Het belang en de bewustwording op het gebied van privacy nemen een vlucht. De Algemene Verordening Gegevensbescherming (AVG) geeft de kaders waaraan verwerkers en verwerkersverantwoordelijken moeten voldoen om de vertrouwelijkheid te kunnen waarborgen. Dit is de omzetting van de Europese General Data Protection Regulation (GDPR) naar het Nederlandse recht. Omdat aanbesteders vaak persoonlijke gegevens (laten) verwerken van bijvoorbeeld burgers of cliënten, wordt bij menig IT-aanbesteding ook een verwerkersovereenkomst gesloten met een leverancier. Dat het belangrijk is om risico’s te mitigeren en verantwoordelijkheden goed vast te leggen als het gaat over verwerking van persoonlijke gegevens blijkt wel uit een recent arrest van het Europese Hof. Ook een minimale inbreuk met beperkte schade kan leiden tot het betalen van een relatief flinke schadevergoeding door de verwerkersverantwoordelijke en/of verwerker.
Gekoppelde data
Een Oostenrijks vennootschap handelde in adressen met organisaties die doelgericht reclame wilden verzenden. Door het combineren van data wist dit vennootschap ook informatie over politieke gezindheid te koppelen aan die adressen (welke niet gedeeld was met derden). Eén van deze geadresseerden had geen toestemming gegeven voor de verwerking van zijn gegevens en stelde immateriële schade te hebben opgelopen omdat een ‘veronderstelde’ politieke opvatting aan hem werd toegeschreven.
Drempel voor vergoedbare immateriële schade?
In eerste aanleg, en vervolgens in hoger beroep, werd de vordering tot het staken van verwerking van de persoonsgegevens van deze geadresseerde toegewezen, echter de vordering tot schadevergoeding van 1.000 Euro werd afgewezen. De rechter in hoger beroep voegde hieraan toe dat nationale wetgeving inzake wettelijke aansprakelijkheid de bepalingen van de AVG aanvullen, voor zover de AVG geen bijzondere bepalingen bevat. Dat betekende volgens de rechter dat een inbreuk op de regels inzake de bescherming van persoonsgegevens naar Oostenrijks recht niet per definitie leidt tot immateriële schade en er alleen recht is op schadevergoeding wanneer er sprake is van een zekere ‘drempel van ernst’ van de schade.
Breed schadebegrip
Als de zaak daarna bij de hoogste federale rechter voorligt, wordt het Europese Hof geraadpleegd over de uitleg van het begrip ‘schade’ conform de AVG. Volgens het Europese Hof moet dit begrip in alle lidstaten van de EU hetzelfde worden uitgelegd en het is daarom niet aan de lidstaten om daar een eigen ‘nationale’ interpretatie aan te geven. De AVG stelt zelfs dat het begrip ‘schade’ ruim moet worden opgevat om recht te kunnen doen aan de doelstellingen van de verordening (art. 146 AVG). Het stellen van de voorwaarde dat immateriële schade slechts vergoed kan worden als er sprake is van een zekere mate van ernst, sluit niet aan bij de doelstelling om natuurlijke personen binnen de EU een consistent en hoog niveau van bescherming te geven tegen verwerking van persoonsgegevens volgens het Hof.
Alleen vergoeding bij daadwerkelijke schade
Conform de AVG is echter een enkele inbreuk onvoldoende om recht te hebben op vergoeding, maar moet er ook sprake zijn van ‘geleden schade’, aldus het Hof (art. 82 AVG). Het is aan de persoon die wordt getroffen door de inbreuk om te bewijzen dat de negatieve gevolgen van de inbreuk op de AVG hem immateriële schade hebben opgeleverd. Wat dan de hoogte moet zijn van een dergelijke schadevergoeding, omschrijft de AVG niet. Daarvoor mag elke lidstaat beroep doen op zijn eigen regelgeving, voor zover het gelijkwaardigheidsbeginsel en het beginsel van doeltreffendheid van de Europese Unie in acht worden genomen. Daarbij past een ‘volledige en daadwerkelijke vergoeding’ van de geleden schade, zonder bestraffend element.
Duidelijkheid omtrent te verwerken gegevens
Dit arrest maakt duidelijk hoe belangrijk het is dat je als aanbesteder, als je de verwerking van persoonsgegevens op enigerlei wijze uitbesteed, weet welke gegevens voor welke doeleinden worden gebruikt. De afspraken die gemaakt worden in een verwerkersovereenkomst leggen de basis voor de aansprakelijkheid jegens natuurlijke personen wiens gegevens verwerkt worden. Een heldere afbakening van te verwerken gegevens is dus gewezen, alsook een duidelijke aansprakelijkheids/boetebepaling voor wie er in welk geval aansprakelijk is. Zo worden ellenlange procedures voorkomen en kunnen ook ‘kleine’ schades relatief snel afgehandeld worden.
Daarnaast is het verstandig om goed na te denken over hoe dit proces al ‘aan de voorkant’ wordt inricht. Natuurlijke personen moeten akkoord gaan met welke gegevens voor welke doeleinden worden verwerkt en ook de verwerkingsverantwoordelijke moet op de hoogte zijn waarvoor toestemming is gegeven. Zonder deze afstemming is het risico dat zelfs een kleine inbreuk leidt tot aantoonbare emotionele/immateriële schade en vervolgens tot schadevergoeding aanzienlijk.