Komt Boontje om zijn loontje bij niet-naleving van de AVG? : Over de mogelijkheden om bescherming onder de Algemene verordening gegevensbescherming te effectueren indien persoonsgegevens zijn verwerkt zonder de vereiste

(1)

Komt Boontje om zijn loontje bij niet-naleving van de AVG?

Over de mogelijkheden om bescherming onder de Algemene verordening gegevensbescherming te effectueren indien persoonsgegevens zijn verwerkt zonder de

vereiste toestemming van de betrokkene

Masterscriptie finale versie Naam: Stephanie Geerdink Begeleider: M.B.M. Loos

Master: Privaatrechtelijke Rechtspraktijk Datum: 07-01-2019

(2)

Abstract

Op 25 mei 2018 is de Algemene verordening gegevensbescherming inwerking getreden. Uit de AVG vloeit voort dat de verwerking van persoonsgegevens slechts op enkele gronden rechtmatig is, onder andere in het geval dat de betrokkene toestemming heeft gegeven voor de verwerking ervan voor een of meer specifieke doeleinden. Dat persoonsgegevens slechts verwerkt worden op het moment dat daar een verwerkingsgrondslag voor is, is een mooie waarborg op papier. Echter, blijkt dat de toestemming tot het verwerken van

persoonsgegevens nogal eens wordt misbruikt door bedrijven. De persoonsgegevens worden in sommige gevallen zelfs aan derden doorverkocht, zonder medeweten van de persoon over wiens persoonsgegevens het gaat. Om de schendingen tegen te gaan en om effectieve

gegevensbescherming te bewerkstelligen, is handhaving nodig. De publiekrechtelijke handhaving schiet tekort, zo is bij de Nederlandse toezichthouder (de Autoriteit

Persoonsgegevens) onderbezetting. Ook worden individuele klachten niet of nauwelijks opgepakt. Het verwerken van persoonsgegevens zonder de vereiste toestemming brengt, naast een publiekrechtelijke schending van de AVG, ook een privaatrechtelijke schending met zich mee. Het privaatrecht biedt allerlei wijzen om beschermd te worden en kan complementair aan het publiekrecht het rechtssubject beschermen.

In de scriptie is onderzocht of er mogelijkheden zijn voor betrokkenen om privaatrechtelijke bescherming te effectueren indien persoonsgegevens verwerkt zijn zonder dat toestemming is gegeven voor de desbetreffende verwerking. Bij de beoordeling is het wettelijke en

theoretische kader van de wetgeving zelf, namelijk de AVG, en de privaatrechtelijke remedies bij de verwerking zonder toestemming of bij oneigenlijke persoonsverwerking gebruikt. Er is een brug geslagen tussen enerzijds de bestaande literatuur en jurisprudentie omtrent privaatrechtelijke remedies en anderzijds de gevolgen van niet-naleving van het strikte toestemmingsvereiste uit de AVG. Daarbij wordt duidelijk hoe de toestemming juridisch gekwalificeerd wordt en zijn de wilsgebreken getoetst. Ook is getoetst op welke manier de informatieplichten uit de Richtlijn oneerlijke handelspraktijken een rol spelen en of er met succes een beroep op vernietiging of schadevergoeding gedaan kan worden. Daarnaast is getoetst of betrokkenen zich succesvol op de schadevergoedingsvordering uit de AVG en het BW kunnen beroepen. Tot slot wordt de mogelijkheid tot het instellen van een

verbodsactie of een gebodsactie besproken. Uit de afzonderlijke beoordeling van de

deelvragen is gebleken dat het effectueren van de rechten van betrokkenen bij niet-naleving van het toestemmingsvereiste bij persoonsgegevensverwerking veel voeten in de aarde heeft.

(3)

De problemen zijn voornamelijk gelegen in de causaliteitseis en de eis dat juridische schade moet zijn geleden. Echter, niet alle remedies zijn kansloos. De verbodsactie tot (de dreiging van) het verwerken van persoonsgegevens of een rechterlijk gebod tot het verwijderen van de reeds zonder toestemming verwerkte persoonsgegevens, hebben een kans van slagen. De schade-eis en de causaliteitseis vormen bij het rechterlijk bevel geen belemmering, aangezien deze voorwaarden niet nodig zijn voor een geslaagd beroep. Zowel de AVG als het BW bieden een grondslag.

(4)

Inhoudsopgave

1. Inleiding...4

1.1 Introductie...4

1.2 Hoofd- en deelvragen...6

1.3 Verantwoording onderzoeksmethode en onderzoeksopzet...7

2. De Algemene verordening gegevensbescherming...10

2.1 De ratio...10

2.2 De rechten en plichten...11

2.3 Herroeping...13

2.4 Tussenconclusie...13

3. De juridische kwalificatie van de toestemming en de wilsgebreken...15

3.1 Juridische kwalificatie van de toestemming...15

3.2 Wilsgebreken en de mogelijkheid tot vernietiging...16

3.2.1 Dwaling...17

3.2.2 Misbruik van omstandigheden...18

3.2.3 Vernietiging wegens een wilsgebrek...19

4. Oneerlijke handelspraktijk: mogelijkheid tot schadevergoeding en vernietiging...21

4.1 De misleidende en agressieve handelspraktijken uit de zwarte lijsten...21

4.2 De misleidende omissie uit art. 6:193d BW...23

4.3 Schadevergoedingsvordering of vernietiging...25

5. De schadevergoedingsvordering en het rechterlijk bevel...27

5.1 Schadevergoedingsvordering krachtens de AVG...27

(5)

5.2.1 Juridische schade...31

5.2.2 Het causaal verband...33

5.3 Rechterlijk bevel...33

5.3.1 Individuele actie krachtens het BW en de AVG...33

5.3.2 Collectieve actie krachtens het BW en de AVG...35

6. Conclusie...38

(6)

1. Inleiding

1.1 Introductie

Het zal niet verbazen dat de implementatie van de Algemene verordening

gegevensbescherming (AVG)1_{op 25 mei 2018 de nodige pennen in beweging heeft gebracht}

en de nodige vingers heeft laten bewegen op toetsenborden. Er wordt zelfs gezegd dat de AVG de belangrijkste wetgeving van de 21ste eeuw is.2_{Het zal niet veel mensen zijn ontgaan}

dat de AVG in werking is getreden, aangezien het te merken was in de media, in vakbladen, om nog maar te zwijgen over de vol stromende e-mailboxen met gewijzigde privacy

statements. Tegenwoordig is het een veelvoorkomend beeld dat jong en oud in hun schermen worden gezogen en worden opgeslokt door de digitale wereld achter deze schermen. Zo zitten er op het moment waarop ik dit typ, tientallen personen om mij heen die bezig zijn op hun laptop of mobiele telefoon.

Er zijn weinig mensen van wie geen persoonsgegevens verwerkt worden. Ook zijn er weinig organisaties die geen persoonsgegevens verwerken. Een persoonsgegeven is namelijk alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene), bijvoorbeeld een naam, adres, geboortedatum of een e-mailadres.3_{De verwerking hiervan}

heeft betrekking op een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via

geautomatiseerde procedés. Dit kan echt van alles zijn: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.4_{Zo worden}

persoonsgegevens verwerkt bij het aanmaken van een account om gebruik te maken van de diensten van Google Drive door het invullen van een naam, een geboortedatum en een e-mailadres.5_{Bovendien wordt bij het installeren en gebruikmaken van een applicatie,}

1 Verordening (EU) 2016/679 van het Europees Parlement en De Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening

gegevensbescherming), PbEU 2016, L 119/1.

2 De Vries & Goudsmit, NJB 2016/1077, p. 1. 3 Artikel 4 onder 1 AVG.

4 Artikel 4 onder 2 AVG.

5 Google, Privacybeleid: gegevens die Google verzamelt. In het privacybeleid van Google staat: “Wanneer u bent ingelogd, verzamelen we ook gegevens die we opslaan in uw Google-account en die we behandelen

(7)

bijvoorbeeld Runkeeper op een smartphone, het e-mailadres en een naam ingevoerd.6_Ook

worden bij het plaatsen van een online bestelling, waarbij om adresgegevens wordt gevraagd voor de aflevering van de bestelling, persoonsgegevens verwerkt. Kortom, bij het sluiten van onlineovereenkomsten of bij het gebruikmaken van onlinediensten worden vrijwel per definitie persoonsgegevens verzameld.7_{Sterker nog, vanwege de toenemende mogelijkheid}

de gegevens te verzamelen en het stijgende vermogen de gegevens vervolgens op te slaan en te verwerken is de verwerking van persoonsgegevens blijvend vermeerderd.8

De verwerking van persoonsgegevens is slechts op enkele gronden rechtmatig, onder andere in het geval dat de betrokkene toestemming heeft gegeven voor de verwerking ervan voor een of meer specifieke doeleinden.9_{Van ons als betrokkenen mogen dus persoonsgegevens}

worden verwerkt als wij daarvoor toestemming hebben gegeven. De toestemming geeft ons als betrokkenen een bepaalde vorm van controle over onze gegevens.10_{Dit is een mooie}

waarborg op papier, maar de toezichthoudende Autoriteit Persoonsgegevens11_{heeft diverse}

rapporten naar buiten gebracht waaruit blijkt dat de toestemming tot het verwerken van persoonsgegevens nogal eens wordt misbruikt door bedrijven.12_{De persoonsgegevens worden}

in sommige gevallen zelfs aan derden doorverkocht, zonder medeweten van de persoon over wiens persoonsgegevens het gaat.13

Voor effectieve gegevensbescherming op Europees niveau is handhaving nodig.14_{Er kan}

zowel op privaatrechtelijke als op publiekrechtelijke wijze gehandhaafd worden. Echter, of de publiekrechtelijke handhaving op grond van de AVG in de praktijk zo effectief is, is nog maar de vraag. Zo speelt bij de publiekrechtelijke handhaving mee dat de Autoriteit te maken heeft met een personeelstekort als gevolg van beperkingen in het budget.15_{Daarbij worden}

als persoonlijke gegevens. Dit is informatie die u aan ons verstrekt en waarmee u persoonlijk kunt worden geïdentificeerd, zoals uw naam, e-mailadres of factureringsgegevens.” (Online via:

https://policies.google.com/privacy#infocollect). Datum van raadpleging: donderdag 29 november 2018.

6 ‘Runkeeper volgt hardlopers continu en verkoopt data’, NOS 12 mei 2016.

7 Bolscher, De Jong & Van Rienen, Tijdschrift voor Internetrecht 2017/1, p. 22.

8 Lubomirov, WPNR 2017/7181, p. 154; Moerel & Prins 2016, p. 28.

9 Artikel 6 lid 1 onder a AVG.

10 De Hert & Papakonstantinou, Computer Law and Security Review 2016/32, p. 187.

11 De Autoriteit Persoonsgegevens houdt in Nederland als zelfstandig bestuursorgaan toezicht op het verwerken van persoonsgegevens en is verantwoordelijk voor de gegevensbescherming.

12 'Bedrijven schenden massaal nieuwe privacywet' Financieel Dagblad, 17 september 2018.

13 ‘Verhuisservice PostNL al jaren in strijd met privacywet’ RTLnieuws, 23 februari 2018; ‘Runkeeper volgt hardlopers continu en verkoopt data’, NOS 12 mei 2016.

(8)

individuele klachten niet of nauwelijks opgepakt.16_{Het verwerken van persoonsgegevens}

zonder de vereiste toestemming brengt naast een publiekrechtelijke schending van de AVG ook een privaatrechtelijke schending met zich mee. Het privaatrecht biedt allerlei wijzen om beschermd te worden en kan complementair aan het publiekrecht de betrokkene

beschermen.17_{Via het privaatrecht kunnen de individuele belangen van betrokkenen worden}

gehandhaafd, in tegenstelling tot het publiekrecht dat meer het algemeen belang beschermd.18

Het is maar de vraag of de privaatrechtelijke handhaving niet ook tekortschiet.

Vanuit juridisch oogpunt rijst dan de vraag naar de mogelijkheden om privaatrechtelijke bescherming onder de AVG te effectueren indien persoonsgegevens verwerkt zijn zonder de vereiste toestemming.

1.2 Hoofd- en deelvragen

Uit bovenstaande introductie vloeit voort dat de volgende probleemstelling onderzocht gaat worden: “Kan een betrokkene via de privaatrechtelijke weg rechten uit de AVG effectueren, wanneer de verwerking van persoonsgegevens geschiedt zonder de vereiste toestemming van betrokkene?”.

Om hier een antwoord op te krijgen, worden de volgende deelvragen behandeld: 1) Welke rechten kan een betrokkene ontlenen aan de AVG?

2) Hoe kan de toestemming voor het verwerken van persoonsgegevens juridisch worden gekwalificeerd?

3) Kan de toestemming tot het verwerken van persoonsgegevens worden vernietigd wegens het wilsgebrek dwaling of misbruik van omstandigheden?

15 W. van Noort, ‘Privacywaakhond CBP kampt met onderbezetting’, NRC 30 december 2015. Er wordt een budget geadviseerd van 19,6 tot 29,4 miljoen euro per jaar. In de begroting van het Ministerie van Veiligheid & Justitie is een structurele verhoging van het huidige budget van slechts 7,7 miljoen euro aangekondigd, oplopend tot 7 miljoen euro per jaar. Zie Kamerstukken II 2017-2018, 34775 VI, nr. 2, p. 47.

16 Moerel & Prins 2016, p. 114. 17 Walree, WPNR 2017/7172, p. 921.

(9)

4) Kan de toestemming tot persoonsgegevensverwerking worden vernietigd wegens een schending van een informatieplicht uit de Richtlijn oneerlijke handelspraktijken? 5) Is er sprake van een onrechtmatige daad of wanprestatie indien persoonsgegevens

zonder toestemming worden verwerkt?

6) Welke remedies kan een betrokkene inroepen bij het verwerken van persoonsgegevens zonder de voor deze verwerking gegeven toestemming? 1.3 Verantwoording onderzoeksmethode en onderzoeksopzet

Het doel van het onderzoek is beschrijvend-analytisch. Het wettelijke en theoretische kader wordt bepaald door de wetgeving zelf, namelijk de AVG, en de privaatrechtelijke remedies bij de verwerking zonder toestemming of bij oneigenlijke persoonsverwerking. De focus ligt in de scriptie op het toestemmingsvereiste voor het verwerken van persoonsgegevens. De onderzoeksinstrumenten die gebruikt gaan worden, zijn bestaande theorieën uit de literatuur. Daarnaast zal uit de jurisprudentie worden afgeleid welke omstandigheden een rol spelen bij de mogelijkheid om een beroep op bepaalde remedies te doen in geval van een overtreding van de AVG.

Ter afbakening van de scriptie ziet het onderwerp op de mogelijke remedies bij de verwerking van de persoonsgegevens zonder dat voor deze verwerking toestemming is gegeven. Bovendien ziet het onderwerp op de mogelijke remedies bij oneigenlijke persoonsverwerking. Oneigenlijk gebruik van persoonsgegevens houdt in dat de persoonsgegevens worden verwerkt voor andere doeleinden dan waarvoor de gegevens oorspronkelijk zijn verzameld en waarvoor oorspronkelijk toestemming is gegeven door de betrokkene.19_{Met ‘toestemming’ wordt de toestemming van de betrokkene bedoeld als}

gevolg waarvan de persoonsgegevensverwerking rechtmatig is.20_{De scriptie gaat uit van de}

relatie tussen ondernemingen die producten en diensten aanbieden en

consumenten/betrokkenen. De relatie tussen twee ondernemingen en de relatie tussen twee consumenten wordt buiten beschouwing gelaten. In de scriptie worden de begrippen

‘betrokkene’ en ‘consument’ door elkaar heen gebruikt. Met ‘de betrokkene’ wordt bedoeld: een natuurlijke persoon, van wie de persoonsgegevens worden verwerkt door de verwerker of

19 Zie ook Van Gulijk & Op Heij, WPNR 2016/7110, p. 453-458. 20 Artikel 4 onder 11 AVG.

(10)

de verwerkingsverantwoordelijke. Onder ‘verwerker’ wordt verstaan: de natuurlijke persoon of de rechtspersoon die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.21_{Tot slot is de natuurlijke persoon of de rechtspersoon die het doel van en de}

middelen voor de persoonsgegevensverwerking vaststelt en die de opdracht geeft tot persoonsgegevensverwerking, aan te merken als ‘de verwerkingsverantwoordelijke’.22_De

verwerker en de verwerkingsverantwoordelijke kunnen dezelfde natuurlijke persoon of rechtspersoon zijn. Ter afbakening van het onderwerp zal de focus voornamelijk liggen op de juridische middelen op basis waarvan het recht gehandhaafd kan worden die gelegen zijn in het privaatrecht.

Het onderzoek is praktijkgericht, aangezien het doel is antwoord te krijgen op concrete juridische vragen die zijn opgekomen of gaan opkomen als gevolg van de inwerkingtreding van de AVG. Er wordt beoogd een brug te slaan tussen enerzijds de bestaande literatuur en jurisprudentie omtrent privaatrechtelijke remedies en anderzijds de gevolgen van niet-naleving van het strikte toestemmingsvereiste uit de AVG. Er zal antwoord gegeven worden op de vraag of een betrokkene via de privaatrechtelijke weg rechten uit de AVG kan

effectueren, wanneer de verwerking van persoonsgegevens geschiedt zonder de vereiste toestemming van de betrokkene. Om dit zo gestructureerd mogelijk te doen zal allereerst in hoofdstuk 2 een beeld worden geschetst van de rechten die bestaan onder de AVG, waarbij het toestemmingsvereiste centraal staat. Daarnaast wordt stilgestaan bij de publiekrechtelijke handhaving van de AVG. In hoofdstuk 3 staat de juridische kwalificatie van de toestemming centraal. Vervolgens worden de wilsgebreken dwaling en misbruik van omstandigheden onder de loep genomen, met als mogelijk gevolg de vernietiging van de onderliggende overeenkomst. In hoofdstuk 4 wordt duidelijk op welke manier de informatieplichten uit de Richtlijn oneerlijke handelspraktijken een rol spelen en of er met succes een beroep op vernietiging of schadevergoeding gedaan kan worden. Wanneer duidelijk is met welk recht we te maken hebben en de kwalificatie daarvan in de Nederlandse literatuur, wordt in hoofdstuk 5 gekeken naar de mogelijke remedies bij niet-naleving van het

toestemmingsvereiste. Zo wordt ingezoomd op een schadevergoedingsvordering op grond van de wanprestatie en de onrechtmatige daad. Aansluitend wordt de mogelijkheid tot het instellen van een verbodsactie of een gebodsactie besproken in hoofdstuk 5, waarbij zowel op de individuele als op de collectieve actie ingezoomd wordt. Aangezien de AVG een

21 Artikel 4 onder 8 AVG. 22 Artikel 4 onder 7 AVG.

(11)

zelfstandige rechtstreekse schadevergoedingsgrondslag en een rechtstreekse grondslag tot het instellen van doeltreffende voorziening bevat, bespreek en toets ik in hoofdstuk 5 zowel de AVG als het BW. Hoofdstuk 6 bevat de conclusie.

(12)

2. De Algemene verordening gegevensbescherming

Om een goede grip te krijgen op de beschermingsmogelijkheden die uit de AVG

voortvloeien, is het allereerst van belang om de AVG zelf onder de loep te nemen. Ondanks dat deze scriptie de focus op de privaatrechtelijke remedies legt, geeft het publiekrecht de wettelijke kaders voor de rechten en verplichtingen bij de verwerking van persoonsgegevens. Vandaar dat dit hoofdstuk gewijd wordt aan de verordening zelf.

2.1 De ratio

De AVG vervangt de Gegevensbeschermingsrichtlijn23_{en beoogt hiermee het}

beschermingsniveau van persoonsgegevens in de lidstaten te verhogen. De Richtlijn was in Nederland geïmplementeerd in de Wet Bescherming Persoonsgegevens24_{, dateerde uit 1995,}

en ondervond kritiek. Zo bestond onduidelijkheid over welke rechtsmiddelen ingeroepen konden worden bij niet-naleving van de in de richtlijn opgenomen verplichtingen. Bovendien gaf de richtlijn aan de lidstaten de bevoegdheid om binnen de grenzen van de richtlijn eigen regelgeving te bepalen, hetgeen leidde tot verschillen in de regelgeving van lidstaten.25_De

roep om een aangepaste wet, aansluitend op het huidige digitale tijdperk en de snelgroeiende internetdiensten, was aanwezig.26_{Op 25 januari 2012 heeft de Europese Commissie daarom}

een voorstel gedaan voor een algemene verordening op het gebied van

gegevensbescherming.27_{De verordening is in 2016 aanvaard en, zoals gezegd, sinds mei 2018}

in alle lidstaten van toepassing. De ruim toepasbare AVG roept nieuwe rechten en plichten in het leven, zoals het recht op dataportabiliteit en het recht op gegevenswissing. Ook hanteert de AVG een strikter toestemmingsvereiste.

Met haar 139 overwegingen en 91 artikelen heeft de AVG als voornaamste doel de bescherming van persoonsgegevens te verhogen door de rechten van betrokkenen te verstevigen. Daarnaast beoogt de AVG belemmeringen voor het vrije verkeer van

23 Richtlijn 95/46/EG van het Europese Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (richtlijn gegevensbescherming), PbEU. 1995, 281.

24 Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), Stb. 2001, 337.

25 Galetta & De Hert, REALaw 2015/1, p. 125-151.

26 Overwegingen 6-8 AVG.

27 Mededeling van de Commissie aan het Europees parlement, de Raad, het Europees Economisch en sociaal comité en het comité van de regio’s, ‘Privacywaarborging in het online tijdperk, een Europees

(13)

persoonsgegevens binnen de Unie op te heffen. De Richtlijn gaf lidstaten namelijk de mogelijkheid de gegevensbeschermingsregels op verschillende wijze te implementeren. Hierdoor ontstond er verschil in het niveau van bescherming per lidstaat. Een andere doelstelling is een gelijkwaardige handhaving in de verschillende lidstaten te

bewerkstellingen door toezichthouders. 2.2 De rechten en plichten

Ondanks dat de focus van deze scriptie ligt op de plicht van de vereiste toestemming voor persoonsgegevensverwerking, wil ik de in de literatuur veelbesproken rechten uit de AVG kort aanstippen. Zo bestaat het recht op vergetelheid, wat inhoudt dat organisaties

persoonsgegevens in bepaalde gevallen moeten wissen wanneer een betrokkene daarom verzoekt.28_{Het daarop lijkende nieuwe recht op beperking van de verwerking brengt mee dat}

gegevens tijdelijk niet beschikbaar zijn gemaakt of tijdelijk van een website verwijderd worden.29_{Ook is het recht op gegevensoverdraagbaarheid, neergelegd in artikel 20 AVG,}

nieuw. Het houdt in dat de betrokkene de persoonsgegevens kan verkrijgen die reeds verwerkt zijn door de organisatie. De betrokkene kan op deze manier de eigen gegevens doorgeven aan andere organisaties of de betrokkene kan vragen de gegevens rechtstreeks over te dragen aan de andere organisatie. In artikel 22 AVG ligt het recht om behoed te blijven van geautomatiseerde individuele besluitvorming, zoals profiling, besloten. Tot slot is het recht op inzage van de persoonsgegevens blijven bestaan.

Naast aangepaste en nieuwe rechten, zijn er ook vele verplichtingen voor

verwerkingsverantwoordelijken en verwerkers in het leven geroepen en aangescherpt. De verwerking van de persoonsgegevens moet aansluiten op een zevental beginselen.

Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene ‘behoorlijk, rechtmatig en transparant’ is. De andere basisverplichtingen zijn ‘doelbinding’, ‘minimale gegevensverwerking’, ‘juistheid’, ‘opslagbeperking’, ‘integriteit en

vertrouwelijkheid’.30_{Er bestaat geen rangorde tussen de beginselen, die complementair aan}

elkaar zijn.

28 Artikel 17 AVG.

29 Artikel 18 AVG. 30 Artikel 5 AVG.

(14)

Relevant is vooral de verplichting dat de verwerking rechtmatig moet geschieden. De verwerking is rechtmatig als verwerking noodzakelijk is voor de uitvoering van een

overeenkomst waar de betrokkene partij bij is. Bovendien is de verwerking rechtmatig als in de wetten van de EU of een lidstaat voorzien is van een gerechtvaardigde grondslag van de verwerkingsverantwoordelijke of een derde tot persoonsgegevens verwerking. Ook kan de rechtmatigheid gelegen zijn in de noodzaak om aan een wettelijke verplichting te voldoen die op de verwerkingsverantwoordelijke rust.31_{Tot slot is de rechtmatigheid gelegen in de door}

de betrokkene verschafte toestemming voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden. De laatstgenoemde grond wordt aangemerkt als de belangrijkste grond, nu deze meer dan de andere gronden, in de controlesfeer van de betrokkene ligt.32_{Hier ligt ook meteen het gevaar en de makke van de toestemming in de}

AVG.33_{Uit gedragsstudies blijkt dat internetgebruikers nauwelijks weten dat hun gegevens}

verzameld worden, waarvoor deze gebruikt gaan worden en wat de consequenties kunnen zijn.34_{Daarbij zal toestemming veelal gegeven worden, omdat mensen de neiging hebben om}

de voordelen op korte termijn te verkiezen boven de nadelen die de verwerkte

persoonsgegevens in de toekomst kunnen hebben (voor zover ze dat nadeel al überhaupt kunnen kennen).35_{Het geven van de toestemming geldt niet voor ieder individu hetzelfde. Zo}

worden kinderen onder de 13 jaar extra beschermd. Enkel een toestemming van hun voogd of ouders volstaat, niet de toestemming van het kind onder de 13 jaar zelf.36

De AVG biedt zelf een grondslag voor de betrokkene om een rechtstreekse schadevergoedingsvordering in te stellen bij de verwerker of de

verwerkingsverantwoordelijke.37_{Vereist voor een geslaagd beroep is dat de betrokkene}

materiële of immateriële schade heeft geleden als gevolg van een inbreuk op de AVG. De verwerking van persoonsgegevens zonder een daarvoor vereiste toestemming is een inbreuk op de AVG.38_{Daarnaast biedt artikel 79 AVG de mogelijkheid om een doeltreffende}

voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker, indien de persoonsgegevensverwerking niet aan de AVG voldoet. In hoofdstuk 5 wordt nader 31 Berkvens & Jakimowicz 2018, p. 81; Overweging 40 AVG.

32 De Hert & Papakonstantinou, Computer Law and Security Review 2016/32, p. 187.

33 Zuiderveen Borgesius, NJB 2015/14, p. 880.

34 Acquisti & Grossklags 2007.

35 Zuiderveen Borgesius, NJB 2015/14, p. 880.

36 Artikel 8 AVG. 37 Artikel 82 AVG.

(15)

ingegaan op deze twee mogelijkheden, waarbij de individuele en de collectieve actie relevant zijn.

2.3 Herroeping

Op het moment dat de betrokkene de toestemming eenmaal gegeven heeft, kan de betrokkene daarop terugkomen. Wat betreft het intrekken van de toestemming door de betrokkene is dit mogelijk, kijkend naar het contractenrecht. Een grondbeginsel van contractenrecht is de verbindende kracht van de overeenkomst (ook wel: pacta sunt servanda).39_{Dit zou betekenen}

dat de toestemming onherroepelijk is, want de betrokkene kan niet eenzijdig terugkomen op de reeds verrichtte eenzijdige rechtshandeling. Echter, dit is anders op het moment dat een specifieke wettelijke regeling bepaalt dat de toestemming herroepen kan worden.40_{Op grond}

van artikel 7 lid 3 AVG heeft de betrokkene het recht zijn toestemming te allen tijde in te trekken. De verwerking van persoonsgegevens na de intrekking is onrechtmatig. De verwerking op basis van de toestemming voor de intrekking ervan was rechtmatig.41

2.4 Tussenconclusie

Dit hoofdstuk onderzocht het antwoord op de deelvraag: “Welke rechten kan een rechtssubject ontlenen aan de AVG?”. Sinds de inwerkingtreding op 25 mei 2018 zijn bestaande rechten aangescherpt en nieuwe rechten in het leven geroepen. Zo blijft het recht op inzage bestaan. Het recht op vergetelheid, het recht op het overdragen van gegevens, het recht om niet onderworpen te worden aan profiling en het recht op beperking van de

verwerking zijn nieuw in het juridische leven geroepen. Verder is in de AVG het recht op schadevergoeding van im(materiële) schade, opgelopen als gevolg van een inbreuk op de verordening, opgenomen. Ook is het mogelijk een doeltreffende voorziening in te stellen als gevolg van een schending van de AVG. De laatstgenoemde twee mogelijkheden, kunnen zowel door een individuele actie als door een collectieve actie ingesteld worden.

Een zevental beginselen zijn neergelegd in artikel 5 AVG, namelijk: ‘rechtmatigheid,

behoorlijkheid en transparantie’, ‘doelbinding’, ‘minimale gegevensverwerking’, ‘juistheid’, ‘opslagbeperking’, en ‘integriteit en vertrouwelijkheid’. De beginselen vormen de basis waaraan de verwerking van de persoonsgegevens moet voldoen. In artikel 6 AVG zijn de 39 Hijma e.a. 2013, p. 13.

40 Spierings, AA 2016/9, p. 687.

(16)

rechtsgronden opgesomd op grond waarvan een verwerking rechtmatig is. Een van de

grondslagen is de toestemming van de betrokkene voor de verwerking van de gegevens. Deze grondslag wordt in de literatuur gezien als de meest interessante grondslag, aangezien deze het meest in de beslissingssfeer van de betrokkene ligt.42

(17)

3. De juridische kwalificatie van de toestemming en de wilsgebreken

De AVG noemt de vereisten waar de toestemming aan moet voldoen. De toestemming van de betrokkene is: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.”43_{In de preambule is opgenomen}

dat de verwerkingsverantwoordelijke het verzoek tot het vragen van toestemming op dient te stellen in duidelijk en eenvoudige taal en in een begrijpelijke en gemakkelijk toegankelijke vorm. Een handeling waaruit de toestemming kan worden afgeleid, een stilzwijgende handeling, is aldus onvoldoende.44

In dit hoofdstuk bespreek ik allereerst hoe de toestemming voor het verwerken van persoonsgegevens juridisch gekwalificeerd wordt. Daarna neem ik de twee wilsgebreken dwaling en misbruik van omstandigheden onder de loep, om te beoordelen of een beroep op deze wilsgebreken kans van slagen heeft. Achtereenvolgens wordt besproken wat er gebeurt op het moment dat er geen wilsovereenstemming is. Ik beperk mij tot de wilsgebreken dwaling en misbruik van omstandigheden. Voor het wilsgebrek bedrog45_{is opzettelijke}

verzwijging vereist. In de praktijk is de opzet ten aanzien van de verzwijging moeilijk te bewijzen.46_Bedreiging47_{ligt niet in de rede om te toetsen voor deze scriptie. Om deze}

redenen laat ik de bespreking van deze twee wilsgebreken buiten beschouwing. 3.1 Juridische kwalificatie van de toestemming

Wanneer gekeken wordt naar het toestemmingsvereiste uit artikel 6 lid 1 onder a AVG, is het verlenen van de toestemming aan te merken als een gerichte eenzijdige rechtshandeling.48

Ondanks dat de wetgever geen definitie in de wet heeft opgenomen van het begrip ‘rechtshandeling’, worden er in de wet wel enkele aanwijzingen gegeven over wat de wetgever zich bij de rechtshandeling heeft voorgesteld.49_{Zo is een op een rechtsgevolg}

gerichte wil, die door middel van een verklaring is geopenbaard, vereist.50_{Het geven van de}

43 Artikel 4 onder 11 AVG. 44 Overweging 32 AVG. 45 Artikel 3:44 lid 3 BW. 46 Hijma e.a. 2013, p. 192. 47 Artikel 3:44 lid 2 BW. 48 Spierings, AA 2016/9, p. 685. 49 Hijma e.a. 2013, p. 2. 50 Artikel 3:33 BW.

(18)

toestemming is de uiting van de wil van de betrokkene om het gewenste rechtsgevolg tot stand te brengen, zonder dat een reactie van de andere partij is vereist.51_{Kenmerkend aan het}

toestemmingsvereiste is dat het de bevoegd- en bekwaamheden van degene die de toestemming nodig heeft, begrenst.52

Het geven van de toestemming voor het verwerken van persoonsgegevens is een eenzijdige rechtshandeling, die hetzij bij het aanvaarden van het aanbod van de wederpartij wordt verleend, hetzij door de betrokkene op eigen initiatief is gegeven.53_{Op het moment dat de}

betrokkene dit aanbod aanvaardt door de toestemming te verlenen, wordt er een

overeenkomst in het leven geroepen.54_{Het gevolg van het verlenen van de toestemming is dat}

er een rechtsverhouding ontstaat tussen de betrokkene en de verwerkingsverantwoordelijke of de verwerker en dat het verbod om persoonsgegevens te verwerken wordt opgeheven.55_Het

komt in de praktijk bij de persoonsgegevensverwerking vaak voor dat degene die de

toestemming nodig heeft, de betrokkene verzoekt om toestemming te geven. Zo gebeurt dit bij de acceptatie van cookies bij een bezoek op de website.56

3.2 Wilsgebreken en de mogelijkheid tot vernietiging

Zoals in de vorige paragraaf is geconcludeerd, bestaat er een rechtsverhouding op het moment dat de toestemming is gegeven door de betrokkene. In de meeste gevallen is de rechtsverhouding aan te merken als een overeenkomst. De regeling van de wilsgebreken is van toepassing, en kan tot vernietiging van de overeenkomst leiden indien aan de

voorwaarden voor een wilsgebrek is voldaan. Van een wilsgebrek is sprake op het moment dat iemand een rechtshandeling verricht, terwijl de wil daartoe op een gebrekkige wijze is gevormd. Ondanks dat de wil en de verklaring met elkaar in overeenstemming waren tijdens het verrichten van de rechtshandeling, kan de rechtshandeling in bepaalde gevallen

vernietigbaar zijn.57_{Alle wilsgebreken laten zich kenmerken door het vereiste van causaliteit}

tussen het wilsgebrek en het verrichten van de rechtshandeling.58

51 Spierings, AA 2016/9, p. 685.

52 Bloembergen 1971, p. 7-8.

53 Asser/Hartkamp & Sieburgh 6-III 2014/101.

54 Spierings, AA 2016/9, p. 687.

55 Spierings, AA 2016/9, p. 685. 56 Spierings, AA 2016/9, p. 685.

57 Hijma e.a. 2013, p. 170.

(19)

3.2.1 Dwaling

Dwaling is neergelegd in artikel 6:228 lid 1 BW. In het geval van dit wilsgebrek zijn de wil en de verklaring met elkaar in overeenstemming, maar heeft de wil van een van beide partijen zich op een onjuiste wijze gevormd. Een mogelijk beroep op artikel 6:228 lid 1 sub b BW is het meest voor de hand liggend bij het verlenen van toestemming voor

persoonsgegevensverwerking.59_{Het ziet namelijk toe op de situatie waarin de dwaling te}

wijten is aan het zwijgen van de wederpartij.60_{Dwaling heeft tot gevolg dat als een dergelijke}

mededelingsplicht niet is nagekomen, de overeenkomst mogelijk vernietigd kan worden.61_In

het kader van de mededelingsplicht, is de aanbiedende contractspartij verplicht om juiste informatie te verstrekken.62_{Uit de AVG vloeit de mededelingsplicht voort om op duidelijke}

en begrijpelijke wijze toestemming te vragen.63_{Op het moment dat de wetgever zelf een}

wettelijke informatieplicht geeft, is daarmee gegeven dat het kennelijk voor de wederpartij van belang is.64_{Uit de rechtspraak blijkt dat de mededelingsplicht in ieder geval is}

geschonden wanneer het voorgenomen gebruik van data opzettelijk is verzwegen.65

Opzettelijke verzwijging is, zoals reeds hierboven is aangestipt, moeilijk te bewijzen. Het is aan de gebruiker om aan te tonen dat bij een juiste voorstelling van zaken de

overeenkomst niet aangegaan zou zijn.66_{Het beroep op dwaling kan dus slechts ingeroepen}

worden wanneer de betrokkene het causaal verband aantoont.67_{Van belang bij dit}

causaliteitsvereiste is in hoeverre de kennis over de daadwerkelijke doeleinden van de

dataverwerking voor de betrokkene heeft uitgemaakt bij het sluiten van de overeenkomst. Het causaal verband is mijns inziens moeilijk te bewijzen, omdat uit gedragsstudies blijkt dat betrokkenen toch wel akkoord geven voor de verwerking van de gegevens. Betrokkenen, met name consumenten, worden namelijk beïnvloed door verschillende biases en de

59 Zie ook Van Gulijk & Op Heij, WPNR 2016/7110, p. 456.

60 Hijma e.a. 2013, p. 174. 61 Artikel 6:228 lid 1 onder b BW.

62 Asser/Hijma, 7-I* 2013/233.

63 Overweging 32 AVG; artikel 5 lid 1 onder a AVG.

64 Hijma, in: GS Verbintenissenrecht, art. 6:228, aant. 6.3a (online, bijgewerkt tot 1 augustus 2017).

65 Rb. Rotterdam 18 mei 2005, ECLI:NL:RBROT:2005:AU0340, r.o. 7.20: “Op grond van het voorgaande is voldoende aannemelijk geworden dat T-Mobile de overeenkomst met InfoPact niet of niet op dezelfde voorwaarden zou hebben afgesloten indien zij had geweten met welk doel en op welke wijze InfoPact de simkaarten en de abonnementen wilde gaan gebruiken en is gaan gebruiken, welk gebruik immers wanprestatie van InfoPact zou gaan opleveren en in feite heeft opgeleverd. Eveneens aannemelijk is dat InfoPact dat wist of in elk geval had moeten weten. Door over haar voorgenomen gebruik te zwijgen schond InfoPact een

mededelingsplicht. […] Dit leidt ertoe dat T-Mobile terecht de overeenkomst heeft vernietigd op grond van dwaling”.

66 Moerel & Prins 2016; Zuiderveen Borgesius 2015.

(20)

toestemmingsverklaringen worden nauwelijks gelezen of begrepen.68_{Ik acht de mogelijkheid}

op een geslaagd beroep daarom slechts aanwezig op het moment dat het gaat om voor de betrokkene belangrijke gegevens. Zo zal de verwerking en het uiteindelijke gebruik van medische gegevens bijvoorbeeld zwaarder wegen dan het verwerken en het uiteindelijke gebruik van gegevens van hardlopers dat wordt verkocht aan derde partijen.69

3.2.2 Misbruik van omstandigheden

Misbruik van omstandigheden, zoals neergelegd in artikel 3:44 lid 4 BW, betreft situaties waarin iemand door bijzondere omstandigheden bewogen wordt tot het verrichten van een rechtshandeling en de wederpartij daar misbruik van maakt. Daarnaast is beslissend of de wederpartij daadwerkelijk misbruik heeft gemaakt en daarmee een prestatie heeft bedongen die in redelijkheid niet bedongen had mogen worden.70_{Ook is het causaliteitsvereiste}

noodzakelijk voor een geslaagd beroep. Degene die het wilsgebrek aan wil tonen, moet aangeven dat de rechtshandeling niet of niet op dezelfde voorwaarden zou zijn aangegaan indien de bijzondere omstandigheden afwezig zouden zijn geweest.71

Kijkend naar de toestemming persoonsgegevensverwerking acht ik de bijzondere

omstandigheid ‘afhankelijkheid’ aanwezig. In de literatuur wordt aangenomen dat iemand zich in een dwangpositie bevindt wanneer iemand is overgeleverd aan een wederpartij met een economische machtspositie.72_{Personen zijn onderworpen aan de economische}

machtspositie van een groot bedrijven als Facebook en Twitter.73_{Dit laat zich illustreren aan}

de hand van een voorbeeld. Om gebruik te maken van de diensten van Twitter moeten de privacy-voorwaarden geaccepteerd worden.74_{Daarmee wordt tevens toestemming gegeven}

voor het verwerken van de persoonsgegevens. Daarbij komt dat de data die gebruikt worden verder gaan dan de data die nodig zijn voor de uitoefening van de dienst. Op het moment dat de voorwaarden niet geaccepteerd worden, wordt het account van Twitter verwijderd.75_{Dit is}

een ‘take it or leave it’-situatie, waarin de betrokkene afhankelijk is van de aanbieder (in het geval van het voorbeeld: van Twitter) en is overgeleverd aan de machtspositie. Het alternatief 68 Zuiderveen Borgesius, NJB 2015/14, p. 880.

69 ‘Runkeeper volgt hardlopers continu en verkoopt data’, NOS 12 mei 2016.

70 Hijma, in: T&C Burgerlijk Wetboek art. 44 BW 3 (online, laatst bijgewerkt op 1 juli 2017).

71 Hijma e.a. 2013, p. 197.

72 Hijma e.a. 2013, p. 199.

73 ‘Voorwaarden accepteren of van Facebook af’ Radar AVRO TROS 2 december 2014.

74 ‘Twitter verliest fors aantal gebruikers maar boekt wel winst’ NOS 25 oktober 2018.

(21)

dat geboden wordt, is geen account meer op Twitter hebben. Dat in dit voorbeeld het bedrijf misbruik maakt van zijn machtspositie, lijkt mij evident.

In dit voorbeeld is niet aan de causaliteitseis voldaan. Vereist voor het causaal verband is dat de betrokkene door de afhankelijkheid is bewogen tot het sluiten van de overeenkomst.76_In

de praktijk zullen er weinig gebruikers zijn die het privacy statement niet zullen accepteren wanneer de betrokkene weet heeft van de afhankelijkheid. Enkel de principiële gebruikers zullen niet toegeven aan het gemak om het privacy statement snel te accepteren.77_{De rechter}

zal hierover een oordeel moeten vellen om duidelijkheid te scheppen. 3.2.3 Vernietiging wegens een wilsgebrek

Het is maar de vraag of een geslaagd beroep op een van de wilsgebreken het gewenste rechtsgevolg heeft. Een geslaagd beroep heeft vernietiging van de overeenkomst tot gevolg. De vernietiging heeft terugwerkende kracht.78_{Door de vernietiging is de verwerker niet meer}

bevoegd de gegevens te verwerken. De rechtvaardiging voor de verwerking is vervallen. De gegevens zijn inmiddels al verzameld, uitgelezen en in sommige gevallen zelfs al verstrekt aan derden. Dit betekent dat na de vernietiging, hierop terugkijkend, de persoonsgegevens niet verwerkt hadden mogen worden. Nu de rechtsgrond is weggevallen, kan de betrokkene zich beroepen op de onverschuldigde betaling.79_{De verwerker of de}

verwerkingsverantwoordelijke kan gehouden zijn tot een uitkering in geld als gevolg van de onverschuldigde betaling.

3.3 Tussenconclusie

In dit hoofdstuk stonden twee deelvragen centraal. Allereerst is de toestemming voor het verwerken van persoonsgegevens uit artikel 6 lid 1 onder a AVG juridisch gekwalificeerd. Het geven van de toestemming voor het verwerken van persoonsgegevens is een eenzijdige rechtshandeling, die door aanvaarding van het aanbod van de wederpartij wordt verleend, of door de betrokkene op eigen initiatief is gegeven. Op het moment dat de betrokkene het aanbod aanvaardt of op eigen initiatief toestemming verleent, ontstaat er een

rechtsverhouding. Het verbod om persoonsgegevens te verwerken wordt door de

toestemming opgeheven, er zijn immers bevoegd- en bekwaamheden gegeven aan degene die 76 Asser/Hartkamp & Sieburgh 6-III 2014/261-266.

77 Spierings, AA 2016/9, p. 686.

78 Artikel 3:53 BW. 79 Artikel 6:203 BW.

(22)

de toestemming nodig heeft. Ten tweede is de deelvraag beantwoord of de toestemming tot het verwerken van persoonsgegevens kan worden vernietigd wegens het wilsgebrek dwaling of misbruik van omstandigheden. Er is een, voor de dwaling vereiste, mededelingsplicht. De mededelingsplicht vloeit voort uit de AVG zelf en houdt in dat op duidelijke en begrijpelijke wijze toestemming gevraagd moet worden. Bij een persoonsgegevensverwerking zonder de gevraagde toestemming, kan de mededelingsplicht geschonden zijn. De schending van de mededelingsplicht moet door de betrokkene bewezen worden. De voor het wilsgebrek vereiste ‘bijzondere omstandigheid’ kan gelegen zijn in afhankelijke positie van de betrokkene tot de aanbieder. Voor een geslaagd beroep op de wilsgebreken is causaliteit vereist tussen het wilsgebrek en het verrichten van de rechtshandeling. In dit hoofdstuk werd duidelijk dat de causaliteitseis aan een geslaagd beroep op een wilsgebrek in de weg kan staan. Nu blijkt dat veelal toestemming gegeven zal worden, ondanks de kennis over de daadwerkelijke doeleinden, is het causale verband moeilijk te bewijzen. Het is maar de vraag of een geslaagd beroep op een wilsgebrek tot een bevredigend resultaat leidt. Vernietiging, met terugwerkende kracht tot gevolg, brengt mee dat de rechtvaardiging voor de

persoonsgegevensverwerking weg is. Echter, zal de vernietiging in de praktijk weinig verschil maken omdat de persoonsgegevens inmiddels al verwerkt zijn en wellicht al doorverkocht zijn aan derden.

(23)

4.

Oneerlijke handelspraktijk: mogelijkheid tot schadevergoeding en vernietiging

Ter implementatie van de Richtlijn betreffende oneerlijke handelspraktijken80_{zijn de}

artikelen 6:193a tot en met 6:193j in het BW opgenomen. De oneerlijke handelspraktijk is een species van de onrechtmatige daad uit artikel 6:162 BW.81_{De bepalingen over de}

oneerlijke handelspraktijk zien slechts op de relatie tussen een consument (die niet handelt in de uitoefening van een beroep of een bedrijf)82_{en een handelaar (een natuurlijk persoon of}

rechtspersoon die handelt in de uitoefening van een beroep of bedrijf of degene die ten behoeve van hem handelt).83_{De Europese Commissie geeft aan dat app stores (Apple App}

Store/Google Play), social media (Facebook/Twitter), search engines (Google/Yahoo!) en E-commerce platforms (Zalando/Amazon) onder de ‘handelaar’ in de zin van de Richtlijn betreffende oneerlijke handelspraktijken vallen.84_{Dit is met name voor de verwerking van}

persoonsgegevens relevant, nu de verwerking van persoonsgegevens vaak door deze partijen gedaan wordt.

In dit hoofdstuk toets ik of het verwerken van persoonsgegevens zonder toestemming een oneerlijke handelspraktijk is. Vervolgens beoordeel ik of de oneerlijke handelspraktijk vernietiging tot gevolg heeft en of er een schadevergoedingsvordering ingesteld kan worden. Uit bewijstechnische gronden85_{zal allereerst getoetst moeten worden aan de zwarte lijsten uit}

artikel 6:193g en 6:193i BW. Indien de gedraging voorkomt in een van de twee lijsten, staat de oneerlijkheid van de handelspraktijk vast en is de handelspraktijk onder alle

omstandigheden verboden. Alleen als de handelspraktijk niet onder de zwarte lijsten te scharen is, moet worden getoetst of het een handelspraktijk betreft die ‘misleidend’ dan wel ‘agressief’ is in de zin van artikel 6:193c en d respectievelijk 6:193h BW of, als de gedraging ook niet hieronder valt, aan de algemene norm van artikel 6:193b lid 2 BW.

80 De Richtlijn betreffende oneerlijke handelspraktijken van ondernemingen jegens consumenten op de interne markt (Richtlijn 2005/29/EG, PbEU 2005, L 149/22).

81 Afdeling 3A, titel 3 Boek 6 BW. 82 Artikel 6:193a lid 1 onder a BW. 83 Artikel 6:193a lid 1 onder b BW. 84 SWD (2016) 163, p. 135.

(24)

4.1 De misleidende en agressieve handelspraktijken uit de zwarte lijsten

Het verwerken van persoonsgegevens zonder dat sprake is van toestemming van de betrokkene kan niet worden geschaard onder een van de acht verboden agressieve

handelspraktijken als genoemd in artikel 6:193i BW. In de zwarte lijst van artikel 6:193g BW zijn 23 handelspraktijken genoemd die onder alle omstandigheden misleidend, en daarom onrechtmatig zijn. Geen handelspraktijk zoals genoemd en beschreven in de zwarte lijst van 6:193g BW komt overeen met de handelspraktijk waarin de handelaar de persoonsgegevens verwerkt zonder de vereiste toestemming van de consument te vragen. Ook sub t, die voor deze scriptie het meest relevant is86_{, is niet van toepassing op de specifieke handelspraktijk.}

Volgens artikel 6:193g sub t BW is het zonder meer misleidend “een product als gratis, voor niets of kosteloos te omschrijven als de consument iets anders moet betalen dan de

onvermijdelijke kosten om in te gaan op het aanbod en het product af te halen dan wel dit te laten bezorgen”.87_{Het is onduidelijk of “betalen” op de tegenprestatie van het afgeven van}

persoonsgegevens kan zien, of dat “betalen” alleen ziet op een geldelijke vergoeding.88_{Uit de}

richtlijn zelf komt niet naar voren of er andere vormen dan monetaire betalingen eronder kunnen vallen.89_{Een persoonsgegeven is tegenwoordig iets commercieels. In de literatuur}

wordt een persoonsgegeven als bron van geld gezien.90_{Volgens Helberger kan het delen van}

persoonsgegevens als vorm van betaling in de zin van artikel 6:193g onder t BW worden gezien. Het argument dat Helberger hiertoe aanvoert, is dat uit de interpretatie van artikel 6:193g onder t BW niet blijkt dat “betalen” slechts strekt tot monetaire kosten. Daardoor kan volgens Helberger beargumenteerd worden dat tevens niet-monetaire betalingen onder sub t vallen.91_{Echter, blijkt uit de richtsnoeren van de richtlijngever niet dat het wél verder strekt}

dan monetaire betalingen. Daarnaast heeft de richtlijngever bij de implementatie van de richtlijn niet nagedacht over de specifieke situatie van het verstrekken van persoonsgegevens als vorm van betaling in de zin van artikel 6:193g sub t BW. De Europese Commissie laat het verstrekken van persoonsgegevens in de aanbeveling niet onbesproken. De Europese

Commissie bespreekt het onderwerp in het verband dat handelaren consumenten afdoende dienen te informeren wanneer een bepaalde voorafbetaling vereist is. Tevens constateert de

86 De Vrey 2015, p. 391. 87 Artikel 6:193g onder t BW.

88 Lubomirov, WPNR 2017/7181, p. 156.

89 Artikel 5, artikel 6, artikel 7 en nummer 20 in bijlage I Richtlijn 2005/29/EG.

90 Langhanke & Schmidt-Kessel, EuCML 2015/4 p. 218-223; Helberger 2016; De Franceschi & Lehmann,

Italian Law Journal 2015/1, p. 51-72.

(25)

commissie dat veel diensten in de onlinesector enkel toegankelijk zijn tegen afgifte van persoonsgegevens. De commissie concludeert in dit verband dat de Europese wetgeving inzake gegevensbescherming van toepassing kan zijn.92_{De commissie laat zich verder in dit}

verband slechts uit over de verwerking van persoonsgegevens met betrekking tot de toets van de misleidende omissie. Deze toets bespreek ik in de volgende paragraaf.

Op basis van het bovenstaande ben ik van mening dat artikel 6:193g onder t BW niet van toepassing is bij het aanbieden van producten of diensten waarbij persoonsgegevens verstrekt moeten worden. Dientengevolge is het aanbieden van gratis producten of diensten in ruil voor persoonsgegevens geen misleidende handelspraktijk die onder alle omstandigheden oneerlijk is.

4.2 De misleidende omissie uit art. 6:193d BW

Aangezien de oneerlijkheid van de handelspraktijk niet vaststaat door de zwarte lijsten, dient in te worden gegaan op de vraag of de handelspraktijk op grond van artikel 6:193b-193f en 193h BW misleidend, agressief of anderszins oneerlijk is.93_{Ten aanzien van deze scriptie ligt}

het voor de hand om het verwerken van persoonsgegevens zonder toestemming aan de misleidende omissie in de zin van artikel 6:193d BW, op basis waarvan het weglaten van essentiële informatie oneerlijk kan zijn, te toetsen. “Een misleidende omissie is iedere

handelspraktijk waarbij essentiële informatie welke de gemiddelde consument nodig heeft om een geïnformeerd besluit over een transactie te nemen, wordt weggelaten, waardoor de gemiddelde consument een besluit over een overeenkomst neemt of kan nemen, dat hij anders niet had genomen.”, aldus artikel 6:193d lid 2 BW. Niet vereist voor de misleidende omissie is opzet van de handelaar.94_{In de toets van de misleidende omissie zijn de ‘gemiddelde}

consument’ en ‘geïnformeerd besluit’ uit artikel 6:193b lid 2 BW opgenomen.95_{In deze}

paragraaf wordt getoetst of door het weglaten van informatie over

persoonsgegevensverwerking de gemiddelde consument een ander besluit neemt over de commerciële transactie.

Allereerst dient er sprake te zijn van het weglaten van essentiële informatie die invloed heeft op het besluit van de consument. Artikel 6:193f BW somt gevallen op die in ieder geval

92 SWD (2016) 163, p. 108.

93 Kamerstukken II 2006/07, 30 928, nr. 3, p. 1-2.

94 Verkade 2009, p. 42.

(26)

essentieel zijn. Aan het vereiste dat het gaat om “essentiële informatie” is voldaan, nu de Europese Commissie zich daarover in de aanbeveling uitgelaten heeft. De Commissie geeft expliciet aan dat de informatie van consumenten over de persoonsgegevensverwerking inzake gegevensbescherming als “essentieel” wordt aangemerkt in de zin van artikel 7 lid 5, waar artikel 6:193f BW de implementatie van is.96_{Hieromtrent geeft de commissie aan dat het als}

een misleidende omissie van essentiële informatie kan worden gezien wanneer de handelaar de consument niet op de hoogte brengt van het feit dat de aan de handelaar te verstrekken persoonsgegevens worden gebruikt voor commerciële doeleinden.97

Bij de beoordeling of er sprake is van een misleidende omissie, dient de maatstaf van de gemiddelde consument te worden gehanteerd. De gemiddelde consument is context-afhankelijk en is volgende het Hof van Justitie gemiddeld geïnformeerd, omzichtig en oplettend98_{waarbij rekening wordt gehouden met maatschappelijke, taalkundige en culturele}

factoren.99_{Daarnaast dient rekening te worden gehouden met het gemiddelde lid van de}

doelgroep van de handelspraktijk.100_{De vraag wie precies de gemiddelde consument is, is een}

lastig te beantwoorden en empirische vraag. De gemiddelde consument is niet altijd bekend met de persoonsgegevensverwerking en gaat er niet vanuit dat persoonsgegevens worden verwerkt zonder zijn toestemming, aangezien toestemming wettelijk vereist is. Helberger geeft aan dat de gemiddelde consument tevens een kritische consument kan zijn die veel kennis heeft op het gebied privacy.101_{Nu verwerking van persoonsgegevens bij het sluiten}

van vrijwel alle onlineovereenkomsten plaatsvindt102_{, kan uitgegaan worden van een brede,}

gemiddelde groep consumenten.

Voor de misleidende omissie is tot slot vereist dat door het achterhouden van de essentiële informatie de consument een besluit neemt die hij anders niet had genomen.103_Deze

hypothetische vraag is moeilijk te beantwoorden en empirisch van aard. Uit een onderzoek van de Europese Commissie naar de houding omtrent gegevensbescherming blijkt dat 70% van de Europeanen bang is dat hun persoonsgegevens worden gebruikt voor andere

96 SWD (2016) 163, p. 30, 31.

97 SWD (2016) 163, p. 30.

98 HvJ EU 16 juli 1998, C-210/96 (Gut Springenheide), r.o. 31.

99 HvJ EU 13 januari 2000, C-220/98 (Estée Lauder/Lancaster), r.o. 29. 100 Overweging 18 Richtlijn 2005/29/EG.

101 Helberger 2016, p. 10-11.

102 Bolscher, De Jong & Van Rienen, Tijdschrift voor Internetrecht 2017/1, p. 22.

(27)

doeleinden dan waarvoor zij in de eerste instantie gevraagd zijn.104_{Ook blijkt dat 74% van}

mening is dat goedkeurig in alle gevallen vereist moet zijn voordat persoonsgegevens verwerkt mogen worden.105_{Daarnaast komt in een recent onderzoek, betreffende de houding}

van Nederlanders ten aanzien van data en privacy, naar boven dat 82% van de consumenten meer controle wil over de gegevens die aan bedrijven verstrekt worden.106_{Deze mensen zijn}

mogelijk aan te merken als de consument die een ander besluit neemt in het geval dat zij wel geïnformeerd zouden zijn over hun persoonsgegevensverwerking. In het geval van deze groep consumenten, kan het achterhouden van informatie over de

persoonsgegevensverwerking worden bestempeld als een misleidende omissie. 4.3 Schadevergoedingsvordering of vernietiging

Bij een misleidende omissie kan een betrokkene ervoor kiezen om een beroep op

schadevergoeding te doen krachtens artikel 6:193j lid 2 BW of een beroep op vernietiging krachtens artikel 6:193j lid 3 BW.

Artikel 6:193j lid 1 en lid 2 BW werken ten gunste van de consument bij een beroep op vernietiging.107_{Zo kan op grond van lid 1 de handelaar gevraagd worden de juistheid}

(materiële) en volledigheid aan te tonen van de door hem verstrekte informatie.108_Daarnaast

wordt krachtens lid 2 de oneerlijke handelspraktijk aan de handelaar toegerekend, als gevolg van een bewijslastomkering daaromtrent.109_{Ondanks deze twee wettelijke}

tegemoetkomingen, is er meer voor nodig om een beroep op de vernietiging of de schadevergoeding te laten slagen.110_{Zo is, door de consumenten te stellen en zo nodig te}

bewijzen, causaliteit vereist. Dat de gemiddelde consument, zoals in paragraaf 4.2 geschetst, een ander besluit zou hebben genomen, betekent niet dat ook de individuele consument daadwerkelijk door de specifieke misleidende omissie is beïnvloed.111_{Daarnaast is voor een}

geslaagde schadevergoedingsvordering, naast de causaliteit, schade vereist. Volgens artikel 6:193j lid 2 BW dient de handelaar de schade te vergoeden die de consument als gevolg van 104 Special Eurobarometer 359, 2011, p. 2.

105 Special Eurobarometer 359, 2011, p. 148.

106 DDMA Privacy Onderzoek 2016, p. 20. Online te raadplegen via: https://ddma.nl/wp-content/uploads/2016/06/DDMA_privacy-onderzoek-NL_def-4.pdf?

fbclid=IwAR2P2NOILKNFfH5rKxbNtVeJopMwys0JNqtIrQ8rAQsQSCbXuwABIcQhByQ Datum van raadpleging: donderdag 29 december 2018.

107 Lankhorst, in: T&C Burgerlijk Wetboek, commentaar op art. 193j BW 6, aant. 1 (Online, laatst bijgewerkt op 1 juli 2018).

108 Verkade 2016/49. 109 Verkade 2016/48, 52. 110 Artikel 6:193j lid 3 BW.

(28)

de oneerlijke handelspraktijk heeft geleden. Uit paragraaf 5.2.1 zal blijken dat de juridische schade zich moeilijk laat kwalificeren. Ook zal uit paragraaf 5.2.2 blijken dat het causaal verband zich moeilijk laat aantonen.

4.4 Tussenconclusie

In dit hoofdstuk zijn de oneerlijke handelspraktijken in relatie tot

persoonsgegevensverwerking zonder toestemming onder de loep genomen. De deelvraag “kan de toestemming tot het verwerken van persoonsgegevens worden vernietigd wegens een schending van een informatieplicht?” stond centraal. Het verwerken van persoonsgegevens zonder de toestemming van de betrokkene valt niet onder een van de acht verboden

agressieve handelspraktijken als genoemd in artikel 6:193i BW. Ook komt geen

handelspraktijk zoals genoemd en beschreven in de zwarte lijst van 6:193g BW overeen met de handeling van persoonsgegevensverwerking door de handelaar zonder de vereiste

toestemming van de consument te vragen. In het bijzonder is op artikel 6:193g onder t BW ingezoomd, waarbij is aangegeven dat sub t niet van toepassing is bij het aanbieden van producten of diensten waarbij persoonsgegevens verstrekt moeten worden. Er is dus geen sprake van een misleidende handelspraktijk die onder alle omstandigheden oneerlijk is. Aangezien de oneerlijkheid van de handelspraktijk niet vaststond door de zwarte lijsten, bekeek ik of de handelspraktijk op grond van artikel 6:193b-193f en 193h BW misleidend, agressief of anderszins oneerlijk is. Meer specifiek toetste ik of door het weglaten van informatie over persoonsgegevensverwerking de gemiddelde consument een ander besluit neemt over de commerciële transactie. De Europese Commissie heeft in de richtsnoeren aangegeven dat de informatie van consumenten over de verwerking van persoonsgegevens als essentieel wordt beschouwd. De hypothetische vraag of door het achterhouden van de essentiële informatie de consument een besluit neemt die hij anders niet had genomen, kan in de meerderheid van de gevallen bevestigend worden beantwoord. Het verwerken van

persoonsgegevens zonder toestemming kan in die gevallen als misleidende omissie in de zin van artikel 6:193d BW worden gezien.

Om het beroep op vernietiging van de overeenkomst te laten slagen, is causaliteit vereist. Daarnaast is voor een geslaagde schadevergoedingsvordering, naast het causaal verband,

(29)

schade vereist. Uit het volgende hoofdstuk zal blijken dat deze twee vereisten problematisch zijn.

(30)

5. De schadevergoedingsvordering en het rechterlijk bevel

In dit hoofdstuk zal nader bekeken worden of de betrokkenen remedies ten dienste staan op het moment dat hun persoonsgegevens worden verwerkt zonder dat zij daar toestemming voor hebben gegeven. Dit druist in tegen artikel 6 AVG, op grond waarvan een verwerking rechtmatig is wanneer van een van de zes verwerkingsgrondslagen sprake is. Toestemming van de betrokkene, zijnde een verwerkingsgrondslag, is vereist. Verwerking kan eveneens plaatsvinden op basis van een van de andere verwerkingsgrondslagen. Bij de toetsing van de verschillende remedies wordt ervan uitgegaan dat de verwerkingsverantwoordelijke zich niet kan beroep op een van de andere verwerkingsgrondslagen.

In dit hoofdstuk staat allereerst de schadevergoedingsvordering centraal. Het is van belang te onderzoeken of de AVG zelf uitkomst biedt met de zelfstandige

schadevergoedingsgrondslag. Vervolgens bespreek ik of een onrechtmatige daadvordering ingesteld kan worden volgens artikel 6:162 BW en of er sprake is van wanprestatie in de zin van artikel 6:74 BW. Ten aanzien van de verhouding tussen artikel 82 AVG en de nationale buitencontractuele schadevergoedingsvordering, kan uit de preambule worden afgeleid dat de vordering uit de BW mogelijk is naast de vordering uit de AVG.112

Tot slot zal het verbod tot verdere verwerking van persoonsgegevens en het gebod tot het verwijderen van de onrechtmatig verwerkte gegevens aan bod komen. De verbodsactie en de gebodsactie hebben als voordeel dat er geen geleden schade vereist is. Deze acties kunnen op grond van de AVG (artikel 79) en het BW (3:296) worden ingesteld, op individuele en collectieve wijze.

5.1 Schadevergoedingsvordering krachtens de AVG

Uit artikel 82 AVG vloeit de mogelijkheid voor een zelfstandige schadevergoedingsvordering voort. “Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een overtreding van het in deze verordening bepaalde heeft het recht om een schadevergoeding te ontvangen voor de geleden schade.”113_{In het artikel is de zelfstandige grondslag gelegen}

voor een betrokkene om rechtstreeks een schadevergoedingsvordering in te stellen. De betrokkene hoeft hiervoor niet eerst naar de toezichthouder te gaan, maar kan rechtstreeks

112 Overweging 146 AVG; De Graaff & Bakker, in: GS Onrechtmatige daad III.12.4.7.3 (online, laatst bijgewerkt op 30 maart 2018).

(31)

naar de rechter stappen. Voor een succesvolle schadevergoedingsvordering is vereist dat er materiële of immateriële schade is geleden door de betrokkene, en dat de geleden schade het gevolg is van een overtreding van de verordening. Een overtreding van de AVG kan het verwerken van persoonsgegevens zonder de voor deze verwerking vereiste toestemming zijn.114

Het schadebegrip dient gemeenschapsautonoom uitgelegd te worden.115_{Uit de preambule}

vloeit voort dat aan het schadebegrip een ruime uitleg in het licht van de rechtspraak van het Hof van Justitie moet worden toegekend. Het schadebegrip moet zo ruim uitgelegd worden dat het ten volle recht doet aan de doelen van de AVG, zoals deze eerder in hoofdstuk 2.1 genoemd zijn. De preambule vermeldt expliciet dat de betrokkene ‘volledige en

daadwerkelijke vergoeding van de geleden schade dient te ontvangen’.116_{De AVG biedt geen}

vast kader voor het vaststellen van (im)materiele schade.117_{Door Engelhart, Giesen en}

Schaick wordt erkend dat schending van privacy een voorbeeld is van een gebied waarop het concept schade nog nauwelijks tot ontwikkeling is gekomen.118_{Door het Hof van Justitie is}

tot nu toe geen opheldering gegeven over de vergoedbare schade bij een

verwerkingsovertreding.119_{De eerste aanzet voor de opheldering wordt verwacht in de aan het}

Hof van Justitie voorgelegde zaak HJ t. European Medicines Agency.120_{In de zaak verzoekt}

een Britse burger dat documenten uit zijn persoonlijke dossier niet eerlijk en rechtmatig verwerkt zijn, aangezien de documenten zijn verwerkt zonder dat toestemming voor de verwerking is gegeven. De Britse burger voert aan dat aan alle voorwaarden voor de niet-contractuele aansprakelijkheid van de Europese Unie voldaan is. De verspreiding van de gevoelige gegevens heeft volgens de verzoeker afbreuk gedaan aan haar gezondheid en als gevolg daarvan is reële en immateriële schade geleden. Tot dusver is er nog geen uitspraak gedaan.

Mocht de schadevergoedingsvordering succesvol zijn, dan kan de geleden schade zowel bij de verwerkingsverantwoordelijke als bij de verwerker gevorderd worden.121_{Daar waar de}

114 Willink, in: T&C Privacy- en telecommunicatierecht art. 82 AVG aant. 1 (online, laatst bijgewerkt op 25 mei 2018).

115 Walree, WPNR 2017/7172, p. 928. 116 Overweging 146 AVG.

117 Walree, WPNR 2017/7172, p. 930.

118 Engelhart, Giesen & Van Schaick, NTBR 2018/1, p. 1. 119 Walree, WPNR 2017/7172, p. 929.

120 Op 14 December 2016 aan het Hof voorgelegd: Case T-881/16 (HJ v European Medicines Agency). 121 Artikel 82 lid 2 AVG.

(32)

richtlijn slechts voorzag in een mogelijkheid om de verwerkingsverantwoordelijke aan te spreken, voorziet de AVG in een directe mogelijkheid voor de betrokkene om

schadevergoeding te vorderen bij de verwerker.122_{De vereisten voor de aansprakelijkheid van}

de verwerker en de verwerkingsverantwoordelijke verschillen. Zo is de verwerker slechts aansprakelijk als niet voldaan is aan de specifiek tot verwerkers gerichte verplichtingen van de AVG bij de verwerking. Ook is de verwerker aansprakelijk wanneer buiten of in strijd met de rechtmatige instructies van de verantwoordelijke is gehandeld. De aansprakelijkheid is bij de verwerkingsverantwoordelijke anders, nu de verantwoordelijke al aansprakelijk is op het moment dat de verantwoordelijke bij de verwerking betrokken was.123_{Zowel de}

verwerkingsverantwoordelijke als de verwerker kunnen van de aansprakelijkheid worden vrijgesteld, indien wordt betwist dat hij niet verantwoordelijk is voor de schade. De

bewijslast rust op de verwerkingsverantwoordelijke of de verwerker.124_{In de praktijk kan het}

zich voordoen dat er bij eenzelfde verwerking meerdere verwerkers en

verwerkingsverantwoordelijken betrokken zijn. Wanneer voor beide aan de vereisten voor een schadevergoedingsvordering is voldaan, zijn zij hoofdelijk aansprakelijk voor de volledige geleden schade.125

5.2 Schadevergoedingsvordering krachtens het BW

Aangezien nog niet duidelijk welke im(materiële) geleden schade vergoedbaar is onder de AVG, dient te worden getoetst of de betrokkene schadevergoeding kan vorderen krachtens het BW. Volgens artikel 6:162 BW is voor een vordering tot schadevergoeding uit

onrechtmatige daad een onrechtmatige gedraging vereist.126_{De schending van de}

verplichtingen uit de AVG is zonder meer een dergelijke onrechtmatige gedraging, want er is in strijd met de wettelijke plicht uit artikel 6 AVG gehandeld.127_{De AVG werkt in het}

voordeel van de betrokkene doordat de verantwoordelijke moet bewijzen dat er toestemming gegeven is.128_{Daarnaast dient aan de relativiteitseis te zijn voldaan. Deze eis houdt in dat de}

norm moet strekken tot de bescherming van de benadeelde in het geschonden belang.129_Aan

de relativiteitseis is zonder meer voldaan bij het verwerken van persoonsgegevens zonder

122 Willink, in: T&C Privacy- en telecommunicatierecht art. 82 AVG aant. 1 (online, laatst bijgewerkt op 25 mei 2018).

123 Artikel 82 lid 2 AVG. 124 Artikel 82 lid 3 AVG. 125 Artikel 82 lid 4 AVG.

126 Spier e.a. 2015, p. 24.

127 Tjong Tjin Tai, WPNR 2016/7110, p. 462.

128 Artikel 7 lid 1 AVG.

(33)

toestemming, nu de gehele AVG en artikel 6 AVG specifiek toezien op de

gegevensbescherming van de betrokkene.130_{De onrechtmatige gedraging moet aan de dader}

toegerekend kunnen worden krachtens schuld, wet of verkeersopvatting.131_{De verwerker of}

de verwerkingsverantwoordelijke kan als ‘dader’ aangemerkt worden, waarbij de schending van artikel 6 AVG aan beide toegerekend kan worden krachtens schuld. Het is immers aan hem te verwijten dat zij de persoonsgegevens hebben verwerkt zonder de toestemming. Uit hoofdstuk 3 blijkt dat op het moment dat toestemming voor de verwerking is gegeven, er een contractuele rechtsverhouding tussen de betrokkene en de verwerkingsverantwoordelijke of de verwerker tot stand gekomen is.132_{De betrokkene kan de geleden schade vergoed}

krijgen, mits aan alle vereisten van de wanprestatie voldaan is.133_{Allereerst dient er sprake te}

zijn van een tekortkoming in de nakoming.134_{De tekortkoming houdt een achterblijven van}

wat de verbintenis vergt in.135_{Wanneer de persoonsgegevens worden verwerkt voor andere}

doeleinden dan waarvoor de betrokkene toestemming heeft gegeven, is er sprake van een tekortkoming.136_{De tekortkoming ligt in het feit dat de persoonsgegevens worden gebruikt}

voor andere doeleinden dan waarvoor toestemming gegeven is, waardoor er een schending van de verbintenis is. Dit geldt te meer omdat het begrip ‘tekortkoming’ een ruime en neutrale betekenis toekomt.137_{Als gevolg van de ruime en neutrale betekenis van de}

tekortkoming, kan de situatie van persoonsgegevensverwerking zonder de daarvoor gegeven toestemming als tekortkoming worden aangemerkt.138_{De tekortkoming kan worden}

toegerekend aan de verwerkingsverantwoordelijke of de verwerker op het moment dat er geen overmachtsgrond wordt aangevoerd.139_{Dit zal weinig problemen opleveren. Echter, de}

verzuimregels kunnen mogelijk een barrière vormen.140_{Voor een beroep op wanprestatie is}

tevens vereist dat de nakoming blijvend onmogelijk is of dat de verzuimregels, bij mogelijkheid tot nakoming, in acht worden genomen.141_{De vraag of nakoming blijvend}

onmogelijk is, is in het geval van oneigenlijk verwerking afhankelijk van of de 130 Overweging 2 AVG.

131 Spier e.a. 2015, p. 25.

132 Tjong Tjin Tai, WPNR 2016/7110, p. 463. 133 Artikel 6:74 BW.

134 De Jong, Krans & Wissink 2014, p. 147.

135 Katan, in: GS Verbintenissenrecht art. 81 boek 6, aant. 6 (online, laatst bijgewerkt op 1 april 2018). 136 Van Gulijk & Op Heij, WPNR 2016/7110, p. 457.

137 Olthof, in: T&C Burgerlijk Wetboek art. 74 BW 6, aant. 2 (online, laatst bijgewerkt op 30 november 2017). 138 Van Gulijk & Op Heij, WPNR 2016/7110, p. 457.

139 De Jong, Krans & Wissink 2014, p. 149.

140 Van Gulijk & Op Heij, WPNR 2016/7110, p. 457. 141 Artikel 6:74 lid 2 BW jo artikel 6:81 BW.

(34)

persoonsgegevens al dan niet zijn verstrekt aan derden. Op het moment dat de

persoonsgegevens al verstrekt zijn, is nakoming blijvend onmogelijk.142_{De persoonsgegevens}

kunnen bijvoorbeeld al aan derden doorverkocht zijn. Wanneer de gegevens nog niet doorverkocht of verstrekt zijn aan derden is nakoming nog mogelijk, bijvoorbeeld door het wissen van de persoonsgegevens. In dit laatste geval dienen de verzuimregels van artikel 6:81 e.v. BW in acht te worden genomen.143

5.2.1 Juridische schade

Voor zowel een geslaagd beroep op de schadevergoedingsvordering van artikel 6:162 BW, als een geslaagd beroep op artikel 6:74 BW is vereist dat er (immateriële of materiële) schade moet zijn geleden.144_{Tevens is het vereist dat er een causaal verband tussen de verwerking}

zonder toestemming en de geleden schade bestaat. Beide vereisten vormen een obstakel voor de schadevergoedingsvordering. De gevolgen van oneigenlijke verwerking zijn hypothetisch en ongrijpbaar, terwijl veelal concrete en objectiveerbare schade vereist is voor ‘schade’ in de zin van het aansprakelijkheidsrecht.145_{Daarnaast zal oneigenlijke verwerking van}

persoonsgegevens bij personen tot verschillende reacties leiden. Daar waar het voor de ene persoon tot irritatie of ergernis kan leiden, zal het de andere persoon niet interesseren.146_Met

andere woorden, de gevoelens die het tot het gevolg kan hebben zijn subjectief.147_{Er zal geen}

compensatie voor irritatie of ergernis toegekend worden, omdat de lat voor de toekenning hoog ligt.148_{Een beroep op art. 6:106 lid 1 sub b BW enkel omdat er irritatie of ergernis is}

veroorzaakt, zal voor een geslaagd beroep onvoldoende zijn. Echter, uit de een rechtspraak volgt dat bij oneigenlijk gebruik van persoonsgegevens bijkomende factoren wel reden kunnen geven voor immateriële schadevergoeding. De additionele omstandigheden die tot een geslaagd beroep op immateriële schadevergoeding leidden, waren dat de betrokkene zeer onverwacht een brief ontving en daardoor geschrokken en erg emotioneel was. Ook waren de persoonsgegevens voor de betrokkene gevoelig en had de betrokkene de oneigenlijke

verwerking nooit verwacht.149_{De omvang van de individuele schade zal overigens gering}

zijn, zo werd er in de uitspraak van 3 mei 2017 een vergoeding van € 100,- toegekend. De

142 Van Gulijk & Op Heij, WPNR 2016/7110, p. 457.

143 Katan, in: GS Verbintenissenrecht art. 81 boek 6, aant. 6 (online, laatst bijgewerkt op 1 april 2018). 144 Tjong Tjin Tai, WPNR 2016/7110, p. 463.

145 Zie hierover uitgebreid: Walree, WPNR 2017/7172, p. 925-927; Walree, Tijdschrift voor Internetrecht 2018/4, p. 135-139.

146 Walree, WPNR 2017/7172, p. 925.

147 Thierer, Harvard Journal of Law & Public Policy 2014, p. 419-420. 148 Engelhart, Giesen & Van Schaick, NTBR 2018/1, p. 1.