Schadevergoeding bij inbreuken op de GDPR (Mr. Franklin)

Privacy & Gegevensbescherming | 2 januari 2024

Auteur: Mattice De Schagt (Mr. Franklin)

In een eerder artikel bespraken we al welke doeltreffende gerechtelijke procedures er bestaan voor de betrokkene tegen een onrechtmatige gegevensverwerking. Zo kan de betrokkene terecht bij de gewone rechter en kan hij door het instellen van een stakingsvordering aan de voorzitter van de rechtbank van eerste aanleg verzoeken de staking van bepaalde gegevensverwerkingen te bevelen. Dergelijke procedure kent één groot gebrek. Er kan door het instellen van een stakingsvordering namelijk geen schadevergoeding worden toegekend. In dit artikel verduidelijken we hoe je als betrokkene eventuele geleden schade, geleden door een inbreuk op de GDPR, vergoed kan zien.

Veroordeling Nederlandse hogeschool

Op 4 oktober 2023 werd in Nederland de Stichting Hogeschool van Arnhem en Nijmegen veroordeeld tot het betalen van een schadevergoeding van 300 euro wegens een inbreuk op bepaalde wetsbepalingen van de GDPR. De eiser, een alumnus van die hogeschool, rondde in februari 2021 zijn opleiding af met enige vertraging omwille van persoonlijke omstandigheden. Op 1 september 2022 slaagde een hacker erin toegang te krijgen tot de server van de hogeschool en kreeg op die manier verschillende persoonsgegevens in handen. Mogelijks kreeg de hacker ook de persoonsgegevens van de alumnus in handen, waaronder ook de details van de ‘persoonlijke omstandigheden’ waardoor zijn afstuderen vertraging opliep. Naar aanleiding daarvan verzocht de alumnus een schadevergoeding te ontvangen ten bedrage van 1000,00 euro van de hogeschool wegens de diefstal van zijn (bijzondere) persoonsgegevens.

De hogeschool weigerde aanvankelijk een schadevergoeding uit te betalen, hetgeen ervoor heeft gezorgd dat de alumnus zich genoodzaakt voelde zich te wenden tot een rechter. De Nederlandse rechter oordeelde dat niet ieder datalek een inbreuk op de GDPR uitmaakt doch dat moet worden nagegaan of het beveiligingsniveau van de persoonsgegevens passend was ten tijde van de hacking. Artikel 32 van de GDPR bepaalt namelijk dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen dient te nemen, die zijn afgestemd op het beveiligingsrisico en waarbij rekening dient te worden gehouden met de stand van de techniek, de kosten, de aard, omvang en context van de verwerkingsactiviteiten en de waarschijnlijkheid en ernst van de mogelijke risico’s voor de rechten van de betrokkenen. Aangezien de hogeschool had nagelaten concreet inzichtelijk te maken welke maatregelen het had getroffen m.b.t. de gehackte applicatie, doch enkel had aangegeven de gegevens te hebben gepseudonomiseerd, was de rechter van oordeel dat de hogeschool een inbreuk had gemaakt op voormeld artikel.

Hoewel een inbreuk door de rechter werd vastgesteld, brengt dit niet automatisch een schadevergoeding met zich mee. De immateriële schade die de eiser aanvoert, zal enkel worden vergoed indien hij voldoende onderbouwt dat hij in zijn persoon is aangetast. De beoordeling daarvan gebeurt door de rechter per individueel geval, rekening houdend met de geschonden norm en de door die norm beschermde belangen. De rechter was in deze zaak van oordeel dat het lekken van algemene persoonsgegevens van de alumnus (naam, adres, woonplaats, …) niet tot schade kunnen hebben geleid. Deze gegevens waren namelijk tijdens een ander datalek (bij een andere verwerkingsverantwoordelijke) reeds buitgemaakt alsook had de alumnus dergelijke gegevens zelf reeds publiek bekendgemaakt. Het lekken van bijzondere (in casu medische) persoonsgegevens is daarentegen wel problematisch. Hoewel de alumnus initieel al veel moeite had om persoonlijke medische gegevens met de hogeschool te delen en hem werd verzekerd dat zijn verhaal veilig was, maakten deze gegevens uiteindelijk toch deel uit van het datalek. Het vertrouwen van de alumnus had dus een enorme deuk gekregen. De rechter kende bijgevolg een schadevergoeding toe. De rechter verminderde de gevorderde 1000 euro naar 300 euro aangezien niet concreet kon worden aangetoond tot welke concrete negatieve gevolgen het datalek heeft geleid.

Instellen van een vordering tot schadevergoeding

De GDPR voorziet dat iedereen die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de verordening het recht heeft om van de verwerkingsverantwoordelijke (of verwerker) een schadevergoeding te ontvangen voor de geleden schade. Het begrip ‘schade’ moet volgens de GDPR ruim worden uitgelegd en de betrokkenen die een schadevergoeding instellen, dienen, indien toegekend, een volledige en daadwerkelijke vergoeding te ontvangen voor de door hen geleden schade.

Hoewel de GDPR voorschrijft dat betrokkenen aanspraak moeten kunnen maken op een schadevergoeding, wordt nergens in de GDPR een concrete procedure voorzien hoe je dat als betrokkene moet doen. Zo bepaalt de GDPR dat gerechtelijke procedures voor het uitoefenen van het recht op een schadevergoeding namelijk moeten worden gevoerd voor de lidstaatrechtelijk bevoegde gerechten. In een eerder artikel hadden we het al over de vordering tot staking van inbreuken op de GDPR. Volgend op een dergelijke vordering tot staking kan de betrokkene een schadevergoeding eisen voor de nationaal bevoegde rechter overeenkomstig het contractuele of buitencontractuele aansprakelijkheidsrecht.