Vorige week was het in online media vrij uitgebreid in het nieuws: de rechtbank Overijssel heeft 500 euro schadevergoeding toegekend wegens schending van de privacywetgeving. Bij nadere bestudering van de uitspraak vallen toch enkele zaken op die vragen oproepen.
Onvolledig overzicht persoonsgegevens
De uitspraak over schadevergoeding is het vervolg op een eerdere uitspraak. Deze kwesties samen gaan in de kern over het volgende.
Een man doet een beroep op het inzagerecht en vraagt daarmee op welke persoonsgegevens de gemeente Deventer van hem heeft. Dit overzicht wordt aan de man verstrekt. Het overzicht is kennelijk niet volledig. Er zou in ieder geval een e-mail van 20 augustus 2013 waarin andere bestuursorganen worden gewaarschuwd voor de man niet in het overzicht zijn opgenomen.
1e procedure: overzicht inderdaad onvolledig volgens rechtbank
De man gaat daartegen in bezwaar (afgewezen) en vervolgens in beroep bij de rechter. De rechtbank constateert dat de gemeente de persoonsgegevens van de man niet had mogen doorsturen, dat mede daarom het besluit niet deugdelijk is gemotiveerd en gelast de gemeente een nieuw besluit te nemen. Daartegen gaat de gemeente verder niet in hoger beroep.
2e procedure: schadevergoeding wegens onvolledig overzicht
De gemeente neemt - conform de uitspraak - alsnog een nieuw besluit en geeft de man gelijk. Het verzoek om schadevergoeding wijst de gemeente echter af. Tegen die afwijzing van schadevergoeding komt komt de man in beroep bij de rechtbank.
Rechtbank: onrechtmatigheid staat vast
De rechtbank neemt allereerst aan dat de onrechtmatigheid vast staat, nu er geen hoger beroep is ingesteld tegen de 1e uitspraak. De vraag is vooral wat de hoogte is van de schadevergoeding.
Rechtbank: aansluiting zoeken voor schade bij burgerlijk wetboek
Vervolgens overweegt de rechtbank dat aansluiting gezocht moet worden bij het civielrechtelijke schadevergoedingsrecht. Met andere woorden: de AVG geeft volgens de rechtbank hiervoor geen andere regels.
Alles afwegend kent de rechtbank uiteindelijk € 500,- toe aan de man.
Enkele gedachten bij de redenering rechtbank
De redenering van de rechtbank is om meerdere redenen opmerkelijk:
- Het eerdere onrechtmatige besluit zag op het niet verstrekken van een volledig overzicht. De schadevergoeding wordt nu toegekend voor het onrechtmatig verspreiden van persoonsgegevens. De vraag is of dat wel hetzelfde is.
- De AVG bevat allerlei overwegingen over hoe om te gaan met schadevergoedingen en de AVG is bedoeld om een Europees uniform kader te bieden. Het is wat vreemd, of noem het chauvinistisch, om dan toch te stellen dat het Nederlandse stelsel precies voldoet aan die wens tot Europese uniformiteit.
- De Hoge Raad heeft nu juist recent geoordeeld dat de "eenvoudige" (mijn woorden) inbreuk op fundamentele rechten onder Nederlands recht geen aanspraak geven op vergoeding van immateriële schade. Wanneer er aansluiting wordt gezocht bij het Nederlandse stelsel, zou er dus geen aanspraak bestaan op vergoeding.
- Verderop in de uitspraak kijkt de rechtbank juist weer wel naar overwegingen van de AVG, bij de bepaling van de hoogte van de vergoeding. Het lijkt mij kiezen of delen: of je volgt de terughoudende Nederlandse lijn, of je onderkent dat de AVG kennelijk noopt tot een ruimhartiger schadevergoedingsrecht.
- Tenslotte is opmerkelijk dat de rechtbank in par. 7-8 lijkt aan te nemen dat bij iedere onrechtmatige verwerking van persoonsgegevens per definitie aanspraak bestaat op schadevergoeding. Wanneer echter het Nederlandse schadevergoedingsrecht tot uitgangspunt wordt genomen, dan kunnen er gronden zijn om ondanks een normschending toch geen (immateriële) schadevergoeding toe te kennen. Waar in het civiele schadevergoedingsrecht de normschending en de schade uit elkaar worden gehouden, lijkt dat in deze uitspraak toch wat op een hoop te worden gegooid.
Al met al vraag ik me dus ook af of de uitspraak in hoger beroep wel stand houdt.
Conclusie: onderschat "eenvoudige" verzoeken niet
Tegelijkertijd bekruipt mij ook het beeld dat de gemeente het inzageverzoek van destijds wat heeft onderschat. Wanneer dit direct volledig adequaat beantwoord was geweest, dan was er nu niets aan de hand geweest.
Verder lijkt het er op dat in de bezwaarfase weinig aandacht is besteed aan de rechtvaardiging voor (i) het doorzenden van de gegevens van de man aan andere bestuursorganen en (ii) de onvolledige reactie op het initiële inzageverzoek. Naar mijn inschatting zijn op beide punten best (valide) argumenten aan te dragen. Het is maar zeer de vraag of hoe de rechtbank vervolgens had geoordeeld.
Het is dus zaak om inzageverzoeken als deze niet te onderschatten.
Vragen over privacyrecht?
Heeft u vragen over privacyrecht? Neem gerust contact op.