtspraak van
het Hof van Justitie zijn criteria ontwikkeld voor immateriële schadevergoeding buiten het gegevensbeschermingsrecht, alleen lijken deze niet bepalend te mogen zijn bij de vaststelling
52 Tjong Tjin Tai, NTBR 2018/5, p. 33. Overigens is een dergelijke Europees-autonome uitleg nog niet mogelijk
aangezien een Europees schadebegrip (nog) niet bestaat.
53 Zie hoofdstuk 4 voor nadere toelichting.
54 Overigens is het niet melden van een datalek ook een schending van de AVG is. Omwille van de omvang van
deze scriptie wordt hier niet op ingegaan.
55 Kamerstukken II 2013/14, 33662, 6, p. 19. 56 Rijnhout e.a., NTBR 2013/20, p. 180.
van de omvang van de schadevergoeding bij een onrechtmatige verwerking.58 Volgens Walree
is het verdedigbaar dat verschillende normschendingen binnen het Europees recht een eigen beoordelingskader hebben.59 Een algemeen kader voor de aansprakelijkheid van private partijen
op Europees niveau bestaat echter nog niet.60 De AVG bepaalt weliswaar of een recht op
(im)materiële schadevergoeding bestaat of niet, een vast kader voor het vaststellen van de materiële en immateriële schade biedt de AVG niet.61 Daarom wordt uitgeweken naar het
beoordelingskader van artikel 6:106 BW in het civiele recht, waar de relevante factoren voor de vaststelling van een recht op schadevergoeding wel duidelijk zijn omschreven.62 Zo
oordeelde Rechtbank Overijssel dat artikel 82 AVG onverlet laat dat voor toekenning van schadevergoeding aansluiting mag en moet worden gezocht bij het Nederlands rechtsbestel.63
De rechter bepaalde dat zoveel mogelijk aansluiting moet worden gezocht bij het civielrechtelijk schadevergoedingsrecht. Schadevergoedingsvorderingen voor geleden immateriële schade op grond van een onrechtmatige daad (artikel 6:162 BW) worden ook beoordeeld aan de hand van het kader van artikel 6:106 BW.64 Overigens volgt uit vaste
jurisprudentie van de Afdeling Bestuursrecht dat ook in het kader van het bestuursrecht bij beantwoording van de vraag of en in welke omvang een partij schade lijdt, zoveel mogelijk aansluiting wordt gezocht bij het civiele schadevergoedingsrecht.65 Het kader van artikel 6:106
BW wordt verder toegelicht in paragraaf 3.3.
Vóór de AVG
Dat de Wbp slechts een aanvulling was op de bepalingen over schadevergoeding in boek 6 BW blijkt uit het slot van de voormalige schadevergoedingsbepaling artikel 49 Wbp, ‘onverminderd de aanspraken op grond van andere wettelijke regels’. Bij de bespreking van het wetsvoorstel van de Wbp is aandacht besteed aan civielrechtelijke sancties die van belang zijn bij de handhaving van de voorgestelde wet.66 De minister wees bij de beëindiging van de
onrechtmatige situatie op de mogelijkheid tot vergoeding van geleden (im)materiële schade. Voorgaande wordt bevestigd in de wetsgeschiedenis van artikel 9 Wpr, waar artikel 49 Wbp grotendeels op is gebaseerd.67 In de toelichting van artikel 87 van het wetsontwerp van de Wpr
staat:
58 Zie voor de criteria: HvJ EG 8 juli 2008, ECLI:EU:T:2008:257 (Franchet and Byk/Commission). 59 Walree, WPNR 2017/7172, p. 929.
60 Leczkiewicz, p. 259.
61 Walree, WPNR 2017/7172, p. 930.
62 Kamerstukken II 1986/87, 19095, 6 (MvA), p. 39.
63 Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827, r.o. 5. 64 Op artikel 6:162 BW wordt niet verder ingegaan.
65 Zie bijv. ABRvS 26 juli 2006, ECLI:NL:RVS:2006:AY5030. 66 Kamerstukken II 1999/00, 25892, 92c (MvA II), p. 22.
"In dit artikel wordt voor schade als gevolg van het overtreden van voorschriften van deze wet een regeling gegeven, die de positie van de benadeelde enigszins versterkt, vergeleken met de positie die de gewone regeling van de onrechtmatige daad aan het slachtoffer daarvan toekent. […] Uit de redactie van het eerste lid volgt dat slechts een aanvulling van de bestaande rechtsmiddelen, en dus niet een vervanging daarvan, bedoeld is."68
In de toelichting staat verder dat de regeling in het tweede lid betreffende immateriële schade overeenkomt met het bepaalde in artikel 6.1.9.11 (tegenwoordig artikel 6:106 lid 1 sub b BW). Niettemin dient als uitgangspunt te gelden dat in de AVG zelf uitgangspunten zijn geformuleerd voor de beoordeling van de schending, de schade en het causaal verband daartussen.69 Het
aansluiten bij het civiele recht mag er niet toe leiden dat het oogmerk van het privacy- en gegevensbeschermingsrecht wordt aangetast. De rechter is immers verplicht om Europees recht voor nationaal recht te laten gaan.70 Artikel 6:106 BW zal voor zover nodig AVG-conform
moeten worden uitgelegd.
3.3 Schadevergoeding op grond van het BW
Uit voorgaande is gebleken dat een recht op schadevergoeding bestaat op grond van artikel 82 AVG, maar dat voor de invulling daarvan naar het civiele recht wordt uitgeweken. Naast de grondslag in artikel 82 AVG kan op grond van artikel 6:162 BW schadevergoeding worden gevorderd. Beide grondslagen voor immateriële schadevergoeding worden aan de hand van artikel 6:106 BW ingevuld, waarin de wettelijke verplichtingen tot immateriële schadevergoeding is gelegen. In het kader van artikel 6:106 BW is het niet aan het billijkheidsoordeel van de rechter overgelaten of een recht op schadevergoeding staat, maar slechts de vaststelling van de omvang ervan.71
Het enkel verliezen van de controle over de persoonsgegevens kan volgens de AVG als ‘immateriële schade’ worden gezien en ook het Hof van Justitie achtte de enkele mogelijkheid dat persoonsgegevens kunnen worden verspreid voldoende.72 Of het ook voldoende is om te
spreken van ‘persoonsaantasting’ in de zin van artikel 6:106 lid 1 sub b BW zal blijken na bespreking van de vereisten van persoonsaantasting en relevante jurisprudentie.
68 Kamerstukken II 1981/82, 17207, 3, p. 92
69 Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490, r.o. 20.
70 HvJ EG 19 juni 1990, ECLI:EU:C:1990:257 (Factortame), r.o. 19, 23; HvJ EG 20 september 2001,
ECLI:EU:C: 2001:465 (Courage/Crehan), r.o. 25.
71 MvA II, Parl. Gesch. Boek 6 BW, p. 380.
3.3.1 Achtergrond BW
Boek 6 van het Burgerlijk Wetboek is sinds haar totstandkoming in 1838 meerdere keren gewijzigd of vervangen. Het oude BW omvatte geen algemene bepaling van de verplichting tot schadevergoeding. In het Nieuwe Burgerlijk Wetboek van 9 mei 1980 kreeg ‘nadeel dat niet in vermogensschade bestaat’ voor het eerst een wettelijke grondslag, ondanks het feit dat de Nederlandse rechter al in 1943 voor de eerste keer immateriële schadevergoeding heeft toegekend.73 Bij de totstandkoming van de wettelijke grondslag voor immateriële
schadevergoeding bestond discussie onder welke omstandigheden een recht op immateriële schadevergoeding gerechtvaardigd is.74 Veel aandacht werd besteed aan de doelstellingen en
de functies van de vergoeding. Uiteindelijk is gekozen voor een limitatieve opsomming. De gedachte was om niet alle gevallen waarin aansprakelijkheid bestaat en immateriële schade is geleden voor vergoeding in aanmerking te laten komen, maar slechts de gevallen waarin de wet en jurisprudentie toen al een recht op immateriële schadevergoeding kenden.75 De beperkte
ruimte voor immateriële schadevergoeding in de Nederlandse wet is terug te zien in de terughoudende houding bij toewijzing van schadeclaims. Los van het probleem om de schade te concretiseren en de poging om banale claims te voorkomen, is deze algemene terughoudendheid afkomstig van de gedachte dat geestelijk onbehagen een lagere prioriteit toekomt dan fysiek en geestelijk letsel, die als objectiveerbare aantastingen van de gezondheid kunnen worden beschouwd.76 Desalniettemin kan het open einde van artikel 6:106 lid 1 sub b
BW ‘op andere wijze’ het restrictieve stelsel ietwat oprekken.77 Privacyschendingen worden
niet expliciet genoemd maar uit de parlementaire geschiedenis blijkt dat inbreuken op het privacyrecht wel onder aantasting in persoon ‘op andere wijze’ kunnen vallen.78
3.3.2 Artikel 6:106 BW
Artikel 6:106 BW beschrijft niet voor welk nadeel er ruimte bestaat voor een vergoeding van immateriële schade maar onder welke omstandigheden. De gevallen waarin een recht op immateriële schadevergoeding bestaat zijn limitatief, echter is ruimte open gelaten voor rechtsontwikkelingen.79 De gevallen waarin recht op immateriële schadevergoeding bestaat is
de afgelopen twintig jaar uitgebreid in rechtspraak van de Hoge Raad en het EHRM.80 Lagere
73 Bloembergen 2002, p.16. Immateriële schadevergoeding werd voor het eerst toegewezen in: HR 21 mei 1943,
ECLI:NL:HR:1943:21 (Van Kreuningen/Bessem).
74 VV II, Parl. Gesch. Boek 6 BW, p. 371.
75 MvA II (2846), Parl. Gesch. Boek 6 BW, p. 372-373.
76 S.D. Lindenbergh, annotatie bij HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 12. 77 Lindenbergh 1998, p. 96.
78 MvA II, Parl. Gesch. Boek 6 BW, p. 379, 382. 79 Verheij 2002, p. 34; Lindenbergh 1998, p. 96.
rechters verkennen voortdurend de grenzen van het wettelijke kader, zoals Rechtbank Noord-Nederland deed in het Groningerveld-arrest.81
Naast artikel 6:106 BW bestaan incidenteel andere wettelijke grondslagen voor immateriële schadevergoeding, zowel binnen als buiten het privaatrecht, maar artikel 6:106 BW heeft door haar algemene aard het grootste bereik en belang.82
Artikel 6:106 lid 1 BW
1. Voor nadeel dat niet in vermogensschade bestaat, heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding:
a. indien de aansprakelijke persoon het oogmerk had zodanig nadeel toe te brengen; b. indien de benadeelde lichamelijk letsel heeft opgelopen, in zijn eer of goede naam is geschaad of op andere wijze in zijn persoon is aangetast;
c. indien het nadeel gelegen is in aantasting van de nagedachtenis van een overledene en toegebracht is aan de niet van tafel en bed gescheiden echtgenoot, de geregistreerde partner of een bloedverwant tot in de tweede graad van de overledene, mits de aantasting plaatsvond op een wijze die de overledene, ware hij nog in leven geweest, recht zou hebben gegeven op schadevergoeding wegens het schaden van zijn eer of goede naam.
De categorie ‘persoonsaantastingen’ van sub b is de belangrijkste. De gronden van sub a en c (oogmerk en nagedachtenis) komen in de praktijk maar zelden voor en zijn niet relevant voor deze scriptie. Hier wordt niet nader op ingegaan.
3.3.3 Beoordeling ‘aantasting in de persoon’
Zowel uit de parlementaire geschiedenis als uit jurisprudentie van de Hoge Raad bij artikel 6:106 BW volgt dat ernstige schendingen van de persoonlijke levenssfeer worden aangemerkt als persoonsaantasting, die recht geeft op een vergoeding van immateriële schade.83 Het begrip
‘persoonsaantasting’ wordt ruim geïnterpreteerd.84 Het scala aan persoonsaantastingen85 bevat
aan de ene kant de objectiveerbare gezondheidsaantastingen ten gevolge van een normschending, ongeacht de aard en ernst ervan (lichamelijk- en geestelijk letsel). De nadruk
81 Rb. Noord-Nederland 1 maart 2017, ECLI:NL:RBNNE:2017:715 (Groningerveld/NAM). Inwoners van
Groningen ondervinden gevoelens van angst, zorgen en psychisch onbehagen vanwege aardbevingen door gaswinning, maar hebben geen geestelijk letsel opgelopen.
82 Lindenbergh 1998, p.95.
83 HR 1 november 1991, ECLI:NL:HR:1991:ZC0393. 84 Van 1999, p. 20.
ligt hier op (compensatie van) de gevolgen van de schending.86 Aan de andere kant zitten de
gevallen waarin de aard van de gedraging zonder meer een aanspraak op immateriële schadevergoeding rechtvaardigt (oogmerk van sub a). Tussen deze uiteindes bevindt zich een reeks gevallen, zoals schending van eer en goede naam en schending van een fundamenteel recht, waar de bestempeling tot aantasting van de persoon afhangt van een aantal factoren. Deze worden in de volgende paragrafen toegelicht. Lichamelijk letsel is bij datalekken niet van belang en dus wordt niet verder op deze grondslag ingegaan.
Geestelijk letsel
Voor persoonsaantasting ‘op andere wijze’ bestaat uitgebreide rechtspraak, waarin de drempel voor een immateriële schadevergoeding tamelijk hoog ligt.87 De aard en ernst van de gevolgen
zijn hier beslissend. Van een aantasting in persoon op andere wijze is in ieder geval sprake wanneer de benadeelde geestelijk letsel heeft opgelopen. In beginsel kan geestelijk letsel slechts worden aangenomen als sprake is van een in de psychiatrie erkend ziektebeeld, vast te stellen naar objectieve maatstaven, waarbij de omstandigheden van het geval in aanmerking genomen moeten worden.88 De partij die zich hierop beroept moet de aantasting in persoon met
voldoende concrete gegevens onderbouwen. Geestelijke letsel vergt meer dan enkel psychisch onbehagen: het moet een voldoende ernstig karakter hebben.89 Gevoelens van angst, schrik,
onzekerheid, nervositeit, frustratie of teleurstelling vallen niet onder het bereik van artikel 6:106 lid 1 sub b BW, ook al zijn zij sterk.90 Immateriële schadevergoeding voor geestelijk letsel heeft
met name de functie om de (ernst van de) gevolgen te compenseren.
Schending fundamenteel recht
Schending van het recht op eerbiediging van de persoonlijke levenssfeer zal over het algemeen niet snel tot geestelijk letsel leiden.91 Evenwel oordeelde de Hoge Raad in het Blauw oog-arrest
dat de aard en de ernst van de normschending bij schending van fundamentele persoonlijkheidsrechten een aantasting in de persoon op andere wijze opleverde, zonder dat de benadeelde geestelijk letsel heeft opgelopen.92
86 Lindenbergh, NTBR 2019/20, p. 124.
87 Rb. Noord-Nederland 1 maart 2017, ECLI:NL:RBNNE:2017:715 (Groningerveld/NAM), r.o. 4.4.4; Jansen,
WPNR 2017/7133, p. 44; Hartlief, AV&S 2008, p. 245.
88 HR 22 februari 2002, ECLI:NL:HR:2002:AD5356, m.nt. J.B.M. Vranken (Taxibus), r.o. 4.3; HR 23 januari
1998, ECLI:NL:HR:1998:ZC2551, r.o. 3.4.
89 HR 13 januari 1995, ECLI:NL:HR:1995:ZC1608, m.nt. C.J.H. Brunner (Ontvanger/Bos), r.o. 5; HR 21
februari 1997, ECLI:NL:HR:1997:ZC2286, m.nt. C.J.H. Brunner (Wrongful birth), r.o. 3.14.
90 Conclusie A-G T. Hartlief bij HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 4.14.
91 F.I. van Dorsser, annotatie bij Rb. Noord-Nederland 1 maart 2017, ECLI:NL:RBNNE:2017:715
(Groningerveld/NAM).
In beginsel verdienen belangen die nauw met de persoonlijkheid zijn verbonden – zoals de persoonlijke levenssfeer – bijzondere bescherming.93 Het gaat in die gevallen om schending
van fundamentele rechten die kernbelangen van de menselijke persoonlijkheid beogen te waarborgen (persoonlijke levenssfeer, beslissing over voortplanting). Een persoonlijkheidsrecht is de privaatrechtelijke verschijningsvorm van grond- en mensenrechten in een horizontale verhouding.94 De Hoge Raad aanvaardde in het Edamse
bijstandsvrouw-arrest de horizontale werking van het recht op eerbiediging van de persoonlijke levenssfeer. Daarmee is het privacyrecht als persoonlijkheidsrecht afdwingbaar tussen burgers onderling.95
Het beschermen van grondrechten kan geschieden via de rechter of de wetgever.96
De kwalificatie van ‘aantasting in de persoon’ is afhankelijk van een aantal factoren. Dit zijn onder meer de aard en ernst van de normschending, de aard van het daardoor getroffen belang (persoonlijke levenssfeer, zelfbeschikking over voortplanting, bewegingsvrijheid) en de ernst van de feitelijke gevolgen.97 Bovendien spelen de wijze waarop het belang is geschonden en de
vraag of de schending op andere wijze is of kan worden gesanctioneerd mee.98 Dit betekent dat
de toekenning van immateriële schadevergoeding in hoge mate afhangt van wat de betrokkene ten aanzien van de schade aanvoert. Omdat de nadruk bij deze categorie op de handeling ligt en niet zozeer op de gevolgen voor de benadeelde, kan bij de beoordeling van de handeling als zodanig, en of dus sprake is van een persoonsaantasting, ook de wenselijkheid van het al dan niet toekennen van een vergoeding meespelen.99 Het feit dat schending van fundamentele
rechten ook voor vergoeding in aanmerking komt, past bij en wordt bevorderd door de gedachte dat immateriële schadevergoeding het schadevergoedingsrecht ondersteunt bij de handhaving van rechten en plichten.100 Vandaar dat de vergoeding overwegend de functies van de
genoegdoening en rechtshandhaving heeft.101
Bij de aanvaarding van gevallen anders dan geestelijk letsel oordeelde de Hoge Raad dat bij een enkele schending niet reeds sprake is van een aantasting in persoon op andere wijze, maar slechts ernstige schendingen van fundamentele rechten in aanmerking komen.102 Het feit dat
93 Lindenbergh 2008, p. 38.
94 Lindenbergh, TPR 1999/36, p. 1665 e.v.
95 HR 9 januari 1987, ECLI:NL:PHR:1987:AG5500 (Edamse bijstandsvrouw), r.o. 4.4.
96 Lückers, in: T&C PFR art. 8 EVRM, aant. 1 (online, bijgewerkt op 1 juli 2019); EHRM 13 juni 1979,
ECLI:CE:ECHR:1979:0613JUD000683374 (Marckx/Belgium).
97 Lindenbergh, NTBR 2019/20, p. 123.
98 Emaus 2013, p. 92; Lindenbergh 2008, p. 35; Giesen & Tjittes 2004, p. 73. 99 Witting, annotatie bij HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 4.31. 100 Conclusie A-G Hartlief bij HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 3.8. 101 Hartlief, WPNR 2008/6772, p. 769-777.
een grondrecht is geschonden betekent dus niet dat de aantasting in de persoon daarmee is gegeven. Enerzijds valt voor het feit dat een enkele schending geen aanspraak maakt op een vergoeding wat te zeggen, de ene schending is immers anders dan de andere schending. Voorkomen moet worden dat zeer geringe incidenten, die weliswaar een schending opleveren maar niet of nauwelijks gevolgen hebben, een recht op schadevergoeding geven. Anderzijds is juist in gevallen van schending van fundamentele rechten een aanspraak op vergoeding gerechtvaardigd. Het gaat in dit geval om eersteklas persoonsbelangen die door onrechtmatige gedragingen dikwijls grote ongenoegen tot gevolg hebben, maar waar geen geestelijk letsel zal worden vastgesteld.103
Voorts oordeelde de Hoge Raad in hetzelfde arrest dat degene die zich op de persoonsaantasting beroept, dit in beginsel met concrete gegevens moet onderbouwen, echter kunnen ‘de aard en
ernst van de normschending en de gevolgen daarvan’ voor de benadeelde meebrengen dat de
aantasting in de persoon kan worden aangenomen’.104 De Hoge Raad verwees hierbij naar de
arresten Oudejaarsrellen en Baby Kelly, waarin de schendingen zodanig ernstig waren en nadelige gevolgen voor de benadeelde zo voor de hand lagen, dat een aantasting in de persoon kon worden aangenomen zonder dat een concrete onderbouwing werd vereist.105 Het nauwe
verband met de persoonlijkheid van de benadeelde is daarbij van groot belang.106 In
Oudejaarsrellen zat de aantasting in de gevoelens van angst, onveiligheid en onzekerheid met betrekking tot het lijf en goed van de benadeelden.107 Doordat de benadeelden uren in hun
woning verbleven in een zeer bedreigende situatie, terwijl hun verzoek om hulp en bijstand van de politie niet werd gehonoreerd, was hun recht op eerbiediging van de persoonlijke levenssfeer geschonden. In Baby Kelly bestond de aantasting in de ernstige inbreuk op het zelfbeschikkingsrecht van de moeder, waardoor zij niet ervoor heeft kunnen kiezen de geboorte van een zwaar gehandicapt kind te voorkomen.108
Advocaat-generaal Hartlief betoogt dat de Hoge Raad terug moet komen van deze strenge uitzonderingsregel.109 Uit rechtspraak zou zijn gebleken dat de schending van een
persoonlijkheidsrecht inmiddels een zelfstandige categorie is, die aanleiding kan geven tot aanspraak op immateriële schadevergoeding, ongeacht de gevolgen. Theoretisch gezien is een
103 Lindenbergh, NTBR 2019/20, p. 125.
104 HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 4.2.1. 105 Ibid.
106 Lindenbergh, NTBR 2019/20, p. 125.
107 HR 9 juli 2004, ECLI:NL:HR:2004:AO7721, m.nt. J.A.E. van der Does (Oudejaarsrellen). 108 HR 18 maart 2005, ECLI:NL:HR:2005:AR5213, m.nt. J.B.M. Vranken (Baby Kelly). 109 Conclusie A-G T. Hartlief bij HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 4.21.
derde categorie voorstelbaar en steunt de wettekst deze mogelijkheid.110 Ook in de literatuur
lijkt de schending van fundamentele rechten als zelfstandige schadepost te zijn aangenomen.111
De algemene trend dat aandacht voor fundamentele rechten toeneemt, mede door nieuwe technologieën en gevaren van de digitale virtuele wereld, is terug te zien in het feit dat in het aansprakelijkheidsrecht de aandacht tegenwoordig minder gericht is op vergoeding van schade, maar meer op het herstel van de rechtsinbreuk, met name wanneer (concrete) schade afwezig is.112 Ook Blok en Lindenbergh leggen de nadruk op het objectief vaststellen van de ernst van
de inbreuk, eerder dan op de subjectieve belevenis van de inbreuk (de mate waarin de benadeelden als gevolg van de schending gevoelens van angst, onveiligheid en onbehagen hebben ervaren).113
In de praktijk wordt een vergoeding wegens schending van een fundamenteel recht niet snel gegeven. Onderscheid wordt gemaakt naargelang aard en inhoud van het betrokken fundamenteel recht. Zo zijn sommige rechten fundamenteler dan andere, leidt niet elke inbreuk op een fundamenteel recht tot een recht op schadevergoeding en is de omvang van de vergoeding afhankelijk van de ernst van de inbreuk en de aard van het persoonlijkheidsrecht.114
Welke rechten voldoende fundamenteel en welke aantastingen voldoende ernstig zijn voor een aanspraak op immateriële vergoeding is nog in ontwikkeling.115
Schending eer of goede naam
Een andere mogelijke situatie waarin een recht op schadevergoeding bestaat is wanneer de eer of goede naam is geschonden. Het belang van deze rechtsgrond is de afgelopen jaren afgenomen, waar het belang van aantastingen van andere persoonlijkheidsrechten juist is gegroeid.
Onder schade aan eer of goede naam is te verstaan ‘de aantasting van het gevoel voor eigenwaarde en de waardering die men bij anderen geniet’, waarbij ‘eer’ het gevoel van eigenwaarde is en ‘goede naam’ de waarde die men in de ogen van anderen heeft, de reputatie
110 Verheij, NTBR 2018/3, p. 17.
111 Conclusie A-G Hartlief bij HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 3.7; Rijnhout e.a., NTBR 2013/20,
p. 183; Lindenbergh 1998, p. 150 e.v.; Abas, NTBR 2007/24, p. 194 e.v.; Nguyen, NJB 2009/1408, p. 1812 e.v.
112 Van Dam, VR 2015/6, p. 223 e.v.
113 P.W. Blok, ‘Compensatie voor onveiligheid?’, annotatie PS 2017-0200, PS-Updates.nl 1 mei 2017;
Lindenbergh 2011, p. 100.
114 Witting, annotatie bij HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 4.41. 115 S.D. Lindenbergh, ‘Smartengeld anno 2018’, Smartengeld.nl.
derhalve.116 Het gaat vooral om het beledigende en kwetsende karakter van de gedraging. Een
bepaalde mate van ernst van de schending wordt vereist:
“[…] de schending van de reputatie van een persoon moet een bepaalde mate van ernst hebben en op een manier die schade toebrengt aan het persoonlijk genot van het recht op respect voor het privéleven.”117
Een schending van fundamentele (persoonlijkheids)rechten ligt in het verlengde van schending van eer en goede naam, maar er is geen evidente scheidingslijn tussen de persoonsaantastingen wegens schending van eer en goede naam en andere persoonlijkheidsrechten.118 Van beide
schendingen kan tegelijkertijd sprake zijn. Dezelfde factoren zijn van belang bij de bestempeling tot persoonsaantasting wegens schending eer en goede naam als bij schending van een fundamenteel recht (aard en ernst van de gedraging etc.), alsook het gebruikte medium, de mate van verspreiding en duur en intensiteit van de aandacht spelen mee.119
3.3.4 Omvang schadevergoeding
De benadeelde heeft wegens een aantasting in zijn persoon recht op een schadevergoeding naar billijkheid, waarbij alle omstandigheden van het concrete geval betrokken worden. Rechters dienen bij de vaststelling van de hoogte van de vergoeding een vergelijking te maken met de door andere rechters in vergelijkbare gevallen toegewezen bedragen.120 Er worden
verschillende accenten gelegd op de verschillende categorieën uit artikel 6:106 BW.121 Bij een
vergoeding wegens lichamelijk of geestelijk letsel staan objectiveerbare gevolgen centraal.122
De omvang van de vergoeding voor de ‘gevolgschade’ wordt bepaald aan de hand van de aard, duur en ernst van het letsel. De schade die door schending van het fundamenteel recht wordt vergoed is slechts schade die bestaat in de schending als zodanig. De aard en ernst van de inbreuk en aard van het persoonlijkheidsrecht bepalen de omvang van de vergoeding.123
Aangezien het hier meer om de gedraging en minder om de gevolgen gaat liggen volgens Lindenbergh forfaitaire vergoedingen voor de hand: ‘bij massale inbreuk op de persoonlijke levenssfeer door een datalek van belangrijke privégegevens ligt het voor de hand om aan alle
116 Lindenbergh, in: GS Schadevergoeding, art. 6:106, aant. 2.6 (online, bijgewerkt op 31 juli 2019). 117 EHRM 21 september 2017, ECLI:CE:ECHR:0921JUD005140512 (Axel Springer/Duitsland). 118 Lindenbergh, NTBR 2019/20, p. 124; Lindenbergh 1998, p. 105.
119 Lindenbergh 1998, p. 105.
120 HR 8 juli 1992, ECLI:NL:HR:1992:ZC0665 (AMC/O); HR 17 november 2000, ECLI:NL:HR:2000:AA8358
(Druijff/Bouw).
121 Lindenbergh, NTBR 2019/20, p. 139. 122 Ibid.
benadeelden eenzelfde bedrag toe te wijzen’.124 Volgens Witting is het denkbaar dat aan het
betrokken fundamentele recht een bepaalde waarde is toegekend of dat aan een schending een genormeerde vergoeding of zelfs een forfaitair bedrag is gekoppeld; echter acht hij het niet reëel om dergelijke bedragen toe te kennen ongeacht aard en inhoud van het betrokken fundamentele recht.125 In Nederland zijn de vergoedingen vaak zeer minimaal en wegen deze nauwelijks op
tegen de proceskosten.126
3.4 Jurisprudentie
De Nederlandse jurisprudentie waarin immateriële schadevergoeding wegens privacyschendingen centraal staat is beperkt. Dat heeft te maken met de hoge drempel van ‘aantasting in persoon’ uit artikel 6:106 BW en het feit dat immateriële schade lastig te bewijzen is.127 Rechters hebben volgens Van Daalen vaak het idee dat betrokkenen niks van
privacyschendingen merken en de schending de betrokkene niet aantast.128 Toch bestaan er
enkele voorbeelden waarin wel immateriële schadevergoeding is toegewezen. De keren dat immateriële schadevergoeding is toegekend is op grond van artikel 49 Wbp en een enkele keer krachtens artikel 82 AVG.129
In 2011 oordeelde rechtbank Zwolle-Lelystad dat een onzorgvuldige gedraging van gedaagde door schending van de informatieplicht zorgde voor schadeplichtigheid op grond van artikel 49 lid 2 Wbp.130 Voor de beoordeling hiervan werd aangesloten bij artikel 6:106 BW. De rechter
achtte ‘het ondervinden van veel stress’ voldoende voor het toekennen van €5.000,- schadevergoeding, omdat ‘stress en boosheid het herstel van de benadeelde in negatieve zin beïnvloedden’. De verwijzing naar een medisch onderzoeksverslag, waarin stond dat eiser ‘gepreoccupeerd raakte met zijn letselschadevordering, hetgeen een normaal functioneren in de persoonlijke en sociale levenssferen in de weg stond’, maakte de eisers onderbouwing concreet. Op 4 oktober 2013 deed de Hoge raad uitspraak over een onrechtmatige perspublicatie van een verdachte in een strafzaak die door de publicatie in zijn persoon was aangetast.131 De Wbp
124 Lindenbergh 2011, p. 100.
125 Witting, annotatie bij HR 15 maart 2019, ECLI:NL:HR:2019:376, r.o. 4.41. 126 Zwenne & Steenbruggen, Tijdschrift voor Internetrecht 2015/1, p. 17.
127 Engelhard, Giessen & Van Schaik, NTBR 2018/1, p. 1; Van der Linden & Walree, AV&S 2018/20, p. 106. 128 Van Daalen, annotatie bij Rb. Oost-Brabant 20 juli 2016, ECLI:NL:RBOBR:2016:3892.
129 Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827.
130 Rb. Zwolle-Lelystad 4 mei 2011, ECLI:NL:RBZLY:2011:BV6594, r.o. 4.18. 131 HR 4 oktober 2013, ECLI:NL:HR:851 (Parool/X), r.o. 3.4.2.
