Het Hof van Justitie van de Europese Unie (“HJEU”) heeft op 14 december 2023 bepaald dat ook slechts de vrees voor mogelijk toekomstig misbruik van persoonsgegevens als immateriële schade kan worden beschouwd onder de AVG. Het enkele “verlies van controle” over persoonsgegevens moet immers als schadecategorie onder de AVG worden begrepen.
De uitspraak is van groot belang voor collectieve schadezaken gebaseerd op AVG-inbreuken, zoals de zaak tegen TikTok en de zaak tegen de Staat der Nederlanden betreffende het GGD-datalek.
De zaak
Het Bulgaarse nationale belastingagentschap (“NAP”) is belast met het vaststellen, veiligstellen en invorderen van overheidsschulden en fungeert in die hoedanigheid als verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in dat verband. In 2019 kwam aan het licht dat er een hack had plaatsgevonden op de IT-systemen van de NAP, waarna buitgemaakte persoonsgegevens van meer dan 6 miljoen betrokkenen op internet werden gepubliceerd.
Enkele honderden van hen, waaronder de eisende partij, hebben bij de Bulgaarse rechter tegen de NAP vorderingen ingesteld tot vergoeding van de immateriële schade die volgens hen uit de hack is voortgevloeid. De NAP zou daarvoor aansprakelijk zijn omdat zij in strijd had gehandeld met haar verplichting onder de AVG om passende beveiligingsmaatregelen te nemen. De immateriële schade zou bestaan uit de vrees voor toekomstig misbruik van persoonsgegevens die zonder toestemming zijn gepubliceerd of de vrees dat zij zelf het slachtoffer worden van bijvoorbeeld afpersing of agressie.
Het oordeel van het HvJEU
De Bulgaarse rechter stelde meerdere vragen aan het HvJEU over de interpretatie van de AVG. De rechter wilde onder andere duidelijkheid over de criteria voor het toekennen van een vergoeding voor immateriële schade, ingeroepen door een persoon wiens persoonsgegevens, die onder het beheer van een overheidsinstantie stonden, na een hack op het internet waren gezet.
Een datalek betekent niet per definitie dat sprake is van een overtreding
Het HvJEU heeft ten eerste (niet verrassend) geoordeeld dat het enkele feit dat zich een datalek heeft voorgedaan door een hack, niet automatisch betekent dat de beschermingsmaatregelen niet “passend” waren. IT-beveiliging geeft nu eenmaal nooit 100% bescherming. Volgens het HvJEU moet de nationale rechter concreet onderzoeken of de door de NAP genomen maatregelen passend waren. De bewijslast met betrekking tot de geschiktheid van de beschermingsmaatregelen ligt daarbij bij de NAP als verwerkingsverantwoordelijke.
Betrokkenheid van een hacker ontslaat de verantwoordelijke niet
Daarnaast herhaalde het HvJEU dat het enkele feit dat een derde partij, zoals een hacker, verantwoordelijk is voor een datalek, de verwerkingsverantwoordelijke niet ontslaat van de verplichting om eventuele schade te compenseren. Dat is slechts het geval indien de verwerkingsverantwoordelijke kan bewijzen dat hij op geen enkele wijze verantwoordelijk was voor het betrokken schadeveroorzakende feit.
Ook ongerustheid en verlies van controle kunnen schade opleveren
Tot slot, en het meest in het oog springend, heeft het HvJEU in het arrest bepaald dat de ongerustheid die betrokkenen ervaren over mogelijk misbruik van hun persoonsgegevens als gevolg van een schending van de AVG, op zichzelf al “immateriële schade” kan vormen (die dan vanzelfsprekend wel moet worden aangetoond). Het is volgens het HvJEU dus niet noodzakelijk dat bewezen wordt dat de gegevens daadwerkelijk misbruikt zijn.
Voor die uitleg vindt het HvJEU onder andere steun in overweging 146 bij de AVG, waarin staat te lezen dat het begrip “immateriële schade” ruim moet worden uitgelegd. Ook haalt het HvJEU overweging 85 bij de AVG aan, en overweegt dat de AVG met name het enkele “verlies van controle” over persoonsgegevens als vorm van schade noemt, ook al heeft er geen concreet misbruik van de gegevens plaatsgevonden.
Conclusie
Het arrest is een belangrijke stap in de ontwikkeling van het schadebegrip onder de AVG en van de privaatrechtelijke handhaving van het recht op gegevensbescherming. Wanneer schendingen van de AVG een verlies van controle over persoonsgegevens opleveren, en zo ernstig zijn dat de angst voor misbruik reëel is, kan sprake zijn van vergoedbare schade. Dat betekent dat grote privacyschenders door middel van schadeclaims kunnen worden aangesproken, ook in situaties waarin het aantonen van daadwerkelijk misbruik van gegevens moeilijk is, hetgeen nu eenmaal vaak het geval is bij AVG-schendingen.