Wat is er aan de hand?
Aan de orde is een kwestie bij de Afdeling bestuursrechtspraak van de Raad van State (hierna “Afdeling”) waarbij een natuurlijk persoon het college van burgemeesters en wethouders verzocht heeft om een rectificatie van persoonsgegevens die zijn vermeld in een brief die het college verstuurd heeft. Hierdoor zou onverhoopt het e-mailadres van deze natuurlijk persoon bij buren terecht gekomen zijn. Daarbij stelt de natuurlijk persoon het college aansprakelijk voor schade die hij hierdoor geleden heeft.
Wat volgt is allerlei correspondentie met het college en uiteindelijk een besluit om de gegevens te rectificeren, maar wordt op het verzoek om schadevergoeding gereageerd dat er bij het college geen bevoegdheid bestaat daarover te oordelen maar dat ook niet aannemelijk is gemaakt welke nadelige gevonden de natuurlijk persoon ondervonden heeft. De natuurlijk persoon stelt vervolgens beroep in, welk beroep door de rechtbank ongegrond verklaard wordt.
Nu aan de orde – en daar wordt het voor dit blog interessant - is het hoger beroep bij de Afdeling na eerste aanleg over met name de vergoeding van vermeend geleden schade.
Beslistermijn niet overschreden; geen recht op schadevergoeding (1)
De Afdeling toetst eerst of de beslistermijn is overschreden, doordat de gegevens pas na het indienen van een bezwaarschrift zijn gerectificeerd. Dat is niet aan de orde. Er is door het college immers binnen een maand geïnformeerd over het gevolg dat gegeven is aan het verzoek, zij het dat dat de beslissing in eerste instantie was dat er niet inhoudelijk gereageerd zal worden op het verzoek omdat daar al op andere wijze over is gecommuniceerd. Dat dit kwalificeert als een besluit in de zin van de Algemene wet bestuursrecht waartegen bezwaar en beroep openstaat, en vervolgens na het bezwaar alsnog aan het oorspronkelijke verzoek gedeeltelijk gehoor wordt gegeven, maakt niet dat de beslistermijn uit artikel 12 van de AVG is overschreden. Er is (dus) geen reden voor het toekennen van schadevergoeding wegens overschrijding van de beslistermijn.
Concrete nadelige gevolgen van inbreuk niet aannemelijk gemaakt; geen recht op schadevergoeding (2)
Vervolgens komt de vraag aan de orde of de natuurlijk persoon aanspraak maakt op schadevergoeding, als gevolg van het verzenden van de brief inclusief het e-mailadres van de natuurlijk persoon aan de buren. Tussen partijen is niet in geschil dat dit onrechtmatig is geweest; er is immers tot rectificatie overgegaan. De Afdeling volgt desondanks de afwijzing van de door de betrokkene gevorderde schadevergoeding door de rechtbank. En wel hierom. De rechtbank heeft allereerst verwezen naar de rechtspraak van de Raad van State van 1 april 2022 en herhaalt dat:
- een inbreuk op de AVG impliceert niet zonder meer aantasting van de integriteit van de persoon en daarmee tot vergoedbare schade leidt;
- dat een inbreuk op de AVG kan resulteren in (im)materiële schade en dat een betrokkene volledige en daadwerkelijke vergoeding van de door hem geleden schade moet ontvangen, betekent niet dat een normschending per definitie tot schade leidt.
Vervolgens heeft de rechtbank geoordeeld dat het uitgangspunt van de beoordeling is dat de natuurlijke persoon de aantasting in de persoon aannemelijk moet maken en de door hem gestelde schade met concrete gegevens moet staven. Daartoe is de betrokkene ook door het college in de gelegenheid heeft gesteld. Echter, de betrokkene heeft nagelaten aannemelijk te maken welke nadelige gevolgen zijn voortgevloeid uit het doorsturen van het e-mailadres. De stelling dat dit tot ‘stalking’ geleidt heeft gaat daarbij niet op, omdat deze ‘stalking’ aantoonbaar reeds plaatsvond vóórdat het e-mailadres bij de buren bekend werd en deze omstandigheid is daarom geen gevolg van het verlies van de controle over het e-mailadres.
Beschouwing
Met deze uitspraak wordt andermaal bevestigd dat voor schadevergoeding wegens een inbreuk op de AVG vereist is dat voldoende concrete gegevens aangevoerd moeten worden waaruit kan volgen dat er sprake is van daadwerkelijk geleden immateriële schade.
Dat is slechts anders – en dat speelde kennelijk niet in deze kwestie – als de aard en de ernst van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen. Zie daarvoor onder andere ook dit blog.
Inmiddels begint in de rechtspraak een bestendige lijn te ontstaan over de vergoedbaarheid van schade onder de AVG. Overigens zijn er prejudiciële vragen gesteld aan het Europese Hof van Justitie over schadevergoeding van de AVG. Eén van de vragen is of er sprake is van immateriële schade als gevolg van zorgen, ongerustheid en angst van betrokkenen over mogelijk toekomstig misbruik van hun persoonsgegevens, zelfs als deze nog niet zijn misbruikt. De beantwoording daarvan wachten wij met nieuwsgierigheid af, nu dit ook gevolgen zal hebben hoe daar toekomstig door Nederlandse rechters over geoordeeld zal worden.
Vragen over schadevergoeding onder de AVG? Weet mij, of mijn collega’s van het Privacyteam graag te vinden.