De brief die bij ruim 400.000 (!) vrouwen in Nederland al op de mat is gevallen, heeft voor de nodige (terechte) opschudding gezorgd. Schrik, boosheid en een knauw in het vertrouwen in een essentiële publieke dienst zijn begrijpelijke reacties. Maar betekent dit dat je ook recht hebt op schadevergoeding – individueel of via een collectieve actie? En hoe wordt hier in de praktijk mee omgegaan?
Datalek ≠ automatisch recht op schadevergoeding
Het Hof van Justitie van de EU heeft in 2023 (UI/Österreichische Post) duidelijk gemaakt dat een inbreuk op de AVG niet automatisch recht geeft op schadevergoeding. Artikel 82 AVG biedt weliswaar een grondslag voor vergoeding van zowel materiële als immateriële schade, maar het bestaan van een inbreuk alléén is onvoldoende.
Kort gezegd: de brief op je deurmat is geen claimticket. Voor vergoeding moet sprake zijn van daadwerkelijke schade én een causaal verband tussen het datalek en die schade. En dit is in het geval dat er sprake is geweest van een grootschalige datalek, zonder dat er bijvoorbeeld aantoonbaar door deze lek identiteitsfraude is gepleegd, een zeer lastig verhaal.
Bijzondere persoonsgegevens kunnen verschil maken
Als bijzondere of gevoelige persoonsgegevens zijn gelekt, is de kans groter dat immateriële schadevergoeding wordt toegekend. Dit is hier ook het geval, het betreft namelijk (onder andere) medische gegevens. In de rechtspraak is er als volgt over geoordeeld.
- Rb. Gelderland, 4 oktober 2023 (ECLI:NL:RBGEL:2023:5435): een oud-student kreeg €300,- schadevergoeding nadat medische gegevens over zijn studievertraging door een hack bij de HAN waren buitgemaakt. De rechter oordeelde dat het lekken van algemene persoonsgegevens op zichzelf onvoldoende was, maar dat het uitlekken van medische gegevens wel een noemenswaardige aantasting van de persoonlijke levenssfeer opleverde. Het feit dat de student met veel moeite en vertrouwen die gegevens had gedeeld, woog zwaar mee.
- \Rb. Noord-Nederland, 12 januari 2021 (ECLI:NL:RBNNE:2021:106): een betrokkene kreeg €500,- schadevergoeding nadat o.a. zijn BSN-nummer onrechtmatig openbaar was gemaakt. Hoewel hij psychische schade niet overtuigend aantoonde, vond de rechter de gevoelige aard van de gegevens (risico identiteitsfraude) voldoende voor het aannemen van schade.
Deze uitspraken laten zien dat bij bijzondere persoonsgegevens – zoals medische informatie of BSN – de lat voor immateriële schadevergoeding lager ligt, maar ook in deze gevallen is het toegekende bedrag weinig bevredigend.
Collectieve actie: weinig kansrijk voor schade
In theorie kan een collectieve actie nuttig zijn om te laten vaststellen dat een organisatie onrechtmatig heeft gehandeld. Maar voor collectieve schadevergoeding is de praktijk weerbarstig. Schade en causaliteit verschillen immers sterk per individu.
Daarom zullen brede schadeclaims onder de Wet afwikkeling massaschade in collectieve actie vaak stranden. Alleen in individuele zaken, waar bijzondere persoonsgegevens zijn gelekt en concrete in dit geval waarschijnlijk immateriële schade aannemelijk is gemaakt, wordt daadwerkelijk schadevergoeding toegekend.
Wat kun je als betrokkene doen?
- Blijf alert: verander wachtwoorden, zet tweefactorauthenticatie aan en let op verdachte berichten.
- Documenteer: bewaar de brief en eventuele gevolgen (phishing, stress, medische impact).
- Check de aard van de gegevens: hoe gevoeliger, hoe sterker je juridische positie.
- Vraag advies: vooral als je aantoonbare immateriële schade ervaart, zoals stress, angst of verlies van vertrouwen.
Conclusie
Een datalek is ernstig en mag nooit worden gebagatelliseerd. Maar een schadevergoeding volgt niet automatisch. Alleen wanneer bijzondere of gevoelige persoonsgegevens op straat liggen en er sprake is van een aantoonbare aantasting van de persoonlijke levenssfeer, wijzen rechters soms een (beperkte) vergoeding toe. Collectieve schadeclaims daarentegen zijn juridisch vaak kansarm.
Voor vragen over privacyrecht kun u contact opnemen met Guldemond Advocaten
