Schadeclaims bij schendingen privacy: biedt de Hoge Raad aanknopingspunten?

24 april 2019, laatst geüpdatet 11 september 2024
Op 15 maart 2019 heeft de Hoge Raad een arrest gewezen over o.a. de uitleg van de wettelijke bepalingen over immateriële schadevergoedingen. Het arrest gaat niet over het gegevensbeschermingsrecht, maar zou daar wel eens interessant voor kunnen zijn. In deze blog signaleren we kort waarom we denken dat dit mogelijk het geval is.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

Schadeclaims bij schendingen privacy: biedt de Hoge Raad aanknopingspunten?

Op 15 maart 2019 heeft de Hoge Raad een arrest gewezen over o.a. de uitleg van de wettelijke bepalingen over immateriële schadevergoedingen. Het arrest gaat niet over het gegevensbeschermingsrecht, maar zou daar wel eens interessant voor kunnen zijn. In deze blog signaleren we kort waarom we denken dat dit mogelijk het geval is.

In Nederland terughoudendheid met schadeclaims

Van oudsher gaan we in Nederland relatief terughoudend om met schadeclaims. Het basisprincipe is dat een ieder zijn eigen schade draagt. Wil je schade kunnen verhalen, dan zal je moeten aantonen dat een andere partij aansprakelijk is voor die schade, dat de schade ook aan die ander kan worden toegerekend en dat geen sprake is van eigen schuld.

Naar Nederlands recht bestaat voornamelijk aanspraak op vergoeding van vermogensschade, dus geld dat nu of in de toekomst is of wordt verloren of niet meer wordt verdiend door toedoen van die ander.

Voor vergoeding van immateriële (niet op geld waardeerbare) schade (‘smartengeld’) is volgens de Nederlandse wet slechts heel beperkt ruimte. Er is een specifiek wetsartikel (6:106 BW) dat limitatief vermeldt onder welke omstandigheden er ruimte bestaat voor vergoeding van immateriële schade. Een van de in de wet genoemde situaties waarin aanspraak kan worden gemaakt op smartengeld is indien sprake is van een ‘aantasting in de persoon’. Uit de rechtspraak blijkt dat dit aan de orde kan zijn indien bijvoorbeeld sprake is van geestelijk letsel.

In Nederland dus niet de spreekwoordelijke ‘Amerikaanse toestanden’. Ons schadevergoedingsrecht kent geen punitief element (is niet bedoeld om te ‘straffen’), maar beoogt slechts om te compenseren voor de onrechtmatige situatie of deze ongedaan te maken.

Recent arrest over immateriële schade

Het arrest van 15 maart 2019 van de Hoge Raad ging o.a. over de uitleg van het wetsartikel over immateriële schadevergoeding en in het bijzonder wanneer sprake is van een ‘aantasting in de persoon’. De vraag was o.a. of dit het geval kan zijn bij de schending van een fundamenteel recht.

Daar zit de link met het gegevensbeschermingsrecht de correcte, rechtmatige verwerking van persoonsgegevens is immers ook door een grondrechten beschermd belang (vgl. artikel 8 Handvest EU en artikel 8 EVRM).

Enkele schending fundamenteel recht onvoldoende

De Hoge Raad is echter duidelijk in zijn oordeel:

4.2.2. Van een aantasting in de persoon op andere wijze als bedoeld in art. 6:106 lid 1, onder b, BW, is niet reeds sprake bij de enkele schending van een fundamenteel recht.

Het is dus onvoldoende om te stellen dat er bij schending van een grondrecht (dus) automatisch sprake is van aantasting in de persoon (en daarmee aanspraak kan worden gemaakt op immateriële schadevergoeding).

Anderzijds bij ernstige schending wel ruimte om schade aan te nemen

Tegelijkertijd overweegt de Hoge Raad echter ook het volgende:

4.2.1. (…) Daarnaast kunnen de aard en de ernst van de normschending en van de gevolgen daarvan voor de benadeelde, meebrengen dat van de in art. 6:106 lid 1, onder b, BW bedoelde aantasting in zijn persoon op andere wijze sprake is (…) In beginsel zal degene die zich hierop beroept de aantasting in zijn persoon met concrete gegevens moeten onderbouwen. In voorkomend geval kunnen de aard en de ernst van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen.

Met andere woorden: in de basis moet het slachtoffer de aantasting in zijn persoon stellen en bewijzen (=normaal procesrecht), maar de aard en ernst van de normschending kunnen meebrengen dat de aantasting in de persoon mag worden aangenomen.

De voorbeelden die de Hoge Raad daarna noemt (hiervoor niet geciteerd) waarin een aantasting in de persoon op basis van aard en ernst van de normschending is aangenomen, zijn zeer ernstig: grootschalige rellen en de geboorte van een kind tegen de uitdrukkelijke anticonceptiewens in.

Parallel met gegevensbeschermingsrecht?

De vraag is echter of ook bij een ernstig incident op het gebied van gegevensbeschermingsrecht een beroep kan worden gedaan op smartengeld wegens een aantasting in de persoon. Dit geldt mogelijk temeer nu de wetgever het belang van gegevensbescherming heel zwaar weegt (de maximale boete is nota bene zelfs 20 miljoen euro). Op organisaties die persoonsgegevens verwerken rusten ook zeer veel verplichtingen; van hen heel wordt heel wat verwacht.

Als er onder die omstandigheden iets gebeurt met persoonsgegevens met potentieel ernstige gevolgen voor de betrokkene, kan wellicht eerder worden gesproken van een situatie waarbij op grond van:

ernst van de normschending (…) nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen dat een aantasting in de persoon kan worden aangenomen.

Eigen schade-artikel AVG

Nu is het tegelijkertijd zo dat de Algemene Verordening Gegevensbescherming (AVG) een eigen artikel bevat over schade en aansprakelijkheid. Dit betreft artikel 82 lid 1 AVG en dit luidt als volgt:

Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

Op grond van de AVG bestaat dus bij schending van het gegevensbeschermingsrecht aanspraak op vergoeding van zowel materiële als immateriële schade.

Schadebegrip Europees uitleggen

In overweging 146 van de AVG is bovendien opgenomen hoe het begrip schade moet worden uitgelegd. In de overweging staat onder meer het volgende:

(146) De verwerkingsverantwoordelijke of de verwerker moeten alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening. (…) Het begrip „schade” moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening.

Nu de Europese wetgever er uitdrukkelijk voor heeft gekozen een duiding te geven aan het schadebegrip, is het naar onze inschatting een Europeesrechtelijk begrip geworden dat in de hele Europese Unie op dezelfde manier zou moeten worden uitgelegd.

Onder privacyrichtlijn vergelijkbare systematiek

Overigens was ook in de privacyrichtlijn (de voorganger van de AVG) al opgenomen dat de betrokkene recht heeft op schadevergoeding bij privacyschendingen. Ook toen was er een (iets minder verstrekkende) overweging over het schadebegrip in de richtlijn opgenomen (overweging 55). Ook toen al had het schadebegrip waarschijnlijk (dus) – ook mede in het licht van de ‘nuttig effect’-doctrine van het Hof van Justitie – Europees uitgelegd moeten worden.

Rechtspraak van het Hof van Justitie over het schadebegrip in de privacyrichtlijn is er echter nooit gekomen.

Nationale rechtspraak niettemin relevant

Dat maakt ook dat vooral nationale rechtspraak in de praktijk relevant is. Procedures over schadevergoeding worden aanhangig gemaakt bij nationale rechters, niet bij het Hof van Justitie. En het verleden laat zien dat nationale rechters tot op heden, dus in de periode 1995-2019 (24 jaar!), geen aanleiding hebben gezien vragen te stellen over het schadebegrip in het privacyrecht.

Het ligt dus best voor de hand dat rechters voorlopig “gewoon” hun nationale schadevergoedingsrecht gaan toepassen bij rechtszaken over privacyschendingen. In Nederland zou dit dus de Nederlandse wet en de rechtspraak van de Hoge Raad zijn.

Daarmee zijn we terug bij de inleiding van deze blog: de Hoge Raad lijkt een nuance aan te brengen in zijn benadering van de categorie ‘aantasting in de persoon’. Naast gevallen van geestelijk letsel kan daarvan sprake zijn indien sprake is van de schending van de een fundamenteel recht. In privacykwesties kan die overweging van de Hoge Raad van belang zijn.

Let wel, de Hoge Raad is nog steeds terughoudend: de enkele schending van een fundamenteel recht is onvoldoende, (de benadeelde moet de aantasting dus nog altijd met concrete gegevens onderbouwen), tenzij de inbreuk zó ernstig is dat de persoonsaantasting kan worden aangenomen. Of het ogenschijnlijke, (piepkleine) kiertje dat de Hoge Raad lijkt te hebben opengezet daadwerkelijk invloed zal hebben in privacykwesties, valt dus nog te bezien.

Wachten op de eerste prejudiciële vraag

Het voorgaande kan weer anders zijn indien een rechter in een van de EU-lidstaten alsnog een prejudiciële vraag stelt aan het Hof van Justitie over het privacyrechtelijke schadebegrip. Alleen het stellen van die vraag zou, als het goed is, al invloed moeten hebben op het verloop en de uitkomst van procedures over schadevergoeding bij privacyschending in Nederland.

Een juridisch interessante tijd dus. We houden u op de hoogte.

Gerelateerd

Gebalanceerde stenen

Langjarige samenwerkingscontracten: het nut van een goede balansbepaling

Samenwerkingscontracten worden vaak voor langere tijd (>5 jaar) aangegaan. Vaak wordt een bepaalde mate van exclusiviteit afgesproken maar dat kan ook gaan...
vrouw justitia

De (bijzondere) zorgplicht van de IT-leverancier: een overzicht

Welke inspanning mag van een IT-leverancier verwacht worden? De beantwoording van die vraag wordt gekleurd door de zorgplicht van een IT-leverancier. En deze...

Hoe goed is jouw bedrijf beveiligd?

Alle computerschermen op zwart, een natuurramp, of een inbraak midden in de nacht. Het is de nachtmerrie van iedere bestuurder. Voor belangrijke organisaties,...

Opnieuw verbod op tracking cookies in kort geding

Nadat onlangs Criteo al een verbod kreeg om tracking cookies te plaatsen zonder toestemming, is nu ook aan Microsoft, LinkedIn, MIOL en Xandr een verbod...

Aandachtspunten bij het gebruik van AI in de zorg (deel II)

Artificial Intelligence (AI) is een gamechanger voor de gezondheidszorg. Voor een sector die kampt met personeelstekorten en groeiende kosten, kan...

Verplichte basisverzekering arbeidsongeschiktheid voor zelfstandigen: een stap dichterbij een gelijker speelveld voor werknemers en zelfstandigen met huidig wetsvoorstel?

Op 11 juni 2024 is de internetconsultatie gestart voor het wetsvoorstel Wet basisverzekering arbeidsongeschiktheid zelfstandigen.
No posts found