Een analyse van de Nederlandse rechtspraak: welke factoren spelen een rol bij het (al dan niet) toekennen en vaststellen van de omvang van een schadevergoeding op grond van de AVG?

In de literatuur zijn al meerdere artikelen gewijd aan het recht op schadevergoeding onder de AVG,¹ onder meer over het onderbouwen van de schade met concrete gegevens² en het mogelijke punitieve karakter van de schadevergoeding onder de AVG.³ In deze bijdrage zal de Nederlandse rechtspraak van de afgelopen vier jaar worden geanalyseerd om te bezien welke factoren een rol kunnen spelen bij het (al dan niet) toekennen en vaststellen van de omvang van een schadevergoeding op grond van de AVG.

Eerst zal het juridisch kader uiteen worden gezet ten aanzien van het vorderen van een schadevergoeding onder de AVG (paragraaf 1), waarna uitspraken zullen worden behandeld waarin de afgelopen vier jaar een schadevergoeding op grond van de AVG werd toegekend (paragraaf 2) en vervolgens zullen enkele uitspraken worden geanalyseerd waarin de vordering tot een schadevergoeding werd afgewezen (paragraaf 3). Dit artikel zal worden afgesloten met een praktische analyse (paragraaf 4) en een conclusie (paragraaf 5).

1. Juridisch kader

Wat stelt de AVG ten aanzien van de schadevergoeding?

Met de komst van de AVG werd de Nederlandse Wet bescherming persoonsgegevens (Wbp) ingetrokken. Voorheen kende artikel 49 Wbp al een mogelijkheid tot het vorderen van een schadevergoeding wegens het in strijd handelen met de Wbp. Deze mogelijkheid is nu neergelegd in artikel 82 lid 1 AVG. Dit artikel bepaalt: ‘eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.’ Het dient dus kort gezegd te gaan om materiële of immateriële schade als gevolg van een inbreuk op de AVG.

Van een inbreuk op de AVG is bijvoorbeeld sprake bij een niet-geoorloofde, en daarmee onrechtmatige, verwerking van persoonsgegevens. In artikel 6 lid 1 AVG is bepaald dat een verwerking van persoonsgegevens alleen rechtmatig is indien aan ten minste één van de aldaar genoemde verwerkingsgrondslagen is voldaan, zoals toestemming of een gerechtvaardigd belang. Is daar niet aan voldaan, dan is sprake van een onrechtmatig handelen van de verwerkingsverantwoordelijke.⁴ Een voorbeeld hiervan is een financiële dienstverlener die zonder grondslag en dus onterecht persoonsgegevens van iemand registreert. Ook kan sprake zijn van een inbreuk op de AVG wanneer wordt gehandeld in strijd met de in artikel 5 AVG neergelegde beginselen of indien niet (tijdig) wordt voldaan aan enige andere verplichting die voortvloeit uit de AVG. Voorbeelden hiervan zijn de financiële dienstverlener die onnodig lang persoonsgegevens bewaart of onvoldoende passende technische en organisatorische maatregelen treft om de persoonsgegevens te beveiligen. Andere voorbeelden van inbreuken op de AVG komen aan bod bij de casussen in paragraaf 2. Onder een verwerking die inbreuk maakt op de AVG valt ook een verwerking die inbreuk maakt op de Nederlandse Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).⁵

Indien dan sprake blijkt te zijn van een inbreuk op de AVG, is het de vraag welke ‘schade’ is geleden. Uit de AVG (en de Nederlandse rechtspraak)⁶ volgt dat het schadebegrip eenduidig uitgelegd dient te worden binnen de EER, om zo een doeltreffende naleving van de AVG te kunnen waarborgen en een gelijkwaardig niveau van bescherming te kunnen bieden.⁷ Uit de overwegingen van de AVG volgt ook dat het begrip ‘schade’ ruim moet worden uitgelegd in het licht van de Europese rechtspraak. Betrokkenen dienen een volledige en daadwerkelijke vergoeding van door hen geleden schade te verkrijgen.⁸ Bij schade onder de AVG kan worden gedacht aan: het verlies van controle over persoonsgegevens, discriminatie, reputatieschade of identiteitsfraude, waardoor mogelijk angstgevoelens, verdriet of leed kan ontstaan.⁹

Deze voorbeelden geven overigens nog niet aan dat deze vormen van schade ook direct kwalificeren als vergoedbare schade.¹⁰ Dat een inbreuk op persoonsgegevens kan resulteren in schade, betekent volgens vaste rechtspraak van het Hof namelijk nog niet dat een normschending per definitie tot schade leidt.¹¹ De te vergoeden schade moet reëel en zeker zijn.¹² Het doel van een schadevergoeding onder de AVG lijkt bovendien alleen het bieden van herstel of compensatie te zijn voor een onrechtmatige verwerking.¹³ Het schadevergoedingsrecht onder de AVG lijkt op dit moment geen punitief karakter te hebben.¹⁴ Bij een inbreuk op de AVG bestaat dan ook niet de verplichting om een schadevergoeding toe te kennen die verder gaat dan volledige vergoeding van de daadwerkelijk geleden schade.¹⁵

Hoewel dus kort gezegd uit de AVG voortvloeit dat een volledige vergoeding van de daadwerkelijke schade moet plaatsvinden en wel op een wijze die recht doet aan de doelstellingen van de AVG, is in de AVG niet bepaald op welke wijze de schade van de betrokkene moet worden vastgesteld en berekend.¹⁶

Ook het Hof van Justitie van de Europese Unie (Hof) heeft (nog) geen concrete uitleg gegeven aan het schadebegrip of over wat nu als vergoedbare schade dient te worden gekwalificeerd bij een onrechtmatige verwerking van persoonsgegevens. Wel zijn er op 21 mei 2021 door het Duitse Oberste Gerichtshof drie prejudiciële vragen gesteld aan het Hof in het kader van de schadevergoeding onder de AVG, namelijk:

1. ‘Vereist de toekenning van een schadevergoeding overeenkomstig artikel 82 AVG naast een inbreuk op de bepalingen van de AVG ook dat de eisende partij schade heeft geleden, of volstaat reeds de inbreuk op bepalingen van de AVG als zodanig voor de toekenning van een schadevergoeding?
2. Bestaan er voor de berekening van de schadevergoeding naast de beginselen van doeltreffendheid en gelijkwaardigheid andere Unirechtelijke bepalingen?
3. Is de opvatting dat de toekenning van immateriële schade veronderstelt dat er sprake is van een effect of gevolg van de schending dat op zijn minst van enig belang is en verder gaat dan de door de inbreuk ontstane ergernis, verenigbaar met het Unierecht?’¹⁷

Deze prejudiciële vragen zijn op het moment van schrijven nog niet beantwoord door het Hof en zullen ook niet verder worden behandeld in dit artikel. De reden waarom nu juist deze vragen zijn gesteld aan het Hof, zal echter wel duidelijk worden in dit artikel. Er bestaat namelijk vandaag de dag nog veel onduidelijkheid over de toekenning en berekening van een schadevergoeding op grond van de AVG.

Bij gebrek aan Europees geharmoniseerde regelgeving is het volgens rechtspraak van het Hof op dit moment aan iedere lidstaat om regels vast te stellen voor de uitoefening van het recht op schadevergoeding, mits het gelijkwaardigheidsbeginsel en het doeltreffendheidsbeginsel uit de AVG in acht worden genomen.¹⁸

Met dit in het achterhoofd wordt in de Nederlandse rechtspraak in de meeste gevallen aangesloten bij het nationale recht bij de beantwoording van de vraag of gestelde schade op grond van de AVG voor vergoeding in aanmerking komt.¹⁹ Daarmee wordt aldus voor de uitoefening van het recht op schadevergoeding en de schadeberekening gekeken naar het nationale schadevergoedingsrecht, maar wordt wel aangehaakt bij een ruim Europees begrip van ‘schade’ en een AVG-conforme uitleg.²⁰

Uit de literatuur en enkele Nederlandse uitspraken volgt echter dat de schadevergoeding onder de AVG ook kan worden beoordeeld door rechtstreeks artikel 82 AVG toe te passen.²¹ Zoals hiervoor toegelicht zijn namelijk ook in de AVG zelf uitgangspunten geformuleerd voor de beoordeling van de schending, de schade en het causaal verband daartussen. Kort gezegd heeft een betrokkene op grond van artikel 82 AVG recht op een naar billijkheid vast te stellen schadevergoeding.

Van belang is in ieder geval dat bij zowel een AVG-conforme uitleg van het nationale recht, als bij het rechtstreeks toepassen van artikel 82 AVG, dient te worden gekeken naar de doelstellingen en overwegingen van de AVG. Nu in de meeste geanalyseerde rechtspraak lijkt te worden aangesloten bij een AVG-conforme uitleg van het nationale recht, zal hierna het Nederlandse schadevergoedingsrecht kort worden toegelicht.

Wat stelt het Nederlandse civiele recht ten aanzien van de schadevergoeding?

Artikel 6:95 van het Nederlandse Burgerlijk Wetboek (BW) bepaalt dat schade die op grond van een wettelijke verplichting moet worden vergoed, kan bestaan uit vermogensschade (artikel 6:96 BW) en ander nadeel. Dit laatste voor zover de wet recht geeft op vergoeding hiervan (artikel 6:106 BW). Met het eerste wordt gedoeld op materiële schade en met dat laatste op immateriële schade. Dit brengt voor het Nederlandse civiele schadevergoedingsrecht met zich mee dat artikel 82 AVG in samenhang met artikel 6:96 en artikel 6:106 BW recht kan geven op een naar billijkheid vast te stellen schadevergoeding, mits ook wordt voldaan aan de vereisten als omschreven in artikel 6:96 of artikel 6:106 BW. Uitgangspunt is daarbij dat de eisende partij dient te stellen en zo nodig dient te bewijzen dat hij schade lijdt of heeft geleden.

Vermogensschade ex artikel 6:96 BW (materiële schade)

Vermogensschade ziet – zoals de term al doet vermoeden – op schade aan het vermogen van de betrokkene. Hieronder valt zowel geleden verlies als gederfde winst. Ook de redelijke kosten die zijn gemaakt ter voorkoming of beperking van schade als gevolg van de schadeveroorzakende gebeurtenis, kunnen voor een vergoeding in aanmerking komen.²² Om deze kosten ter voorkoming of beperking van schade vergoed te krijgen, geldt een ‘dubbele redelijkheidstoets’. Dit houdt in dat zowel het nemen van de maatregelen ter voorkoming of beperking van de schade op zichzelf, als de daaraan verbonden kosten redelijk moeten zijn en verwacht mochten worden. In het licht van alle omstandigheden kan daarbij rekening worden gehouden met factoren als: was er voldoende dreiging dat een dergelijke gebeurtenis zich zou verwezenlijken, en was er een redelijke verhouding tussen de omvang van de kosten van de maatregelen en de hoogte van de te verwachten (vermogens)schade?²³ Om voor een vergoeding van de kosten ter voorkoming of beperking van de schade in aanmerking te komen moet er namelijk ten minste een serieuze kans op schade bestaan als gevolg van de betreffende gebeurtenis(sen).²⁴

Ter illustratie: Gedupeerde vordert een materiële schadevergoeding voor de kosten van de maatregelen die hij naar eigen zeggen heeft getroffen na het voorvallen van verschillende datalekken. Het gaat om maatregelen voor de beveiliging van zijn huis, bestaande uit het aanbrengen van beveiligingscamera’s, alarmsystemen en rolluiken. De rechtbank acht echter in de gegeven omstandigheden niet aannemelijk dat er een serieuze kans aanwezig was dat de datalekken als zodanig tot persoonlijk gevaar voor gedupeerde, althans voor diens goederen, zouden kunnen leiden. Tegen die achtergrond valt niet in te zien dat gedupeerde genoodzaakt was zijn woning te beveiligen en daarmee is geen sprake van redelijke maatregelen ter voorkoming of beperking van schade als gevolg van de datalekken. De gevorderde vergoeding van materiële schade wordt dan ook afgewezen.²⁵

Ander nadeel ex artikel 6:106 sub b BW (immateriële schade)

Uit artikel 6:95 BW volgt dat ander nadeel dan vermogensschade slechts voor vergoeding in aanmerking komt voor zover de wet dat bepaalt. Op grond van artikel 6:106 sub b BW heeft een betrokkene recht op een naar billijkheid vast te stellen schadevergoeding wanneer de betrokkene lichamelijk letsel heeft opgelopen, in zijn eer of goede naam is geschaad of ‘op andere wijze in zijn persoon’ is aangetast.

Van een ‘aantasting in de persoon’ is in ieder geval sprake wanneer de betrokkene als gevolg van de schadeveroorzakende gebeurtenis geestelijk letsel heeft opgelopen. Voor een geslaagd beroep hierop zullen voldoende concrete gegevens moeten worden aangevoerd waaruit volgt dat door de schadeveroorzakende gebeurtenis psychische schade is ontstaan. Daartoe is vereist dat op objectieve gronden kan worden vastgesteld dat de persoon in kwestie psychisch letsel heeft opgelopen als gevolg van het onrechtmatig handelen. Hierbij hoeft het niet (langer) te gaan om een in de psychiatrie erkend ziektebeeld en ook niet om geestelijk letsel dat slechts door een psychiater of psycholoog kan worden vastgesteld.²⁶

Maar ook als het bestaan van geestelijk letsel niet kan worden aangenomen, is niet uitgesloten dat de aard van de normschending en de gevolgen daarvan voor de betrokkene alsnog met zich meebrengen dat sprake is van een aantasting van de persoon ‘op andere wijze’. Dit kwam in 2019 duidelijk naar voren in het EBI-arrest van de Hoge Raad.²⁷ In dit arrest heeft de Hoge Raad voor de boordeling van de aantasting van de persoon ‘op andere wijze’ als algemene criteria genoemd: ‘de aard en de ernst van de normschending en van de gevolgen daarvan’.²⁸ Hoewel dit arrest niets te maken had met de AVG, kleurt het arrest het ‘vangnet’ in zoals neergelegd in artikel 6:106 sub b BW.

Een inbreuk op de AVG zou kunnen leiden tot een aantasting van de persoonlijke levenssfeer of de integriteit, en daarmee tot een aantasting van de persoon ‘op andere wijze’. In het EBI-arrest is echter bepaald dat alleen het gegeven dat sprake is van een inbreuk op een fundamenteel recht hiervoor niet voldoende is.²⁹ Voor een geslaagd beroep op het vangnet is van belang dat degene die zich hierop beroept, de aantasting ‘op andere wijze’ ook met concrete gegevens kan onderbouwen.³⁰ Dat hoeft alleen niet wanneer de nadelige gevolgen va de normschending voor de betrokkene zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen. Deze uitzonderingsregel moet echter over het algemeen terughoudend worden toegepast.³¹

In het EBI-arrest werd ook bepaald dat los van de vraag of sprake is van een inbreuk op een fundamenteel recht, de stress- en angstgevoelens die het gevolg zijn van een ernstige schending ook voldoende kunnen zijn voor een aanspraak op een immateriële schadevergoeding.³² Dit echter alleen als voldoende onderbouwd kan worden dat deze gevolgen nauw verbonden zijn met de aard en ernst van de normschending.³³

Kort gezegd benadrukt het EBI-arrest als uitgangspunt dat degene die zich beroept op de aantasting in zijn persoon, dit ook met concrete gegevens moet onderbouwen. De uitzonderingsregel is dat in voorkomend geval de aard en de ernst van de normschending kunnen meebrengen dat de nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen, dat een persoonsaantasting kan worden aangenomen. In dat geval hoeven slechts concrete gegevens aangetoond te worden over de aard en de ernst van de normschending.³⁴

Ter illustratie: Gedupeerde heeft naar het oordeel van de rechtbank niet, althans onvoldoende, gesteld dat hij als gevolg van het onrechtmatig handelen op objectieve gronden vastgesteld psychisch letsel heeft opgelopen. De rechtbank is wél van oordeel dat gedupeerde anderszins in zijn persoon is aangetast. De persoonlijke levenssfeer van gedupeerde is geschonden vanwege het in strijd met de AVG meermalen publiceren van het BSN-nummer, het e-mailadres en telefoonnummer op de openbare website, zonder toestemming van gedupeerde. De nadelige gevolgen van de datalekken, zoals identiteitsfraude, liggen voor de hand.³⁵

Wie kan aansprakelijk worden gehouden bij een inbreuk op de AVG?

Nu de schadeposten zijn toegelicht volgt de vraag wie aansprakelijk kan worden gehouden bij een inbreuk op de AVG. Kort gezegd bepaalt de AVG dat iedere verwerkingsverantwoordelijke die bij de verwerking betrokken is, aansprakelijk kan worden gehouden voor de schade die wordt veroorzaakt door een inbreukmakende verwerking. Een verwerker daarentegen is slechts aansprakelijk voor de schade die door een verwerking is veroorzaakt, wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen uit de AVG, dan wel wanneer de verwerker in strijd heeft gehandeld met de rechtmatige instructies van de verwerkingsverantwoordelijke.³⁶

Wanneer meerdere (gezamenlijk) verwerkingsverantwoordelijken of verwerkers betrokken zijn bij eenzelfde verwerking, kunnen zij ieder voor de volledige schade aansprakelijk worden gehouden. Dit om te garanderen dat de schade van de betrokkene daadwerkelijk wordt vergoed. De verwerkingsverantwoordelijke of verwerker die de volledige vergoeding heeft betaald, kan vervolgens bij de anderen die bij dezelfde verwerking betrokken waren het deel van de schadevergoeding verhalen dat overeenkomt met hun deel van de aansprakelijkheid van de schade.³⁷ Een verwerkingsverantwoordelijke of verwerker kan alleen van zijn aansprakelijkheid worden bevrijd indien hij bewijst dat hij niet verantwoordelijk is voor de schade.³⁸

Waar kan een vordering tot schadevergoeding worden ingediend?

De AVG bepaalt niet welke rechter in een lidstaat bevoegd is om over het recht op schadevergoeding te oordelen. Doorgaans zal in Nederland voor het vorderen van een schadevergoeding wegens een inbreuk op de AVG de civielrechtelijke weg (bij de kantonrechter) openstaan, maar in enkele gevallen staat ook de weg langs de bestuursrechter open. Op grond van artikel 8:88 van de Algemene wet bestuursrecht (Awb) is de bestuursrechter namelijk bevoegd een verzoek tot schadevergoeding te beoordelen als dit verzoek het gevolg is van een handelen door een bestuursorgaan in strijd met de AVG.

Daarmee geldt dat degene die op grond van artikel 82 AVG stelt aanspraak te maken op een schadevergoeding als gevolg van het onrechtmatig verwerken van persoonsgegevens door een bestuursorgaan, de keuzevrijheid heeft om het verzoek aan de bestuursrechter voor te leggen dan wel dit te realiseren via de civielrechtelijke weg.³⁹ Dit wordt in het belang geacht van de concentratie van rechtsbescherming en in het belang van een effectieve en doeltreffende rechtsbescherming.⁴⁰

Interessant is nog in dit verband te noemen dat in 2020 de Wet afwikkeling massaschade in collectieve actie (WAMCA) in werking is getreden. Op basis van deze wet is het mogelijk voor benadeelden om via een belangenorganisatie collectief schade te verhalen. Van deze collectieve schadevergoedingsacties kan ook gebruik worden gemaakt bij schendingen van de AVG.⁴¹ Op moment van schrijven is er nog niet inhoudelijk geoordeeld over een massaschadeclaim wegens een inbreuk op de AVG. In 2021 oordeelde de rechtbank Amsterdam dat een belangenorganisatie niet-ontvankelijk was in een bij haar opgestarte collectieve schadevergoedingsactie tegen Oracle en Salesforce.⁴²  Inhoudelijk werd de schadeclaim verder niet behandeld. Zeer recent op 9 november 2022 heeft de rechtbank Amsterdam in een andere zaak aangekondigd bevoegd te zijn om te oordelen over de massaschadeclaim die werd ingediend tegen TikTok. Wanneer de belangenorganisaties in deze zaak wel ontvankelijk worden verklaard, zal op de voet gevolgd worden wat deze zaak kan betekenen voor het toekennen van een – collectieve – schadevergoeding onder de AVG.

2. In welke rechtspraak werd een schadevergoeding op grond van de AVG toegekend?

Hiervoor zijn de Europese en nationale kaders uiteengezet, maar onduidelijk is nog welke factoren een rol (kunnen) spelen bij het al dan niet toekennen en vaststellen van een schadevergoeding op grond van de AVG. Om deze factoren te kunnen duiden worden hieronder enkele uitspraken besproken waarin – na de komst van de AVG – door de rechter een schadevergoeding werd toegekend.⁴³ Vervolgens zullen ook enkele uitspraken worden geanalyseerd waarin (in hoger beroep toch) geen schadevergoeding op grond van de AVG werd toegekend. De verschillende omstandigheden en factoren zullen uiteindelijk worden afgewogen in een hiernavolgende analyse, gevolgd door een conclusie.

Rechtbank Amsterdam 2 september 2019⁴⁴

In 2019 werd door de rechtbank Amsterdam een schadevergoeding van € 250 toegekend omdat UWV ten onrechte medische informatie deelde met een nieuwe werkgever. De rechtbank oordeelde dat, nu het ging om een gevoelige mededeling over langdurige ziekte aan een nieuwe werkgever, UWV nader onderzoek had moeten verrichten – bijvoorbeeld door navraag te doen bij de betreffende werkneemster – alvorens informatie te delen met de nieuwe werkgever.

In plaats daarvan heeft UWV de beslissing om een mededeling met dergelijke inhoud te verzenden geheel overgelaten aan een geautomatiseerd systeem, zonder een inhoudelijke toets of verzending van de mededeling wel opportuun en rechtmatig is. Door een dergelijke controle achterwege te laten heeft UWV gehandeld in strijd met de in artikel 32 lid 2 AVG gegeven verplichting om redelijke maatregelen te treffen ter voorkoming van een mededeling van persoonsgegevens die bijvoorbeeld onjuist is of niet mocht worden verzonden. Daarmee is sprake van een zogenoemd ‘datalek’.

UWV heeft dan ook volgens de rechtbank onrechtmatig en in strijd met de AVG gehandeld. Bij het uitvoeren van zijn wettelijke taak heeft UWV bovendien een zelfstandige verplichting om zorgvuldig om te gaan met persoonsgegevens. Het feit dat UWV zijn systemen kennelijk zo heeft ingericht dat er geen controle wordt uitgeoefend, vormt een extra reden om de onrechtmatige gedraging aan UWV toe te rekenen.

De rechtbank meent dat in de onderhavige zaak de onrechtmatige mededeling de volgende gevolgen heeft gehad: (1) tegen de wil van werkneemster hebben derden kennis gekregen van haar ziekte, (2) omdat de betreffende mededeling is gedaan in een periode waarin de nieuwe werkgever moest beslissen over het al dan niet verlengen van de arbeidsovereenkomst van werkneemster, is het risico dat die overeenkomst niet zou worden verlengd vergroot, en (3) deze omstandigheden hebben bij werkneemster angst en stress veroorzaakt waarvan de ernst negatief is beïnvloed door het feit dat zij niet lang daarvoor een burn-out heeft gehad.

De rechtbank oordeelt dat de onder punt 1 bedoelde schade blijvend en onherstelbaar is. De gedraging kan namelijk niet ongedaan worden gemaakt. Het onder punt 2 bedoelde risico op economische en maatschappelijke schade heeft zich uiteindelijk niet gerealiseerd, maar aangenomen mag worden dat dit risico heeft bijgedragen aan de onder punt 3 bedoelde angst en stress over een periode van ongeveer zes weken.

Als gevolg van die schending van de AVG heeft werkneemster volgens de rechtbank dan ook reële en niet verwaarloosbare nadelen geleden. De belangen – zoals controle over eigen persoonsgegevens – waarin zij is getroffen zijn juist die belangen die de AVG beoogt te beschermen. Een AVG-conforme uitleg van artikel 6:106 lid 1 BW brengt mee dat werkneemster recht heeft op een naar billijkheid vast te stellen vergoeding van haar schade.

De rechtbank acht een schadevergoeding van € 250 passend en billijk nu enerzijds het verlies van controle over haar persoonsgegeven betreffende de langdurige ziekte blijvend is, maar anderzijds is dit gegeven uitsluitend gedeeld met (medewerkers van) de nieuwe werkgever en het heeft uiteindelijk geen gevolg gehad voor haar economische of maatschappelijke positie, terwijl de als gevolg van de inbreuk opgetreden angst en stress ook in tijd beperkt is geweest (zes weken).

Rechtbank Noord-Nederland 15 januari 2020⁴⁵

Begin 2020 werd door de rechtbank Noord-Nederland ook een schadevergoeding van € 250 toegekend aan een journalist. Uit een overgelegd Facebookbericht bleek namelijk dat een uittreksel uit de Basisregistratie Personen (BRP) van de journalist – waarop zijn adresgegevens te zien zijn – onrechtmatig door een vennootschap aan een derde was verstrekt, terwijl die vennootschap dit uittreksel alleen in haar bezit had in het kader van een juridische procedure.

De rechtbank stelt dat verlies van controle van persoonsgegevens, in het bijzonder doordat de persoonsgegevens zonder toestemming van de journalist bekend zijn geworden bij derden, kan leiden tot ernstige nadelige gevolgen voor die journalist. De vennootschap heeft een zelfstandige verplichting om zorgvuldig om te gaan met persoonsgegevens als de onderhavige, juist wanneer deze gegevens enkel met als doel het starten van een procedure zijn verkregen. Onder die verplichting dient volgens de rechtbank ook te worden verstaan dat de vennootschap haar administratie en werkprocessen zo inricht dat het voor haar (medewerkers) niet mogelijk is om vrijelijk over de persoonsgegevens van (in dit geval) de journalist te beschikken en aan derden te verstrekken.

Door aldus te handelen heeft de vennootschap volgens de rechtbank onrechtmatig en in strijd met de AVG gehandeld jegens de journalist. Het verlies van controle van de journalist over zijn persoonsgegevens is daarmee enerzijds blijvend. Anderzijds beperkt het verlies van controle zich (vooralsnog) tot een medewerker van de vennootschap en één derde.

De journalist stelt weliswaar dat hij negatieve gevolgen heeft gehad als gevolg van het handelen van de vennootschap, maar de rechtbank oordeelt dat niet duidelijk is waar die negatieve gevolgen uit hebben bestaan. Het had op de weg van de journalist gelegen dat inzichtelijk te maken. Nu de journalist dat niet heeft gedaan, het schadebegrip ruim uitgelegd moet worden en de rechtbank het aannemelijk acht dat de journalist als gevolg van het handelen van de vennootschap negatieve effecten heeft ervaren – zoals angst en stress – wordt een schadevergoeding van € 250 passend en billijk geacht.

Rechtbank Gelderland 19 december 2018⁴⁶ en Raad van State 1 april 2020⁴⁷

Op 1 april 2020 is door de hoogste Nederlandse bestuursrechter, de Afdeling Bestuursrechtspraak van de Raad van State (Afdeling), een schadevergoeding van € 500 toegekend. In deze zaak had de directeur van het Pieter Baan Centrum in een tegen hem gerichte klachtprocedure zonder toestemming en buiten medeweten van een gedetineerde stukken met gezondheidsgegevens over de gedetineerde verstrekt aan het Regionaal Tuchtcollege voor de Gezondheidszorg. In deze stukken waren strikt vertrouwelijke persoonsgegevens van de gedetineerde opgenomen.

De gedetineerde in kwestie had bezwaar gemaakt tegen het overleggen van de stukken en verzocht om schadevergoeding bij de minister voor Rechtsbescherming. Dit bezwaar werd afgewezen en daarna is gedetineerde een procedure gestart. In eerste aanleg heeft de rechtbank Gelderland vastgesteld dat de verstrekking van de persoonsgegevens onrechtmatig was. Daarmee had de gedetineerde volgens de rechtbank recht op een naar billijkheid vast te stellen schadevergoeding. Voor de hoogte van de schadevergoeding acht de rechtbank het van belang dat de persoonsgegevens slechts bij een kleine groep professionals terecht zijn gekomen, te weten bij medewerkers en leden van het tuchtcollege, en dat zij uit hoofde van hun functie een geheimhoudingsplicht hebben. Dit neemt volgens de rechtbank echter niet weg dat sprake is van een schending en dat dit begrijpelijkerwijs voor gedetineerde als ‘naar en nadelig’ is ervaren. De rechtbank acht daarom een schadevergoeding van € 300 billijk.

De gedetineerde meent echter aanspraak te maken op een hogere schadevergoeding en gaat in hoger beroep. De Afdeling is met de rechtbank van oordeel dat de gedetineerde recht heeft op toekenning van een vergoeding van zijn immateriële schade. Gelet op de omstandigheden van dit geval, waaronder de aard, duur en ernst van de inbreuk, heeft de Afdeling deze schade naar billijkheid vastgesteld op € 500. De Afdeling neemt daartoe de bijzondere gevoeligheid van de persoonsgegevens in aanmerking, die in dit geval zonder de toestemming van de gedetineerde zijn verwerkt. Voor de verwerking van bijzondere categorieën persoonsgegevens – zoals de gezondheidsgegevens – is in de AVG een hoger beschermingsniveau neergelegd dan voor ‘gewone’ persoonsgegevens. De nadelige gevolgen van de verstrekking liggen dan ook voor de hand.

Wat betreft de ernst van de inbreuk overweegt de Afdeling wel dat de persoonsgegevens slechts bij een kleine groep professionals terecht zijn gekomen en dat deze groep inderdaad gehouden is aan een geheimhoudingsplicht. Wat betreft de duur van de inbreuk is van belang dat het Pieter Baan Centrum na het overleggen van de persoonsgegevens direct actie heeft ondernomen om een (verdere) gegevensverwerking ongedaan te maken. Er is een brief verzonden aan het Tuchtcollege met daarbij het verzoek om de toegezonden stukken buiten beschouwing te laten. De gegevensverstrekking op zich kon echter niet ongedaan worden gemaakt.

Rechtbank Noord-Nederland 12 januari 2021⁴⁸

Ook in januari 2021 werd door de rechtbank Noord-Nederland een schadevergoeding van € 500 toegekend. In deze zaak stond de vraag centraal of gedupeerde naar aanleiding van een aantal datalekken op een openbare gemeentelijke website, waarbij zijn BSN, e-mailadres en telefoonnummer waren gepubliceerd, tegenover de gemeente aanspraak kon maken op betaling van een vergoeding voor de door hem gestelde materiële en immateriële schade.

De rechtbank concludeerde allereerst dat de gemeente met het ontstaan van de datalekken de AVG heeft geschonden en daarmee schadeplichtig is. Hoe ernstig deze datalekken ook waren, de rechtbank achtte in de gegeven omstandigheden niet aannemelijk dat er een serieuze kans bestond dat de datalekken als zodanig tot persoonlijk gevaar voor gedupeerde, althans voor diens goederen, zouden kunnen leiden. Tegen die achtergrond valt volgens de rechtbank niet in te zien dat de gedupeerde genoodzaakt was zijn woning te beveiligen en daarmee is geen sprake van redelijke maatregelen ter voorkoming of beperking van schade als gevolg van de datalekken. De gevorderde vergoeding van materiële schade wordt dan ook afgewezen.

Daarnaast geldt dat gedupeerde, die gekozen had voor een openbare aanvraag van een omgevingsvergunning, daarmee sowieso al zijn eigen naam en woonadres (vrijwillig) aan de openbaarheid prijsgaf ten behoeve van de publicatie van de aanvraag door de gemeente. Daarmee wist gedupeerde – althans had hij redelijkerwijs kunnen weten – dat zijn woonadres kon worden achterhaald.

De rechtbank is echter wél van oordeel dat gedupeerde anderszins in zijn persoon is aangetast. De persoonlijke levenssfeer van gedupeerde is bij herhaling door de gemeente geschonden vanwege het in strijd met de AVG meermalen publiceren van het BSN, het e-mailadres en telefoonnummer op de openbare website, zonder toestemming van gedupeerde. Het gaat hierbij om naar hun aard gevoelige gegevens, zeker waar het betreft het BSN. De nadelige gevolgen van het lekken daarvan, zoals identiteitsfraude, liggen voor de hand. Dat gedupeerde door deze datalekken onaangenaam is getroffen en heeft gevreesd voor het (verhoogd) risico dat anderen met deze persoonsgegevens aan de haal zouden gaan waarbij hem nadeel zou kunnen worden berokkend, acht de rechtbank dan ook begrijpelijk. Het is echter niet gebleken dat zich enige concrete dreiging van zodanig nadeel heeft voorgedaan. De gemeente heeft de datalekken, na melding hiervan, ook snel ‘gedicht’ door de betreffende persoonsgegevens van de website te verwijderen.

Gelet op de omstandigheden van het onderhavige geval, waaronder de aard, duur, frequentie en ernst van de inbreuk, afgezet tegen de omstandigheid dat niet is gebleken dat de datalekken tot concrete negatieve gevolgen hebben geleid, heeft de rechtbank deze schadevergoeding naar billijkheid vastgesteld op een bedrag van € 500.

Rechtbank Overijssel 31 mei 2021⁴⁹

In mei 2021 heeft de rechtbank Overijssel een schadevergoeding toegekend van € 125 aan moeder en € 125 aan haar zoon wegens een schending van de AVG. Moeder had bij de gemeente op grond van artikel 17 AVG een verzoek ingediend tot vernietiging van het jeugdhulpdossier. De gemeente had dit verzoek afgewezen nu volgens de gemeente zich een uitzonderingsgrond als omschreven in artikel 17 lid 3 AVG voordeed.

De rechtbank was echter van oordeel dat de gemeente onvoldoende had onderbouwd waarom er op dat moment nog een verwerkingsplicht aanwezig zou zijn. Nu de verwerking niet langer een doel leek te treffen, was er ook geen wettelijke verwerkingsplicht meer en daarmee heeft moeder recht dat haar persoonsgegevens worden gewist.

Naar het oordeel van de rechtbank zijn moeder en zoon als gevolg van het bestreden besluit, dat een onrechtmatig karakter heeft, in persoon aangetast door verlies van controle over de persoonsgegevens. De rechtbank volgt moeder niet in het gevorderde bedrag aan immateriële schade wegens het ontbreken van concrete gegevens. De rechtbank acht – met een summiere tot geen onderbouwing – een schadevergoeding van € 125 voor moeder en eenzelfde bedrag voor haar zoon redelijk.

Rechtbank Rotterdam 12 juli 2021⁵⁰

Op 12 juli 2021 heeft de rechtbank Rotterdam een schadevergoeding toegekend van maar liefst € 2.500. Verzoekster in kwestie had sinds 2014 tweemaal bij de gemeente Rotterdam verzocht gezondheidsgegevens uit haar dossier te verwijderen. Dit verzoek werd ook tweemaal afgewezen. In 2018 heeft de gemeente uiteindelijk toch aan het verzoek gehoor gegeven en heeft de gemeente aan verzoekster medegedeeld dat de gezondheidsgegevens uit haar dossier zijn verwijderd.

Dat sprake is van een onrechtmatige gegevensverwerking, lijkt niet te zijn betwist door de gemeente. De gemeente heeft door het bewaren en verwerken van de gezondheidsgegevens van verzoekster in strijd gehandeld met de AVG. Hierdoor heeft de gemeente het recht op eerbiediging van de persoonlijke levenssfeer van verzoekster geschonden. Dit kan volgens de rechtbank worden aangemerkt als een aantasting in de persoon, die aanspraak geeft op een vergoeding van de immateriële schade.

Ten aanzien van de hoogte van de vast te stellen schadevergoeding neemt de rechtbank in overweging dat de persoonsgegevens van verzoekster gedurende een periode van ongeveer tien jaar door de gemeente zijn bewaard, ondanks de verschillende verzoeken van verzoekster tot vernietiging van de gegevens. De rechtbank acht voldoende aannemelijk dat in die tien jaar de gegevens van verzoekster zijn verwerkt en dat meerdere personen of instanties van de inhoud ook kennis hebben kunnen nemen, zonder dat zij daartoe gerechtigd waren.

De rechtbank verwijst nog naar de hiervoor besproken uitspraak van de Afdeling waarin een schadevergoeding werd toegekend van € 500 voor een kortdurende verwerking van gezondheidsgegevens. Gelet op die uitspraak en gezien de lengte van de periode dat de gegevens van verzoekster onrechtmatig zijn bewaard en verwerkt, begroot de rechtbank de schade van verzoekster in kwestie op € 2.500.

Het verzoek om materiële schadevergoeding wordt afgewezen. De rechtbank acht het niet aannemelijk dat de carrière van verzoekster door het onrechtmatig bewaren en verwerken van de gegevens is beschadigd en dat zij daardoor inkomensverlies heeft geleden.

Rechtbank Rotterdam 25 februari 2022⁵¹

In februari dit jaar heeft de rechtbank Rotterdam op grond van de AVG een schadevergoeding toegekend van € 250 omdat een bouwbedrijf onrechtmatig een Excelbestand had toegestuurd naar 1100 betrokkenen met zeer gevoelige persoonsgegevens, waaronder voor- en achternaam, adresgegevens, e-mailadres, maximaal te lenen bedrag, jaarinkomen en eigen vermogen. Een van de gedupeerden vorderde naar aanleiding daarvan een vergoeding van haar immateriële schade.

De rechtbank oordeelt dat de gevolgen van de onrechtmatige verwerking wel degelijk schade kunnen opleveren. Dat deze schade op zichzelf niet direct gesubstantieerd kan worden, vormt geen belemmering. De gedupeerde is namelijk de controle kwijtgeraakt over haar persoonsgegevens doordat het bouwbedrijf de gegevens heeft doorgestuurd naar een aanzienlijke groep mensen. Bovendien is niet te achterhalen waar de gegevens nu circuleren. Daarmee is vast komen te staan dat schade is geleden.

Voor wat betreft de omvang van de schade stelt de rechtbank enerzijds dat het gaat om een grote hoeveelheid persoonsgegevens, die ook gevoelige financiële gegevens bevatten. De omvang en de combinatie van de persoonsgegevens brengen risico’s met zich mee voor de gedupeerde. Daarmee is de aard en ernst van de onrechtmatige verwerking van invloed op de toewijsbare vergoeding. Anderzijds houdt de rechtbank ook rekening met het feit dat de persoonsgegevens slechts aan een in omvang beperkte groep van ongeveer 1100 personen zijn verstrekt.

Bovendien erkent de rechtbank dat het hier gaat om een menselijke fout, dat het bouwbedrijf direct schadebeperkend heeft gehandeld door alle ingeschrevenen te mailen en dat zij de inbreuk heeft gemeld bij de AP. Ook is volgens de rechtbank van belang dat het niet gaat om bijzondere persoonsgegevens, zoals gezondheidsgegevens. Gezien het voorgaande wijst de kantonrechter een schadevergoeding van € 250 toe.

Rechtbank Zeeland-West-Brabant 21 september 2022⁵²

Zeer recent nog is door de rechtbank Zeeland-West-Brabant in een spraakmakende zaak tegen het Bravis ziekenhuis aan een betrokkene een immateriële schadevergoeding toegekend van € 2.000.

Eiseres werd als patiënt behandeld in het Bravis ziekenhuis. Een medewerker van het Bravis ziekenhuis – zijnde de nieuwe geliefde van de ex-partner van eiseres – heeft veelvuldig onrechtmatig het patiëntendossier van eiseres ingezien en medische informatie hieruit gedeeld en gepubliceerd in een boek. De rechtbank oordeelt dat het ziekenhuis aansprakelijk is op grond van een onrechtmatige daad nu zij ten aanzien van de controle van de logging geen passende beveiligingsmaatregelen heeft getroffen in de zin van artikel 32 van de AVG.

De rechtbank oordeelt dat in deze zaak fundamentele rechten zijn geschonden en dat sprake is van een situatie waarin de nadelige gevolgen voor eiseres zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen. Het gaat namelijk om gezondheidsgegevens uit een patiëntendossier van een ziekenhuis. Deze gegevens zijn over een langdurige periode van vier jaar veelvuldig onrechtmatig ingezien en zijn gedurende die periode ook onvoldoende beschermd. Daarnaast zijn er ook gezondheidsgegevens gedeeld met derden en gepubliceerd in een boek. Volgens de rechtbank ligt dan ook voor de hand dat eiseres hier nadelige gevolgen van ondervindt, bijvoorbeeld in de vorm van angstklachten en het verlies van controle en de vertrouwelijkheid van haar persoonsgegevens.

Daar komt bij dat het ziekenhuis ook artikel 32 AVG heeft geschonden. De rechtbank stelt dat een AVG-conforme uitleg van artikel 6:106 lid 1 BW ook meebrengt dat eiseres recht heeft op een naar billijkheid vast te stellen vergoeding van haar immateriële schade. De rechtbank acht gelet op het voorgaande een vergoeding van € 2.000 passend en billijk. De materiële schade in de zin van verhuiskosten en kosten voor de beveiliging van het huis worden door de rechtbank afgewezen.

3. Wanneer werd geen schadevergoeding op grond van de AVG toegekend?

In de periode na inwerkingtreding van de AVG tot het moment van schrijven zijn er aanzienlijk meer uitspraken geweest waarin een schadevergoeding op grond van de AVG werd afgewezen. Uit de uitspraken waarin een verzoek tot schadevergoeding werd afgewezen blijkt dat het regelmatig gaat om de verwerking van persoonsgegevens in het kader van Wob-verzoeken en de verwerking op een forum van de Vereniging Nederlandse Gemeenten (VNG). De rechtmatigheid van deze gegevensverwerkingen staat echter in beginsel vast, zo is gebleken in de rechtspraak.⁵³

In mei 2019 werd bijvoorbeeld door de rechtbank Overijssel voor het eerst een schadevergoeding van € 500 toegekend op grond van de AVG.⁵⁴ De gedupeerde had een inzageverzoek ingediend bij de gemeente, waaraan de gemeente gehoor had gegeven. In bezwaar voerde de gedupeerde echter aan dat de gemeente niet volledig tegemoet was gekomen aan het inzageverzoek. Daartoe stelde de gedupeerde dat de gemeente een e-mail (met daarin zijn persoonsgegevens) had verstuurd aan andere gemeenten naar aanleiding van door hem ingediende Wob-verzoeken.

De rechtbank had eerder vastgesteld dat gedupeerde geen toestemming had verleend voor de doorzending van zijn persoonsgegevens aan de andere gemeenten. Naar het oordeel van de rechtbank was gedupeerde in zijn persoon aangetast wegens verlies van controle over zijn persoonsgegevens. Wat betreft de hoogte van de vergoeding nam de rechtbank in acht dat door de gemeente geen rechtvaardiging was gegeven voor de verwerking van de persoonsgegevens van gedupeerde. De rechtbank had daarmee een immateriële schadevergoeding van € 500 billijk geacht.

Tegen deze uitspraak heeft de gemeente vervolgens hoger beroep ingesteld. Op 1 april 2020 oordeelde de Afdeling in hoger beroep dat de schadevergoeding toch niet kon worden toegekend nu nadelige gevolgen van de normschending niet voor de hand lagen. Het noemen van een naam in het kader van Wob-verzoeken, is volgens de Afdeling geen ernstig verwijtbaar gedrag met zo ernstige gevolgen, dat dit als een inbreuk op een fundamenteel recht moet worden gekwalificeerd.

Bovendien heeft gedupeerde niet voldoende concreet gemaakt dat de inbreuk heeft geleid tot de aantasting van de integriteit van zijn persoon en welke gevolgen dit met zich meebracht. De enkele stelling dat het noemen van zijn naam stigmatiserend werkt, is onvoldoende. Bovendien zijn de gegevens gedeeld met ambtenaren van gemeenten die uit hoofde van hun functie betrokken zijn bij de behandeling van Wob-verzoeken; er zijn geen aanwijzingen dat de gegevens zijn misbruikt. Daarmee werd de eerdere uitspraak van de rechtbank, waarin de gemeente werd veroordeeld tot het betalen van schadevergoeding, door de Afdeling vernietigd.⁵⁵

Andere redenen voor het afwijzen van een schadevergoeding op grond van de AVG zijn blijkens de rechtspraak (los van niet-ontvankelijkheid⁵⁶ en niet-bevoegdheid van de rechter)⁵⁷, al dan niet in samenhang, gelegen in:

• Geen inbreuk op de AVG.⁵⁸ Zo is de verwerking van persoonsgegevens bijvoorbeeld niet onrechtmatig omdat wel een verwerkingsgrondslag aanwezig was.⁵⁹
• Nadelige gevolgen liggen niet voor de hand of zijn niet (voldoende) aannemelijk gemaakt, daarmee is geen sprake van ernstig verwijtbaar gedrag met zo ernstige gevolgen dat dit als een inbreuk op een fundamenteel recht moet worden gekwalificeerd. Kortom: het causale verband ontbreekt.⁶⁰
• De schade is onvoldoende (concreet) uiteengezet.⁶¹
• Geen (proces)belang meer bij een vergoeding van de schade.⁶²

4. Analyse van de rechtspraak

Uit het voorgaande blijkt dat er na de komst van de AVG in 2018 tot het moment van schrijven ongeveer acht gepubliceerde uitspraken zijn geweest waarin een schadevergoeding op grond van de AVG werd toegekend (en in stand zijn gebleven in eventueel hoger beroep).⁶³ Daarentegen zijn er veel meer uitspraken waarin de schadevergoeding op grond van de AVG werd afgewezen.

Opvallend is verder dat er nog niet veel hogere rechtspraak is gewezen over dit onderwerp. In die zin is het de vraag in hoeverre de uit deze uitspraken af te leiden factoren leidend zijn, maar andere handvatten zijn er op dit moment (nog) niet. Bij het analyseren van de rechtspraak is voor dit artikel enkel gefocust op de feiten en factoren die een rol hebben gespeeld bij het al dan niet toekennen van schadevergoeding en de hoogte daarvan. Hieruit kunnen de volgende stappen en factoren worden afgeleid:

1. Is de gedraging onrechtmatig en toe te rekenen?

Indien vaststaat dat de AVG is geschonden, dan lijkt daarmee ook direct aangenomen te worden dat de inbreukmakende partij onrechtmatig heeft gehandeld. Een inbreuk op de AVG zal bovendien vaak ook in strijd zijn met de maatschappelijke zorgvuldigheid. De gedraging zal op grond van schuld of de in het verkeer geldende opvattingen aan de inbreukmakende partij kunnen worden toegerekend. Daarmee is de inbreukmakende partij in beginsel schadeplichtig.⁶⁴

In de rechtspraak wordt bovendien expliciet nog eens benadrukt dat op bepaalde organisaties een zelfstandige verplichting rust om zorgvuldig om te gaan met persoonsgegevens. Dit brengt ook een juiste inrichting van administratie en (IT-)systemen met zich mee voor deze organisaties, waarbij bijvoorbeeld controle (op de logging) moet worden uitgeoefend en geen willekeurige medewerkers bij alle persoonsgegevens moeten kunnen. Is er geen sprake van een juiste inrichting van de ICT en beveiliging, dan vormt dit een extra reden om de onrechtmatige gedraging toe te rekenen.⁶⁵ Ook bij de mate van verwijtbaarheid is dit relevant.⁶⁶

2. Wat zijn de gevolgen en daarmee de schade?

• Is sprake van materiële schade?

Uit de rechtspraak volgt dat van materiële schade wegens een inbreuk op de AVG niet snel sprake is.⁶⁷ Doorgaans is het niet aannemelijk dat er een kans aanwezig is dat de inbreuk op de AVG als zodanig tot materiële schade zou kunnen leiden.⁶⁸ Ook het treffen van maatregelen ter voorkoming of beperking van schade lijkt de dubbele redelijkheidstoets (nog) niet te doorstaan bij een inbreuk op de AVG.

• Is sprake van immateriële schade?

Zowel een AVG-conforme uitleg van het nationale recht, als een rechtstreekse toetsing aan artikel 82 AVG brengt met zich mee dat moet worden gekeken naar een naar billijkheid vast te stellen vergoeding van de immateriële schade.

In het Nederlandse aansprakelijkheidsrecht wordt daarbij aangesloten bij het EBI-arrest. Hoewel het EBI-arrest niets van doen had met de AVG, wordt dit arrest in de Nederlandse rechtspraak ook bij inbreuken op de AVG gebruikt als beoordelingskader.⁶⁹ Zo dient te worden getoetst of sprake is van een aantasting van de persoon wegens (a) aantoonbaar psychisch letsel of (b) ‘op andere wijze’ door de aard en de ernst van de normschending en de gevolgen daarvan.

a. Psychisch letsel?

Uit de rechtspraak volgt dat ook deze vorm van schade (nog) niet is aangenomen naar aanleiding van een inbreuk op de AVG. Op objectieve gronden moet namelijk kunnen worden vastgesteld dat als gevolg van de inbreuk op de AVG psychisch letsel is ontstaan. Het ervaren van tijdelijke stress- of angstgevoelens is hiervoor onvoldoende.⁷⁰

b. Anderszins aantasting?

Van een aantasting in persoon ‘op andere wijze’ kan daarentegen volgens de rechtspraak wel sprake zijn bij een inbreuk op de AVG. In de zaken waarin een schadevergoeding op grond van de AVG werd toegekend werd regelmatig geoordeeld dat sprake was van een verlies van controle en vertrouwelijkheid over persoonsgegevens. De AVG zelf stelt niet wat ‘controle over persoonsgegevens’ omvat. In de rechtspraak is geoordeeld dat het verlies van controle over persoonsgegevens kan leiden tot ernstige nadelen⁷¹ en dat het feit dat de persoonlijke levenssfeer is geschonden, ertoe kan leiden dat iemand anderszins in zijn persoon is aangetast.⁷²

Desalniettemin is in de Nederlandse rechtspraak ook overwogen dat een inbreuk op de AVG niet zonder meer een aantasting van de integriteit van een persoon impliceert en daarmee tot vergoedbare immateriële schade leidt. Volgens hogere Nederlandse rechtspraak moet de betrokkene de aantasting van zijn persoon aannemelijk kunnen maken en de gestelde schade met concrete gegevens onderbouwen, tenzij sprake is van de uitzonderingsregel uit het EBI-arrest.⁷³ Zoals eerder aangegeven, volgt ook uit de Europese rechtspraak dat de te vergoeden schade reëel en zeker moet zijn.⁷⁴

Uit de lagere Nederlandse rechtspraak – waarbij (ook) direct wordt getoetst aan artikel 82 AVG – volgt echter dat het enkele feit dat schade niet gepreciseerd kan worden en mogelijk gering van omvang is, geen grond is om elke aanspraak daarop af te wijzen.⁷⁵ Bovendien lijkt uit de lagere rechtspraak – waarbij wordt getoetst aan het nationale recht – te volgen dat de uitzonderingsregel uit het EBI-arrest gemakkelijker wordt toegepast bij inbreuken op de AVG, waarbij ofwel wordt aangenomen dat de enkele schending van een fundamenteel recht toch voldoende is voor de toekenning van een schadevergoeding,⁷⁶ dan wel wordt aangenomen dat bij een bepaalde inbreuk op de AVG de nadelige gevolgen voor de hand liggen.⁷⁷

Het vereist kort gezegd steeds een casusafhankelijke beoordeling, welke sinds het EBI-arrest niet altijd in de Nederlandse rechtspraak wordt uitgevoerd.⁷⁸ Indien echter aan de hand van het voorgaande komt vast te staan dat sprake is van een immateriële schade, is het de vraag of de schade kan worden toegewezen en in welke omvang. Dit brengt ons bij de derde stap.

3. Wat is de toewijsbaarheid en omvang van de schade?

Uit de rechtspraak volgt dat bij zowel de directe toets aan artikel 82 AVG, als met de AVG-conforme uitleg van het nationale recht de toewijsbaarheid en omvang van de schade moet worden beoordeeld aan de hand van de aard, duur en ernst van de inbreuk.⁷⁹ Later werd daar ook nog de frequentie van de inbreuk aan toegevoegd.⁸⁰ Daarbij lijken voor de toewijsbaarheid van een schadevergoeding de volgende factoren van belang:

• Is de schade blijvend en onherstelbaar? Dan lijkt dit reden te zijn voor toekenning van een schadevergoeding.
• Is sprake van bijzondere gevoeligheid van persoonsgegevens, zoals gezondheidsgegevens of het BSN? Dan lijken nadelige gevolgen van de inbreuk voor de hand te liggen omdat het ‘simpelweg’ gezondheidsgegevens zijn of omdat sprake zou kunnen zijn van identiteitsfraude.⁸¹ Dit zou dan ook eveneens een reden zijn voor toekenning van een schadevergoeding. Overigens is de gevoeligheid van de gegevens niet direct van invloed op de hoogte van de schadevergoeding. Enerzijds werd namelijk geoordeeld dat vanwege (onder meer) de bijzondere gevoeligheid van gezondheidsgegevens een bedrag van € 2.500 redelijk was.⁸² Anderzijds werd geoordeeld dat bij het delen van gegevens over een burn-out en bij het delen van zeer gevoelige financiële gegevens een bedrag van € 250 redelijk was.⁸³
• Is sprake van een grote hoeveelheid persoonsgegevens en is ook de combinatie van de gegevens ‘gevaarlijk’? Dan is dit mogelijk reden voor toekenning van een schadevergoeding.⁸⁴
• Is sprake van een aanzienlijke groep ontvangers? Dan lijkt ook dit reden voor toekenning van een schadevergoeding, met name wanneer niet te achterhalen is waar de persoonsgegevens circuleren en daarmee de controle verloren is.⁸⁵ Ook wanneer door de onrechtmatige voortdurende verwerking meerdere personen of instanties onrechtmatig kennis hebben kunnen nemen van de gegevensverwerking, dan speelt dit een rol bij de toekenning en hoogte van de vergoeding.⁸⁶

Indien vaststaat dat er voldoende redenen zijn voor toewijzing van een schadevergoeding, dan lijken de volgende factoren een rol te spelen bij de (matiging van de) omvang van de schadevergoeding:

• Is de groep van ontvangers in omvang beperkt, makkelijk in kaart te brengen of bijvoorbeeld gehouden aan geheimhouding? Dan kan dit de hoogte van de schadevergoeding matigen.⁸⁷
• Zijn de gevolgen in tijd beperkt, bijvoorbeeld doordat direct actie is ondernomen? Dan kan dit mogelijk ook de hoogte van de schadevergoeding matigen.⁸⁸ Wanneer de inbreuk zich daarentegen langere tijd heeft voorgedaan (bijvoorbeeld vier tot tien jaar), dan lijkt dit juist van invloed te zijn op het toekennen van een hogere schadevergoeding. Zo werd vanwege (onder meer) de langere duur van de inbreuk een bedrag van € 2.500 toegekend en in een andere kwestie een bedrag van € 2.000.⁸⁹
• Heeft de inbreuk geen concrete gevolgen voor (de economische of maatschappelijke positie van) de betrokkene? Dan kan dit van invloed zijn op de hoogte van de schadevergoeding. Dit lijkt daarentegen geen rol te spelen bij de toewijsbaarheid van de schadevergoeding. Dat gevolgen en daarmee de schade op zichzelf namelijk niet direct gesubstantieerd kunnen worden, hoeft niet altijd een belemmering te vormen.⁹⁰ Van belang is in beginsel dat de schade – mede in het kader van het EBI-arrest – inzichtelijk wordt gemaakt, maar de Nederlandse rechter sluit aan bij het ruime Europese schadebegrip. Dit kan met zich meebrengen dat ook wanneer de schade niet kan worden geconcretiseerd, maar wel aannemelijk kan worden gemaakt dat de inbreuk heeft bijgedragen aan negatieve effecten (zoals angst en stress), de schade kan worden aangenomen.⁹¹ Met deze redenering werd door de Nederlandse rechter eerst in een kwestie een schadevergoeding van € 250 redelijk geacht.⁹² Vervolgens werd in een andere kwestie waarbij de negatieve gevolgen niet concreet duidelijk waren, een bedrag van € 500 redelijk geacht.⁹³ Waarna weer in een andere zaak een bedrag van € 250 (tweemaal € 125) werd toegekend wegens het ontbreken van concrete gegevens.⁹⁴
• Zijn er nog andere factoren relevant? Recent heeft de rechtbank ook nog meegenomen dat bij een datalek sprake was van een menselijke fout en dat deze lek was gemeld bij de AP.⁹⁵ Of dit echter ook daadwerkelijk van invloed was op de hoogte van de schadevergoeding, is niet duidelijk.

5. Conclusie

Op grond van voorgaande analyse kan worden geconcludeerd dat vooralsnog geen eenduidige lijn valt te herkennen in de (lagere) rechtspraak over de vraag wanneer een schadevergoeding op grond van de AVG wordt toegekend en wat de omvang daarvan dient te zijn. Momenteel wordt bij het beoordelen van een schadevergoeding op grond van de AVG in de meeste rechtspraak aangesloten bij het nationale civiele schadevergoedingsrecht, terwijl een ruim Europees schadebegrip wordt gehanteerd. In sommige rechtspraak wordt (alleen) rechtstreeks getoetst aan artikel 82 AVG en de daarbij behorende doelstellingen en overwegingen. Het toepassen van deze twee verschillende toetsingskaders is niet in het belang van de rechtszekerheid. Het is te hopen dat de antwoorden op de prejudiciële vragen die zijn gesteld bij het Hof, duidelijkheid zullen verschaffen in dit verband.

Daar waar nu, bijvoorbeeld, enerzijds volgt uit de Europese rechtspraak dat de te vergoeden schade reëel en zeker moet zijn, wordt anderzijds in de Nederlandse rechtspraak geoordeeld dat het enkele feit dat schade (nog) niet gepreciseerd kan worden en mogelijk gering van omvang is, geen grond is om elke aanspraak daarop af te wijzen.⁹⁶ Het feit dat door de inbreuk op de AVG geen concrete gevolgen zijn ontstaan voor de betrokkene, lijkt in de lagere rechtspraak wel van invloed te zijn op de toekenning van een lagere schadevergoeding. In de praktijk komt het echter toch nog steeds vaker voor dat een schadevergoeding geheel wordt afgewezen omdat het gevolg – bijvoorbeeld het verlies van controle over de persoonsgegevens – niet kan worden aangetoond.

Wanneer de schade wordt vastgesteld aan de hand van het Nederlandse civiele schadevergoedingsrecht wordt in de regel aangesloten bij het EBI-arrest. Ook dit arrest lijkt echter niet altijd juist te worden toegepast en lijkt bovendien met een AVG-conforme uitleg te leiden tot een ruimere toekenning van een immateriële schadevergoeding dan oorspronkelijk was bedoeld in het EBI-arrest.⁹⁷

Ondanks het feit dat nog geen eenduidige lijn te herkennen is, worden er in de Nederlandse rechtspraak wel enkele aanknopingspunten geboden waarmee de toewijsbaarheid en omvang van de schade kan worden beoordeeld. Dit geldt bij zowel de rechtstreekse toepassing van artikel 82 AVG, als bij de AVG-conforme uitleg van het nationale recht. Op basis van de rechtspraak lijkt namelijk (nog) geen aanspraak te bestaan op een schadevergoeding enkel en alleen vanwege een (ernstige) inbreuk van de AVG. De toewijsbaarheid en omvang van de schade dient steeds te worden beoordeeld aan de hand van de aard, duur, ernst en frequentie van de inbreuk. Daarbij speelt bij de toewijsbaarheid een rol dat – doorgaans in combinatie – sprake is van blijvende en onherstelbare schade, bijzondere gevoelige persoonsgegevens, grote hoeveelheden persoonsgegevens of een grote hoeveelheden ontvangers. Indien vaststaat dat de schade toewijsbaar is, speelt bij de (matiging van de) omvang van de schade juist weer een rol dat de groep van ontvangers in omvang is beperkt, de inbreuk beperkt is in duur en dat de inbreuk op de AVG dus geen concrete gevolgen heeft gehad voor de betrokkenen. Wanneer de inbreuk zich daarentegen langere tijd heeft voorgedaan, dan lijkt dit juist weer van invloed te zijn op het toekennen van een hogere schadevergoeding.

Hoe een rechter uiteindelijk tot een bedrag van € 250 of € 2000 komt, is echter niet geheel duidelijk. Daar waar het gaat om een gegevensverstrekking van zeer gevoelige financiële gegevens aan een grote groep personen wordt bijvoorbeeld een lager bedrag toegekend dan bij de gegevensverstrekking van gezondheidsgegevens aan personen die gehouden zijn aan geheimhouding. Toch kan aan de hand van de analyse in dit artikel worden beoordeeld of een vordering tot een schadevergoeding op grond van de AVG een kans van slagen heeft. Dit is van belang voor zowel de betrokkene die de gestelde schade met gegevens wenst te onderbouwen, alsmede voor de inbreukmakende partij die zich dient te verdedigingen tegen een beroep op een schadevergoeding. Ook kan dit interessant zijn gezien de recente ontwikkelingen die zich in Nederland voordoen op het gebied van collectieve schadeclaims op grond van de WAMCA. Of het toekennen van schadevergoedingen onder de AVG daarmee met een vogelvlucht toeneemt, zal op de voet worden gevolgd.

Noten

¹ Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene verordening gegevensbescherming).

Artikel 99 AVG en 288 VWEU; een verordening is – anders dan een richtlijn die door de Europese lidstaten moet worden geïmplementeerd in het nationale recht – rechtstreeks van toepassing. Dit brengt met zich mee dat burgers zich rechtstreeks kunnen beroepen op de rechten die voortvloeien uit de verordening.

² Zie: mr. T.F. Walree, ‘De onrechtmatige verwerking van persoonsgegevens: geen concrete gevolgen, wel schadevergoeding?’, RM Themis 2020, afl. 4; mr. M.C. Samsom, ‘Normering van schadevergoeding in gegevensbeschermingszaken’, AB&S 2022/3.

³ Zie: D.A. van der Kooij & J. van Kralingen, ‘Schadevergoeding op grond van de AVG: ter compensatie en/of handhaving’, NTBR 2022/9, p. 4 en conclusie.

⁴ Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106, r.o. 4.8.

⁵ Overweging 146 AVG.

⁶ Mr. T.F. Walree, ‘De onrechtmatige verwerking van persoonsgegevens: geen concrete gevolgen, wel schadevergoeding?’, RM Themis 2020, afl. 4; Rb. Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420, r.o. 4.2.

⁷ Overweging 10 en 11 AVG.

⁸ Overweging 146 AVG.

⁹ Overweging 85 AVG; E.F.D. Engelhard, ‘immateriële schade als gevolg van data-inbreuken: het ondergeschoven kindje van de AVG’, NTBR 2019/30, p. 1-2.

¹⁰ Mr. T.F. Walree, ‘De onrechtmatige verwerking van persoonsgegevens: geen concrete gevolgen, wel schadevergoeding?’, RM Themis 2020, afl. 4.

¹¹ HvJ EU 6 november 2012, C-199/11, Otis, ECLI:EU:C:2012:684.

¹² HvJ EU 4 april 2017, C-337/15 P, ECLI:EU:C:2017:256 (Europese Ombudsman tegen Staelen).

¹³ D.A. van der Kooij & J. van Kralingen, ‘Schadevergoeding op grond van de AVG: ter compensatie en/of handhaving’, NTBR 2022/9, p. 4 en conclusie.

¹⁴ Rb. Midden-Nederland 4 mei 2021, ECLI:RBMNE:2021:1865, r.o. 37.

¹⁵ Vergelijk met uitspraak van HvJ EU 17 december 2015, ECLI:EU:C:2015:831.

¹⁶ Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106.

¹⁷ HvJ EU 12 mei 2021, C-300/21 (UI tegen Österreichische Post AG).

¹⁸ HvJ EU 13 juli 2006, C-295/04-298/04, ECLI:EU:C:2006:461 (Manfredi).

¹⁹ T.Hartlief, ‘(Smarten)geld zetten op de AVG’, NJB 2021/2885, afl. 39. Zie ook: ABRvS 1 april 2020, ECLI:NL:RVS:2020:898, Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106.

²⁰ Mr. T.F. Walree, ‘De onrechtmatige verwerking van persoonsgegevens: geen concrete gevolgen, wel schadevergoeding?’, RM Themis 2020, afl. 4.

²¹ Zo werd recent door de rechtbank Rotterdam niet (direct) aangesloten bij het Nederlandse recht, maar werd enkel verwezen naar de relevante bepalingen en overwegingen uit de AVG. Zie: Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247; Rb. Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420, r.o. 4.3-4.7.

²² Artikel 6:96 lid 2 onder a BW.

²³ Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106, r.o. 4.18.

²⁴ T.F.E. Tjong Tjin Tai, 'Aansprakelijkheid bij datalekken', WPNR 2016/7110, par. 6.

²⁵ Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106, r.o. 4.17-4.22.

²⁶ HR 29 juni 2021, ECLI:NL:HR:2021:1024.

²⁷ HR 15 maart 2019, ECLI:NL:HR:2019:376 (EBI-arrest), m.nt. S.D. Lindenbergh.

²⁸ HR 15 maart 2019, ECLI:NL:HR:2019:376 (EBI-arrest), r.o. 4.2.1.

²⁹ HR 15 maart 2019, ECLI:NL:HR:2019:376 (EBI-arrest) en HR 19 juli 2019, ECLI:NL:HR:2019:1278 (Aardbevingsschade Groningen).

³⁰ ABRvS 1 april 2020, ECLI:NL:RVS:2020:899; Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106; HR 29 juni 2021, ECLI:NL:HR:2021:1024.

³¹ Terughoudendheid moet worden betracht gezien de ernst van de casussen waarin de uitzonderingsregeling werd toegepast, namelijk in de arresten Wrongful life (HR 18 maart 2005, ECLI:NL:HR:2005:AR5213) en Oudejaarsrellen (HR 9 juli 2004, ECLI:NL:HR:2004:AO7721).

³² E.F.D. Engelhard, ‘immateriële schade als gevolg van data-inbreuken: het ondergeschoven kindje van de AVG’, NTBR 2019/30, p. 5.

³³ Hof Arnhem-Leeuwarden, 22 december 2020, ECLI:NL:GHARL:2020:10721.

³⁴ Mr. T.F. Walree, ‘De onrechtmatige verwerking van persoonsgegevens: geen concrete gevolgen, wel schadevergoeding?’, RM Themis 2020, afl. 4.

³⁵ Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106, r.o. 4.27-4.28.

³⁶ Artikel 82 lid 2 AVG.

³⁷ Artikel 82 lid 4 en lid 5 AVG.

³⁸ Artikel 82 lid 3 AVG; overweging 146 AVG.

³⁹ Kamerstukken II 2017-2018, 34851 nr. 3.

⁴⁰ HvJ EU 15 april 2008, C-268/06, ECLI:EU:C:2008:223, punt 51 (Impact); ABRvS 1 april 2020, ECLI:NL:RVS:2020:898.

⁴¹ E.A.J. Schoenmakers & A.P. Koburg, ‘De verhouding tussen de AVG en de WAMCA: is een collectieve privacyschadeclaim zonder dat daartoe opdracht is gegeven door betrokkene (opt-out) mogelijk op grond van de AVG?’, Computerrecht 2022/182.

⁴² Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647.

⁴³ Naast civiel- en bestuursrechtelijke uitspraken zijn er ook uitspraken over dit onderwerp van geschillencommissies, zoals de Geschillencommissie bij Kifid. Het gaat dan zowel om het toekennen van materiële als immateriële schade bij onder meer onterechte registraties van persoonsgegevens. Zie bijvoorbeeld: Geschillencommissie Financiële Dienstverlening nr. 2017-835; Geschillencommissie Financiële Dienstverlening nr. 2018-791; Geschillencommissie Financiële Dienstverlening nr. 2019-945.

⁴⁴ Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490.

⁴⁵ Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247.

⁴⁶ Rb.Gelderland 19 december 2018, ECLI:NL:RBGEL:2018:5551.

⁴⁷ ABRvS 1 april 2020, ECLI:NL:RVS:2020:898.

⁴⁸ Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106.

⁴⁹ Rb. Overijssel 31 mei 2021, ECLI:NL:RBOVE:2021:2264.

⁵⁰ Rb. Rotterdam 12 juli 2021, ECLI:NL:RBROT:2021:6822.

⁵¹ Rb. Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420.

⁵² Rb. Zeeland-West-Brabant 21 september 2022, ECLI:NL:RBZWB:2022:5457.

⁵³ Zie: Rb. Zeeland-West-Brabant 22 april 2021, ECLI:NL:RBZWB:2021:2046, Rb. Oost-Brabant 28 april 2020, ECLI:NL:RBOBR:2020:2729, Rb. Oost-Brabant 28 april 2020, ECLI:NL:RBOBR:2020:2730; Rb. Oost-Brabant 28 april 2020, ECLI:NL:RBOBR:2020:2437, Rb. Midden-Nederland 15 november 2019, ECLI:NL:RBMNE:2019:5430.

⁵⁴ Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827.

⁵⁵ ABRvS 1 april 2020, ECLI:NL:RVS:2020:899.

⁵⁶ Rb. Amsterdam 19 december 2021, ECLI:NL:RBAMS:2021:7647.

⁵⁷ Rb. Midden-Nederland 23 juni 2020, ECLI:NL:RBMNE:2020:2424.

⁵⁸ Zie bijvoorbeeld: Rb. Rotterdam 13 april 2022, ECLI:NL:RBROT:2022:7239.

⁵⁹ Zie bijvoorbeeld: Rb. Midden-Nederland 11 november 2020, ECLI:NL:RBMNE:2020:5116; ABRvS 1 april 2020, ECLI:NL:RVS:2020:899; ABRvS 1 april 2020, ECLI:NL:RVS:2020:900; ABRvS 1 april 2020, ECLI:NL:RVS:2020:901.

⁶⁰ Zie bijvoorbeeld: Rb. Noord-Holland 16 augustus 2022, ECLI:NL:RBNHO:2022:7329; Rb. Midden-Nederland 4 mei 2021, ECLI:RBMNE:2021:1865; ABRvS 1 april 2020, ECLI:NL:RVS:2020:899; ABRvS 1 april 2020, ECLI:NL:RVS:2020:900; ABRvS 1 april 2020, ECLI:NL:RVS:2020:901

⁶¹ Zie bijvoorbeeld: Rb. Midden-Nederland 4 mei 2021, ECLI:RBMNE:2021:1865; Rb. Amsterdam 2 april 2020, ECLI:NL:RBAMS:2020:2183.

⁶² Zie bijvoorbeeld: Rb. Amsterdam 2 april 2020, ECLI:NL:RBAMS:2020:2183; Rb. Zeeland-West-Brabant 4 februari 2022, ECLI:NL:RBZWB:2022:605.

⁶³ Naast deze AVG-uitspraken zijn er vele uitspraken waarin een schadevergoeding werd toegekend bij een inbreuk op de eerbieding van de persoonlijke levenssfeer, zoals vastgelegd in artikel 8 EVRM. Soms lijkt in deze uitspraken ook meegenomen te worden dat sprake is van een schending van de AVG, maar wordt niet getoetst aan artikel 82 AVG. Opvallend is overigens dat in uitspraken waarbij sprake is van een ‘privacyinbreuk’ doorgaans een (veel) hogere schadevergoeding wordt toegekend, terwijl het toetsingskader redelijk vergelijkbaar is met het kader zoals uiteengezet in dit artikel. Zie bijvoorbeeld: Rb. Amsterdam 14 juli 2020, ECLI:NL:RBAMS:2020:3452; Hof Arnhem-Leeuwarden 6 april 2021, ECLI:NL:GHARL:2021:3206; Rb. Noord-Holland 26 januari 2022, ECLI:NL:RBNHO:2022:943; Rb. Amsterdam 31 augustus 2022, C/13/712719 / HA ZA 22-64; Rb. Zeeland-West-Brabant 28 september 2022, ECLI:NL:RBZWB:2022:5656.

⁶⁴ Artikel 6:162 lid 3 BW; Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106.

⁶⁵ Zie: Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490; Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247.

⁶⁶ Mr. M.C. Samsom, ‘Normering van schadevergoeding in gegevensbeschermingszaken’, AB&S 2022/3, p. 4.

⁶⁷ Dit ligt wellicht anders bij uitspraken van geschillencommissies. Ik verwijs naar voetnoot 43.

⁶⁸ Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106; Rb. Rotterdam 12 juli 2021, ECLI:NL:RBROT:2021:6822; Rb. Zeeland-West-Brabant 21 september 2022, ECLI:NL:RBZWB:2022:5457.

⁶⁹ Mr. T.F. Walree, ‘De onrechtmatige verwerking van persoonsgegevens: geen concrete gevolgen, wel schadevergoeding?’, RM Themis 2020, afl. 4.

⁷⁰ Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106.

⁷¹ Zie: Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490; Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247; Rb. Overijssel 31 mei 2021, ECLI:NL:RBOVE:2021:2264; Rb. Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420.

⁷² Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106; Rb. Rotterdam 12 juli 2021, ECLI:NL:RBROT:2021:6822.

⁷³ ABRvS 1 april 2020, ECLI:NL:RVS:2020:899 en Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106.

⁷⁴ HvJ EU 4 april 2017, C-337/15 P, ECLI:EU:C:2017:256 (Europese Ombudsman tegen Staelen).

⁷⁵ Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247.

⁷⁶ Rb. Rotterdam 12 juli 2021, ECLI:NL:RBROT:2021:6822.

⁷⁷ Rb. Zeeland-West-Brabant 21 september 2022, ECLI:NL:RBZWB:2022:5457.

⁷⁸ Zie: Rb. Rotterdam 12 juli 2021, ECLI:NL:RBROT:2021:6822.

⁷⁹ Zie onder meer: ABRvS 1 april 2020, ECLI:NL:RVS:2020:898; Rb Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420.

⁸⁰ Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106.

⁸¹ ABRvS 1 april 2020, ECLI:NL:RVS:2020:898 en Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106.

⁸² Rb. Rotterdam 12 juli 2021, ECLI:NL:RBROT:2021:6822.

⁸³ Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490 en Rb. Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420.

⁸⁴ Rb. Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420.

⁸⁵ Rb. Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420.

⁸⁶ Rb. Rotterdam 12 juli 2021, ECLI:NL:RBROT:2021:6822.

⁸⁷ Zie: Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490; Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247; ABRvS 1 april 2020, ECLI:NL:RVS:2020:898; Rb. Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420.

⁸⁸ Zie: Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490; ABRvS 1 april 2020, ECLI:NL:RVS:2020:898; Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106.

⁸⁹ Zie: Rb. Rotterdam 12 juli 2021, ECLI:NL:RBROT:2021:6822 en Rb. Zeeland-West-Brabant 21 september 2022, ECLI:NL:RBZWB:2022:5457.

⁹⁰ Rb. Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420.

⁹¹ Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490.

⁹² Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247.

⁹³ Rb. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106.

⁹⁴ Rb. Overijssel 31 mei 2021, ECLI:NL:RBOVE:2021:2264.

⁹⁵ Rb. Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420.

⁹⁶ Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247.

⁹⁷ Mr. T.F. Walree, ‘De onrechtmatige verwerking van persoonsgegevens: geen concrete gevolgen, wel schadevergoeding?’, RM Themis 2020, afl. 4.

Keywords