Weg vrij voor collectieve schadeclaims wegens schending AVG

04/09/20

Naast boetes toezichthouders nu ook civiele schadeclaims

Onlangs heeft een rechter een immateriële schadevergoeding van 500 euro toegekend wegens schending van de privacy van een persoon. Daarmee werd de eerste schadevergoeding op basis van een claim wegens het niet voldoen aan de Algemene Verordening Gegevensbescherming (AVG) een feit in Nederland. In combinatie met de inwerkingtreding van de Wet afwikkeling massaschade in collectieve actie (WAMCA) per 1 januari 2020 maakt dit de weg vrij voor het indienen van collectieve schadeclaims voor organisaties die op grote schaal persoonsgegevens verwerken. PwC’s dataprotectiespecialisten Bram van Tiel en Yvette van Gemerden belichten in dit artikel de mogelijke gevolgen en risico’s van deze ontwikkeling.

Wet afwikkeling massaschade in collectieve actie

De belangrijkste wijziging die de WAMCA met zich meebrengt is de mogelijkheid om namens meerdere mensen in Nederland een schadeclaim in te dienen. ‘Voorheen moesten gedupeerden nog individuele procedures starten om überhaupt aanspraak te kunnen maken op een schadevergoeding’, vertelt Bram van Tiel. ‘Dat is nu verleden tijd. Zowel de vernieuwde WAMCA als de AVG bepalen dat een burger zich mag laten vertegenwoordigen door een belanghebbende stichting of vereniging; nu dus ook voor het vorderen van een schadevergoeding namens het individu. Voor individuen wordt het dus makkelijker om gezamenlijk in één procedure hun schade te claimen bij de (civiele) rechter.’

Vaststelling schadevergoeding

Lange tijd was het onduidelijk hoe de hoogte van de schadevergoeding in dergelijke gevallen berekend moest worden. Want hoe kwantificeert u de schade die u hebt opgelopen als gevolg van iets abstracts en persoonlijks als de schending van uw privacy? ‘Recentelijk heeft de afdeling bestuursrechtspraak van de Raad van State gezegd dat bij de berekening van de hoogte van de schadevergoeding gekeken moet worden naar de aard, de duur en de ernst van de privacyinbreuk’, meldt Yvette van Gemerden. ‘In deze zaak ging het om medische gegevens van een patiënt van een psychiatrische kliniek die onrechtmatig gedeeld werden met derde partijen. De rechter stelde in dit specifieke geval vast dat een schadevergoeding van 500 euro redelijk was voor het schenden van de privacy van de patiënt, omdat er slechts sprake was van een beperkte inbreuk op de privacy, wegens de beperkte aard, ernst en duur van die inbreuk. Een schadevergoeding bij zwaardere inbreuken kan dus hoger uitvallen. De tijd zal het leren.’

Eerste multinationals gedagvaard

De schadevergoeding van 500 euro lijkt misschien niet opzienbarend, maar deze ontwikkeling kan samen met de WAMCA leiden tot significante schadeclaims voor organisaties die op grote schaal persoonsgegevens verwerken. De som van de totale schadeclaim kan als volgt worden berekend: aantal gedupeerde personen vermenigvuldigd met 500 euro of meer. Deze collectieve schadeclaims vormen naast de boetes van toezichthouders - de Autoriteit Persoonsgegevens gaf al een boete van 750.000 euro voor het onrechtmatig verwerken van vingerafdrukken en een boete van 830.000 euro voor het in rekening brengen van kosten wanneer personen inzage vroegen in hun eigen gegevens – een niet te onderschatten risico. Inmiddels is de eerste serieuze zaak hiervoor in de maak: twee grote multinationals zijn recent gedagvaard voor de Nederlandse rechtbank.

'Een intern privacy control framework, ondersteund met technologie, kan uw organisatie zicht en grip geven op de huidige mate van volwassenheid van uw privacyprogramma.'

Bram van TielPwC

Risicoreductie boetes en massaclaims

‘Een van de belangrijkste manieren om het risico op privacygerelateerde boetes en civiele massaclaims te minimaliseren, is te zorgen dat uw AVG-programma up-to-date is en uw organisatie zorgvuldig omgaat met persoonsgegevens’, stelt Van Tiel. ‘Ook als uit data protection impact assessments blijkt dat persoonsgegevens op grote schaal worden verwerkt, verdient dit dus extra aandacht.

Hierbij is het belangrijk te beseffen dat het voldoen aan de privacynormen meer is dan een eenmalige papieren exercitie. Privacy en gegevensbescherming vergen continue aandacht, zowel in de boardroom als bij de business en binnen de IT-omgeving. Een intern privacy control framework, ondersteund met technologie, kan uw organisatie zicht en grip geven op de huidige mate van volwassenheid van uw privacyprogramma. Op basis van het framework en actuele data kunt u uw inspanningen op tijd bijsturen en u richten op de grootste privacyrisico's voor betrokken personen en uw organisatie.

Tot slot is het van belang om het maatschappelijk draagvlak niet uit het oog te verliezen. ‘Dat wat juridisch en technisch mogelijk is met persoonsgegevens resoneert niet altijd met de opvattingen en verwachtingen van de samenleving’, besluit Van Gemerden. ‘Wij adviseren dan ook om zorgvuldig na te gaan welke ethische en maatschappelijke belangen een rol spelen bij uw (voorgenomen) verwerkingen van persoonsgegevens.’

Contact

Bram van Tiel

Bram van Tiel

Partner Cybersecurity & Dataprivacy, PwC Netherlands

Tel: +31 (0)62 243 29 62

Yvette van Gemerden

Yvette van Gemerden

Partner, PwC Netherlands

Tel: +31 (0)65 200 59 24

Volg ons