De rechtbank heeft bij uitspraak van 28 mei 2019 een schadevergoeding toegekend wegens schending van privacy door een gemeente. Wat was er aan de hand?
De rechtbank Overijssel heeft bij uitspraak van 28 mei 2019 (ECLI:NL:RBOVE:2019:1827) een schadevergoeding van € 500,- toegekend wegens schending van privacy door een gemeente.
Inzage verzoek als vervolg op Wob-verzoeken
Wat was er aan de hand? Betrokkene had twee Wob-verzoeken bij de gemeente Deventer ingediend. Ambtenaren van de gemeente Deventer hebben ambtenaren van andere bestuursorganen hierover per e-mail geïnformeerd. Aangezien bij een Wob-verzoek geen belang hoeft te worden gesteld, is de persoon van de verzoeker niet relevant voor de beoordeling van het verzoek. Uitgangspunt is dan ook dat het niet noodzakelijk is om die persoonsgegevens van de verzoeker te delen met andere bestuursorganen.
Eerder schreven wij al over de uitspraak van de rechtbank naar aanleiding de beslissing op bezwaar op het inzageverzoek van betrokkene. De rechtbank vernietigde dit besluit van het college van burgemeester en wethouders van de gemeente Deventer wegens strijd met de eisen van noodzakelijkheid en proportionaliteit. De betrokkene had namelijk aangegeven dat hem bekend was dat zijn persoonsgegevens naar andere bestuursorganen waren doorgezonden, maar dat hier in het besluit van het college niks over was opgenomen.
Onvoldoende onderzoek bij inzageverzoek
De rechtbank oordeelde op 18 juli 2018 (ECLI:NL:RBOVE:2018:2496) dat het college onvoldoende onderzoek had gedaan naar de verwerkingen van persoonsgegevens van betrokkene. Bovendien oordeelde de rechtbank dat het doorzenden van persoonsgegevens door het college aan andere bestuursorganen dan (bestuursorganen van) de gemeente Deventer in strijd was met eisen van proportionaliteit en subsidiariteit. Het college had namelijk geen bijzondere omstandigheden naar voren gebracht waarom het noodzakelijk was om de persoonsgegeven in onderhavig geval te delen met andere bestuursorganen.
Tegen deze uitspraak is kennelijk geen hoger beroep ingesteld. Het college heeft een nieuwe beslissing op bezwaar genomen, maar hierbij niet de door de betrokkene verzochte schadevergoeding toegekend. Omdat zijn verzoek tot schadevergoeding wordt afgewezen, stapt de betrokkene opnieuw naar de bestuursrechter. In de uitspraak van 28 mei 2019 buigt de bestuursrechter zich over dit verzoek tot schadevergoeding.
Immateriële schadevergoeding
Betrokkene had aangegeven dat bij de beoordeling van zijn verzoek om schadevergoeding enkel en alleen aansluiting gezocht moet worden bij de Algemene Verordening Gegevensbescherming (AVG). De rechtbank oordeelt terecht anders. Artikel 82 AVG laat onverlet dat voor de toekenning van schadevergoeding aansluiting mag en moet worden gezocht bij het Nederlands rechtsbestel. Volgens de rechtbank doet dit systeem voldoende recht aan vergoeding van schade als bedoeld in artikel 82 AVG. Hiermee volgt de rechtbank de uitspraak van de Afdeling van 22 augustus 2018, waarover wij eerder schreven. Deze uitspraak was nog gebaseerd op artikel 49 Wbp en lijkt – zoals wij destijds signaleerden – ook te gelden voor artikel 82 AVG.
Betrokkene verzoekt om schadevergoeding wegens vernietiging van een onrechtmatig besluit. Titel 8:4 van de Awb en de – op het civiele schadevergoedingsrecht gebaseerde – jurisprudentie van de hoogste Nederlandse bestuursrechters bieden volgens de rechtbank voldoende grondslag om te beslissen op het schadeverzoek.
Verlies van controle over persoonsgegevens
Onder verwijzing naar artikel 6:106 BW stelt de rechtbank een schadevergoeding van € 500,- vast. Naar het oordeel van de rechtbank is eiser als gevolg van het onrechtmatige besluit in zijn persoon aangetast wegens verlies van controle over zijn persoonsgegevens.
De gemeente werpt nog tegen dat niet is beoogd nadeel toe te brengen en dat de twee ambtenaren die de persoonsgegevens hebben ontvangen louter zijn geïnformeerd over het feit dat er door eiser twee Wob-verzoeken zijn ingediend bij de gemeente Deventer. De rechtbank gaat hier niet in mee: deze argumenten had de gemeente in hoger beroep tegen de uitspraak van de rechtbank van 18 juli 2018 naar voren moeten brengen. Volgens de rechtbank kunnen deze argumenten in deze procedure daarom geen rol meer spelen.
Omdat betrokkene door het onrechtmatige besluit de controle over zijn persoonsgegevens verliest, wordt hij aangetast in een persoonlijkheidsrecht. Voor de rechtbank is dit voldoende om de schadevergoeding toe te kennen, al valt op dat de rechtbank wel een lage drempel voor toepassing van art. 6:106 BW lijkt te hanteren.
Datalek?
Bovendien wordt de gemeente juist aangewreven dat zij onrechtmatig persoonsgegevens heeft gedeeld met andere bestuursorganen. De schade lijkt hiermee niet zozeer te zijn veroorzaakt door een gebrekkige reactie op een inzageverzoek, maar vanwege een datalek. Het is jammer dat aan deze causaliteitsvraag geen nadere motiveringen zijn gewijd. Het komt immers vaker voor (en zal nog vaker voor gaan komen) dat besluiten naar aanleiding van inzageverzoeken worden vernietigd. Geeft enkel die vernietiging aanspraak op een schadevergoeding of zijn het de omstandigheden uit deze casus? Mogelijk buigt de Afdeling bestuursrechtspraak zich nog over deze kwestie in hoger beroep. Hoe dan ook is de uitspraak een duidelijk signaal vanuit de rechtspraak: overheden moeten hun privacybeleid op orde hebben en zorgen voor een compleet en actueel register van verwerkingsactiviteiten zoals bedoeld in artikel 30 AVG.