Schadevergoeding in massaclaims privacyschending: kansrijk?

Maarten Fiers  |  5 april 2022  |  Leestijd: ongeveer 5 minuten

Nieuwe wetgeving die het voor gedupeerden eenvoudiger maakt om collectief schade te verhalen, heeft er toe geleid dat het aantal massaclaims in Nederland de afgelopen jaren enorm is toegenomen. Veel van die massaclaims zien op het schenden van privacy wet- en regelgeving door, vooral, grote Amerikaanse techbedrijven. De aard en omvang van de schade is in zaken waarbij het gaat om schending van de privacy vaak niet eenvoudig vast te stellen. De Afdeling bestuursrechtspraak van de Raad van State heeft zich hier recent over uitgelaten. Een uitspraak die mogelijk grote gevolgen kan hebben voor massaclaims.

Er lopen op dit moment verschillende rechtszaken tegen grote techbedrijven voor het schenden van de privacy. Zo zijn er collectieve schadeclaims ingediend tegen TikTok, wegens schending van privacy- en consumentenwetgeving. Maar ook Facebook moet er aan geloven. De Consumentenbond sleepte het Amerikaanse bedrijf voor de rechter voor het verzamelen en verkopen van privégegevens van Nederlandse Facebook-gebruikers, zonder daar expliciet toestemming voor te vragen.

Eerder werden de Amerikaanse bedrijven Oracle en Salesforce door de claimstichting The Privacy Collective voor de Nederlandse rechter gedaagd vanwege een vermeende schending van de privacy. Dit overigens zonder succes. Ondertussen bereidt Stichting ICAM een massaclaim voor tegen het Ministerie van Volksgezondheid, Welzijn en Sport voor het datalek in de coronasystemen van de GGD.

Massaclaims in het Verenigd Koninkrijk

In het Verenigd Koninkrijk wilde Google You Owe Us, een belangenorganisatie, zo’n 3 miljard pond (omgerekend 3,5 miljard euro) schadevergoeding van Google, omdat het bedrijf tussen juni 2011 en februari 2012 illegaal gegevens van miljoenen iPhone-gebruikers zou hebben verzameld. Google You Owe Us spande namens deze groep gedupeerden een collectieve rechtszaak aan. Het Britse Supreme Court wees eind vorig jaar de claim af omdat iedere individuele gebruiker afzonderlijk moest aantonen dat er sprake was van een schending van de privacy en bovendien dat die individu ook daadwerkelijk schade had geleden.

In Nederland blijft de gang naar de rechter voor collectieve schadezaken aantrekkelijk, nu claimstichtingen sinds 2020 namens een grote groep Nederlandse gebruikers een rechtszaak kunnen aanspannen zonder voor ieder individueel geval bewijs aan te moeten leveren. Op dit moment is Nederland koploper in Europa op het gebied van collectieve claims. En naar verwachting blijft dit aantal de komende jaren ook stijgen. Zeker nu ook de Britse route voor massaclaims door het Supreme Court flink lijkt ingeperkt.

Privacyschending door gemeente

Interessant in het licht van de toename van massaclaims is een recente uitspraak van de Afdeling bestuursrechtspraak van de Raad van State. Hierbij ging het om een burenruzie, waarbij de ene buur veelvuldig over de andere buur klaagde bij de gemeente Eindhoven. Een van die klachten stuurde de gemeente naar derden door, zonder het e-mailadres van de klagende buur onleesbaar te maken. U raadt het al: uiteindelijk belandt dit bericht bij de andere buur, met alle gevolgen van dien. De klagende buur stelt de gemeente vervolgens aansprakelijk voor de schade die zij hierdoor heeft geleden.

De gemeente erkent de fout en is het met de klagende buur eens dat het doorsturen van het e-mailbericht, zonder het e-mailadres onleesbaar te maken, onrechtmatig is. Maar voor toekenning van schadevergoeding is volgens de gemeente geen plaats, nu de klagende buur niet aannemelijk heeft gemaakt welke nadelige gevolgen zij heeft ondervonden van het doorsturen van het bewuste e-mailbericht.

De kwestie belandt uiteindelijk bij de hoogste bestuursrechter. De Afdeling bestuursrechtspraak stelt vast dat de gemeente de AVG heeft geschonden, maar dat dit niet betekent dat er zonder meer sprake is van aantasting van de integriteit van een persoon en daarmee van een aanspraak op vergoedbare schade. Het is aan de klagende buur om de gestelde schade te onderbouwen.

Aantonen schade

Materiele schade die direct is te relateren aan de privacyschending zal vrij eenvoudig kunnen worden aangetoond. Anders is dit voor immateriële schade, waarbij het over aantasting van de eer of goede naam gaat. Hoe dat precies moet worden onderbouwd blijft onduidelijk. In een recente uitspraak van de Rechtbank Rotterdam wees de kantonrechter een schadevergoeding van € 250 toe, nadat een uitvoerder van een nieuwbouwproject een e-mail had verzonden aan alle personen die zich hadden ingeschreven voor het betreffende project. Bij deze e-mail was een onbeveiligd Excelbestand gevoegd met daarin de gegevens van alle ongeveer 1100 personen die zich hadden ingeschreven voor het project. De Excellijst bevat onder meer NAW-gegevens en financiële gegevens zoals het jaarinkomen en de eigen middelen die de kandidaat-kopers willen inbrengen. Eiseres vordert in de procedure een schadevergoeding van € 20.000. Het bleef dus bij € 250. Bij de omvang van de schadevergoeding houdt de kantonrechter rekening met het feit dat de persoonsgegevens niet openbaar zijn gemaakt aan een algemeen publiek maar aan een in omvang beperkte groep mensen en dat het geen bijzondere persoonsgegevens betreffen. Omdat het wel gaat om gevoelige financiële gegevens, kent de rechtbank een beperkte schadevergoeding toe.

Terug naar de burenkwestie. Nu in de procedure voor de Raad van State onduidelijk is gebleven waarom het noemen van het e-mailadres als aantasting van de eer of goede naam van de klagende buur zou hebben te gelden en ook niet duidelijk is gemaakt wat precies de nadelige gevolgen, als in concrete schade, zijn geweest van het delen van het e-mailadres, wordt er geen schadevergoeding toegekend.

Het enkele feit dat de AVG is geschonden betekent dus niet automatisch dat er recht op schadevergoeding bestaat. Schade komt slechts voor vergoeding in aanmerking als de benadeelde partij deze ook echt kan aantonen. Relevant is daarbij dat het doel van schadevergoeding het herstel of het bieden van compensatie voor een inbreuk op de privacy is. Het is niet zo dat de schadevergoeding enkel wordt gerechtvaardigd als bestraffende sanctie naar de overtreder, wat een succesvol beroep op schadevergoeding makkelijker zou maken.

Gevolgen voor de praktijk?

Wat betekent deze uitspraak van de Afdeling bestuursrechtspraak nu voor al die massaclaims? De deur naar de rechtszaal staat voor collectieve acties vanwege privacyschending nog steeds open, maar het is wel de vraag hoe de Nederlandse rechters om zullen gaan met de vaststelling van de schade. De vraag of een specifieke privacynorm is geschonden zal de rechter relatief eenvoudig kunnen beantwoorden. Of daar ook een aanspraak tot schadevergoeding voor elke benadeelde uit voortvloeit is nog maar de vraag. Zoals we zagen lijkt voorlopig elk individu de geleden schade concreet te moeten onderbouwen, wil deze voor vergoeding in aanmerking komen. De claimstichtingen strijden daarmee vooral voor de goede zaak. De consument die het enkel om schade te doen is, zal mogelijk genoegen moeten nemen met een pyrrusoverwinning.

Heeft u vragen? Neem dan contact op met Maarten Fiers.

Volg Schaap Advocaten Notarissen op LinkedIn.