Naar inhoud

Schending AVG kan thans leiden tot collectieve schadeclaims

Een Nederlandse rechter heeft recent een vergoeding voor immateriële schade van 500 euro toegekend vanwege de schending van de privacy van een individu. Daarmee is de eerste schadevergoeding op basis van een claim wegens het niet voldoen aan de Algemene verordening gegevensbescherming (AVG) – de privacyverordening die sinds 25 mei 2018 van kracht is – een feit in Nederland. In combinatie met de inwerkingtreding van de Wet afwikkeling massaschade in collectieve actie (WAMCA) per 1 januari 2020 maakt dit de weg vrij voor het indienen van collectieve schadeclaims bij organisaties die op grote schaal persoonsgegevens – niet correct – verwerken. Dit is een analyse van de mogelijke gevolgen en risico’s van deze ontwikkeling.


Wet afwikkeling massaschade in collectieve actie

“De belangrijkste wijziging die de WAMCA met zich meebrengt, is de mogelijkheid om namens meerdere mensen in Nederland een schadeclaim in te dienen”, vertelt Bram van Tiel, partner cybersecurity & privacy bij accountants- en adviesorganisatie PwC. “Voorheen moesten gedupeerden nog individuele procedures starten om überhaupt aanspraak te kunnen maken op een schadevergoeding.”

“Dat is nu verleden tijd. Zowel de vernieuwde WAMCA als de AVG bepaalt dat een burger zich mag laten vertegenwoordigen door een belanghebbende stichting of vereniging en nu dus ook voor het vorderen van een schadevergoeding namens het individu. Voor individuen wordt het dan ook makkelijker om gezamenlijk in één procedure hun schade te claimen bij een civiele rechter.”

Vaststelling schadevergoeding

“Lange tijd was het onduidelijk hoe de hoogte van de schadevergoeding in dergelijke gevallen berekend moest worden”, duidt Yvette van Gemerden, partner legal, people & organisation bij PwC. “Want hoe kwantificeer je de schade die je hebt opgelopen als gevolg van iets abstracts en persoonlijks als de schending van jouw privacy? Recentelijk heeft de afdeling bestuursrechtspraak van de Raad van State gezegd dat bij de berekening van de hoogte van de schadevergoeding gekeken moet worden naar de aard, de duur en de ernst van de privacyinbreuk.”

“In deze zaak ging het om medische gegevens van een patiënt van een psychiatrische kliniek die onrechtmatig gedeeld werden met derde partijen. De rechter stelde in dit specifieke geval vast dat een schadevergoeding van 500 euro redelijk was voor het schenden van de privacy van de patiënt, omdat er slechts sprake was van een beperkte inbreuk op de privacy, vanwege de beperkte aard, ernst en duur van die inbreuk. Een schadevergoeding bij zwaardere inbreuken kan dus hoger uitvallen. De tijd zal het leren.”

Eerste multinationals gedagvaard

“De schadevergoeding van 500 euro lijkt misschien niet opzienbarend, maar deze ontwikkeling kan samen met de WAMCA leiden tot significante schadeclaims voor organisaties die op grote schaal persoonsgegevens verwerken”, stelt Yvette van Gemerden. “De som van de totale schadeclaim kan worden berekend door het aantal gedupeerde personen te vermenigvuldigen met 500 euro of meer.”

“Deze collectieve schadeclaims vormen naast de boetes van toezichthouders - de Autoriteit Persoonsgegevens gaf al een boete van 750.000 euro voor het onrechtmatig verwerken van vingerafdrukken en een boete van 830.000 euro voor het in rekening brengen van kosten wanneer personen inzage vroegen in hun eigen gegevens – een niet te onderschatten risico. Inmiddels is de eerste serieuze zaak hiervoor in de maak, want twee grote multinationals zijn recent gedagvaard om voor een Nederlandse rechter te verschijnen.”

Een intern privacy control framework – ondersteund met technologie – kan je organisatie zicht en grip geven op de huidige mate van volwassenheid van je privacyprogramma.

Risicoreductie boetes en massaclaims

“Een van de belangrijkste manieren om het risico op privacygerelateerde boetes en civiele massaclaims te minimaliseren, is te zorgen dat je AVG-programma up-to-date is en je organisatie zorgvuldig omgaat met persoonsgegevens”, geeft Bram van Tiel aan. “Ook als uit data protection impact assessments blijkt dat persoonsgegevens op grote schaal worden verwerkt, verdient dit dus extra aandacht.”

“Hierbij is het belangrijk te beseffen dat het voldoen aan de privacynormen meer is dan een eenmalige papieren exercitie. Privacy en gegevensbescherming vergen continue aandacht, zowel in de boardroom als bij de business en binnen de IT-omgeving. Een intern privacy control framework – ondersteund met technologie – kan je organisatie zicht en grip geven op de huidige mate van volwassenheid van je privacyprogramma. Op basis van het framework en actuele data kun je jouw inspanningen op tijd bijsturen en je richten op de grootste privacyrisico's voor betrokken personen en je organisatie.

“Daarnaast is het van belang om het maatschappelijk draagvlak niet uit het oog te verliezen”, adviseert Yvette van Gemerden. “Dat wat juridisch en technisch mogelijk is met persoonsgegevens, resoneert namelijk niet altijd met de opvattingen en verwachtingen in de samenleving. Wij adviseren dan ook om zorgvuldig na te gaan welke ethische en maatschappelijke belangen een rol spelen bij jouw – voorgenomen – verwerkingen van persoonsgegevens.”

Tip: Wil je weten hoe je insights en data omzet naar een strategie en concrete acties? Dan is de opleiding Customer Insight & Data Driven Marketing wat voor jou!

  • Tijdens de opleiding leer je hoe je met data en inzichten zowel de waarde voor de klanten als de waarde voor de organisatie kunt verhogen.
  • Naast de opleiding stel je een managementplan op over customer insights voor je eigen organisatie, direct geschikt voor implementatie.
Lees meer over deze opleiding ►
Bron: CustomerTalk
0
Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie