Kan ik een schadevergoeding eisen voor angst en stress na een datalek? (Everest)

Auteur: Joris Deene (Everest)

Ja, het Hof van Justitie van de Europese Unie heeft bevestigd dat negatieve gevoelens zoals angst, stress of ongenoegen na een inbreuk op uw persoonsgegevens recht kunnen geven op een schadevergoeding. De loutere vrees voor misbruik van uw data of het verlies van controle kan volstaan, zonder dat u een minimumdrempel van ernst hoeft te bewijzen. Dit verlaagt de drempel voor slachtoffers van datalekken aanzienlijk.

De feiten: een uit de hand gelopen sollicitatie

De zaak die tot het arrest van 4 september 2025 leidde (zaak C-655/23, IP t. Quirin Privatbank AG) was opmerkelijk eenvoudig. Een sollicitant, IP, onderhandelde over zijn loonvoorwaarden met Quirin Privatbank. Een medewerker van de bank stuurde per ongeluk een bericht met de afwijzing van zijn looneisen en een tegenvoorstel naar een verkeerde persoon via een professioneel sociaal netwerk. Deze derde kende de sollicitant toevallig uit een vorige werkervaring en stuurde het bericht naar hem door.

De sollicitant voelde zich vernederd en was bezorgd dat deze vertrouwelijke informatie in zijn professionele kring zou circuleren, wat hem in de toekomst concurrentieel nadeel zou kunnen berokkenen. Hij stapte naar de rechter en eiste twee zaken:

1. Een verbod voor de bank om in de toekomst nog een dergelijke fout te maken.
2. Een schadevergoeding van €1.000 voor de geleden morele schade (stress, vernedering, angst).

De Duitse rechtbanken waren verdeeld. De eerste rechter kende beide vorderingen toe, maar in beroep oordeelde de rechter dat de “vernedering” niet ernstig genoeg was om als schade te kwalificeren. Uiteindelijk legde de hoogste Duitse federale rechter de kwestie voor aan het Europees Hof van Justitie

De beslissing van het Hof van Justitie

Op 4 september 2025 velde het Hof een arrest dat de rechten van slachtoffers van datalekken aanzienlijk versterkt. De kern van de beslissing kan in vier punten worden samengevat:

1. Negatieve gevoelens kwalificeren als “morele schade” Het Hof oordeelde dat het begrip “immateriële schade” in artikel 82, lid 1, van de Algemene Verordening Gegevensbescherming (AVG) ruim moet worden geïnterpreteerd. Negatieve gevoelens zoals angst, bezorgdheid, ergernis, ongenoegen of vernedering kunnen volstaan. Het slachtoffer moet wel aantonen dat deze gevoelens een direct gevolg zijn van de AVG-inbreuk, maar er is geen minimumdrempel. Zelfs geringe, maar bewezen, morele schade komt dus voor vergoeding in aanmerking.

2. De ernst van de fout is niet relevant voor de hoogte van de vergoeding Het Hof stelt duidelijk dat de schadevergoeding onder artikel 82 AVG een uitsluitend compensatoire functie heeft. Het doel is het slachtoffer volledig te vergoeden voor de geleden schade, niet om het bedrijf te bestraffen. Daarom mag de mate van schuld van de verwerkingsverantwoordelijke (was het opzet of loutere nalatigheid?) geen rol spelen bij het bepalen van de hoogte van de schadevergoeding. De vergoeding wordt enkel gebaseerd op de omvang van de bewezen schade bij het slachtoffer.

3. Een verbod voor de toekomst is geen AVG-recht, maar kan via nationaal recht De AVG zelf voorziet niet expliciet in een recht voor een individu om via de rechter een preventief verbod op te leggen aan een bedrijf om een inbreuk te herhalen. Het Hof stelt echter dat de AVG lidstaten niet belet om een dergelijk rechtsmiddel in hun eigen nationale wetgeving te voorzien. In België kan men bijvoorbeeld argumenteren dat een dergelijk verbod eventueel via artikel 18, tweede lid Gerechtelijk Wetboek kan worden gevraagd.

4. Een verbod en schadevergoeding staan los van elkaar Een preventief verbod en een schadevergoeding dienen totaal verschillende doelen. Het verbod is preventief (toekomstgericht), terwijl de schadevergoeding compensatoir is (gericht op het herstellen van reeds geleden schade). Daarom kan het verkrijgen van een verbod nooit leiden tot een vermindering of vervanging van de financiële schadevergoeding.

Juridische analyse en duiding

Dit arrest ligt perfect in de lijn van eerdere rechtspraak van het Hof (zoals de zaak Österreichische Post, C-300/21), maar verfijnt en bevestigt de principes. De trend is onmiskenbaar: de bescherming van het individu en de versterking van diens rechten onder de AVG staan centraal.

De duidelijke scheiding tussen de compensatoire functie van artikel 82 AVG (schadevergoeding voor het slachtoffer) en de punitieve functie van artikel 83 AVG (administratieve boetes opgelegd door de toezichthouder) is juridisch cruciaal. Een bedrijf kan dus tweemaal getroffen worden: een hoge boete van de Gegevensbeschermingsautoriteit én schadeclaims van gedupeerde burgers. De intentie of nalatigheid van het bedrijf is enkel relevant voor de hoogte van de boete, niet voor de individuele schadevergoeding.

De belangrijkste verschuiving voor de rechtspraktijk is de focus op het bewijs van de schade. Waar de discussie voorheen vaak ging óf gevoelens als “vrees” wel schade konden zijn, zal de focus nu liggen op de vraag: heeft het slachtoffer voldoende aangetoond dat hij/zij deze vrees daadwerkelijk heeft ervaren als gevolg van de inbreuk? Het is aan de nationale rechters om dit van geval tot geval te beoordelen.

Wat dit concreet betekent

Voor slachtoffers (betrokkenen):

• Uw rechten zijn versterkt: U hoeft geen financiële of materiële schade te bewijzen om een vergoeding te kunnen claimen. Morele schade, zoals de angst dat uw gegevens misbruikt worden, volstaat.
• Documenteer alles: Houd een dagboek bij van uw gevoelens en zorgen na het vernemen van een datalek. Wanneer voelde u zich angstig? Waarover maakte u zich zorgen? Dit kan dienen als bewijs.
• De fout van het bedrijf is niet uw zorg: U hoeft niet te bewijzen dat het bedrijf opzettelijk of zwaar in de fout ging om een volledige vergoeding voor uw schade te krijgen.

Voor bedrijven (verwerkingsverantwoordelijken):

• Preventie is cruciaal: De risico’s zijn groter dan ooit. Zelfs een kleine, onopzettelijke menselijke fout kan leiden tot legitieme schadeclaims. Investeer in technische maatregelen en doorgedreven training van uw personeel.
• De “sorry”-verdediging volstaat niet: Een verontschuldiging of het rechtzetten van de fout kan de schade niet wegnemen en zal de verschuldigde schadevergoeding niet verminderen. De compensatie is gebaseerd op de impact bij het slachtoffer, niet op de houding van uw bedrijf achteraf.
• Herzie uw verzekeringspolissen: Ga na of uw cyber- of aansprakelijkheidsverzekering dit soort claims voor immateriële schade, zonder drempel van ernst, adequaat dekt.

FAQ (Veelgestelde vragen)

Hoeveel schadevergoeding kan ik krijgen voor morele schade?

Er zijn geen vaste bedragen. De vergoeding moet “volledig en daadwerkelijk” zijn en wordt bepaald door de rechter op basis van de concreet bewezen schade. Voor geringe schade zal de vergoeding wellicht symbolisch zijn, maar voor ernstige angst of reputatieschade kunnen de bedragen oplopen.

Moet ik bewijzen dat het bedrijf opzettelijk een fout maakte?

Nee. Voor het recht op en de hoogte van de schadevergoeding is de mate van schuld niet relevant. De AVG voorziet in een vermoeden van schuld. Het is aan het bedrijf om te bewijzen dat het op geen enkele wijze verantwoordelijk is voor de schade (een zeer hoge bewijslast).

Kan ik een bedrijf dwingen om een datalek in de toekomst te voorkomen?

Hoewel de AVG dit niet als een afdwingbaar recht voor burgers voorziet, kan het Belgische recht wel mogelijkheden bieden om een preventief verbod te vorderen. Dit staat echter los van uw recht op schadevergoeding en vereist een aparte juridische analyse.

Conclusie

Het arrest in de zaak Quirin Privatbank bevestigt dat de bescherming van persoonsgegevens een fundamenteel recht is met concrete gevolgen. Slachtoffers van datalekken en andere privacy-inbreuken staan sterker dan ooit om vergoeding te vragen voor de emotionele impact, zoals stress en angst. Voor bedrijven wordt de boodschap nog duidelijker: een proactief en waterdicht gegevensbeschermingsbeleid is geen luxe, maar een absolute noodzaak om aanzienlijke financiële en reputatierisico’s te vermijden.

Bron: Everest