Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Scriptie Privaatrechtelijke rechtspraktijk
Collectief schadeverhaal bij inbreuk op de AVG
Naam: T.A. Gijsberts
Studentnummer: 12960985
Collegejaar: 2019-2020
Studie: Master Privaatrechtelijke rechtspraktijk
Universiteit: Universiteit van Amsterdam
Scriptiebegeleider: dhr. mr. A.V.T. de Bie
Tweede lezer: mvr. mr. L. Burgers
Inleverdatum: 7 augustus 2020
2
Inhoudsopgave
Scriptie Privaatrechtelijke rechtspraktijk ................................................................................................................ 1
Inhoudsopgave ........................................................................................................................................................ 2
Lijst van afkortingen ............................................................................................................................................... 3
Abstract ................................................................................................................................................................... 4
Inleiding .................................................................................................................................................................. 5
1. De collectieve actie in Nederland ................................................................................................................... 7
2. Doelstelling en wettelijk kader van de WAMCA ......................................................................................... 10
2.1 Doelstelling WAMCA ......................................................................................................................... 10
2.2 Wettelijke kader WAMCA .................................................................................................................. 12
2.3 Tussenconclusie ................................................................................................................................... 16
3. Voldoende nauwe band met de Nederlandse rechtssfeer .............................................................................. 17
3.1 Tussenconclusie ................................................................................................................................... 20
4. Doelstelling en wettelijk kader van de AVG ................................................................................................ 21
4.1 Doelstelling AVG ................................................................................................................................ 21
4.2 Wettelijk kader AVG ........................................................................................................................... 24
4.3 Tussenconclusie ................................................................................................................................... 26
5. Schade onder de AVG .................................................................................................................................. 27
5.1 Jurisprudentie ...................................................................................................................................... 28
5.2 Strooischade ........................................................................................................................................ 30
5.3 Tussenconclusie ................................................................................................................................... 31
6. Collectief schadeverhaal bij inbreuk op de AVG ......................................................................................... 32
6.1 Individuele actie tot schadevergoeding ................................................................................................ 32
6.2 Collectieve actie tot schadevergoeding ................................................................................................ 34
6.3 Strooischade ........................................................................................................................................ 36
6.4 Buitenlandse schadeveroorzakers ........................................................................................................ 37
6.5 Tussenconclusie ................................................................................................................................... 37
Conclusie ............................................................................................................................................................... 39
Bronnen ................................................................................................................................................................. 40
3
Lijst van afkortingen
AVG: Algemene verordening gegevensbescherming
BW: Burgerlijk Wetboek
HGEU: Handvest van de grondrechten van de Europese Unie
Rv: Wetboek van Rechtsvordering
UAVG: Uitvoeringswet AVG
VWEU: Verdrag betreffende de werking van de Europese Unie
WAMCA: Wet afwikkeling massaschade in collectieve actie
WCA: Wet collectieve actie
WCAM: Wet collectieve afwikkeling massaschade
4
Abstract
Op grond van de Wet afwikkeling massaschade in collectieve actie (hierna: ‘WAMCA’) is het
sinds 1 januari 2020 mogelijk om een collectieve actie tot schadevergoeding in te stellen. In
deze scriptie wordt aan de hand van de volgende onderzoeksvraag onderzocht of de
collectieve actie tot schadevergoeding kan bijdragen aan het verhalen van schade als gevolg
van een inbreuk op de AVG.
‘Draagt de collectieve actie van de WAMCA bij aan het verkrijgen van schadevergoeding vanwege
schending van de AVG?’
De onderzoeksvraag is een samengesteld vraag en bestaat zowel uit een beschrijvend,
evaluerend als uit een voorspellend element. De scriptie is geschreven vanuit het perspectief
van een betrokkene die zijn schade als gevolg van een inbreuk op het
gegevensbeschermingsrecht wil verhalen.
In dit onderzoek is gebleken dat de WAMCA zeker kan bijdragen aan het verkrijgen van
schadevergoeding vanwege schending van de AVG. Gelaedeerden kunnen bij de collectieve
schadevergoedingsactie gebruikmaken van schaalvoordelen om de normschending vast te
stellen. Ook wordt het aantonen van het causaal verband en de normschending makkelijker in
een collectieve procedure. Zeker in het geval van strooischade is de WAMCA bij uitstek
geschikt om collectief schade te verhalen bij een inbreuk op het gegevensbeschermingsrecht.
Ten aanzien van buitenlandse partijen geldt dat het op grond van de AVG en de WAMCA een
lastig verhaal kan worden om collectief schade te verhalen, vanwege de territoriale
ontvankelijkheidseisen van de WAMCA en de bevoegdheidsregeling inzake het internationaal
privaatrecht van de AVG. Dat doet echter niets af aan het feit dat de collectieve actie van de
WAMCA kan bijdragen aan het verkrijgen van schadevergoeding vanwege schending van de
AVG door Nederlandse schadeveroorzakende partijen.
5
Inleiding
In de laatste decennia heeft de toepassing van informatie- en communicatietechnologie (ICT)
een enorme vlucht genomen en de verwerking van persoonsgegevens heeft een massaal
karakter gekregen. Dat heeft geleid tot een sterke toename van productiviteit en bedrijvigheid
in allerlei sectoren. Het heeft de maatschappij echter ook afhankelijk gemaakt van deze
technologie en buitenlandse techbedrijven profiteren daar op grote schaal van. De vijf grootste
techbedrijven ter wereld – Apple, Amazon, Facebook, Aphabet (Google) en Microsoft - halen
gezamenlijk een jaaromzet van $900.000.000.0001. Het succes van deze bedrijven heeft tot
gevolg dat ze beschikken over een enorme database van persoonsgegevens van burgers. Zo
zijn in Nederland naar schatting 9,6 miljoen mensen actief op het sociale netwerk van
Facebook2. Om misbruik van deze gegevens te voorkomen is er Europese
gegevensbeschermingswetgeving die de privacy van burgers moet beschermen. Sinds de
inwerkingtreding van de Algemene verordening gegevensbescherming (hierna: ‘AVG’) in
2016 heeft iedereen die schade lijdt als gevolg van een inbreuk op de AVG het recht om
schadevergoeding te ontvangen voor schade als gevolg van deze inbreuk. Tot op heden is het
in Nederland echter op slechts één hand te tellen hoe vaak een betrokkene daadwerkelijk
schadevergoeding heeft ontvangen als gevolg van een inbreuk op de AVG. Terwijl de
Autoriteit Persoonsgegevens – de Nederlandse gegevensbeschermingsautoriteit – in 2019
bijna 27.000 datalekmeldingen ontving3. Het blijkt dat een betrokkene het bij een inbreuk op
de AVG moeilijk vindt om zijn schade te verhalen. Op grond van de Wet afwikkeling
massaschade in collectieve actie (hierna: ‘WAMCA’) is het sinds 1 januari 2020 mogelijk om
een collectieve actie tot schadevergoeding in te stellen. In deze scriptie wordt onderzocht of
de collectieve actie tot schadevergoeding kan bijdragen aan het verhalen van schade als
gevolg van een inbreuk op de AVG. De in de voorgaande paragaaf geschetste problematiek
heeft geleid tot de volgende onderzoeksvraag:
‘Draagt de collectieve actie van de WAMCA bij aan het verkrijgen van schadevergoeding vanwege
schending van de AVG?’
De onderzoeksvraag van deze scriptie is een samengestelde vraag en bestaat zowel uit een
beschrijvend, evaluerend als uit een voorspellend element. De onderzoeksvraag is tevens
1 Visual Capitalist juli 2020. 2 Onderzoek van de Autoriteit Persoonsgegevens naar het verwerken van persoonsgegevens van betrokkenen in
Nederland door het Facebook-concern van 21 februari 2017, p. 5. 3 Autoriteit persoonsgegevens februari 2020.
6
normatief van aard. De scriptie wordt geschreven vanuit het perspectief van een betrokkene
die zijn schade als gevolg van een inbreuk op het gegevensbeschermingsrecht wil verhalen.
Het onderliggende normatieve standpunt is dat natuurlijke personen beschermd moeten
worden bij een inbreuk op het gegevensbeschermingsrecht. De bescherming van natuurlijke
personen bij de verwerking van persoonsgegevens is immers ook een Europees grondrecht4.
De beantwoording van de onderzoeksvraag vindt plaats door middel van een descriptief en
normatief rechtswetenschappelijk onderzoek. De onderzoeksmethoden worden met elkaar
gecombineerd om zo tot een helder antwoord op de onderzoeksvraag te komen. De
geraadpleegde bronnen zijn de wet, kamerstukken, wetenschappelijke literatuur en relevante
jurisprudentie van de rechtbanken, de hoven, de Hoge Raad en de Afdeling
bestuursrechtspraak van de Raad van State. Daarnaast is het onderzoek mijns inziens
maatschappelijk en juridisch relevant. De relevantie volgt onder andere uit de actie die de
Consumentenbond in samenwerking met de Data Privacy Stichting is gestart tegen
Facebook5. Zij eisen compensatie van Facebook voor Facebook-gebruikers vanwege
privacyschending door Facebook. Het behoort tot de mogelijkheden dat deze zaak – de
veronderstelde inbreuk op het gegevensbeschermingsrecht - uiteindelijk op grond van de
WAMCA beslecht wordt.
Alvorens in het laatste hoofdstuk (nr. 6) de onderzoeksvraag te beantwoorden worden in de
daaraan voorafgaande hoofdstukken de volgende deelvragen beantwoord:
- ‘Wat is de rechtsontwikkeling van de collectieve actie in Nederland?’
- ‘Wat is de doelstelling en wat is het wettelijk kader van de Wet afwikkeling massaschade in
collectieve actie?’.
- ‘Wanneer heeft de rechtsvordering van een belangenorganisatie een voldoende nauwe band
met de Nederlandse rechtssfeer onder de WAMCA’?
- ‘Wat is de doelstelling en wat is het wettelijk kader van de Algemene verordening
gegevensbescherming?’
- ‘Welke schade kan een betrokkene lijden bij een inbreuk op de AVG?’
De beantwoording van de deelvragen moeten de lezer een goed beeld geven van het
Nederlandse en Europese recht ten aanzien van de collectieve actie en het
gegevensbeschermingsrecht. Aan de hand van de deelvragen wordt uiteindelijk ook de
hoofdvraag behandeld.
4 Artikel 8 lid 1 HGEU. 5 Consumentenbond juli 2020.
7
1. De collectieve actie in Nederland
Nederland loopt op het gebied van collectieve acties al sinds jaar en dag voorop in Europa6.
Met de komst van de WAMCA kan er sinds 1 januari 2020 ook een collectieve actie tot
schadevergoeding ingesteld worden. Om een goed beeld te schetsen van collectieve acties in
Nederland wordt in dit eerste hoofdstuk allereerst kort de ontwikkeling van de wetgeving ten
aanzien van collectieve acties uiteengezet en vervolgens wordt er een overzicht gegeven van
jurisprudentie met betrekking tot collectieve acties. Daarmee wordt de volgende deelvraag
beantwoord: ‘Wat is de rechtsontwikkeling van de collectieve actie in Nederland?’
WCA WCAM WAMCA
Mogelijkheid tot
collectieve actie
√
√
√
Mogelijkheid tot
verbindend verklaren van
de schikking
×
√
√
Schadevergoeding in
geld
×
×
√
De ontwikkeling van wetgeving ten aanzien van de collectieve actie in Nederland.
De discussie omtrent de invoering van een collectieve actie kwam op gang in de jaren
zeventig van de vorige eeuw7. Tussen de jaren zeventig en de jaren negentig kwam er veel
jurisprudentie en wetgeving met betrekking tot de bevoegdheid van belangenbehartigers in het
Nederlandse juridische veld. Met de invoering van de Wet collectieve actie (hierna: ‘WCA’)
werd het vanaf 1 juli 1994 mogelijk om op grond van artikel 3:305a BW (oud) een collectieve
actie in te stellen. Hiermee werd de civielrechtelijke collectieve actie gecodificeerd8. Middels
artikel 3:305a BW (oud) konden homogene vorderingen voortaan gebundeld worden in één
rechtsvordering. Een stichting of vereniging kon een groep benadeelden vertegenwoordigen
om een verbod, gebod of een verklaring voor recht te bewerkstelligen. Schadevergoeding in
geld vorderen was daarentegen niet mogelijk.
6 Van der Krans, OF 2019/3, p. 61. 7 Tillema, AA 2019/6, p. 506-515. 8 Wet van 6 april 1994, Stb. 1994, 269.
8
Door de WCA werden de kosten van een procedure gedrukt en nam de efficiëntie toe. Er was
echter ook een grote beperking aan de WCA: de uitspraak in de collectieve actie bond formeel
enkel en alleen de belangenbehartiger en de verweerder9. De WCA bood niet de mogelijkheid
om met finaliteit een individuele schadevergoedingsvordering af te doen. Uit de parlementaire
geschiedenis blijkt dat de individuele beoordeling van een schadevergoedingsvordering werd
verkozen boven een gemeenschappelijke beoordeling10. Het gevolg hiervan was dat de
benadeelden met een verklaring voor recht op zak - die formeel slechts gold in de relatie
tussen de belangenbehartiger en de verweerder – een schikking moesten bewerkstelligen of
een individuele procedure aanhangig moesten maken ter verkrijging van een
schadevergoeding. Ingewikkelde procedures voor het gemiddelde individu, met vaak hoge
kosten. Bij de afwikkeling van de DES-zaak kwamen de nadelen van de wet goed aan het
licht11. De aansprakelijke producenten waren in deze zaak voornemens om een
schadevergoeding aan te bieden aan de gelaedeerden, voorwaarden was wel dat de zaak
daarmee finaal beslecht zou zijn. Op grond van de WCA was dit evenwel niet mogelijk. De
wetgever erkende de nadelen van de WCA en de Wet collectieve afwikkeling massaschade
(hierna: WCAM) was in 2005 een feit. De kern van de WCAM was gelegen in de
mogelijkheid om een overeenkomst tot schadeafwikkeling die werd gesloten tussen een
belangenbehartiger en de schadeveroorzakende partij of partijen, door het gerechtshof
Amsterdam verbindend te laten verklaren. Op grond van de WCAM is de DES-zaak
uiteindelijk ook finaal beslecht12.
De WCAM werd net als de WCA een groot succes. De WCAM bleek een effectief middel om
massaal geleden belegginsschade af te wikkelen, zie hierover onderstaande paragraaf die een
overzicht geeft van de jurisprudentie op het gebied van de collectieve actie13. In de praktijk
bleek ook dat er twee grote nadelen kleefden aan de WCAM, zie hiervoor hoofdstuk 2
paragraaf 1 over de doelstelling van de WAMCA.
9 Equesnijmegen maart 2020. 10 Wet van 6 april 1994, Stb. 1994, 269. 11 Rijksoverheid juni 2008. 12 Hof Amsterdam 1 juli 2006, ECLI:NL:GHAMS:2006:AX6440. 13 Van Boom, TvC 2019/4, p. 154.
9
WCAM-jurisprudentie
Zaak Jaar Aantal
gelaedeerden
Omvang totale
schadevergoeding
Soort aansprakelijkheid
DES 2006 en
2014
200.000 €38.000.000 Productaansprakelijkheid
DEXIA 2007 300.000 €1.000.000.000 Schending zorgplicht
VIE D’OR 2009 11.000 €45.000.000 Schending zorgplicht
SHELL 2009 500.000 €448.000.000 Waardeverlies aandelen
VENDIOR 2009 2.000 €4.250.000 Waardeverlies aandelen
CONVERIUM 2012 12.000 €58.400.000 Waardeverlies aandelen
DSB 2014 345.000 €500.000.000
(max.)
Schending zorgplicht
FORTIS 2018 119.000 €1.300.000.000 Waardeverlies aandelen
Overzicht van de WCAM-zaken met een weergave van het soort aansprakelijkheidsrecht.
Uit het bovenstaande overzicht blijkt dat de WCAM tweemaal werd gebruikt voor de
afwikkeling van letselschades. Daarnaast is de WCAM nog zevenmaal gebruikt om een
schikking algemeen verbindend te verklaren.14
Al deze zeven zaken zagen op zuiver financiële schade, namelijk het afwikkelen van
beleggingsschade. Na het algemeen verbindend verklaren van de Converium-schikking bleek
bovendien dat zelfs beleggingsschades die slechts gedeeltelijk een aanknopingspunt hadden
met de Nederlandse rechtsorde, onder het WCAM-regime konden worden afgewikkeld. De
gevolgtrekking die gemaakt kan worden is dat de WCAM werd ‘weggekaapt’ door financiële
massaclaims. Evenwel is de WCAM van toepassing op alle soorten massaschades. Hetzelfde
geldt voor de WAMCA.
14 Hof Amsterdam 25 januari 2007, ECLI:NL:GHAMS:2007:AZ7033 (DEXIA), Hof Amsterdam 29 april 2009,
ECLI:NL:GHAMS:2009:BI2717 (Vie d’Or), Hof Amsterdam 29 mei 2009, ECLI:NL:GHAMS:2009:BI5744
(Shell), Hof Amsterdam 15 juli 2009, ECLI:NL:GHAMS:2009:BJ2691 (Vedior), Hof Amsterdam 17 januari
2012, ECLI:NL:GHAMS:2012:BV1026 (Converium), Hof Amsterdam 4 november 2014,
ECLI:NL:GHAMS:2014:4560 (DSB) en Hof Amsterdam 13 juli 2018, ECLI:NL:GHAMS:2018:2422 (Fortis).
10
2. Doelstelling en wettelijk kader van de WAMCA
Per 1 januari 2020 is de WAMCA in werking getreden. Hierdoor werd artikel 3:305a BW
volledig herschreven. Op grond van artikel 3:305a BW is het nu mogelijk voor een stichting
of vereniging met volledige rechtsbevoegdheid (hierna: ‘vehikel’ of ‘belangenbehartiger’) om
een rechtsvordering in te stellen die strekt tot schadevergoeding te voldoen in geld voor een
groep gelaedeerden. Om een goed beeld te schetsen van de WAMCA wordt in dit hoofdstuk
de volgende deelvraag beantwoord: ‘Wat is de doelstelling en wat is het wettelijk kader van de
Wet afwikkeling massaschade in collectieve actie?’.
2.1 Doelstelling WAMCA
Het wetgevingsproces richting de WAMCA begon met de motie Dijksma van november
2011. De motie bracht het verzoek aan de regering om “een brief te sturen met daarin een
stappenplan om te komen tot de toekenning van het recht voor representatieve
belangenorganisaties om schade collectief te verhalen, door de WCAM en het BW op dit punt
[…] aan te passen”15. Deze motie leidde uiteindelijk tot het wetsvoorstel dat op 29 januari
2019 door de Tweede Kamer werd aangenomen. Een collectieve schadeafwikkeling voorziet
volgens de wetgever in een behoefte wanneer sprake is van massaschade en de
verwezenlijking van rechten in een individuele procedure op problemen stuit of wanneer
collectieve afwikkeling een effectiever en efficiënter middel biedt om tot toekenning van
schadevergoeding te komen aan een grote groep gedupeerden. De wet heeft dan ook tot doel
een efficiënte en effectieve collectieve afwikkeling van massaschade te bevorderen en is na de
WCA en de WCAM de derde grote stap in de rechtsontwikkeling van de afwikkeling van
massaschade. Er is gestreefd naar een balans tussen het belang van gedupeerden om hun
rechten te kunnen verwezenlijken en het belang van aangesproken partijen om beschermd te
worden tegen ongefundeerde of lichtvaardige massaclaims16. De wetgever benadrukt expliciet
dat de WAMCA het materiele aansprakelijkheids- of schadevergoedingsrecht niet verandert17.
Met de invoering van de WAMCA denkt de wetgever twee problemen uit het pre-WAMCA
tijdperk op te lossen. Ten eerste wordt het derde lid van artikel 3:305a BW (oud) geschrapt,
waardoor een collectieve actie tot schadevergoeding voortaan tot de mogelijkheden behoort.
15 Kamerstukken II 2011/12, 33000-XIII, 14 e.v. 16 Idem. 17 Idem.
11
In het vorige hoofdstuk bleek dat het onder de WCAM niet mogelijk was om een collectieve
actie tot schadevergoeding in te stellen. De reden hiervoor was dat de wetgever destijds vond
dat de vraag of, en zo ja, in hoeverre een persoon jegens wie onrechtmatig zou zijn gehandeld
daardoor schade heeft geleden, slechts individueel kon worden beantwoord18. Het verbod op
het vorderen van een schadevergoeding in collectieve actie is in de literatuur vaak
bekritiseerd19. De wetgever is door het schrappen van het derde lid van artikel 3:305a BW
(oud) aldus tot inkeer gekomen. Door de schade in een collectieve
schadevergoedingsprocedure af te wikkelen via schadebegroting en een onderverdeling te
maken in categorieën van personen denkt de wetgever problemen rondom individuele
schadebegroting te ondervangen20.
Ten tweede is het voor een partij die wordt aangesproken niet meer mogelijk om het
afwikkelen van de massaschade te frustreren. Een vermeende schadeveroorzaker kan in een
collectieve actie worden verplicht om mee te werken aan een collectieve schikking. Mocht dit
niet lukken dan kan de rechtbank de aansprakelijkheid vaststellen in een gerechtelijke
procedure en schadevergoeding toekennen aan de gelaedeerden. Dit was anders onder de
WCAM. De rechter had onder de WCAM niet de mogelijkheid om een geschil te beslechten,
hij kon alleen een schikking algemeen verbindend verklaren. Bij weigerachtige
schadeveroorzakers waren de gelaedeerden onder de WCAM aangewezen op individuele
procedures. In de praktijk leidde dit vaak tot cessies ter incasso aan claimvehikels. De
wildgroei daarin beoogt de WAMCA op te lossen, door middel van strengere
ontvankelijkheidsvereisten21. De WAMCA moet dienen als een stok achter de deur om
aangesproken partijen te dwingen om mee te werken, wanneer de onderhandelingsbereidheid
bij deze ontbreekt22. Het beslechten van geschillen met finaliteit is hetgeen de wetgever
beoogt te bereiken met deze stok achter de deur.
18 Kamerstukken II 2016/17, 34608, nr. 3. 19 Zie bijvoorbeeld Oranje 2004, p. 289 e.v., Zippro & Meijer, M&M 2010/3 of Numann e.a. 2010, p. 127-143. 20 Kamerstukken II 2016/17, 34608, 3, .p 5, 50-54. 21 Kamerstukken II 2016/17, 34 608, nr. 3 p. 6 e.v. 22 Idem.
12
2.2 Wettelijke kader WAMCA
Het wettelijk kader van de WAMCA kan in vier fases worden ingedeeld: een eerste fase
waarin een vehikel een 305a-vordering instelt. Daarna volgt de tweede fase waarin de rechter
de ontvankelijkheidsvereisten beoordeelt. Tijdens de derde fase nodigt de rechter het vehikel
en de wederpartij uit om tot een schikking te komen. Indien partijen een schikking treffen,
volgt er een algemeen verbindendverklaring door de rechter. In het geval er geen schikking tot
stand komt beslist de rechter in de vierde fase op de vordering. Hieronder wordt per fase het
juridisch kader geschetst.
Eerste fase: het instellen van een artikel 305a-vordering
Naast de gewone eisen die gelden voor een dagvaarding volgt uit het Wetboek van
Rechtsvordering dat er voor een artikel 305a-vordering bijzondere eisen gelden23. De
dagvaarding waarmee de procedure aanhangig wordt gemaakt moet een omschrijving van de
gebeurtenis(sen) waarop de collectieve vordering betrekking heeft vermelden. Daarnaast geldt
dat de groep van belanghebbenden moet worden aangemerkt. Ook moet de dagvaarding een
omschrijving bevatten van de mate waarin de te beantwoorden feitelijke en rechtsvragen
gemeenschappelijk zijn. Hiermee doelt de wetgever erop dat het vehikel dat de vordering
instelt voldoende aannemelijk heeft gemaakt dat het voeren van de collectieve vordering
efficiënter en effectiever is dan het instellen van een individuele vordering24. Verder moet de
dagvaarding ingaan op de ontvankelijkheidseisen van artikel 305a. Tot slot bevat de
dagvaarding gegevens die de rechter in staat stelt om voor de collectieve vordering een
exclusieve belangenbehartiger (hierna: ‘EB’) aan te wijzen. Zodra de dagvaarding is
betekend, moet deze binnen twee dagen worden ingediend ter griffie en gelijktijdig in het
centraal register voor collectieve actie worden ingeschreven25. In beginsel volgt dan een
termijn van drie maanden waarin andere vehikels de mogelijkheid hebben om een 305a-
vordering in te stellen26.
23 Artikel 1018c lid 1 Rv. 24 Artikel 1018c lid 5 sub b Rv. 25 Artikel 1018c lid 2 Rv juncto artikel 3:305a lid 7 BW. 26 Artikel 1018c lid 3 Rv.
13
Tweede fase: ontvankelijkheid
Indien er meerdere vehikels zijn die een collectieve vordering hebben ingesteld omtrent
dezelfde gebeurtenis wijst de rechter de meest geschikte eiser aan als EB27. Dit doet de rechter
pas nadat hij heeft getoetst aan de ontvankelijkheidseisen van artikel 3:305a. Er bestaan twee
regimes ten aanzien van de ontvankelijkheid: een zwaar en een licht regime. Het zware
regime is de hoofdregel, het lichte regime de uitzondering.
Ten aanzien van het zware regime geldt dat het vehikel een collectieve vordering kan instellen
mits zij de belangen van de belanghebbenden behartigt en deze belangen voldoende zijn
gewaarborgd28. De belangen van de belanghebbenden tot bescherming van wier belangen de
rechtsvordering strekt, zijn voldoende gewaarborgd, indien het vehikel voldoende
representatief is voor de groep belanghebbenden, gelet op de achterban en de omvang van de
vordering29. Met achterban bedoelt de wetgever het kwantitatief aandeel van de groep
getroffen gedupeerden waar het vehikel voor opkomt30.
Ontvankelijkheidsvereisten ten aanzien van de collectieve actie:
- de bestuurder betrokken bij de oprichting van het vehikel, en hun opvolgers, mogen geen
rechtstreeks of middellijk winstoogmerk hebben, dat via de rechtspersoon wordt
gerealiseerd31;
- de rechtsvordering moet een voldoende nauwe band met de Nederlandse rechtssfeer hebben
(meer hierover in hoofdstuk 3)32;
- het vehikel moet voldoende getracht hebben om door middel van overleg met de verweerder
tot een oplossing te komen33;
- het vehikel moet het bestuursverslag en de jaarrekening openbaar maken34.
Daarnaast geldt dat het vehikel moet beschikken over een toezichthoudend orgaan en
passende en doeltreffende mechanismen in acht moet nemen voor de deelname aan of
vertegenwoordiging bij de besluitvorming van de personen tot bescherming van wier
belangen de rechtsvordering strekt. Het vehikel moet de beschikking hebben over voldoende
middelen om de kosten voor het instellen van een rechtsvordering te dragen, waarbij de
27 Artikel 1018e Rv. 28 Artikel 3:305a lid 1 BW. 29 Artikel 3:305a lid 2 BW. 30 Kamerstukken II 2016/17, 34608, 3, p. 19. 31 Artikel 3:305a lid 3 aanhef en onderdeel a BW. 32 Artikel 3:305a lid 3 aanhef en onderdeel b BW. 33 Artikel 3:305a lid 3 aanhef en onderdeel c BW. 34 Artikel 3:305a lid 5 BW.
14
zeggenschap over de rechtsvordering in voldoende mate bij de rechtspersoon ligt. Het vehikel
dient verder zorg dragen voor een toegankelijke internetpagina, waarop informatie te vinden
is over onder andere statuten, bestuursstructuur en bestuurs- en toezichtverslagen35. Voldoet
het vehikel niet aan bovenstaande eisen, dan volgt niet-ontvankelijkheid.
In artikel 3:305a lid 6 is het lichte regime beschreven. De rechter kan een vehikel ook
ontvankelijk verklaren wanneer de rechtsvordering wordt ingesteld met een ideëel doel en een
zeer beperkt financieel belang of wanneer de aard van de vordering van het vehikel of van de
personen tot bescherming van wier belangen de rechtsvordering strekt, daartoe aanleiding
geeft. De rechtsvordering kan niet strekken tot een schadevergoeding te voldoen in geld36.
Een verklaring voor recht kan wel gevorderd, evenals een gebod of een verbod. Omwille van
het feit dat de rechtsvordering niet kan strekken tot een schadevergoeding te voldoen in geld
wordt er hier niet nader ingegaan op het lichte regime.
Niet alleen het vehikel moet ontvankelijk zijn, de vordering ook. De rechter toetst of de
collectieve vordering deugdelijk is en of de eiser voldoende aannemelijk heeft gemaakt dat
het instellen van een collectieve vordering efficiënter en effectiever is dan het instellen van
een individuele vordering doordat de te beantwoorden feitelijke en rechtsvragen in voldoende
mate gemeenschappelijk zijn, het aantal personen tot bescherming van wier belangen de
vordering strekt, voldoende is en, indien de vordering strekt tot schadevergoeding, dat zij
individueel dan wel gezamenlijk een voldoende groot financieel belang hebben37.
Indien zich binnen de driemaandentermijn een ‘concurrerend’ vehikel heeft gemeld volgt er
een procedure waarin de rechter de meest geschikte EB aanwijst38. In het geval er slechts een
vehikel is dat zich heeft gemeld, wordt dit benoemd, uiteraard onder de voorwaarde dat het
voldoet aan de ontvankelijkheideisen. De EB leidt de procedure en treedt op voor de belangen
van de nauw omschreven groep personen die de rechter op hetzelfde moment benoemt39. Het
belang van het oordeel van de rechter over voor welke nauw omschreven groep personen de
EB de belangen behartigt is gelegen in het feit dat de uitkomst in de procedure bindend is
voor alle personen binnen deze groep, behalve voor hen die gebruik hebben gemaakt van een
opt-out40. De mogelijkheid van opt-out wordt aan alle personen geboden behorend tot de
35 Artikel 3:305a lid 2 aanhef en onderdeel d BW. 36 Kamerstukken II 2018/19, 34608, 15. 37 Artikel 1018c lid 5 aanhef en onderdeel a, b en c Rv. 38 Artikel 1018e lid 1 Rv. 39 Artikel 1018e lid 2 en lid 3 Rv. 40 Kamerstukken II 2016/17, 34608, 3, p. 43.
15
nauw omschreven groep personen, zij hebben een termijn van ten minste een maand nadat de
vordering is aangekondigd om de griffie te informeren dat zij zich van de behartiging van hun
belangen in deze collectieve vordering willen bevrijden41.
Derde fase: schikking beproeven
Nadat de EB is benoemd stelt de rechter een termijn voor het beproeven van een schikking
tussen partijen42. In het positieve geval dat partijen tot een schikking komen, wordt er een
vaststellingsovereenkomst opgesteld die ter goedkeuring aan de rechter wordt voorgelegd.
Indien de rechter de schikking goedkeurt, volgt algemeenverbindendverklaring43. De personen
binnen de nauw omschreven groep krijgen dan een tweede mogelijkheid van opt-out44.
Vierde fase: rechter beslist
Indien het partijen niet lukt om een schikking te beproeven beslist de rechter over de
vordering van de EB. De rechter heeft dezelfde mogelijkheden om schade vast te stellen als in
een reguliere procedure, artikel 6:97 BW is namelijk onverkort van toepassing45. Voordat de
rechter beslist kan hij de overlegging bevelen van een of meerdere voorstellen voor een
collectieve schadeafwikkeling door de eiser en de gedaagde46. Al dan niet aan de hand van
deze voorstellen wikkelt de rechter de schade in een collectieve schadevergoedingsprocedure
af via schadebegroting, waarbij hij de schadevergoeding voor de gelaedeerden zo nodig in
categorieën vaststelt47. Bij de vaststelling van categorieën van vergelijkbare gelaedeerden
heeft de rechter de mogelijkheid om zoveel mogelijk rekening te houden met de verschillende
omstandigheden die voor verschillende groepen gelaedeerden van belang zijn48. Hij kan
daarbij ook de hulp van deskundigen inschakelen49. Afhankelijk van het soort vordering en
het soort schade kan dit een financieel deskundige zijn of bijvoorbeeld bij een vordering op
grond van het gegevensbeschermingsrecht een deskundige op het gebied van
41 Artikel 1018f lid 1 eerste volzin Rv. 42 Artikel 1018g Rv. 43 Artikel 7:907 lid 1 BW. 44 Artikel 1018h lid 5 Rv jo. artikel 1018f lid 1-4 Rv. 45 Artikel 1018i lid 2 Rv. 46 Artikel 1018i lid 1 Rv. 47 Artikel 1018i lid 2 Rv. 48 Kamerstukken II 2017/18, 34608, nr. 6, p. 15 e.v. 49 Artikel 1018i lid 3 Rv.
16
informatietechnologie50. Een door de rechter vastgestelde collectieve schadeafwikkeling moet
de onderdelen a tot en met f van artikel 7:907 lid 2 BW bevatten. De WAMCA kan overigens
worden ingezet voor alle typen schade, ongeacht hoe de schade is veroorzaakt51. De uitspraak
van de rechter is verbindend voor alle belanghebbenden die niet al eerder waren uitgestapt. Na
vaststelling van de schadeafwikkeling door de rechter zullen gelaedeerden hun claim moeten
indienen bij een ‘claim administrator’. Deze zorgt dan voor de uitbetaling van de
schadevergoeding op basis van de categorieën die de rechter heeft vastgesteld52.
2.3 Tussenconclusie
In dit hoofdstuk is gebleken dat de doelstelling van de wetgever is om een efficiënte en
effectieve collectieve afwikkeling van massaschade te bevorderen door het mogelijk te maken
om bij de rechter een collectieve schadevergoedingsactie in te stellen. Hierdoor moet de
schikkingsbereidheid bij schadeveroorzakers toenemen en moeten geschillen vaker finaal
beslecht worden. Daarnaast is het wettelijk kader van de WAMCA geschetst.
50 Kamerstukken II 2016/17, 34608, 3, p. 50-51. 51 Kamerstukken II 2016/17, 34607, 3 52 Idem.
17
3. Voldoende nauwe band met de Nederlandse rechtssfeer
In het vorige hoofdstuk is gebleken dat een vehikel onder de WAMCA slechts ontvankelijk is
indien de rechtsvordering een voldoende nauwe band heeft met de Nederlandse rechtssfeer53.
Het territoriale ontvankelijkheidsvereiste in de WAMCA strekt ertoe de internationale
reikwijdte van de nieuwe collectieve actie aldus af te bakenen dat deze uitsluitend openstaat
voor zaken die een voldoende nauwe band met de Nederlandse rechtssfeer hebben54. Het is
dan ook van belang om een goed beeld te hebben welke eisen de wetgever stelt aan dit
territoriale ontvankelijkheidsvereiste. Omwille hiervan wordt in dit hoofdstuk de volgende
deelvraag beantwoord: ‘Wanneer heeft de rechtsvordering van een belangenorganisatie een
voldoende nauwe band met de Nederlandse rechtssfeer onder de WAMCA’?
De reden dat de wetgever heeft gekozen voor het territoriale ontvankelijkheidvereiste in de
WAMCA is tweeledig. Ten eerste is beoogd te voorkomen dat de invoering van de nieuwe
collectieve actie een aanzuigende werking heeft voor zaken die een onvoldoende nauwe band
met de Nederlandse rechtssfeer hebben. Dit ziet op de angst voor een claimcultuur, waarin
overmatig of ongegrond zou worden geprocedeerd. Ten tweede zou de rechterlijke macht in
Nederland onnodig belast worden en voorzag de wetgever negatieve invloed op het
Nederlandse vestigingsklimaat. De gedachte hierachter is dat ondernemingen zich minder snel
in Nederland zullen vestigen als ze hier makkelijker dan in andere jurisdicties geconfronteerd
kunnen worden met een grensoverschrijdende collectieve actie55. In de literatuur bestaat er
echter twijfel of een ruimer territoriaal bereik van de collectieve actie zonder meer nadelig
zou zijn voor het Nederlandse vestigingsklimaat56. Van der Plas stelt dat het in schril contrast
staat met de oprichting van de Netherlands Commercial Court en voert aan dat niet is
onderzocht wat de effecten van dit ontvankelijkheidsvereiste zijn op de economie.
In de volgende drie gevallen is op grond van artikel 3:305a lid 3 sub b BW sprake van een
voldoende nauwe band met de Nederlandse rechtssfeer:
1. De rechtspersoon maakt genoegzaam aannemelijk dat het merendeel van de personen tot
bescherming van wier belangen de rechtsvordering strekt zijn gewone verblijfplaats in
Nederland heeft; of
53 Naast de overige eisen van artikel 3:305a lid 3 BW. 54 Kamerstukken II 2016/17, 34608, nr. 3 55 Kamerstukken II 2016/17, 34608, nr. 3, p. 11 en 25 en Kamerstukken II 2018/19, 34608, nr. 12. 56 Van der Plas, NIPR 2019/3.
18
2. Degene tegen wie de rechtsvordering zich richt, heeft woonplaats in Nederland en bijkomende
omstandigheden wijzen op voldoende verbondenheid met de Nederlandse rechtssfeer; of
3. De gebeurtenis of gebeurtenissen waarop de rechtsvordering betrekking heeft, heeft of hebben
in Nederland plaatsgevonden.
Het eerste vereiste ziet op de achterban van de belangenbehartiger. De belangenbehartiger is
ontvankelijk indien het merendeel van de achterban zijn gewone verblijfplaats heeft in
Nederland. Uit de memorie van toelichting volgt dat dit onderdeel van het territoriale
ontvankelijkheidsvereiste zo is geformuleerd uit angst voor de bevoegdheid van de
Nederlandse rechter op grond van het ‘Erfolgsort’57. Uit artikel 7 lid 2 Verordening Brussel I-
bis volgt namelijk dat bij verbintenissen uit onrechtmatige daad bevoegd is het gerecht van de
plaats waar het schadebrengende feit zich heeft voorgedaan of zich kan voordoen. Deze
bevoegdheidsgrondslag heeft zowel betrekking op de plaats waar de schade is ingetreden
(“Erfolgsort”) als op de plaats van de gebeurtenis die de oorzaak is van de schade
(“Handlungsort”). De wetgever wilde voorkomen dat een belangenbehartiger uitsluitend
vanwege de beschikbaarheid van de collectieve actie in Nederland hier gaat procederen. Denk
bijvoorbeeld aan een scenario dat er een datalek plaatsvindt in Duitsland bij een in Duitsland
gevestigd bedrijf, met hoofdzakelijk Duitse benadeelden en slechts een kleine groep
Nederlandse benadeelden. Het eerste vereiste voorkomt dat een belangenbehartiger uitsluitend
vanwege de beschikbaarheid in Nederland een collectieve actie kan starten, doordat het
merendeel van de benadeelden in Nederland woonachtig moet zijn.
Het tweede element van het territoriale ontvankelijkheidsvereiste betreft de woonplaats van de
gedaagde, uitgebreid met het vereiste van ‘bijkomende omstandigheden’. Bijkomende
omstandigheden die wijzen op een voldoende nauwe band met de Nederlandse rechtssfeer. De
rechter toetst of dit het geval is58. Op deze manier hoopt de wetgever te voorkomen dat
financiers van massaschadeclaims (third party litigation funders) enkel in Nederland willen
procederen tegen een gedaagde die behalve zijn woonplaats voor het overige geen nauwe
band heeft met Nederland, omdat zij menen dat de mogelijke schadevergoeding in Nederland
het hoogst zou zijn. Denk hierbij aan partijen die louter om fiscale redenen in Nederland
gevestigd zijn.
Het laatste onderdeel van het territoriale ontvankelijkheidsvereiste betreft de normschending.
Indien de gebeurtenis of gebeurtenissen waarop de rechtsvordering betrekking heeft, in
57 Kamerstukken II 2016/17, 34608, nr. 3. 58 Kamerstukken II 2018/19, 34608, nr. 12.
19
Nederland heeft of hebben plaatsgevonden is er sprake van een voldoende nauwe band met de
Nederlandse rechtssfeer. Uit de memorie van toelichting volgt dat dit onderdeel uitsluitend
verwijst naar de plaats waar zich daadwerkelijk de gebeurtenis of gebeurtenissen heeft
respectievelijk hebben plaatsgevonden (‘Handlungsort’). Het is aldus niet tevens een
verwijzing naar de plaats waar de directe schade is geleden (‘Erfolgsort’)59. De rechter
oordeelt pas over het al dan niet voldaan zijn aan het ontvankelijkheidsvereiste nadat hij zijn
internationale bevoegdheid heeft vastgesteld ingevolge de Brussel I-bis verordening dan wel
het commuun internationaal bevoegdheidsrecht van de artikelen 1-14 Rechtsvordering.
Volgens de wetgever doet het ruimere territoriale ontvankelijkheidsvereiste niet af aan de
goede werking van Brussel I bis60. Daar waar de wetgever expliciet stelt dat het vereiste van
een voldoende nauwe band een ontvankelijkheidseis is en derhalve niet een aanvullende eis
voor het aannemen van internationale bevoegdheid stelt Van der Plas dat haars inziens het
territoriale ontvankelijkheidsvereiste van de WAMCA de effectiviteit van het systeem van
Brussel I bis weldegelijk ondermijnt. “Er wordt immers evenals in Brussel I bis gebruik
gemaakt van territoriale aanknopingsfactoren, waarbij bovendien – onder de noemer van
ontvankelijkheid – aan de hoofdregel van Brussel I bis een extra territoriaal vereiste wordt
gekoppeld”61. Het is uiteindelijk aan het Hof van Justitie om te oordelen of de
ontvankelijkheidsdrempel verenigbaar is met het gesloten stelsel van Brussel I bis62.
De AVG kent overigens een bevoegdheidsregeling inzake het internationaal privaatrecht.
Artikel 79 lid 2 AVG bepaalt dat een procedure kan worden ingesteld in de lidstaat waar de
verwerkingsverantwoordelijke of verwerker een vestiging heeft, of in de lidstaat waar de
betrokkene zijn of haar gewone verblijfplaats heeft. Dit alles heeft tot gevolg dat bij een
inbreuk op het gegevensbeschermingsrecht de Nederlandse rechter op grond van de WAMCA
en de AVG bevoegd is om over de collectieve vordering te beslissen indien het merendeel van
de gelaedeerden wier belangen worden behartigd in Nederland zijn gewone verblijfplaats
heeft, of indien de verwerkingsverantwoordelijke c.q. de verwerker in Nederland is gevestigd.
Indien de gebeurtenis of gebeurtenissen waarop de rechtsvordering betrekking heeft in
Nederland hebben plaatsgevonden bij een bedrijf dat in Duitsland is gevestigd met enkel
Duitse gedupeerden dan kan op grond van artikel 79 lid 2 AVG de procedure niet bij de
59 Kamerstukken II 2016/17, 34608, nr. 3. 60 Kamerstukken II 2016/17, 34608, nr. 3, p. 23-26 en nr. 4, p. 7 61 Van der Plas, NIPR 2019/3. 62 Advies Staatscommissie voor Internationaal Privaatrecht en Adviescommissie voor Burgerlijk Procesrecht van
1 april 2016, par. 3.2.2., 3.4.1, en 3.4.2.
20
Nederlandse rechter worden ingesteld. Terwijl er wel sprake is van een voldoende nauwe
band met de Nederlandse rechtssfeer op grond van artikel 3:305a lid 3 sub b BW.
Onder de WCAM nam de Nederlandse rechter een veel ruimere internationale bevoegdheid
aan. Daar is het voldoende dat de aansprakelijke partij in Nederland gevestigd is of dat de
rechten van buitenlandse gelaedeerden nauw verweven zijn met de rechten van in Nederland
woonachtige gelaedeerden. Dit kwam vooral naar voren in de algemeen verbindend
verklaring van de Converium-schikking. Het hof Amsterdam nam internationale bevoegdheid
aan in de Converium-schikking, waarin de aansprakelijke partijen niet in Nederland waren
gevestigd en meer dan 98% van de gelaedeerden niet in Nederland woonachtig waren. Het
verschil op dit punt tussen de WAMCA en de WCAM is gelegen in het feit dat partijen onder
de WCAM in staat zijn gebleken om tot een overeenkomst over de afwikkeling van de
massaschade te komen. De schikking die daaruit voortkomt willen beide partijen dan
algemeen verbindend laten verklaren door het hof Amsterdam. Dit ligt anders voor de
gevallen waarop de procedure in de WAMCA ziet. Belangenbehartigers die niet tot een
schikking zijn kunnen komen met de aansprakelijke partij kunnen hun vordering bij de rechter
neerleggen. De rechter beslist dan op vordering van de belangenbehartiger. Vermoedelijk is
de gedachte van de wetgever geweest dat het niet wenselijk is om een gerechtelijke uitspraak
te doen over een collectieve schadevordering, als een nauwe band met de Nederlandse
rechtssfeer ontbreekt. Dat zou mijns inziens een begrijpelijk gedachte zijn.
Voor buitenlandse gelaedeerden geldt onder de WAMCA sowieso een opt-in regime: zij
kunnen ervoor kiezen zich bij de Nederlandse collectieve actie aan te sluiten63. Dit in
tegenstelling tot Nederlandse gedupeerden waarbij een opt-out regime geldt. Met een opt-out
regime is de wetgever tegemoetgekomen aan zorgen dat de procedure ongewild een te ruim
bereik zou krijgen, waardoor afbreuk zou worden gedaan aan het streven naar een efficiënte
en effectieve afwikkeling van massazaken64.
3.1 Tussenconclusie
In dit hoofdstuk is verhelderd wat de eisen zijn die de wetgever stelt aan de voldoende nauwe
band van de rechtsvordering met de Nederlandse rechtssfeer.
63 Artikel 1018f lid 5 Rv. 64 Kamerstukken II 2017/18, nr. 6 34608, p. 7.
21
4. Doelstelling en wettelijk kader van de AVG
De AVG is op 25 mei 2016 in werking getreden en behelst het Europese recht op het gebied
van gegevensbescherming. Om een goed beeld te schetsen van de AVG wordt in dit
hoofdstuk de volgende deelvraag beantwoord: ‘Wat is de doelstelling en wat is het wettelijk
kader van de Algemene verordening gegevensbescherming?’
4.1 Doelstelling AVG
Door de digitalisering in de eenentwintigste eeuw worden persoonsgegevens op een
ongekende schaal gedeeld en verwerkt. Dit heeft zowel inrichting van de economie als van de
maatschappij als geheel ingrijpend veranderd en de bescherming van natuurlijke personen bij
de verwerking van persoonsgegevens is een Europees grondrecht geworden65. De verordening
beschermt dan ook de grondrechten en de fundamentele vrijheden van natuurlijke personen en
met name hun recht op bescherming van persoonsgegevens66. “De verordening beoogt bij te
dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een
economische unie, alsook tot economische en sociale vooruitgang, de versterking en de
convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke
personen”67. De AVG moet het vrije verkeer van persoonsgegevens binnen de Europese Unie
en de doorgifte aan de derde landen en internationale organisaties vergemakkelijken en
daarbij een hoge mate van bescherming van persoonsgegevens garanderen68. De bescherming
die door de AVG wordt geboden, heeft betrekking op natuurlijke personen, ongeacht hun
nationaliteit of verblijfplaats.
In de verordening zijn regels vastgesteld betreffende de bescherming van natuurlijke personen
in verband met de verwerking van persoonsgegevens69. Om de bescherming van natuurlijke
personen bij de verwerking van persoonsgegeven te waarborgen moet een verwerking op
grond van de AVG voldoen aan de volgende beginselen70:
1. Rechtmatigheid, behoorlijkheid en transparantie;
2. Doelbinding;
3. Minimale gegevensverwerking;
65 Artikel 8 lid 1 Handvest van de grondrechten van de Europese Unie. 66 Artikel 1 lid 2 AVG. 67 Overweging 2 AVG. 68 Overweging 6 AVG. 69 Artikel 1 lid 1 AVG. 70 Artikel 5 AVG.
22
4. Juistheid;
5. Opslagbeperking;
6. Integriteit en vertrouwelijkheid;
7. Verantwoordingsplicht.
Deze beginselen vormen de kern van de AVG. Ze geven geen vaste regels, maar belichamen
de geest van het algemene gegevensbeschermingsrecht. Naleving van de beginselen is een
fundamentele bouwsteen voor organisaties om te voldoen aan de AVG. Hieronder worden de
zeven beginselen kort toegelicht.
Rechtmatigheid, behoorlijkheid en transparantie
Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene
rechtmatig, behoorlijk en transparant is71. De drie elementen overlappen elkaar, maar
organisaties moet ervoor zorgdragen dat zij aan alle drie voldoen. Om de verwerking van
persoonsgegevens rechtmatig te laten zijn, moeten organisaties specifieke gronden voor de
verwerking van persoonsgegevens identificeren72. Als er geen grondslag is voor de
verwerking van persoonsgegevens, is de verwerking onrechtmatig en in strijd met de AVG.
Het element behoorlijkheid ziet op het verwerken van persoonlijke gegevens op een manier
die door mensen als redelijk geacht wordt en waarbij er geen ongerechtvaardigde nadelige
gevolgen zijn voor betrokkenen. Het element transparantie ziet op het informeren van de
natuurlijke personen over de verwerking die plaatsvindt. De betrokkenen moeten
geïnformeerd worden over de verwerking en individuele rechten die zij hebben ten aanzien
van de verwerking moeten benoemd worden. Bijvoorbeeld het recht op inzage van artikel 15
AVG.
Doelbinding
Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
doeleinden worden verzamelend en mogen vervolgens niet verder op een met die doeleinden
onverenigbare wijze worden verwerkt73. Dit beginsel moet ervoor zorgen dat organisaties
duidelijk en open zijn over de redenen voor het verkrijgen van persoonsgegevens en dat
hetgeen zij met de gegevens doen, in overeenstemming is met de redelijke verwachting van de
betrokkenen.
71 Artikel 5 lid 1 sub a AVG. 72 Artikel 6 AVG. 73 Artikel 5 lid 1 b AVG.
23
Minimale gegevensbewerking
De persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat
noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt74. Organisaties moeten
ervoor zorgen dat zij alleen persoonsgegevens verzamelen en bewaren die zij nodig hebben
voor de verwerking. Hier moet door middel van de beginselen van gegevensbescherming door
ontwerp (‘Privacy by design’) en gegevensbescherming door standaardinstellingen (‘Privacy
by default’) uitvoer aan worden gegeven75.
Juistheid
De persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd76. Organisaties
moeten redelijke maatregelen nemen om de juistheid van de persoonsgegevens te waarborgen
en ervoor zorgen dat de bron en de status van persoonsgegeven duidelijk zijn. Dit principe
heeft een sterke band met artikel 16 AVG. De betrokkene heeft op grond van dit artikel het
recht om onjuiste persoonsgegevens te rectificeren.
Opslagbeperking
De persoonsgegeven moeten worden bewaard in een vorm die het mogelijk maakt de
betrokkene niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens
moeten worden verwerkt noodzakelijk is77. Door ervoor te zorgen dat organisaties
persoonsgegevens wissen of anonimiseren wanneer zij deze niet langer nodig hebben, wordt
het risico verkleind dat de persoonsgegevens irrelevant, buitensporig of onnauwkeurig
worden.
Integriteit en vertrouwelijkheid
Organisaties moeten door het nemen van passende technische en organisatorische
maatregelen persoonsgegevens op een dusdanige manier verwerken dat een passende
beveiliging ervan gewaarborgd is, en dat de persoonsgegevens onder meer beschermd zijn
tegen ongeoorloofde of onrechtmatige verwerking en tegen opzettelijk verlies, vernietiging of
beschadiging78.
74 Artikel 5 lid 1 sub c AVG. 75 Artikel 25 AVG. 76 Artikel 5 lid 1 sub d AVG. 77 Artikel 5 lid 1 sub e AVG. 78 Artikel 5 lid 1 sub f AVG.
24
Verantwoordingsplicht
Het verantwoordingsprincipe vereist dat organisaties verantwoordelijkheid nemen voor wat
zij doen met persoonsgegeven en hoe zij zich aan de andere beginselen houden. Organisaties
moeten over interne controlemechanismen beschikken om hun conformiteit met de AVG aan
te kunnen tonen79.
4.2 Wettelijk kader AVG
De AVG is een EU-verordening en heeft daardoor rechtstreekse werking in alle lidstaten van
de Europese Unie. De verordening is van toepassing op de geheel of gedeeltelijk
geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van
persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden
opgenomen (materieel toepassingsgebied)80. De verordening is van toepassing op alle
organisaties die persoonsgegevens van EU-burgers verwerken, ongeacht of zij zijn gevestigd
in de Europese Unie (territoriaal toepassingsgebied).
Om het wettelijk kader van de AVG te begrijpen moeten de kernbegrippen van de AVG
duidelijk zijn. De vier kernbegrippen zijn ‘persoonsgegevens’, ‘verwerking’,
‘verwerkingsverantwoordelijke’ en ‘verwerker’.
De verordening definieert als persoonsgegevens alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon. Als identificeerbaar worden beschouwd de elementen die
kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische,
culturele of sociale identiteit van een natuurlijk persoon81. Te denken valt aan een naam, een
identificatienummer of locatiegegevens. In de verordening wordt met verwerking gedoeld op
een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een
geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het
verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere
wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van
gegevens.82 De verordening onderscheidt twee soorten entiteiten die persoonsgegevens
79 Artikel 5 lid 2 AVG. 80 Artikel 2 lid 1 AVG. 81 Artikel 4 sub 1 AVG. 82 Artikel 4 sub 2 AVG.
25
verwerken: de verwerkingsverantwoordelijke en de verwerker. De
verwerkingsverantwoordelijke is een natuurlijk persoon of rechtspersoon, een
overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het
doel van en de middelen voor de verwerking van persoonsgegevens vaststelt83. De verwerker
is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander
orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens
verwerkt84. De verwerker is derhalve ondergeschikt aan de verwerkingsverantwoordelijke.
Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de
verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen
nodig om te waarborgen dat aan de voorschriften van de verordening wordt voldaan85.
Een verwerking van persoonsgegevens is rechtmatig indien die is gebaseerd op een van de
grondslagen genoemd in de AVG: (1) de betrokkene heeft toestemming gegeven voor de
verwerking van zijn persoonsgegevens, (2) het is noodzakelijk om de persoonsgegevens te
verwerken om een overeenkomst uit te voeren, (3) het is wettelijk verplicht, (4) het is
noodzakelijk om vitale belangen te beschermen, (5) het is noodzakelijk om een taak van
algemeen belang of openbaar gezag uit te oefenen dan wel (6) is het noodzakelijk om de
gegevens te verwerken om gerechtvaardigde belangen te behartigen.86
Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op
passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade
voor natuurlijke personen87. Te denken valt aan het verlies van controle over
persoonsgegevens, identiteitsdiefstal of -fraude en verder enig ander aanzienlijk economisch
of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. Op grond van artikel 82
AVG kan een benadeelde, indien een verwerkingsverantwoordelijke of een verwerker in strijd
handelt met de verordening, aanspraak maken op schadevergoeding. Voorwaarde is wel dat
hij of zij daadwerkelijke materiële of immateriële schade heeft geleden. Uit artikel 80 AVG
volgt dat bij een inbreuk op het gegevensbeschermingsrecht een natuurlijk persoon het recht
heeft om organen, organisaties of verenigingen zonder winstoogmerk te machtigen om
namens betrokkenen het recht op de ontvangst van een schadevergoeding uit te oefenen indien
dit in het lidstatelijke recht is voorzien. Deze partijen moeten dan wel overeenkomstig het
83 Artikel 4 sub 7 AVG. 84 Artikel 4 sub 8 AVG. 85 Overweging 78 AVG. 86 Artikel 6 lid 1 AVG. 87 Overweging 85 AVG.
26
recht van een lidstaat zijn opgericht, statutaire doelstellingen hebben die het publieke belang
dienen en actief zijn op het gebied van de bescherming van persoonsgegevens. Collectief
schadeverhaal door organisaties ‘zonder winstoogmerk’ is zodoende mogelijk onder AVG op
grond van artikel 80. Dit artikel is het verbindingsstuk met de WAMCA.
4.3 Tussenconclusie
In dit hoofdstuk gebleken dat de AVG een hoge mate van bescherming van persoonsgegevens
binnen de Europese Unie moet garanderen en is het wettelijk kader van de verordening
geschetst.
27
5. Schade onder de AVG
Inbreuk op het gegevensbeschermingsrecht kan leiden tot een schadeclaim van degene die
door de inbreuk is getroffen. In dit hoofdstuk wordt aan de hand van wetgeving en
jurisprudentie de volgende deelvraag beantwoord: ‘Welke schade kan een betrokkene lijden
bij een inbreuk op de AVG’? Er wordt in dit hoofdstuk voornamelijk ingegaan op immateriële
schade, omdat de opgelopen schade bij een inbreuk op de AVG vaak immaterieel van aard
is88.
De grondslag voor schadevergoeding staat in artikel 82 lid 1 AVG: “Eenieder die materiële of
immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het
recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te
ontvangen voor de geleden schade.” Vermogensschade en ander nadeel in de zin van artikel
6:95 BW komen aldus voor vergoeding in aanmerking. De verwerkingsverantwoordelijke of
de verwerker moeten alle schade vergoeden die iemand kan lijden ten gevolge van een
verwerking die inbreuk maakt op deze verordening. Dit geldt zowel voor materiële als
immateriële schade. “Het begrip ‘schade’ moet ruim worden uitgelegd in het licht van de
rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstelling
van deze verordening”89. Volgens vaste rechtspraak van het Hof geldt dat de te vergoeden
schade reëel en zeker moet zijn en betrokkene dienen ten alle tijden volledige en
daadwerkelijke vergoeding van door hen geleden schade te ontvangen90.
Het Hof van Justitie heeft echter nog geen uitleg gegeven aan specifiek het schadebegrip of
over de vergoedbare immateriële schade bij een onrechtmatige verwerking van
persoonsgegevens. Volgens vaste rechtspraak van het Hof van Justitie is het bij gebrek aan
communautaire regelgeving een aangelegenheid van de interne rechtsorde van elke lidstaat
om de regels vast te stellen voor de uitoefening van het recht op schadevergoeding, mits het
gelijkwaardigheidsbeginsel en het doeltreffendheidsbeginsel in acht worden genomen91. Mijns
inziens is daarom de Nederlandse rechtspraak ten aanzien van immateriële schadevergoeding
88 Zie bijvoorbeeld: Solove & Citron, Tex. L. Rev, 2017/96:737, p. 755 e.v., Descheemaker, JML 2015/2, p. 278-
306 en de noot van O.L. van Daalen bij Rb. Oost-Brabant 20 juli 2016, ECLI:NL:RBOBR:2016:3892,
Mediaforum 2016-8, p. 240. 89 Overweging 146 AVG. 90 Hof van Justitie 4 april 2017, C-337/15 P, ECLI:EU:C:2017:256, Europese Ombudsman tegen Staelen. 91 Hof van Justitie 13 juli 2006, C-295/04, ECLI:EU:C:2006:461, Manfredi.
28
op basis van schending van de AVG op dit moment leidend.
5.1 Jurisprudentie
Onlangs heeft de Afdeling bestuursrechtspraak geoordeeld over de toekenning van
immateriële schadevergoeding op basis van schending van de AVG. Zij heeft op 1 april 2020
vier uitspraken gepubliceerd en is daarin met vuistregels gekomen omtrent de toekenning van
immateriële schadevergoeding onder de AVG. Omdat de Afdeling aansluiting heeft gezocht
bij de regels van het Burgerlijk Wetboek en de rechtspraak van de Hoge Raad kunnen de
vuistregels mijns inziens ook worden gebruikt in civiele procedures. Conform artikel 6:95
BW komen zowel materiële als immateriële schade veroorzaakt door overtredingen van het
gegevensbeschermingsrecht voor vergoeding in aanmerking. Wanneer het nadeel niet uit
vermogensschade bestaat (art. 6:96 BW), heeft de benadeelde recht op een naar billijkheid
vast te stellen schadevergoeding (art. 6:106 BW). Recht op vergoeding van immateriële
schade bestaat volgens artikel 6:106 BW in de volgende gevallen: de benadeelde heeft
lichamelijk letsel opgelopen, is in zijn eer of goede naam geschaad of is op andere wijze in
zijn persoon aangetast.
De Afdeling oordeelde in vier verschillende zaken over de al dan niet gemaakte inbreuk op
het gegevensbeschermingsrecht. Eén van de zaken draaide om een man wiens medische
gegevens zonder zijn toestemming waren verstrekt aan een tuchtcollege voor de
gezondheidszorg92. De andere drie zaken gingen over het zonder toestemming plaatsen van
persoonlijke gegevens op een internetforum van de Vereniging Nederlandse Gemeenten93.
De Afdeling volgt de redenering van de Hoge Raad in het EBI-arrest van 15 maart 2019 ten
aanzien van de aantasting van de persoon op andere wijze94. Gebaseerd op dit arrest komt de
Afdeling met de volgende vuistregels om vast te stellen of een inbreuk op het
gegevensbeschermingsrecht een schadevergoeding rechtvaardigt:
- De schade moet worden onderbouwd met concrete gegevens;
- Uitzondering op concrete onderbouwing van de schade: de aard en de ernst van de
inbreuk op het gegevensbeschermingsrecht.
92 Raad van State 1 april 2020, ECLI:NL:RVS:2020:898. 93 Raad van State 1 april 2020, ECLI:NL:RVS:2020:899, Raad van State 1 april ECLI:NL:RVS:2020:900, Raad
van State 1 april 2020 ECLI:NL:RVS:2020:901. 94 HR 15 maart 2019, ECLI:NL:HR:2019:376.
29
Uit het EBI-arrest volgt dat van de aantasting in persoon ‘op andere wijze’ in ieder geval
sprake is als de benadeelde geestelijk letsel heeft opgelopen. De Hoge Raad overweegt in het
EBI-arrest dat degene die zich hierop beroept, voldoende concrete gegevens zal moeten
aanvoeren waaruit kan volgen dat in verband met de omstandigheden van het geval
psychische schade is ontstaan. Van een aantasting in de persoon op andere wijze is niet reeds
sprake bij de enkele schending van een fundamenteel recht95. Het enkel aanvoeren dat iemand
immateriële schade lijdt door de inbreuk op het gegevensbeschermingsrecht is volgens de
Afdeling dan ook niet voldoende96. De Afdeling overweegt vervolgens in de lijn van het EBI-
arrest dat ook als het bestaan van geestelijk letsel niet kan worden aangenomen, de aard, ernst
en gevolgen van de normschending met zich mee kunnen brengen dat van de ‘aantasting in
persoon op andere wijze’ sprake is. Ook in dat geval zal degene die zich hierop beroept dit
met concrete gegevens moeten bewijzen. “Dat is slechts anders indien de aard en de ernst
van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen
daarvan voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan
worden aangenomen”97.
In de zaak van de man wiens medische gegevens zonder toestemming waren verstrekt heeft
de Afdeling geoordeeld dat de nadelige gevolgen daarvan zo voor de hand lagen, dat een
aantasting in de persoon kon worden aangenomen. Er is gehandeld in strijd met het
gegevensbeschermingsrecht en daardoor is het recht op eerbieding van de persoonlijke
levenssfeer van de man geschonden. Zijn persoonlijke levenssfeer is zo geschonden dat er
sprake is van een ‘aantasting in de persoon’ in de zin van artikel 6:106 lid 1 sub b BW. Gelet
op de omstandigheden van dit geval, waaronder de aard, duur en ernst van de inbreuk is de
Afdeling van oordeel dat de man recht heeft op een schadevergoeding van 500 euro. In de
andere zaken is volgens de Afdeling geen sprake van ‘aantasting in de persoon’. Hieruit volgt
dat als een inbreuk op het gegevensbeschermingsrecht evidente nadelige gevolgen heeft voor
benadeelden, een aantasting in de persoon kan worden aangenomen en er aldus een grondslag
is voor het vergoeden van de schade. Het is van groot belang dat de nadelige gevolgen
volgens de Afdeling hier voor de hand liggen. Bij schendingen van het
gegevensbeschermingsrecht is dikwijls niet of nauwelijks concreet aan te tonen welke
nadelige gevolgen er zijn voor de betrokkenen, zeker niet dat er sprake is van geestelijk letsel.
Dat de nadelige gevolgen voor de hand kunnen liggen is ook van belang voor collectieve
95 HR 15 maart 2019, ECLI:NL:HR:2019:376. 96 Raad van State 1 april 2020 ECLI:NL:RVS:2020:901. 97 HR 15 maart 2019, ECLI:NL:HR:2019:376
30
procedures, immers, als het in deze zaak niet was gegaan om slechts één benadeelde, maar om
duizenden benadeelden dan had de WAMCA hier gebruikt kunnen worden voor het
afwikkelen van de schade. In hoeverre het mogelijk is om tot een gestandaardiseerde
afwikkeling van aantastingen in de persoon te komen heeft de Hoge Raad besproken in het
aardbevingsschade Groningen-arrest. In deze zaak heeft de rechtbank prejudiciële vragen
gesteld aan de Hoge Raad over aansprakelijkheid voor schade die het gevolg is van
aardbevingen die zich in Groningen voordoen als gevolg van gaswinning uit het
Groningenveld. De Hoge Raad herhaalt allereerst de overweging uit het EBI-arrest ten
aanzien van aantasting in de persoon ‘op andere wijze’. Vervolgens overweegt de Hoge Raad
dat de omvang van een verplichting tot vergoeding van schade die bestaat in een aantasting in
de persoon op andere wijze, zich niet ‘min of meer forfaitair’ laat vaststellen, nu dat niet te
verenigen is met het hoogst persoonlijke karakter van de vordering tot vergoeding van deze
schade98. Echter, zo overweegt de Hoge Raad, dat laat onverlet dat de rechter kan oordelen
dat de aard en de ernst van de aansprakelijkheidvestigende gebeurtenis meebrengen dat de in
dit verband relevante nadelige gevolgen zo voor de hand liggen, dat een aantasting in de
persoon kan worden aangenomen en dat de rechter daarbij aannemelijk kan achten dat de door
deze aantasting in de persoon geleden schade ten minste een bepaald bedrag beloopt. In het
geval dat de relevante nadelige gevolgen voor een grote groep benadeelden bij een inbreuk op
het gegevensbeschermingsrecht zo voor de hand liggen dat aantastingen in de persoon kunnen
worden aangenomen, lijkt het aldus op basis van dit arrest mogelijk om tot een
gestandaardiseerde afwikkeling te komen. In de praktijk moet dan bij een inbreuk op het
gegevensbeschermingsrecht de vraag gesteld worden of er benadeelden zijn ten aanzien van
wie de nadelige gevolgen zo voor de hand liggen dat een persoonsaantasting mag worden
aangenomen.
5.2 Strooischade
Een laatste categorie schade die toelichting verdient is de zogenoemde ‘strooischade’.
Strooischade is een bijzondere vorm van massaschade: “er is sprake van strooischade indien
de schade is veroorzaakt door één of een beperkt aantal veroorzaker(s) bij een groot aantal
schadelijders, wier individuele schade zo gering is dat het op grond van een kosten-
batenanalyse niet loont die individueel te verhalen, maar wier collectieve schade
98 Vgl. Parl. Gesch. Boek 6 BW, p. 378, 381 en 383.
31
gecumuleerd wel een aanzienlijk belang vertegenwoordigt”99. Strooischade kan zowel
materieel als immaterieel van aard zijn. Bij een inbreuk op het gegevensbeschermingsrecht is
de omvang van de schade per individu over het algemeen gering, waardoor de hoogte van de
immateriële schadevergoeding vaak laag is100,101. Ook de materiële schade is meestal beperkt.
Zo ligt de schade in het geval van identiteitsfraude gemiddeld rond de €400102. Gelaedeerden
die strooischade hebben geleden als gevolg van een inbreuk op het
gegevensbeschermingsrecht zullen niet snel geneigd zijn een individuele zaak te starten voor
een schadevergoeding van €400. Een belangrijk kenmerk van een inbreuk op de AVG is
echter dat de groep van potentiële benadeelden heel erg groot is. Het gevolg is dan dat de
schadepost van de groep als geheel groot kan zijn, ondanks dat de schadepost per individu
heel klein is. Bij strooischade geldt voor een individu dat de mogelijke schadevergoeding niet
opweegt tegen de kosten van een procedure103. Een individuele schadeactie tegen een
verwerkingsverantwoordelijke is dan economisch onverantwoord. Een uitkomst kan de
bundeling van de vorderingen zijn in een collectieve actie, zie daarvoor paragraaf 6.2
‘collectieve actie tot schadevergoeding’.
5.3 Tussenconclusie
In dit hoofdstuk is gebleken dat vermogensschade en ander nadeel in de zin van artikel 6:95
BW voor vergoeding in aanmerking komen. Er is tevens ingegaan op een bijzondere vorm
van massaschade bij een inbreuk op het gegevensbeschermingsrecht: strooischade. Ook bleek
dat niet iedere schending van het gegevensbeschermingsrecht dusdanig ernstig is dat deze
automatisch recht geeft op immateriële schadevergoeding. Er is volgens de Afdeling geen
aanleiding om te veronderstellen dat een inbreuk op de AVG zonder meer “aantasting van de
integriteit van een persoon impliceert en daarmee tot vergoedbare schade leidt”104. De
Afdeling gebruikt het kader van het EBI-arrest van de Hoge Raad en overweegt dat
schadevergoeding afhankelijk is van de aard, ernst en gevolgen van de normschending. Bij de
beoordeling van hoogte van de schadevergoeding betrekt de Afdeling vervolgens de aard, de
ernst en de duur van de inbreuk105.
99 Tzankova 2005. 100 Tjong Tjin Tai, WPNR 2016/7110, p. 459-464. 101 Rechtbank Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700. 102 Paulissen & Van Wilsem 2015. 103 Van der Linden & Walree, AV&S 2018/20. 104 Raad van State 1 april 2020, ECLI:NL:RVS:2020:899. 105 Raad van State 1 april 2020, ECLI:NL:RVS:2020:898.
32
6. Collectief schadeverhaal bij inbreuk op de AVG
Uit artikel 80 van de AVG volgt dat bij een inbreuk op het gegevensbeschermingsrecht een
natuurlijk persoon het recht heeft om een belangenbehartiger te machtigen om namens de
betrokkenen het recht op ontvangst van een schadevergoeding uit te oefenen, indien het
lidstatelijke recht daarin voorziet. Met de inwerkingtreding van de WAMCA voorziet het
Nederlandse recht in een mogelijkheid tot een collectieve vordering tot schadevergoeding bij
schending van het gegevensbeschermingsrecht. Omdat deze scriptie wordt geschreven vanuit
het perspectief van een betrokkene die zijn schade als gevolg van een inbreuk op het
gegevensbeschermingsrecht wil verhalen wordt in dit hoofdstuk de volgende onderzoeksvraag
beantwoord:
‘Draagt de collectieve actie van de WAMCA bij aan het verkrijgen van schadevergoeding
vanwege schending van de AVG?’
De AVG bepaalt dat de verwerkingsverantwoordelijke aansprakelijk is voor de materiële of
immateriële schade die een betrokkene lijdt als gevolg van een schending van het
gegevensbeschermingsrecht106. Er zijn verschillende redenen die maken dat het voor een
lastig is om schade als gevolg van een schending van het gegevensbeschermingsrecht te
verhalen. Zo is het voor een individu moeilijk om in een individuele zaak een normschending
en/of concrete schade en/of een causaal verband aan te tonen107.
6.1 Individuele actie tot schadevergoeding
Voor de normschending geldt dat op grond van artikel 150 Rv de bewijslast bij de betrokkene
ligt. Het is aan de betrokkene om te bewijzen dat een verwerkingsverantwoordelijke het
gegevensbeschermingsrecht heeft geschonden. In het geval een betrokkene stelt dat zijn
persoonsgegevens zijn verwerkt zonder grondslag kan hij dit eenvoudig aantonen door de zes
grondslagen van de AVG af te gaan108. Echter, in het geval van een datalek kan het een
ingewikkeld verhaal worden. Bij een datalek geldt dat de betrokkene moet aantonen dat de
verwerkingsverantwoordelijke tekort is geschoten in het nemen van passende technische en
organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te
106 Artikel 82 AVG. 107 Van der Linden & Walree, AV&S 2018/20. 108 Artikel 6 AVG.
33
waarborgen109. De hoge mate van informatieasymmetrie tussen de betrokkene en de
verwerkingsverantwoordelijke maakt het voor de betrokkene lastig om aan te tonen dat de
beveiligingsplicht is geschonden110,111. Het gegevensverwerkingsproces vindt immers plaats
achter gesloten deuren, waardoor de betrokkene slechts in beperkte mate kennis kan nemen
van eventuele onregelmatigheden in de gegevensverwerking en de gevolgen daarvan slechts
beperkt kan inschatten112. Doordat de betrokkene niet over dezelfde technische kennis en
deskundigheid beschikt als de verwerkingsverantwoordelijke kan de betrokkene slechts
beperkt inschatten wat de verwerkingsrisico’s waren en in hoeverre de
beveiligingsmaatregelen daarop aansloten113.
In het vorige hoofdstuk (nr. 5) is gebleken dat alle schadesoorten onder de AVG voor
vergoeding in aanmerking komen: vermogensschade en ander nadeel in de zin van artikel
6:95 BW. De horde van de materiële schadevergoeding is lastig te nemen. Vaak is niet
(direct) duidelijk of een inbreuk op het gegevensbeschermingsrecht materiële schade heeft
veroorzaakt en is het lastig om de schade aan te tonen. Een betrokkene wiens bankrekening
wordt leeg getrokken doordat de verwerkingsverantwoordelijke niet heeft voldaan aan de
beveiligingsplicht van de AVG lijdt vermogensschade. Het is dan aan de betrokkene om aan
te tonen dat zijn schade het gevolg is van de zwakke plek in de beveiliging. Zeker omdat
dezelfde persoonsgegevens vaak door een groot aantal verwerkingsverantwoordelijken
worden verwerkt kan dit lastig zijn. Daarnaast is het potentiële gebruik van data eindeloos: in
tegenstelling tot stoffelijke objecten kunnen data wereldwijd door een onbepaald aantal
partijen worden (her)gebruikt114. Een inbreuk op het gegevensbeschermingsrecht door een
verwerkingsverantwoordelijke in 2020 kan ernstige nadelige vermogensrechtelijke gevolgen
hebben voor een betrokkene in 2030.
In hoofdstuk 5 bleek verder dat het verkrijgen van immateriële schadevergoeding niet
eenvoudig is. De lat voor het toekennen van deze vorm van schadevergoeding ligt in
Nederland erg hoog. Van geestelijk letsel als gevolg van een inbreuk op het
gegevensbeschermingsrecht zal niet snel sprake zijn115. Dit kan anders zijn in het geval er
109 Artikel 32 AVG. 110 Informatieasymmetrie is een onbalans waarbij de ene partij over meer of over betere informatie beschikt dan
de andere. 111 Van Alsenoy 2016, p. 275; Bellanova e.a. 2013, p. 141. 112 Lynsky 2015, p. 211-213. 113 Van Alsenoy 2016, p. 275. 114 Kreimer, U. Pa. J. Const. L, 2015/18:3. 115 Jagt-Vink, MvV 2019/7-8.
34
sprake is van een inbreuk op bijzondere categorieën van persoonsgegevens, zoals gegevens
over iemands seksuele geaardheid of iemands gezondheid116. Van aantasting van in persoon
op ‘andere wijze’ is in ieder geval sprake als de gelaedeerde geestelijk letsel heeft
opgelopen117. Een persoon die stelt dat hij geestelijk letsel heeft opgelopen zal voldoende
concrete gegevens moeten aanvoeren waaruit blijkt dat hij psychische schade heeft
opgelopen. Volgens vaste jurisprudentie betekent dat, dat hij geobjectiveerd geestelijk letsel
moet hebben, dat wil zeggen een diagnose van een psychische aandoening moet aantonen118.
Ook als er geen psychische schade is ingetreden kan de aard, de ernst en de duur van de
normschending meebrengen dat de in dit verband relevante nadelige gevolgen daarvan voor
de benadeelde zo voor de hand liggen dat een aantasting in de persoon kan worden
aangenomen. Zie hiervoor het vorige hoofdstuk (nr. 5) waar de vuistregels van de Afdeling en
het EBI-arrest van de Hoge Raad uitgebreid zijn besproken.
De bewijslast met betrekking tot het aantonen van een causaal verband tussen de inbreuk op
het gegevensbeschermingsrecht en de vermeende schade rust op de betrokkene. Voor
materiële schade geldt dat dit problematisch kan zijn voor een betrokkene als zijn
persoonsgegevens door een groot aantal verwerkingsverantwoordelijken wordt verwerkt. Hoe
toon je aan dat de opgetreden schade het gevolg is van een datalek bij die ene
verwerkingsverantwoordelijke119? Het vaststellen van het causaal verband is bij immateriële
schade minder problematisch. De immateriële schade zal dan het gevolg zijn van de inbreuk
op het gegevensbeschermingsrecht en de mogelijke onzekere gevolgen daarvan.
6.2 Collectieve actie tot schadevergoeding
Gebleken is dat het instellen van een individuele procedure met betrekking tot een overtreding
van het gegevensbeschermingsrecht in vele opzichte onverantwoord is. De hoge kosten, lange
wachttijden en de onzekerheid van de procedure zijn belettende factoren bij het instellen van
een individuele claim. Omdat inbreuken op het gegevensbeschermingsrecht vaak een grote
groep gelaedeerden treft, die met eenzelfde soort schade zit, ligt collectivisering van
individuele claims voor de hand. De Europese Toezichthouder voor gegevensbescherming
erkent het belang van mechanismen van collectieve schadeacties bij de handhaving van het
116 Overweging 51 en artikel 9 AVG 117 Raad van State 1 april 2020, ECLI:NL:RVS:2020:899. 118 HR 9 mei 2003, ECLI:NL:HR:2003:AF4606. 119 Idem.
35
gegevensbeschermingsrecht120. Al eerder is aangegeven dat het Nederlandse recht met de
inwerkingtreding van de WAMCA voorziet in een mogelijkheid tot een collectieve vordering
tot schadevergoeding bij schending van de AVG. In deze paragraaf wordt onderzocht of de
collectieve actie van de WAMCA bijdraagt aan het verhalen van schadevergoeding vanwege
schending van de AVG. Het is dan voornamelijk de vraag in hoeverre de collectieve
schadevergoedingsactie de in voorgaande paragraaf geschetste problematiek bij het aantonen
van aansprakelijkheid voor schade bij een inbreuk op het gegevensbeschermingsrecht
wegneemt.
De collectivisering van een claim brengt schaalvoordelen met zich mee bij het aantonen van
de normschending. Door de bundeling van krachten nivelleert de informatieasymmetrie tussen
partijen, doordat de kosten van informatievergaring en het inschakelen van deskundigen over
een grotere groep kan worden verspreid121. Bij een datalek kunnen experts op het gebied van
cybercrime en cybersecurity worden ingeschakeld waardoor de gedupeerden eerder te weten
komen in wiens handen de gegevens zijn gevallen, wat de intenties zijn van deze derde partij
en of de gegevens zijn misbruikt122.
Ook voor het aantonen van concrete schade geldt dat de collectivisering van de claim
voordelen met zich meebrengt.
In hoofdstuk 2 is uiteengezet dat in een collectieve schadevergoedingsprocedure de
schadeafwikkeling verloopt via collectieve schadebegroting. Het is aan de rechter om te
beslissen op grond van welke criteria de gelaedeerden worden ingedeeld, wat de omvang van
de schadecategorieën is en de wijze waarop de gelaedeerden hun schadevergoeding kunnen
verkrijgen123. De rechter kan zich dan toeleggen op de totale schade, in plaats van de
individuele schade, en kan daarbij de ‘gemiddelde betrokkene’ centraal stellen124. De
schadebegroting vindt aldus plaats op een meer abstract niveau125. De rechter categoriseert de
betrokkenen in schadegroepen, waardoor er toch rekening wordt gehouden met onderlinge
verschillen tussen de gelaedeerden. Let wel dat een collectieve schadevergoedingsactie slechts
meerwaarde biedt ten opzichte van een individuele procedure in de gevallen waarin duidelijk
120 Resolutie van het Europees Parlement van 6 juli 2011 over een integrale aanpak van de bescherming van
persoonsgegevens in de Europese Unie (2011/2025(INI)). 121 Faure & Visscher 2015, p. 12 e.v., Visscher 2016, p. 62. 122 Van der Linden & Walree, AV&S 2018/20. 123 Artikel 1018i lid 2 Rv, tweede volzin jo. art. 7:907 lid 2 BW 124 Pavillon, Themis 2019/4. 125 Rijsterborgh, MvV 2017/11.
36
is dat een inbreuk op het gegevensbeschermingsrecht concrete en rechtstreekse gevolgen heeft
voor de gelaedeerden.
Ten aanzien van het aantonen van het causaal verband tussen de normschending en de schade
geldt ook dat de collectivisering van de claim een positief effect heeft. Het causaal verband
tussen de inbreuk op het gegevensbeschermingsrecht en de schade bij betrokkenen is immers
groter als blijkt dat de gemene deler tussen de betrokkenen is dat hun gegevens zijn verwerkt
door dezelfde verwerkingsverantwoordelijke. In het geval dat er sprake is van een datalek bij
een bank, waardoor er creditcardgegevens zijn gelekt en er met de creditcardgegevens van
X,Y en Z bij hetzelfde louche bedrijf in Azië voor duizenden euro’s aan producten is besteld,
is het causaal verband tussen de normschending en de schade natuurlijk aannemelijker.
Uit het bovenstaande is gebleken dat de collectivisering van schadeclaims een voordeel kan
opleveren ten opzichte van individuele vorderingen bij overtreding van de AVG. Feit blijft
wel dat de WAMCA geen wijziging in het materiële schadevergoedingsrecht met zich
meebrengt. De opgelopen schade bij een inbreuk op het gegevensbeschermingsrecht is vaak
immaterieel van aard en de eisen aan het verkrijgen van immateriële schadevergoeding
blijven hoog.
6.3 Strooischade
In de specifieke situatie van strooischade geldt dat de collectieve schadevergoedingsactie bij
uitstek geschikt is. In hoofdstuk 5 werd al aangegeven dat gelaedeerden die strooischade
hebben geleden als gevolg van een inbreuk op het gegevensbeschermingsrecht niet snel
geneigd zijn een individuele zaak te starten, omdat de schadevergoeding laag is en de kosten
van een procedure hoog. Het is dan natuurlijk interessant voor een betrokkene om zijn
belangen te laten behartigen door een belangenbehartiger. Die heeft de genoemde
schaalvoordelen en het voordeel dat het causaal verband tussen de normschending en de
schade eerder wordt aangenomen. Ook hoeft de betrokkene zijn individuele schade dan niet
meer te benoemen. De rechter legt zich immers toe op de totale schade, in plaats van de
individuele schade. Uit een in 2010 uitgevoerd onderzoek in opdracht van de Minister van
Economische Zaken bleek ook dat invoering van een collectieve schadevergoedingsactie een
effectieve en efficiënte methode kan zijn om strooischade te verhalen voor een groep
gedupeerden126. In het geval door identiteitsdiefstal bij een grote Nederlandse bank er van
126 Kamerstukken II, 2010/11, 27 879, nr. 34.
37
duizenden klanten aan creditcardgegevens is gestolen en zij elk zitten met een schade van
ongeveer € 400,- per persoon kan de collectieve actie tot schadevergoeding een uitstekend
middel zijn om deze schade te verhalen. Zij moeten zich dan laten vertegenwoordigen door
een vehikel dat voldoet aan de eisen van artikel 3:305a BW.
6.4 Buitenlandse schadeveroorzakers
Een belangenbehartiger die in Nederland namens betrokkenen een collectieve vordering wil
instellen is slechts ontvankelijk indien de rechtsvordering een voldoende nauwe band heeft
met de Nederlandse rechtssfeer (zie hoofdstuk 3). De vijf grootste techbedrijven ter wereld
(zie inleiding) zijn allemaal buitenlandse partijen, waardoor het van belang is om vast te
stellen of de WAMCA zich leent voor de aanpak van grote techbedrijven die in het buitenland
gevestigd zijn bij een inbreuk op het gegevensbeschermingsrecht. Er is op grond van de
territoriale ontvankelijkheidseisen van de WAMCA en de bevoegdheidsregeling inzake het
internationaal privaatrecht van de AVG onder andere sprake van een voldoende nauwe band
met de Nederlandse rechtssfeer indien de verwerkingsverantwoordelijke c.q. de verwerker in
Nederland is gevestigd. Nu de grote internationale techbedrijven niet in Nederland gevestigd
zijn en zij allen geen vestiging hebben in Nederland kan een procedure niet op basis van
vestiging van de organisatie in Nederland worden ingesteld.
Een belangenbehartiger kan ook ontvankelijk zijn indien het merendeel van de benadeelden in
Nederland woonachtig is. In het geval van grote buitenlandse techbedrijven is dat een lastig
verhaal, zij hebben immers een internationaal bereik. Nu Nederland een klein land is en er bij
een inbreuk op het gegevensbeschermingsrecht door een groot buitenlands techbedrijf het
aantal buitenlandse gedupeerden veel groter zal zijn dan het aantal gedupeerden in Nederland.
Aldus kan geconcludeerd worden dat een collectieve actie tot schadevergoeding tegen een in
het buitenland gevestigd techbedrijf tot ontvankelijkheidsproblemen kan leiden.
6.5 Tussenconclusie
In dit hoofdstuk is gebleken dat de WAMCA zeker kan bijdragen aan het verkrijgen van
schadevergoeding vanwege schending van de AVG. Gelaedeerden kunnen bij de collectieve
schadevergoedingsactie gebruikmaken van schaalvoordelen om de normschending vast te
stellen. Ook wordt het aantonen van het causaal verband en de normschending makkelijker in
38
een collectieve procedure. Zeker in het geval van strooischade is de WAMCA bij uitstek
geschikt om collectief schade te verhalen bij een inbreuk op het gegevensbeschermingsrecht.
Mijn verwachting is dan ook dat in de komende jaren de WAMCA gebruikt zal gaan worden
voor het afwikkelen van schade als gevolg van een inbreuk op de AVG. De grootste uitdaging
blijft het vaststellen van schade. In Nederland is de wettelijke drempel voor het toekennen van
een immateriële schadevergoeding hoog, en deze drempel moet ook in een collectieve
procedure worden genomen. Ten aanzien van buitenlandse partijen geldt dat het op grond van
de AVG en de WAMCA een lastig verhaal kan worden om collectief schade te verhalen,
vanwege de territoriale ontvankelijkheidseisen van de WAMCA en de bevoegdheidsregeling
inzake het internationaal privaatrecht van de AVG. Dat doet echter niets af aan het feit dat de
collectieve actie van de WAMCA kan bijdragen aan het verkrijgen van schadevergoeding
vanwege schending van de AVG door Nederlandse schadeveroorzakende partijen.
39
Conclusie
Deze scriptie is ingegaan op de mogelijkheid tot collectief schadeverhaal bij inbreuk op de
AVG. In de eerste vijf hoofdstukken is getracht de lezer een goed beeld te geven van het
Nederlandse en Europese recht ten aanzien van de collectieve actie en het
gegevensbeschermingsrecht. Daarna is in hoofdstuk 6 de onderzoeksvraag beantwoord:
‘Draagt de collectieve actie van de WAMCA bij aan het verkrijgen van schadevergoeding
vanwege schending van de AVG?’
In hoofdstuk 6 is gebleken dat de WAMCA een effectief mechanisme kan zijn voor de
handhaving van het gegevensbeschermingsrecht. De collectivisering van een claim brengt
schaalvoordelen met zich mee bij het aantonen van de normschending. Door de bundeling van
krachten nivelleert de informatieasymmetrie tussen de benadeelden en de schadeveroorzaker.
Daarnaast geldt dat ook voor het aantonen van concrete schade de collectivisering van de
claim voordelen met zich meebrengt. Dit komt doordat de rechter zich in een collectieve
schadevergoedingsprocedure toelegt op de totale schade, in plaats van de individuele schade,
en daarbij de ‘gemiddelde betrokkene’ centraal kan stellen. Ten aanzien van het causaal
verband tussen de normschending en de schade is gebleken dat het causaal verband
aannemelijker is als een groep benadeelden met eenzelfde soort schade zit veroorzaakt door
dezelfde schadeveroorzaker. Ten aanzien van strooischade geldt dat de WAMCA bij uitstek
een effectieve en efficiënte methode kan zijn om strooischade als gevolg van inbreuk op de
AVG te verhalen. Er dient wel opgemerkt te worden dat het ten aanzien van buitenlandse
schadeveroorzakers lastig kan zijn om collectief schade te verhalen, vanwege de territoriale
ontvankelijkheidseisen van de WAMCA en de bevoegdheidsregeling inzake het internationaal
privaatrecht van de AVG. Dat het mogelijk is om op grond van de WAMCA schade als
gevolg van een inbreuk op de AVG te verhalen is mijns inziens in de huidige
informatiemaatschappij van groot belang. De informatiemaatschappij berust nu eenmaal op
een proces van een veelheid aan gegevensverwerking. Vanuit het recht op bescherming van
persoonsgegevens is het niet de bedoeling om dit proces tegen te gaan, maar juist belangrijk
om te zorgen voor adequate waarborgen voor de rechten en vrijheden van de betrokkenen.
Daar hoort bij dat een betrokkene de mogelijkheid moet hebben om bij een inbreuk op het
gegevensbeschermingsrecht zijn schade collectief te kunnen verhalen. De toekomst moet gaan
uitwijzen of op grond van de WAMCA schade als gevolg van een inbreuk op de AVG
vergoedt gaat worden. Ik hoop het van harte en blijf de ontwikkelingen nauwgezet volgen.
40
Bronnen
Literatuurlijst
Bellanova e.a.
R. Bellanova, & P. de Hert, ‘Practices and modes of transatlantic data processing: From
sorting countries to sorting individuals’, The routledge handbook of European criminology,
Routledge 2013. p. 514-535.
Descheemaeker
E. Descheemaeker, ‘The harms of privacy’, Journal of Media Law, 2015/7, p. 278-306.
Faure & Visscher
M. Faure & L. Visscher, ‘Een rechtseconomische visie op collectieve actie’, Zuthpen:
Uitgeverij Paris, 2015.
Jagt-Vink
F.C. Jagt-Vink, ‘Schadevergoeding onder de Algemene Verordening Gegevensbescherming’,
Maandblad voor Vermogensrecht, 2019/7-8.
Kreimer
S.F. Kreimer, ‘Spooky Action at a Distance: Intangible Injury in Fact in the Information Age’,
University of Pennsylvania Journal of Constitutional Law, 2015/18, p. 745.
Lynskey
O. Lynskey, ‘The foundations of EU data protection law’, Oxford: Oxford University Press,
2015.
Meijer & Zippro
M.R. Meijer & Erik-Jan Zippro, ‘Privaatrechtelijke handhaving van mededingingsrecht’
Markt & Mededinging, 2010/13, p. 121-123.
Numann e.a.
G. Snijders, ‘Massificatie in het privaatrecht’, Opstellen ter gelegenheid van het 200-jarig
41
bestaan van het genootschap Iustitia & Amicitia’, Deventer: Kluwer 2010, p. 135 e.v.
Oranje
D.J. Oranje, ‘Artikel 3:305a BW dient te worden uitgebreid met de bevoegdheid tot het
vorderen van een schadevergoeding in geld’, G. van Solinge, M. Holtzer & AFJA Leijten
(red.), Geschriften vanwege de Vereniging Corporate Litigation, 2005, p. 289-297.
Paulissen & Van Wilsem
L. Paulissen & J. van Wilsem, ‘De heeft iemand anders gedaan!’, Den Haag: SDU, 2015.
Pavillon
C. Pavillon, ‘Leen het materiële privaatrecht zich voor de afwikkeling van massaschade?’,
Themis, 2019/4.
Rijsterborgh
A.J. Rijsterborgh, 'Het begroten van de schadevergoeding in een collectieve actie', Maandblad
voor Vermogensrecht 2017/11, p. 325-331.
Solove & Citron
D.J. Solove & D.K. Citron, ‘Risk and anxiety: A theory of data-breach harms’, Texas Law
Review, 2017/96, p. 737
Tillema
I. Tillema, ‘Commerciële actoren in massaschadezaken: pionieren tussen toegang tot het recht
en claimcultuur’, Ars Aequi: juridisch studentenblad, 2019/6, p. 506-515.
Tjong Tjin Tai
E. Tjong Tjin Tai, ‘Aansprakelijkheid bij datalekken’, Weekblad voor privaatrecht, notariaat
en registratie, 2016/7110, p. 459-464.
Tzankova
I.N. Tzankova, ‘Strooischade: een verkennend onderzoek naar een nieuw rechtsfenomeen’,
Den Haag: SDU, 2005.
42
Van Alsenoy
B. van Alsenoy, ‘Regulating data protection: the allocation of responsibility and risk among
actors involved in personal data processing’, 2016.
Van Boom
W.H. van Boom, ’WCA→ WCAM→ WAMCA’, Tijdschrift voor consumentenrecht &
handelspraktijken, 2019/4, p. 154-160.
Van der Krans
A. van der Krans, ‘Van WCAM naar WAMCA: class actions in Nederland?’, Onderneming
en Financiering 2019/3
Van der Linden & Walree
T.E. van der Linden & T.F. Walree, ‘De collectieve procedure als oplossing voor het
privaatrechtelijke handhavingstekort bij een datalek?’, Aansprakelijkheid, Verzekering &
Schade, 2018/20.
Van der Plas
C.G. van der Plas, ‘De collectieve actie 2.0 in grensoverschrijdende zaken: het territoriaal
ontvankelijkheidsvereiste onder de loep’, Tijdschrift Nederland Internationaal Privaatrecht,
2019/3.
43
Jurisprudentie
Europese Unie
Hof van Justitie 13 juli 2006, C-295/04, ECLI:EU:C:2006:461 Manfredi
Hof van Justitie 4 april 2017, C-337/15 P, ECLI:EU:C:2017:256, Europese Ombudsman
tegen Staelen
Nederland
HR 9 mei 2003, ECLI:NL:HR:2003:AF4606
HR 15 maart 2019, ECLI:NL:HR:2019:376
Raad van State 1 april 2020, ECLI:NL:RVS:2020:898
Raad van State 1 april 2020, ECLI:NL:RVS:2020:899
Raad van State 1 april 2020 ECLI:NL:RVS:2020:900
Raad van State 1 april 2020 ECLI:NL:RVS:2020:901
Hof Amsterdam 1 juli 2006, ECLI:NL:GHAMS:2006:AX6440.
Hof Amsterdam 25 januari 2007, ECLI:NL:GHAMS:2007:AZ7033
Hof Amsterdam 29 april 2009, ECLI:NL:GHAMS:2009:BI2717
Hof Amsterdam 29 mei 2009, ECLI:NL:GHAMS:2009:BI5744
Hof Amsterdam 15 juli 2009, ECLI:NL:GHAMS:2009:BJ2691
Hof Amsterdam 17 januari 2012, ECLI:NL:GHAMS:2012:BV1026
Hof Amsterdam 4 november 2014, ECLI:NL:GHAMS:2014:4560
Hof Amsterdam 13 juli 2018, ECLI:NL:GHAMS:2018:2422
Rechtbank Oost-Brabant 20 juli 2016, ECLI:NL:RBOBR:2016:3892
Rechtbank Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700
Kamerstukken
Kamerstukken II, 2010/11, 27 879, nr. 34
Kamerstukken II 2011/12, 33000, nr. 14
Kamerstukken II 2016/17, 34607, nr. 3
Kamerstukken II 2016/17, 34608, nr. 3
Kamerstukken II 2016/17, 34608, nr. 3
Kamerstukken II 2017/18, 34608, nr. 6
Kamerstukken II 2018/19, 34608, nr. 12
Kamerstukken II 2018/19, 34608, nr. 15
44
Internetpagina’s
Autoriteit persoonsgegevens februari 2020
‘Cijfers datalekken 2019’, Autoriteit persoonsgegevens februari 2020,
Te raadplegen via:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-
datalekken/overzichten-datalekken/cijfers-datalekken-2019.
Laatst bezocht: donderdag 6 augustus 2020.
Consumentenbond juli 2020
‘Facebook in de fout’, Consumentenbond juli 2020,
Te raadplegen via: https://www.consumentenbond.nl/acties/facebook.
Laatst bezocht: donderdag 6 augustus 2020.
Equesnijmegen maart 2020
‘Claimen en masse anno 2020, Eques Nijmegen maart 2020
Te raadplegen via: https://equesnijmegen.nl/claimen-en-masse-anno-2020-gedachten-bij-de-
wet-afwikkeling-massaschade-in-collectieve-actie.
Laatst bezocht: donderdag 6 augustus 2020.
Rijksoverheid juni 2008
‘De Nederlandse wet collectieve afwikkeling massaschade’, Rijksoverheid 2008,
Te raadplegen via: https://www.rijksoverheid.nl/documenten/richtlijnen/2008/06/24/de-
nederlandse-wet-collectieve-afwikkeling-massaschade.
Laatst bezocht: donderdag 6 augustus 2020.
Visual Capitalist juli 2020
‘How big tech makes their billions’, Visual Capitalist juli 2020,
Te raadplegen via: https://www.visualcapitalist.com/how-big-tech-makes-their-billions-2020.
Laatst bezocht: donderdag 6 augustus 2020.