We horen het steeds vaker: een datalek of een cyberaanval waardoor persoonsgegevens op straat komen te liggen. Of bedrijven die hun geld verdienen met de verkoop van persoonsgegevens. In deze situaties kan sprake zijn van onrechtmatige gegevensverwerking en hebben betrokkenen het recht om een schadeclaim in te dienen.
Ongetwijfeld verwerkt ook uw onderneming persoonsgegevens. Denk aan persoonsnamen en geboortedata van klanten en medewerkers en IP-adressen. Alleen al door deze gegevens op te slaan in bijvoorbeeld uw CRM-systeem is er sprake van verwerking. Op grond van de wet bent u dan onder meer verplicht beveiligingsmaatregelen te treffen. Doet u dit onvoldoende en lijden betrokkenen hierdoor schade? Dan kunt u hiervoor aansprakelijk gesteld worden en verplicht worden tot het vergoeden van schade. Een voorbeeld hiervan is een zaak waarin rechtbank Rotterdam vonnis wees naar aanleiding van een vordering tot toekenning van een immateriële schadevergoeding/smartengeld.
Wordt u geconfronteerd met een schadeclaim wegens onrechtmatige verwerking?
Dan adviseren we u deze schadeclaim aan te vechten als u van mening bent niet onrechtmatig te hebben gehandeld of als u de hoogte van de geclaimde schadevergoeding niet redelijk vindt. Ook is de vraag of de schade wel voor vergoeding in aanmerking komt. De schade moet immers daadwerkelijk geleden en aantoonbaar zijn. Onderdeel van uw verweer kan zijn dat betrokkene geen aantoonbare schade heeft geleden. Onze advocaten kunnen u ondersteunen bij de onderbouwing van dit verweer.
Wanneer kan worden gesproken van “eigen schuld” van betrokkenen?
Soms lijdt een betrokkene wel (vergoedbare) schade, maar is het ontstaan hiervan niet alleen te wijten aan de verwerkingsverantwoordelijke. In de volgende drie situaties is in ieder geval sprake van eigen schuld van de betrokkene[1]:
1. Als u maatregelen adviseert of heeft geadviseerd, maar betrokkene deze niet opvolgt. Denk hierbij aan de situatie waarbij uw onderneming geconfronteerd wordt met een cybercrime-aanval en u betrokkenen adviseert om hun wachtwoord te veranderen of om andere schadebeperkende maatregelen te nemen. Belangrijke kanttekening: als verwerkingsverantwoordelijke moet u de betrokkene tijdig, ondubbelzinnig en in duidelijke taal informeren over wat hij moet doen of nalaten.
Overigens geldt dat als u als verwerkingsverantwoordelijke zelf schadebeperkende maatregelen zou kunnen nemen, u ook gehouden bent om dit te doen. Als verwerkingsverantwoordelijke hebt u immers in beginsel een betere informatiepositie dan betrokkenen en bent u over het algemeen beter in staat de maatregelen snel en adequaat uit te voeren;
2. Als de betrokkene zelf onzorgvuldig handelt terwijl u deze handeling niet hebt geadviseerd, of zelfs hebt afgeraden. Dit kan bijvoorbeeld het geval zijn als de betrokkene zelf gevoelige persoonsgegevens deelt of als de betrokkene zelf ingaat op een verdacht, frauduleus verzoek (bijvoorbeeld door te klikken op een link in een phishingmail).
3. Als de betrokkene geen “anticiperende maatregelen” neemt, bijvoorbeeld in de vorm van basale beveiligingsmaatregelen. Hierbij kunt u denken aan het niet gebruiken van antivirussoftware en het niet periodiek updaten van (kritieke) software.
Uw zorgplicht gaat erg ver!
In de literatuur en in de rechtspraak wordt eigen schuld van betrokkenen niet vaak aangenomen. De zorgplicht van de verwerkingsverantwoordelijke gaat namelijk erg ver. Zorg dan ook voor:
- (proactieve) informatieverstrekking, bijvoorbeeld als van betrokkenen actie verlangd kan worden door (technische) ontwikkelingen in de branche of nieuwe wet- en regelgeving;
- duidelijke, proactieve vastlegging van gemaakte afspraken en verwachtingen. Als de betrokkene een werknemer is, kan dit bijvoorbeeld in een personeelsreglement;
- denk van tevoren na over de schadebeperkende maatregelen die na een schadeveroorzakende gebeurtenis (bijvoorbeeld een datalek) genomen dienen te worden, zowel door betrokkenen als door uw onderneming zelf. Ervaring leert dat in het heetst van de strijd – bijvoorbeeld in de eerste uren en dagen na een datalek – maatregelen worden vergeten als ze niet duidelijk in een protocol zijn opgenomen. Dit kan (negatieve) gevolgen hebben voor uw aansprakelijkheid;
- een tijdige, bij voorkeur herhaalde en een aan de persoon gerichte waarschuwing wanneer sprake is van een schadeveroorzakende gebeurtenis, bijvoorbeeld in de vorm van e-mails aan betrokkenen waarin u duidelijk aangeeft hoe te handelen.
Onze privacy adviseurs en advocaten hebben ervaring op het gebied van privacy- en aansprakelijkheidsrecht en adviseren u graag over eventuele risico’s en mogelijkheden.
Tot slot
Hebt u na het lezen van deze blog vragen over privacyrechtelijke vraagstukken binnen uw organisatie? Wilt u sparren met onze advocaten of onze privacy adviseurs over een specifieke kwestie? Neem contact op met onze sectie privacyrecht via het e-mailadres privacyrecht@vangelderadvocaten.nl of telefonisch via 088-8840840. We praten graag eens met u verder.
[1] Walree, 2017: “Eigen schuld van de betrokkene bij een onrechtmatige verwerking van zijn persoonsgegevens” In WPNR (7172).
