Doen van datalekmelding niet bij bestuursrechter af te dwingen, wel schadevergoeding (doch strenge leer)

17 februari 2022, laatst geüpdatet 11 september 2024
Kan een betrokkene bij de bestuursrechter afdwingen dat een bestuursorgaan een datalekmelding doet? Nee, zo volgt uit de uitspraak van de Raad van State van 2 februari 2022. Wel kan de betrokkene bij de bestuursrechter terecht voor een schadeclaim. De schade moet dan echter wel goed worden onderbouwd, hetgeen in dit geval niet zo was.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

Kan een betrokkene bij de bestuursrechter afdwingen dat een bestuursorgaan een (AVG) datalekmelding doet? Nee, zo volgt uit de uitspraak van de Raad van State van 2 februari 2022. Wel kan de betrokkene bij de bestuursrechter terecht voor een schadeclaim. De schade moet dan echter wel goed worden onderbouwd, hetgeen in dit geval niet zo was.

Lekken van niet-geanonimiseerde gegevens naar journalist

De kwestie is op zichzelf overzichtelijk. Het Bureau Financieel Toezicht (BFT) heeft aan een journalist de niet-geanonimiseerde versie van een beslissing van de kamer voor gerechtsdeurwaarders en de daarbij behorende aanbiedingsbrief gegeven. Daarmee zijn dus persoonsgegevens aan derden verstrekt terwijl dat niet noodzakelijk was. Ook het BFT zelf is, uiteindelijk, van oordeel dat dit niet had mogen gebeuren.

Datalekmelding af te dwingen?

De deurwaarders hebben destijds aan het BFT verzocht een datalekmelding te doen. Het BFT heeft dat geweigerd. De (bestuursrechtelijke) vraag in de onderhavige kwestie is of die weigering een besluit is waartegen beroep open staat bij de bestuursrechter. Daarvoor moet sprake zijn van een "besluit" in de zin van de Algemene wet bestuursrecht.

ABRvS: besluit is een reactie op recht betrokkene

De Afdeling Bestuursrechtspraak (ABRvS) oordeelt dat uit artikel 34 Uitvoeringswet AVG (UAVG) volgt dat er alleen van een besluit is wanneer het bestuursorgaan een beslissing neemt op een verzoek van betrokkene als bedoeld in artikel 15 tot en met 22 van de AVG. Betrokkene moet dus één of meer van de rechten uit de AVG inroepen (zoals inzagerecht, correctierecht, etc.).

Vervolgens loopt de ABRvS de verschillende mogelijke rechten langs:

  • recht van bezwaar (artikel 21 AVG): dit speelt alleen als er persoonsgegevens verwerkt zijn op grond van een publieke taak (sub e) of het gerechtvaardigd belang (sub f) in de zin van artikel 6 AVG. Vast staat dat echter dat er überhaupt geen grondslag was de gegevens te verwerken;
  • recht van inzage (artikel 15 AVG): het verzoek om een datalekmelding te doen is geen verzoek om inzage. Dat volgens artikel 15 bij de beantwoording van een inzageverzoek betrokkene ook gewezen moet worden op andere rechten, maakt dit volgens de ABRvS niet anders.
  • recht van rectificatie (artikel 16 AVG): partijen zij het in hoger beroep er over eens dat dit artikel niet speelt. De ABRvS onderschrijft dit. Het artikel speelt immers alleen bij het rectificeren van onjuiste gegevens. Vast staat dat echter dat de gegevens juist zijn (ze hadden alleen niet mogen worden gelekt).
  • andere rechten: de andere rechten zijn niet ingeroepen en de ABRvS ziet ook geen aanleiding ze te behandelen (ik zou menen terecht).

Met andere woorden: er is helemaal geen besluit genomen, dus de bestuursrechtelijke weg staat helemaal niet open.

ABRvS: wel mogelijkheid schadevergoeding

Ondanks dat er geen besluit is genomen, kan betrokkene wel bij de bestuursrechter terecht voor schadevergoedingen tot € 25.000,- bij onrechtmatige verwerkingen door bestuursorganen. Dat volgt uit de uitspraken van 1 april 2020 waarover wij eerder al blogden en dat leerstuk wordt in deze uitspraak herhaald.

De ABRvS verheldert dat de bevoegdheidsgrens van € 25.000,- ziet op schadevergoedingen per persoon. De rechtbank had de vorderingen van de twee deurwaarders ten onrechte bij elkaar opgeteld en zich vervolgens onbevoegd verklaard. Dat klopt dus niet volgens de ABRvS.

ABRvS: leerstuk schadevergoeding volgens vaste, strenge, lijn

De hoogste bestuursrechter herhaalt vervolgens ook dat schadevergoedingen worden beoordeeld conform het civiele recht. Dat betekent dat voor vergoeding van immateriële schade er een hoge bewijsdrempel bestaat endat betrokkene zelf de schade moet bewijzen, behoudens bij die gevallen waar een schending door aard en ernst van de schending zeer voor de hand ligt. Zie over dat leerstuk bijvoorbeeld ook een eerder blog van mijn college Nynke en mijzelf over een arrest van de Hoge Raad of de zeer recente blog van collega Sven over een andere recente uitspraak van de Raad van State.

In dit geval hebben de deurwaarders niet concreet gemaakt dat zij geestelijk letsel hebben opgelopen. Hierbij wordt uitdrukkelijk meegewogen dat de gegevens door de journalist verder niet openbaar zijn gemaakt. Er is dus "slechts" sprake van een eenmalige beperkte onrechtmatige verwerking van persoonsgegevens geweest. De vordering wordt dus afgewezen en BFT wordt veroordeeld in de proceskosten.

Slotopmerking

De AVG legt allerlei verplichtingen op aan verwerkingsverantwoordelijken en kent enkele rechten toe aan betrokkenen. De kwestie laat zien dat het niet aan betrokkenen is om via die rechten de verwerkingsverantwoordelijke aan te spreken op nakoming van zijn verplichtingen. Het is primair aan de Autoriteit Persoonsgegevens om er op toe te zien dat de verwerkingsverantwoordelijke de verplichtingen naleeft.

Wel zou eventueel denkbaar zijn dat de betrokkene bij niet-naleven van een AVG-verplichting een actie uit onrechtmatige daad start wegens schending van de wet. In dat geval komen wel direct vragen op omtrent het belang van betrokkene, relativiteit, causaliteit, etc. Simpel gezegd: is de betreffende verplichting uit de AVG (in dit geval: het doen van een datalekmelding) wel bedoeld om betrokkene te beschermen en zo ja, welke schade heeft betrokkene dan geleden door het niet naleven van die verplichting? Dat wordt al snel ingewikkeld.

Logischer lijkt het om in gevallen als deze niet de strijd aan te gaan over het wel/niet doen van de datalekmelding, maar over de rechtmatigheid van de persoonsgegevensverwerking. Tussen partijen staat kennelijk al vast dat het verstrekken van de gegevens aan de journalist niet had mogen gebeuren. De onrechtmatigheid is dus gegeven. Dat de wet is geschonden wil echter nog niet zeggen dat er ook schade is geleden. Zolang het strenge kader inzake immateriële schadevergoeding gehandhaafd blijft in Nederland - hetgeen wel voor de hand ligt, tot het Hof van Justitie eventueel anders oordeelt - zal het verhalen van andere dan materiele schade bij de wat "kleine" privacyschendingen nog best lastig blijken te zijn.

Heeft u vragen over privacyrecht? Neem gerust contact op.