NOYB, de privacyrechtenorganisatie van Max Schrems, mag vanaf nu groepsvorderingen voeren in België (Sirius Legal)

Privacy & Gegevensbescherming | 16 november 2020

Auteur: Bart Van den Brande (Sirius Legal)

Publicatiedatum: 02/11/2020

GDPR is er inmiddels al een hele poos en toch zijn nog heel veel bedrijven niet compliant. Vaak komt dat door een verkeerd begrip of een beperkte kennis van de wetgeving, maar in heel wat gevallen is het ook een bewuste keuze van het bedrijf in kwestie. Er zijn immers nauwelijks controles, toch…?

Ondanks het feit dat de Gegevensbeschermingsautoriteit sinds januari 2020 heel wat actiever geworden is dan voorheen, zijn er inderdaad relatief weinig controles en boetes en is de druk die bedrijven voelen om zich in regel te stellen nog steeds erg klein. Maar daar zou wel eens snel verandering in kunnen komen, nu NOYB (None of Your Business), de privacyrechtenorganisatie van Max Schrems, bij Ministrieel Besluit erkend werd als organisatie die in naam van gedupeerde burgers groepsvorderingen of “class actions suits” mag voeren in België…

Wat zijn class actions ook alweer?

Consumenten kunnen sinds een jaar of vijf in groep naar de rechter stappen om een schadevergoeding te eisen als zij allemaal individueel schade lijden door dezelfde fout van een bedrijf (of vereniging of overheid).

De wet voorziet daarbij een zeer strikte procedure die gevolgd moet worden en waarvoor uitsluitend de Ondernemingsrechtbank in Brussel bevoegd is.

De bedoeling van het systeem is om consumenten meer macht te geven ten aanzien van grote bedrijven. In het verleden moesten gedupeerden van bijvoorbeeld een productiefout in een smartphone allemaal afzonderlijk een advocaat onder de arm nemen en afzonderlijk naar de rechtbank trekken. Heel vaak deden mensen die moeite niet, zeker niet als het over relatief kleine bedragen ging, waarbij de advocatenkosten hoger zijn dan de schadevergoeding die de gedupeerden zouden kunnen bekomen. Daaraan wil de class action procedure, of de groepsvordering in mooi Nederlands, sinds een paar jaar verhelpen door mensen het recht te geven om in groep en altijd onder de leiding van één van de daartoe erkende consumentenorganisaties (Test-Aankoop, Gezinsbond, ziekenfondsen) naar de rechtbank te trekken.

Eén van de domeinen waar een bedrijf potentieel schade kan veroorzaken aan een (zeer) grote groep is vanzelfsprekend databescherming. Bij een datalek kunnen de gegevens van duizenden, zelfs tienduizenden, mensen in verkeerde handen komen. Het hoeft dan ook niet te verwonderen dat het systeem van groepsvorderingen sinds 2018 aanzienlijk is uitgebreid naar schade ontstaan onder GDPR. Wie aansprakelijk is voor bijvoorbeeld een datalek, dreigt dus sinds de inwerkingtreding van GDPR op te draaien voor alle materiële en morele schade veroorzaakt aan de -vaak duizenden- personen wiens gegevens getroffen zijn.

België is overigens tot nader order het enige EU-land dat een specifieke goedkeuringsprocedure heeft voor buiten zijn grondgebied gevestigde consumentenorganisaties om collectieve vorderingen in te dienen.

En wie zijn Max Schrems en NOYB?

Tot noch toe zijn er -bij ons weten althans- geen class actions gevoerd in België op basis van GDPR. Wellicht speelt het feit dat binnen de groep van erkende consumentenorganisaties geen echt gespecialiseerde organisatie zit daarin mee.

Dat dreigt nu echter snel te veranderen. In september verscheen immers een ministerieel besluit tot goedkeuring van NOYB (“None of Your Business”) in het Belgisch Staatsblad.

NOYB is de belangenorganisatie of drukkingsgroep van de Oostenrijker Max Schrems. Die laatste kennen we natuurlijk als de man die eigenhandig achtereenvolgens het Safe Harbour principe en -afgelopen zomer pas- het Privacy Shield onderuit haalde voor het Europees Hof van Justitie en daarmee een bom legde onder gegevensuitwisseling met de Verenigde Staten en dus met de werking van ons internet in het algemeen.

NOYB heeft de afgelopen jaren een reputatie opgebouwd als de pitbull van het privacyrecht. Ze voeren actief campagne in gans Europa tegen het al genoemde Privacy Shield, tegen inbreuken op de cookiewetgeving, tegen het gebruik van tracking-ID’s op smartphones door partijen als Google, tegen het verplicht aanmaken van accounts om online goederen of diensten te kopen of te gebruiken, … Hun acties bestaan uit petities en awareness, maar ook uit klachten bij verschillende gegevensbeschermingsautoriteiten en dus ook uit het voeren van rechtszaken en class actions in verschillende EU-lidstaten.

Stroomversnelling voor GDPR compliance?

De goedkeuring die ze zopas verkregen, betekent dat NOYB in België groepsvorderingen zal kunnen indienen en namens gebruikers van een bedrijf schadevergoeding zal kunnen eisen voor de overtreding van verschillende wetten met betrekking tot consumentenbescherming, en meer specifiek natuurlijk voor inbreuken op GDPR en ePrivacy.

Gelet op de reputatie van NOYB verwachten we dat het niet lang zal duren voor de eerste grote rechtszaken volgen in België. NOYB zal immers zichzelf willen tonen en enkele voorbeeldcases op tafel willen leggen.

Wie de eerstkomende tijd het slachtoffer is van een data breach en/of wie er niet in slaagt om de rechten van betrokkenen correct na te leven en/of wie het niet al te nauw neemt met de anti-spamregels, is bij deze gewaarschuwd.

De financiële gevolgen voor wie veroordeeld wordt in het kader van een class action kunnen desastreus zijn en in onze ogen is de aankomst op de Belgische “markt” van NOYB een zoveelste reden voor bedrijven om dringend werk te maken van grondige GDPR compliance.