Managed hosting door True

Schadevergoeding bij datalek dwingt AVG beter af

Promotie-onderzoek Tim Walree: regelen daarvan moet makkelijker

 

Het moet makkelijker worden om een schadevergoeding te krijgen bij datalekken of onrechtmatige gegevensverwerking. Zo’n stok achter de deur is belangrijk voor de naleving van de Algemene verordening gegevensbescherming (AVG). Dat stelt Tim Walree, onderzoeker en docent privaatrecht & technologie aan de Radboud Universiteit in Nijmegen in zijn promotie-onderzoek. Walree is als promovendus verbonden aan het Onderzoekcentrum Onderneming & Recht.

Schadevergoedingen kunnen zorgen voor betere handhaving van de privacywetgeving, aldus Tim Walree. Op 30 juni promoveert hij hierop dit aan de Radboud Universiteit. Hoewel de AVG sinds 2018 betere bescherming van persoonsgegevens afdwingt, lijkt het aantal datalekken alleen maar toe te nemen.

Mankracht

Jaarlijks worden er tienduizenden klachten ingediend bij de Autoriteit Persoonsgegevens (AP), bijvoorbeeld omdat een organisatie onveilig is omgegaan met hun persoonsgegevens. Door beperkte mankracht en middelen wordt echter slechts een klein deel van de zaken opgepakt. Bij complexe zaken kan het jaren duren voor er een besluit volgt. In zijn promotieonderzoek bekeek Tim Walree daarom of en hoe het recht op schadevergoeding via civielrechtelijke procedures kan helpen bij de handhaving van de AVG.

‘De regels zoals die gelden in de AVG zijn niets waard als die niet gehandhaafd kunnen worden. Dat kan op twee manieren: door een toezichthouder, maar ook via het civiele recht,’ legt Walree uit. ‘We zien nu eigenlijk dat de toezichthouder niet voldoende middelen heeft om de AVG goed te handhaven. Maar als consumenten zelf via het civiele recht schadevergoedingen kunnen eisen bij organisaties die onzorgvuldig met data omgaan, zorgt dat óók voor een financiële prikkel bij die organisaties, wat op termijn ook voor betere naleving zorgt.’

Volgens Walree zijn rechters thans vaak nog terughoudend met het toekennen van schadevergoedingen, omdat concrete schade vaak ontbreekt. ‘Een inbreuk op de AVG zorgt meestal niet voor een aantasting van het vermogen van een slachtoffer, en op het gebied van immateriële schade is het hooguit onbehagen of frustratie. Dat is juridisch geen relevante schade.’

Walree: ‘En als er dan wél duidelijke schade is, dan valt die weer moeilijk in een bedrag uit te drukken, of is deze juist zo laag dat het amper loont om naar de rechter te stappen. Als er miljoenen persoonsgegevens uitlekken, is losse data wellicht hooguit enkele centen waard. Maar je weet niet waar die gegevens uiteindelijk terecht komen, welke criminelen ermee aan de haal gaan en waarvoor ze de data gebruiken. De exacte schade kan daardoor soms pas jaren later duidelijk zijn.’

Puzzelstukje

Walree kan zich voorstellen dat iemand op termijn verschillende gestolen, anonieme datasets bij elkaar brengt. ‘Dan kan zelfs het kleinste beetje data een belangrijk puzzelstukje zijn in het opstellen van hele persoonlijke gebruikersprofielen. Die kunnen uiteindelijk wél veel geld waard zijn, waardoor op dat moment alsnog materiële en immateriële schade duidelijk worden.’

Vandaar dat Walree een andere aanpak bepleit. ‘We moeten toe naar een nieuw begrip van vergoedbare schade,’ zegt hij. Hij wil het begrip van schade meer toespitsen op de aard van het gegevensbeschermingsrecht. ‘Een schending van het gegevensbeschermingsrecht leidt over het algemeen niet onmiddellijk tot een hap uit je portemonnee, of zijn niet zintuiglijk, zoals een kras op je auto of een gebroken arm. De gevolgen zijn veel vaker abstract, onzeker, of niet te meten. Daarom is vastklampen aan het traditionele schadebegrip niet correct. Rechters zouden daarom eerder naar het Hof van Justitie moeten stappen voor prejudiciële vragen, zodat ze sneller tot een nieuw, moderner begrip van schade kunnen komen. Het Hof heeft uiteindelijk het laatste woord over het begrip van schade.’

Daarnaast zouden vooraf bepaalde bedragen vastgesteld kunnen worden, uit te keren bij substantiële inbreuk op de AVG. ‘Denk bijvoorbeeld aan een bedrijf dat zonder te informeren je gegevens doorverkoopt, of uitgelekte informatie over je afspraken bij de dokter.’

Walree: ‘Door organisaties te verplichten in zulke gevallen direct een vergoeding van bijvoorbeeld enkele honderden euro’s uit te keren, neem je ook wat apathie weg bij mensen. Het mes moet aan twee kanten gaan snijden: als mensen weten welk bedrag ze kunnen verwachten ondernemen ze eerder actie, waardoor organisaties ook eerder onder druk staan om de AVG voldoende serieus te nemen.’

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7204212). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in
Vacatures bij Radboud Universiteit

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.