Schadevergoeding van de gemeente Deventer in hoger beroep van tafel
In 2019 is de gemeente Deventer door de rechtbank in Overijssel veroordeeld tot het betalen van € 500,- aan schadevergoeding wegens het onrechtmatig verwerken van persoonsgegevens. De Afdeling Bestuursrechtspraak van de Raad van State zet daar nu een streep doorheen. In deze bijdrage bespreken we de achtergrond en de uiteindelijke beslissing.
De verspreiding van een Wob-verzoek
De betrokkene diende in 2013 twee Wob-verzoeken in bij de gemeente Deventer. De gemeente deelde de persoonsgegevens van deze betrokkene echter ook aan een vijftigtal andere gemeenten. De betrokkene diende daarom in juli 2017 een inzageverzoek in bij de gemeente Deventer op basis van de toen nog geldende Wet bescherming persoonsgegevens. De gemeente heeft in augustus 2017 voldaan aan dat verzoek.
De betrokkene wist echter al dat de gemeente in 2013 de persoonsgegevens heeft doorgestuurd en zag dat niet terugkomen in het overzicht van de gemeente. De rechtbank Overijssel oordeelde in 2018 dat de gemeente de doorgestuurde mails in het inzageverzoek had moeten aangeven. De gemeente heeft namelijk niet kunnen onderbouwen waarom het versturen van de gegevens noodzakelijk was voor de goede vervulling van een publiekrechtelijke taak (het Wob-verzoek). De beginselen van proportionaliteit en subsidiariteit zijn geschonden. De rechtbank stuurt de zaak vervolgens terug naar de gemeente om deze opnieuw te beoordelen.
Schadevergoeding van € 500,-
Voor de betrokkene stond nu vast dat inbreuk is gemaakt op zijn rechten, de gemeente is namelijk niet in hoger beroep gegaan tegen de uitspraak. De betrokkene wilde echter ook een schadevergoeding voor de geleden immateriële schade. In de heroverweging van de gemeente wijst de gemeente het verzoek om schadevergoeding af. Daarop gaat de betrokkene wederom in beroep bij de rechtbank.
De rechtbank Overijssel oordeelt in 2019 dat de betrokkene in zijn persoon is aangetast wegens verlies van controle over zijn persoonsgegevens, een persoonlijkheidsrecht. Dat betekent volgens de rechtbank dat de betrokkene op basis van de AVG in samenhang met de Nederlandse wet, artikel 6:106 BW, recht heeft op schadevergoeding. De rechtbank acht een schadevergoeding van € 500,- billijk.
Persoonsgegevens vogelvrij verklaard?
Zowel de gemeente als de betrokkene gaan in hoger beroep bij de Afdeling Bestuursrechtspraak van de Raad van State. De betrokkene stelt dat de persoonsgegevens door de gemeente vogelvrij zijn verklaard en acht een toekenning van € 7.500,- redelijk, gelet op de ruime definitie van schade onder de AVG. De schadevergoeding van € 500,- zou in ieder geval geen afschrikwekkende werking hebben.
De gemeente stelt zich op het standpunt dat de betrokkene niet heeft aangetoond wat de gevolgen waren en dat de nadelige gevolgen niet zo voor de hand liggen dat een aantasting in persoon kan worden aangenomen. Oftewel: de betrokkene heeft zijn schade niet concreet onderbouwd en heeft daarom geen recht op schadevergoeding.
Schadevergoeding moet ruim worden uitgelegd
De Afdeling begint in zijn uitspraak met de overweging dat het begrip schadevergoeding uit de AVG ruim moet worden uitgelegd en dat de inbreukmaker alle schade moet vergoeden die iemand kan leiden. Vervolgens past de Afdeling ook artikel 6:106 BW toe, waar de immateriële schadevergoeding is geregeld.
Degene die zich op dit soort schade beroept, moet voldoende concrete gegevens aanvoeren waaruit kan volgen dat, in verband met de omstandigheden van het geval, psychische schade is ontstaan. Alleen als de nadelige gevolgen voor de hand liggen, hoeft dat niet, maar bij de enkele schending van een fundamenteel recht is daarvan geen sprake.
De betrokkene moet zijn schade onderbouwen, ook als het gaat om geestelijk letsel. Alleen in extreme gevallen is die onderbouwing niet nodig. De Afdeling heeft de betrokkene de mogelijkheid gegeven om de schade nog concreet te onderbouwen, maar dat is niet gedaan. Nu de betrokkene geen schade heeft kunnen aantonen of onderbouwen, sneuvelt het verzoek om schadevergoeding. De Afdeling overweegt nog dat het doorsturen van persoonsgegevens aan andere gemeenten niet betekent dat heel bestuurlijk Nederland kennis heeft kunnen nemen van de persoonsgegevens.
Schadevergoeding via de bestuursrechter?
Belangrijk in deze zaak dat schadevergoeding in dit soort gevallen via de bestuurlijke rechter kan. De Afdeling sluit daarbij aan bij de rechtspraak van de Hoge Raad, de civiele rechter en het burgerlijk wetboek. Tegelijkertijd met deze zaak doet de Afdeling uitspraken in een drietal andere zaken over dit onderwerp. In het kort gingen de zaken over:
· het delen van medische gegevens door het Pieter Baan Centrum, waar wel € 500,- schadevergoeding is toegekend;
· het delen van persoonsgegevens op het forum van de Vereniging van Nederlandse Gemeenten door de gemeente Borsele, waar geen schadevergoeding is toegekend; en
· het eveneens delen van persoonsgegevens op dat forum door de gemeente Harderwijk, waar ook geen schadevergoeding is toegekend.
De Afdeling geeft in deze uitspraken weer dat een verzoek om schadevergoeding concreet moet worden onderbouwd en dat deze onderbouwing uit kan blijven wanneer nadelige gevolgen voor de hand liggen.
Slot: mogelijk wel schadevergoeding bij gevoelige persoonsgegevens
In de zaak van het Pieter Baan Centrum is een belangrijke conclusie te vinden: bij gevoelige persoonsgegevens liggen de nadelige gevolgen wel voor de hand en hoeft de schade niet te worden onderbouwd. In die zaak speelde wel mee dat het Pieter Baan Centrum al verwikkeld was in een klachtprocedure met de eiser. Voor de hoogte van de schadevergoeding vindt de Afdeling de duur van de inbreuk van belang en de groep ontvangers van de persoonsgegevens.
Heeft een instantie inbreuk gemaakt op uw privacy op grond van de AVG? Neemt u dan contact op met onze advocaten privacy. JPR helpt u graag.