Deze column staat in Het Financieele Dagblad van 25 juli 2019. Volg deze link voor mijn eerdere FD columns.
Wat kost een basale privacyschending? Deze simpele vraag is al decennialang onderwerp van hevig academisch debat. Recent gaf een rechter ineens een kort en krachtig antwoord aan de gemeente Deventer: €500, plus proceskosten. Voor Deventer allicht betaalbaar, maar datagulzige overheden en bedrijven die persoonsgegevens van miljoenen burgers of consumenten verwerken, zijn gewaarschuwd. Zeker nu de strenge privacywet AVG en de vernieuwde Wet collectieve afwikkeling massaschade (WCAM) juist in Nederland een vruchtbare bodem creëren voor massaclaims door stichtingen, die nu €500 per getroffen persoon kunnen claimen voor een basale privacyschending. Handhaving van privacywetten door onderbezette datatoezichthouders is de afgelopen twintig jaar overal in Europa achtergebleven. Maar de combinatie van zulk toezicht met civiele massaclaims, lijkt de komende jaren meer kans te maken dataslurpers te dwingen zorgvuldiger met onze data om te gaan.
De Deventer datazaak draait om een ambtenaar, die een e-mailtje naar collega’s in een andere gemeente had gestuurd met daarin de naam van een burger die twee keer een verzoek op grond van de Wet openbaarheid van bestuur (Wob-verzoek) had ingediend. De burger vorderde daarop immateriële schadevergoeding van de gemeente, omdat het onrechtmatige mailtje zijn privacy, eer en goede naam zou aantasten. Vrij recent nog verkondigde de Hoge Raad dat je in Nederland weinig kans maakt op vergoedingen die niet zozeer zijn gebaseerd op vermogensschade – ‘geleden verlies of gederfde winst’– maar op immateriële schade. En dat een schending van grondrechten op zichzelf geen grond geeft voor schadevergoeding; daarvoor moet ook iets ‘ernstigs’ gebeuren.
Schade
Toch baseert de Rechtbank Overijssel haar oordeel niet op de Hoge Raad, maar vooral op de AVG. Die is namelijk veel ruimhartiger: verantwoordelijke organisaties moeten ‘alle materiële en immateriële schade vergoeden. Het begrip schade moet ruim worden uitgelegd, op een manier die volledig en daadwerkelijk (en) ten volle recht doet aan de doelstellingen’ van de AVG. En die doelstelling is niet zozeer de allocatie van cash, maar juist de principiële bescherming van het grondrecht op dataprotectie. Schending is al schade.
Wetenschappers vragen zich al ruim dertig jaar af hoe je een prijs zet op privacyschendingen. Economen stellen dat organisaties privacy niet respecteren, omdat een schending vrijwel niks kost. Net als vervuiling, moet je privacyinbreuken beprijzen om marktfalen te corrigeren. Juristen signaleren echter dat het benodigde ‘causale’ verband tussen de schending en de schade bij zoiets abstracts als privacy niet of nauwelijks valt te concretiseren. De schoonheid van procederen is dat de rechter in zijn vonnis de knoop in zo’n debat moet doorhakken. In één korte zin slaat de rechter een enorme piketpaal in dit debat: vanwege de ‘verspreiding van zijn persoonsgegevens (..) acht de rechtbank een schadevergoeding van €500 billijk’.
Datahongerige organisaties moeten zich rot schrikken. In januari van dit jaar legde de Franse datatoezichthouder Google een boete van €50 mln op, omdat de privacy van Androidgebruikerssystematisch wordt geschonden zodra zij hun smartphone aanzetten. Kort na de publicatie vorderde een Franse stichting schadevergoeding van Google. Frankrijk telt 28 miljoen Android gebruikers. Als de Franse rechter iedere Androidgebruiker €500 toekent, moet Google voor €14 miljard bloeden – alleen al in Frankrijk.
Het verleden leert dat privacy in het voetspoor volgt van het mededingingsrecht, waarin massale kartelschadezaken momenteel welig tieren. Nadat de Europese Commissie als toezichthouder een kartel beboet, volgen soms wel honderden schadeprocedures door claimstichtingen tegen een enkel bedrijf. In die lijn kunnen stichtingen of consumentenbonden – vooral in de nasleep van AVG-boetes door datatoezichthouders – namens vele slachtoffers massaclaims indienen. Fascinerend genoeg is Nederland een aantrekkelijke locatie om internationale massaclaims voor de rechter te brengen. Zowel de vernieuwde WCAM als de AVG bepalen dat een burger zich mag laten vertegenwoordigen door een belanghebbende stichting. Daarnaast meldt de AVG expliciet dat je mag procederen in iedere EU-lidstaat waar een bedrijf een vestiging heeft. En sinds kort bestaat het Netherlands Commercial Court dat snelle procedures in het Engels faciliteert.
Rechter aan zet
Bij de rechter is het schadedebat natuurlijk pas net begonnen. De motivering van de Nederlandse rechter is nogal dun en navraag leert dat Deventer in beroep gaat tegen de uitspraak. Toch heeft het Europese Hof voor de Rechten van de Mens in Straatsburg al meerdere keren in algemene zin schadevergoeding voor privacyschendingen toegewezen. Het Hof van Justitie van de Europese Unie in Luxemburg pas één keer, en niet op grond van de AVG. De duidelijke taal van de AVG suggereert dat het EU-Hof zich actief zal uitlaten over het schadevraagstuk bij privacy, zoals in zaken over vertragingen en verloren bagage in de luchtvaart.
Tot die tijd zullen advocaten in de clinch liggen over het causale verband tussen schending en schade, de hoogte ervan en met name de multiplier van de ene schadevergoeding voor miljoenen gebruikers. Al moet de exacte prijs nog worden vastgesteld door hogere rechters, de Rechtbank Overijssel geeft met de toekenning van €500 alvast een oorverdovend startschot voor massaclaims rondom privacy.