In mei 2019 werd voor het eerst door een Nederlandse rechter een schadevergoeding toegekend op grond van de Algemene Verordening Gegevensbescherming (“AVG”). Inmiddels is deze uitspraak in hoger beroep vernietigd. Waarom de Afdeling bestuursrechtspraak van de Raad van State (“de Afdeling”) overging tot vernietiging van de uitspraak van de rechtbank licht ik hieronder toe.
De uitspraak in eerste aanlegOp 20 juni 2019 schreef ik een artikel over een uitspraak van de Rechtbank Overijssel, waarin de gemeente werd veroordeeld om een schadevergoeding van € 500,- te betalen aan de eiser in deze procedure. De rechtbank overwoog in deze uitspraak dat voor nadeel dat niet uit vermogensschade bestaat, de benadeelde recht heeft op een naar billijkheid vast te stellen schadevergoeding indien hij in zijn eer of goede naam is geschaad of op andere wijze in zijn persoon is aangetast. Vervolgens oordeelde de rechtbank dat de eiser in zijn persoon was aangetast wegens verlies van controle over zijn persoonsgegevens en achtte een schadevergoeding van € 500,- billijk. Dit was de eerste keer dat een Nederlandse rechter op grond van de AVG een schadevergoeding toekende.
Hoger beroep
Ik vroeg mij in de afsluiting van het artikel af of dit betekent dat iedereen die door een onrechtmatig besluit controle over zijn persoonsgegevens is verloren op deze wijze in aanmerking kan komen voor schadevergoeding. Het antwoord hierop is: nee. Dit blijkt uit de uitspraak in hoger beroep van de Afdeling op 1 april 2020.
De Afdeling overweegt dat de verstrekking van persoonsgegevens van appellant als onrechtmatig moet worden aangemerkt. De Raad van State stelt vervolgens dat er geen grond is voor het oordeel dat een inbreuk op de AVG zonder meer aantasting van de integriteit van een persoon impliceert en daarmee tot vergoedbare schade leidt. Zij overweegt:
“Dat een inbreuk op persoonsgegevens kan resulteren in (im)materiële schade en dat een betrokkene volledige en daadwerkelijke vergoeding van de door hem geleden schade moet ontvangen, betekent niet dat een normschending per definitie tot schade leidt en dat schade niet reëel en zeker moet zijn geleden.”
Vervolgens overweegt de Afdeling dat in dit geval zich niet de situatie voordoet waarbij de nadelige gevolgen van de normschending voor de hand liggen. Het gaat niet om ernstig verwijtbaar gedrag met dermate ernstige gevolgen, dat dit als een inbreuk op een fundamenteel recht moet worden gekwalificeerd.
De Afdeling komt tot het oordeel dat het aan de betrokkene is om de aantasting in zijn persoon aannemelijk te maken en de door hem gestelde schade concreet te onderbouwen. In het onderhavige geval is hier volgens de Afdeling niet aan voldaan. De uitspraak van de rechtbank, waarin de rechtbank de gemeente heeft veroordeeld tot het betalen van schadevergoeding, wordt vernietigd en de Afdeling zal het verzoek om schadevergoeding afwijzen.
Conclusie
Een inbreuk op persoonsgegevens kan leiden tot materiële of immateriële schade die vervolgens vergoed moet worden. De schade die is geleden door de inbreuk moet dan echter wel concreet onderbouwd worden om voor vergoeding in aanmerking te komen. Als dit niet voldoende kan worden onderbouwd, zal een verzoek tot schadevergoeding worden afgewezen.
