Schadevergoeding bij schending privacyregels (AVG)
Door de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) is de privacywetgeving ingrijpend veranderd. Als een bestuursorgaan inbreuk maakt op deze regels kan voortaan ook een verzoek om schadevergoeding door de Afdeling Bestuursrechtspraak van de Raad van State worden behandeld.
Op 1 april 2020 heeft de Afdeling vier uitspraken gewezen in verschillende zaken waarin bij het bestuursorgaan een verzoek om schadevergoeding was ingediend als gevolg van een (vermeende) schending van privacywetgeving door het betreffende bestuursorgaan. In drie kwesties waren op het besloten internetforum van de Vereniging van Nederlandse Gemeenten gegevens geplaatst van bepaalde personen. De betrokkenen hadden daarvoor geen toestemming gegeven. Daarnaast waren er medische gegevens verstrekt aan het tuchtcollege voor de gezondheidszorg.
De Afdeling oordeelt in deze uitspraken dat geen onrechtmatig besluit als bedoeld in artikel 8:88 lid 1 sub a Awb meer nodig is om de bestuursrechter een oordeel te laten geven op een verzoek om schadevergoeding.
Welke rechter bevoegd?
De Afdeling overweegt dat de AVG rechtstreeks toepasselijk is in elke lidstaat en dat de aanspraak op schadevergoeding in het geval van handelen in strijd met de AVG rechtstreeks uit de AVG voortvloeit. De AVG bepaalt daarbij niet specifiek welke gerechten binnen een lidstaat bevoegd zijn over het recht op schadevergoeding te oordelen.
Kort gezegd betekent dit dat op basis van het nationale recht moet worden bepaald welke rechter bevoegd is om te oordelen over verzoeken om schadevergoeding. Gelet op het bepaalde in artikel 8:88 eerste lid aanhef en onder a van de Awb in samenhang met artikel 34 van de Uitvoeringswet AVG, is de bestuursrechter bevoegd op het verzoek van een belanghebbende om een bestuursorgaan te veroordelen tot vergoeding van een schade die een belanghebbende lijdt of zal lijden in verband met een schriftelijke beslissing als bedoeld in artikel 34 van de Uitvoeringswet.
Een schriftelijke beslissing op een verzoek – als bedoeld in artikelen 15 tot en met 22 van de verordening – is een besluit in de zin van de Algemene wet bestuursrecht. In voornoemde artikelen staat onder meer het recht op inzage van persoonsgegevens, het recht op rectificatie of wissen van persoonsgegevens, het recht op beperking van de hem betreffende verwerking, het recht om tegen verwerking van persoonsgegeven bezwaar te maken, het recht op gegevensoverdraagbaarheid en het recht om niet uitsluitend aan geautomatiseerde gegevensverwerking te worden onderworpen opgenomen.
Is sprake van een besluit?
In artikel 8:88 Awb staat in lid 1 expliciet opgenomen dat het moet gaan om schade als gevolg van een onrechtmatig besluit. Niet in alle gevallen zal echter sprake zijn van een onrechtmatig besluit. Hoe gaat de Afdeling daar mee om?
De Afdeling leidt uit artikel 8:88 van de Awb in samenhang met artikel 34 van de Uitvoeringswet AVG af dat bij de bestuursrechter aanspraak kan worden gemaakt op vergoeding van schade die het gevolg is van onrechtmatig verwerken van persoonsgegevens door een bestuursorgaan. Daarbij wordt artikel 8:88 van de Awb ruimer uitgelegd dan normaal gesproken aangezien er niet perse een onrechtmatig besluit hoeft te zijn. Er hoeft slechts een verband te bestaan met een besluit als bedoeld in artikel 34 van de Uitvoeringswet AVG. In een dergelijk geval kan de bestuursrechter in een verzoekschriftprocedure een oordeel geven over de onrechtmatigheid van de verwerking van gegevens waarop het besluit betrekking heeft.
Geen onrechtmatig besluit nodig
Gelet op het voorgaande hoeft dat besluit zelf dus niet onrechtmatig te zijn. Ook hoeft dat dat besluit geen oordeel over de rechtmatigheid van de verwerking van de gegevens te bevatten. Wel blijft het zo dat als het verzoek een hoger bedrag betreft dan € 25.000,– de burgerlijke rechter exclusief bevoegd is om van dat verzoek kennis te nemen.
Plaatsen gegevens op forum VNG
De Afdeling oordeelt dat het plaatsen van gegevens op een besloten internetforum niet leidt tot een schadevergoeding. De reden hiervoor is dat deze gegevens alleen terecht zijn gekomen bij een kleine groep professionals met een beroepsgeheim.
Doorzenden medische gegevens
Ten aanzien van de persoon van wie de medische gegevens waren doorgezonden, is de persoonlijke levenssfeer zodanig geschonden dat het een aantasting in de persoon die een schadevergoeding van € 500,– rechtvaardigt.
Slot
Gelet op het feit dat de bestuursrechter laagdrempelig te benaderen is zonder advocaat, is de verwachting dat een al dan niet vermeende privacyschending vaker aan de bestuursrechter zal worden voorgelegd. Het is goed om er zorg voor te dragen dat aan de AVG wordt voldaan.
Onderstaand vind u een link naar de uitspraken:
https://www.raadvanstate.nl/actueel/nieuws/@120633/201901006-1-a2/
https://www.raadvanstate.nl/actueel/nieuws/@120629/201905087-1-a2/
https://www.raadvanstate.nl/actueel/nieuws/@120624/201902417-1-a2/
https://www.raadvanstate.nl/actueel/nieuws/@120631/201902699-1-a2/
Mocht u over dit onderwerp vragen hebben dan kunt u contact opnemen met één van onze specialisten overheidsrecht of privacyrecht.