Wat kost een privacyinbreuk?
Bij de invoering van de AVG werden we gewaarschuwd voor torenhoge boetes van de Autoriteit Persoonsgegevens. In de praktijk blijkt dat wel mee te vallen. De AVG beboet vooral grote organisaties en waarschuwt eerst. Het werkelijke risico schuilt in schadeclaims van particulieren, of erger: claimstichtingen. Welk risico loop je als exploitant van een website?
In art. 82 AVG wordt eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de verordening het recht toegekend om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade. Hiermee wordt een benadeelde, wiens privacy is geschonden, een civiele actie geboden om de als gevolg daarvan geleden schade te verhalen op degeen die zijn privacy heeft geschonden.
Toepasselijk recht voor vaststelling schade bij privacyinbreuk
De beoordeling welke schade vergoed moet worden, vindt plaats aan de hand van het recht van het land waar de benadeling heeft plaatsgevonden. In beginsel dus het land waar de benadeelde woont. In Nederland is bij die bepaling art. 6:106 B.W. de maatstaf om de hoogte van een immateriële schadevergoeding vast te stellen. Zie ook de pagina Wettelijke verplichtingen tot schadevergoeding.
De rechter in Nederland is niet heel scheutig met schadevergoedingen, anders dan in de Angelsaksische landen. In een recente kwestie waarin een projectleider van een nieuwbouwproject per abuis een Excel met de persoonlijke gegevens (waaronder personalia en financiële informatie) aan 1.100 kandidaat-kopers had verstuurd, kende de rechter EUR 250,= toe. Ondertussen is dat – als alle 1.100 kandidaat-kopers dit bedrag opeisen – een substantieel bedrag. Zie voor deze uitspraak de pagina AVG.
De benadeelde zal wel moeten onderbouwen, welke concrete schade hij heeft geleden door de inbreuk. Voor zover daarbij immateriële schade wordt geclaimd, moet die schade worden beoordeeld aan de hand van het arrest HR 15 maart 2019 (EBI). Er moet daarvoor sprake zijn van (i) ernstig geestelijk letsel of (ii) andere schendingen van bepaalde aard en ernst. Er moet sprake zijn van ernstige gevolgen. De enkele schending van een fundamenteel recht is niet voldoende.
Risico websites van schadeclaim wegens schending AVG
Dit is niettemin een aanzienlijk financieel risico voor eigenaren van websites. In het blog Google Analytics in strijd met AVG kaartte ik aan, dat het Hof van Justitie EU en in navolging diverse Autoriteiten Persoonsgegevens hebben beslist, dat websites die gebruik maken van Google Analytics niet voldoen aan de AVG (GDPR), omdat door het gebruik van die tool IP adressen worden gedeeld met de servers van Google in Californië. Daardoor loopt de website gebruiker risico dat de Amerikaanse veiligheidsdiensten toegang krijgen tot zijn gegevens. Nog los van het feit, dat Google die gegevens gebruikt voor het opbouwen van gebruikersprofielen door allerlei data aan elkaar te koppelen en die weer te benutten voor bij voorbeeld advertenties.
Voor websites is Google Fonts ook een belangrijke tool. Het blijkt, dat die in heel veel websites in de CSS wordt benut om mooie lettertypen te kunnen vertonen. Ook die tool werkt via de servers van Google in de VS. Een Duitse websitegebruiker heeft van de Duitse rechter hiervoor een vergoeding van EUR 100,= toegekend gekregen (zie de website Security News).
Er zijn daarnaast diverse andere Amerikaanse bedrijven, die diensten aanbieden die belangrijk zijn voor websitebouwers en uitgevers. Die staan dus allemaal bloot aan het risico van schadeclaims. Het vervelende van internet is bovendien, dat het grensoverschrijdend is. Dus je loopt ook kans geconfronteerd te worden met een schadeclaim van een buitenlandse bezoeker van je website, die zich kan richten tot een Duitse, Ierse of Engelse rechter. Die andere regels toepast voor de begroting van schade.
Massaschadeclaims voor AVG inbreuken
Persoonlijk vind ik dit allemaal nogal ver gaan, maar vervelend genoeg is dit wel realiteit. En er zijn altijd gieren die in de lucht rondcirkelen op zoek naar een prooi. Diverse claimstichtingen (zie voor de mogelijkheden van massaschadeclaims de pagina Collectief Actierecht) zijn de messen aan het scherpen om achter deze – binnen Nederland – relatief kleine schadevergoedingen aan te gaan. En dan kan dit fors in de papieren gaan lopen.
In de zaak rechtbank Noord Nederland 12 januari 2021 (datalek Gemeente Oldambt) wees de rechtbank een schadevergoeding van EUR 500,= toe voor het op haar website plaatsen van persoonsgegevens (incl. BSN nr.) van de betrokkene. Dit was een individueel geval, en een redelijk ernstige inbreuk. Maar de trend is er.
Er zijn intussen meerdere massaschadeclaims ingesteld tegen diverse partijen: Facebook, Salesforce, Oracle, TikTok. Ook wegens datalekken bij de GGD zijn massaschadeclaims opgetuigd. In deze zaken is nog geen uitspraak gedaan, maar als er voor grote aantallen aangesloten particulieren een paar honderd Euro wordt toegewezen, kan dit in de miljoenen lopen.
De claimstichtingen zullen doorgaans wel grote tegenpartijen uitzoeken. Het gaat hen immers om het geld. Naast het risico van maatregelen van de kant van de AP – die voor kleinere organisaties niet zo groot zijn gezien de onderbezetting van de AP – is deze civiele marktwerking echter toch wel een serieus te nemen reden om zorgvuldiger om te gaan met persoonsgegevens en de naleving van de AVG. Of je het nu leuk vindt of niet.
MdV, 21-03-2022
Meer Aansprakelijkheidsrecht, Privacyrecht
Wat kost een privacyinbreuk?
Bij de invoering van de AVG werden we gewaarschuwd voor torenhoge boetes van de Autoriteit Persoonsgegevens. In de praktijk blijkt dat wel mee te vallen. De AVG beboet vooral grote organisaties en waarschuwt eerst. Het werkelijke risico schuilt in schadeclaims van particulieren, of erger: claimstichtingen. Welk risico loop je als exploitant van een website?
In art. 82 AVG wordt eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de verordening het recht toegekend om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade. Hiermee wordt een benadeelde, wiens privacy is geschonden, een civiele actie geboden om de als gevolg daarvan geleden schade te verhalen op degeen die zijn privacy heeft geschonden.
Toepasselijk recht voor vaststelling schade bij privacyinbreuk
De beoordeling welke schade vergoed moet worden, vindt plaats aan de hand van het recht van het land waar de benadeling heeft plaatsgevonden. In beginsel dus het land waar de benadeelde woont. In Nederland is bij die bepaling art. 6:106 B.W. de maatstaf om de hoogte van een immateriële schadevergoeding vast te stellen. Zie ook de pagina Wettelijke verplichtingen tot schadevergoeding.
De rechter in Nederland is niet heel scheutig met schadevergoedingen, anders dan in de Angelsaksische landen. In een recente kwestie waarin een projectleider van een nieuwbouwproject per abuis een Excel met de persoonlijke gegevens (waaronder personalia en financiële informatie) aan 1.100 kandidaat-kopers had verstuurd, kende de rechter EUR 250,= toe. Ondertussen is dat – als alle 1.100 kandidaat-kopers dit bedrag opeisen – een substantieel bedrag. Zie voor deze uitspraak de pagina AVG.
De benadeelde zal wel moeten onderbouwen, welke concrete schade hij heeft geleden door de inbreuk. Voor zover daarbij immateriële schade wordt geclaimd, moet die schade worden beoordeeld aan de hand van het arrest HR 15 maart 2019 (EBI). Er moet daarvoor sprake zijn van (i) ernstig geestelijk letsel of (ii) andere schendingen van bepaalde aard en ernst. Er moet sprake zijn van ernstige gevolgen. De enkele schending van een fundamenteel recht is niet voldoende.
Risico websites van schadeclaim wegens schending AVG
Dit is niettemin een aanzienlijk financieel risico voor eigenaren van websites. In het blog Google Analytics in strijd met AVG kaartte ik aan, dat het Hof van Justitie EU en in navolging diverse Autoriteiten Persoonsgegevens hebben beslist, dat websites die gebruik maken van Google Analytics niet voldoen aan de AVG (GDPR), omdat door het gebruik van die tool IP adressen worden gedeeld met de servers van Google in Californië. Daardoor loopt de website gebruiker risico dat de Amerikaanse veiligheidsdiensten toegang krijgen tot zijn gegevens. Nog los van het feit, dat Google die gegevens gebruikt voor het opbouwen van gebruikersprofielen door allerlei data aan elkaar te koppelen en die weer te benutten voor bij voorbeeld advertenties.
Voor websites is Google Fonts ook een belangrijke tool. Het blijkt, dat die in heel veel websites in de CSS wordt benut om mooie lettertypen te kunnen vertonen. Ook die tool werkt via de servers van Google in de VS. Een Duitse websitegebruiker heeft van de Duitse rechter hiervoor een vergoeding van EUR 100,= toegekend gekregen (zie de website Security News).
Er zijn daarnaast diverse andere Amerikaanse bedrijven, die diensten aanbieden die belangrijk zijn voor websitebouwers en uitgevers. Die staan dus allemaal bloot aan het risico van schadeclaims. Het vervelende van internet is bovendien, dat het grensoverschrijdend is. Dus je loopt ook kans geconfronteerd te worden met een schadeclaim van een buitenlandse bezoeker van je website, die zich kan richten tot een Duitse, Ierse of Engelse rechter. Die andere regels toepast voor de begroting van schade.
Massaschadeclaims voor AVG inbreuken
Persoonlijk vind ik dit allemaal nogal ver gaan, maar vervelend genoeg is dit wel realiteit. En er zijn altijd gieren die in de lucht rondcirkelen op zoek naar een prooi. Diverse claimstichtingen (zie voor de mogelijkheden van massaschadeclaims de pagina Collectief Actierecht) zijn de messen aan het scherpen om achter deze – binnen Nederland – relatief kleine schadevergoedingen aan te gaan. En dan kan dit fors in de papieren gaan lopen.
In de zaak rechtbank Noord Nederland 12 januari 2021 (datalek Gemeente Oldambt) wees de rechtbank een schadevergoeding van EUR 500,= toe voor het op haar website plaatsen van persoonsgegevens (incl. BSN nr.) van de betrokkene. Dit was een individueel geval, en een redelijk ernstige inbreuk. Maar de trend is er.
Er zijn intussen meerdere massaschadeclaims ingesteld tegen diverse partijen: Facebook, Salesforce, Oracle, TikTok. Ook wegens datalekken bij de GGD zijn massaschadeclaims opgetuigd. In deze zaken is nog geen uitspraak gedaan, maar als er voor grote aantallen aangesloten particulieren een paar honderd Euro wordt toegewezen, kan dit in de miljoenen lopen.
De claimstichtingen zullen doorgaans wel grote tegenpartijen uitzoeken. Het gaat hen immers om het geld. Naast het risico van maatregelen van de kant van de AP – die voor kleinere organisaties niet zo groot zijn gezien de onderbezetting van de AP – is deze civiele marktwerking echter toch wel een serieus te nemen reden om zorgvuldiger om te gaan met persoonsgegevens en de naleving van de AVG. Of je het nu leuk vindt of niet.
MdV, 21-03-2022