Wanneer een gemeente een datalek veroorzaakt bestaat het risico dat een schadevergoeding betaald moet worden aan de benadeelde persoon (of personen). Deze schadevergoeding kan bestaan uit de vergoeding van ‘materiële’ en ‘immateriële’ schade. Uiteraard moet degene die een schadevergoeding wil, onderbouwen waar zijn schade uit bestaat en hoe hoog de schade is. Dat sprake is van een datalek betekent namelijk nog niet dat daarmee vaststaat dat een schadevergoeding betaald moet worden. In een recente uitspraak van de rechtbank Noord-Nederland wordt dat mooi uiteengezet. Aan de hand van die uitspraak gaan we in deze opinie in op de vraag wanneer een gemeente immateriële schade moet vergoeden bij een datalek.
Door mr. Mark Bruin en mr. Maartje Smeets
Beschrijving casus
In deze zaak is sprake van een datalek na de aanvraag van een vergunning voor een schietbaan. Een hoop gevoelige gegevens van de aanvrager belanden per ongeluk op het internet, waardoor deze voor iedereen inzichtelijk waren. De benadeelde aanvrager vordert schadevergoeding van de gemeente, omdat hij door het datalek gevaar loopt. Criminelen zouden namelijk door het datalek onder zijn naam wapens kunnen aanschaffen. Dit betekent volgens de aanvrager dat hij zijn huis extra moet beveiligen (materiële schade). Verder voert hij (o.a.) aan dat door het datalek sprake is geweest van een ‘aantasting in de persoon’, wat tot een vergoeding van immateriële schade moet leiden. De rechtbank oordeelt dat geen sprake is van materiële schade. Wel is de aanvrager in zijn persoon aangetast door het datalek. De gemeente moet daarom een vergoeding betalen van €500,- aan immateriële schade.
Immateriële schade bij datalek sociaal domein
Hoewel het in de hiervoor beschreven casus gaat om een aanvraag voor een omgevingsvergunning, wordt ook binnen het sociaal domein volop gewerkt met gevoelige gegevens waardoor een datalek op de loer kan liggen. Denk bijvoorbeeld aan de situatie dat na een aanvraag voor een Pw-uitkering door een fout in het systeem alle ingevulde gegevens openbaar worden. Of dat na een jeugdhulpaanvraag per ongeluk het ondertekende gezinsplan naar andere personen wordt verstuurd dan de betrokkenen zelf. Ook in die situaties kunnen de benadeelden een verzoek indienen tot het vergoeden van immateriële schade.
“Wanneer sprake is van een inbreuk op de AVG, dan bestaat recht op volledige vergoeding van de daadwerkelijke immateriële schade.“
Waaraan moet een verzoek tot immateriële schadevergoeding getoetst worden?
Wanneer sprake is van een inbreuk op de AVG, bestaat recht op volledige vergoeding van de daadwerkelijke immateriële schade (dat volgt uit artikel 82 AVG). De AVG bepaalt alleen niet hoe die immateriële schade dan moet worden vastgesteld en berekend. Voor het vaststellen van de schade moet daarom worden aangesloten bij het Burgerlijk Wetboek (BW). Voor de beoordeling van immateriële schade is artikel 6:106 BW van belang. Hieruit volgt dat recht op schadevergoeding bestaat wanneer iemand in zijn ‘eer of goede naam is geschaad of op andere wijze in de persoon is aangetast’.
Een schending van de AVG levert niet per definitie ‘een aantasting in de persoon’ op zoals bedoeld in artikel 6:106 BW. De schade moet ‘reëel en zeker’ zijn. De benadeelde moet met concrete gegevens bewijzen dat er sprake is van schade en dit het gevolg is van de onrechtmatige verwerking van persoonsgegevens. Daarnaast moet de hoogte van de schade worden onderbouwd.
Wanneer is sprake van immateriële schade?
Van immateriële schade kan bijvoorbeeld sprake zijn wanneer aangetoond wordt dat de benadeelde psychisch letsel heeft opgelopen door het datalek. Dit psychisch letsel moet op objectieve gronden worden vastgesteld. Dat betekent dat bijvoorbeeld aan de hand van medische stukken onderbouwd moet worden dat een angststoornis is ontstaan die een direct gevolg is van het datalek. Als deze stukken er niet zijn of er bestaat geen causaal verband tussen het datalek en de angststoornis, dan hoeft daarvoor geen immateriële schadevergoeding te worden toegekend.
Een andere mogelijkheid om te kunnen spreken van ‘immateriële schade’ is als sprake is van een ‘aantasting in de persoon’, die aangetoond wordt door een schending van de ‘persoonlijke levenssfeer’. Dat kan bijvoorbeeld het geval zijn wanneer gevoelige gegevens zoals het BSN-nummer, het e-mailadres en het telefoonnummer per ongeluk op de gemeentelijke website belanden. Uit de uitspraak van de rechtbank Noord-Nederland kunnen we afleiden dat dan gesproken kan worden van een schending van de persoonlijke levenssfeer, aangezien het gaat om zeer gevoelige persoonsgegevens en de nadelige gevolgen van het lekken dan voor de hand liggen.
De hoogte van de schadevergoeding wordt dan ‘naar billijkheid’ vastgesteld. Voor de hoogte van de schadevergoeding wordt gekeken naar alle relevante feiten en omstandigheden, waaronder de aard, duur, frequentie en ernst van de inbreuk. Dit wordt dan afgezet tegen de al dan niet ‘concrete negatieve gevolgen van de inbreuk’. Hoewel uit recente rechtspraak volgt dat de schadevergoeding vaak wordt vastgesteld op een bedrag tussen de €250,- en €500,-, kan dit natuurlijk ook hoger uitvallen als de gemeente het erg bont maakt.
Dit artikel werd oorspronkelijk gepubliceerd op 10-02-2021 bij Wolters Kluwer Schulinck.