Massaclaims onder de AVG: een machtig wapen in handen van de benadeelden
Datum: 11 maart 2022
Geschreven door: Annemarie van Woudenberg
Leestijd: +/- 2 minuten
Datum: 11 maart 2022
Geschreven door: Annemarie van Woudenberg
Leestijd: +/- 2 minuten
De Algemene Verordening Gegevensbescherming (AVG) dwingt ondernemers zorgvuldig om te gaan met persoonsgegevens van bijvoorbeeld klanten of werknemers. In combinatie met de inwerkingtreding van de Wet Afwikkeling Massaschade in Collectieve Actie maakt dit de weg vrij voor het indienen van collectieve schadeclaims tegen organisaties die op grote schaal persoonsgegevens verwerken. Hoe gaat dit in zijn werk? En belangrijker nog, hoe kunt u voorkomen dat bij een datalek een collectieve actie tegen uw organisatie wordt ingediend?
Per 1 januari 2020 is de Wet Afwikkeling Massaschade in Collectieve Actie, oftewel WAMCA, in werking getreden. Door de inwerkingtreding van de WAMCA zijn de mogelijkheden van een collectieve actie uitgebreid. Waar voorheen de rechter zich in Nederland enkel over de collectieve aansprakelijkheid kon uitspreken, is het onder de WAMCA mogelijk om collectief schadevergoeding in geld te vorderen. Daarnaast geldt dat de uitspraak van de rechter ook algemeen verbindend is voor degenen die niet kenbaar hebben gemaakt dat zij niet aan de uitkomst van de procedure gebonden willen zijn.
In de praktijk komt het er vaak op neer dat er een claimstichting wordt opgericht die de belangen van de gedupeerden behartigt. Deze claimstichtingen krijgen geregeld financiële hulp van een procesfinancier. Deze betaalt de kosten voor bijvoorbeeld de advocaten en het stichtingsbestuur, in ruil voor een percentage van de schadeclaim. Via deze weg kan op een professionele wijze een omvangrijke procedure worden gevoerd en is de procedure niet afhankelijk van de individuele draagkracht van de benadeelden.
De AVG bepaalt dat eenieder die, materiële of immateriële, schade lijdt als gevolg van een inbreuk op de AVG recht heeft op schadevergoeding. De Nederlandse rechter is in de toekenning van immateriële schadevergoeding over het algemeen vrij terughoudend. Uit rechtspraak blijkt dat de toekenning van schadevergoeding onder de AVG steeds wordt berekend op een paar honderd euro tot ongeveer een maximum van vijftienhonderd euro. Vervelend natuurlijk, maar als bedrijf niet onoverkomelijk.
Echter, bij een schending van de AVG gaat het vaak om veel benadeelden en dus niet slechts om één individu die schade lijdt. De AVG - in combinatie met de WAMCA - geeft deze betrokkenen de mogelijkheid om op collectieve wijze deze schadevergoeding te vorderen middels een orgaan, organisatie of vereniging (zonder winstoogmerk). Daardoor is de drempel voor benadeelden laag. Dit zorgt ervoor dat meerdere schadeclaims in één procedure behandeld kunnen worden.
Bij de beoordeling van wat de rechter een redelijke schadevergoeding vindt, kijkt hij of zij niet naar het aantal betrokkenen in de schadeclaim. Het oplopen van schade is immers persoonlijk. Stel dat de rechter naar aanleiding van een schending van de AVG een schadevergoeding van € 300,- per betrokkene redelijk vindt, en er niet sprake is van één benadeelde maar juist 10.000, dan kan een ‘simpele schending’ van de AVG voor een onderneming behoorlijk nadelig uitpakken. In veel gevallen gaat het zelfs om claims van een aantal miljoen of zelfs miljard euro. Zo werd 3.2 miljard euro geëist van de GGD in verband met een datalek, 6 miljard euro van appfabrikant TikTok en 1 miljard euro van Apple en Google wegens machtsmisbruik.
Ten aanzien van dit soort vervelende situaties is voorkomen altijd beter dan genezen. Hieronder vindt u een aantal praktische tips om massaclaims onder de AVG te voorkomen.
Zorg dat u goed geïnformeerd bent over de rechten en plichten die onder de AVG gelden voor uw organisatie. Zo mogen persoonsgegevens slechts verzameld worden voor een gerechtvaardigd doel en voor zover noodzakelijk. Ook moet er een zogenaamde verwerkingsgrondslag zijn die de verwerking van de persoonsgegevens legitiem maakt. Daarbij is het van belang duidelijk te omschrijven wat de doeleinden zijn ten aanzien van het verzamelen van de betreffende gegevens. Voor een goede voorbereiding verwijzen wij u naar een eerdere blog.
Daarnaast kan het zo zijn dat uw organisatie veel tijd en geld heeft gestoken in een juiste opslag van gegevens, een veilig softwaresysteem en een uitgeschreven beleid op het gebied van privacy en de bescherming van persoonsgegevens, maar er alsnog schendingen van de AVG plaatsvinden. Een beleid kan namelijk alleen goed werken als dat in de praktijk door de gehele organisatie goed wordt uitgevoerd. Zorg er dus voor dat al uw medewerkers op de hoogte zijn van het opgestelde beleid, door de bewustwording daarvan te vergroten. Veel datalekken ontstaan immers door menselijke fouten.
Besteed daarnaast ook aandacht aan een goed toegangsbeleid tot de systemen en houd die toegang zo beperkt mogelijk (alleen voor zover noodzakelijk). Daarmee wordt de mogelijkheid om gehackt te worden zoveel mogelijk beperkt, waardoor gevoelige informatie minder snel in handen van kwaadwillige derden valt.
Tenslotte is het verstandig na te gaan in welke mate een eventuele collectieve actie gedekt wordt onder uw aansprakelijkheidsverzekering. Veel verzekeringen kennen namelijk een ‘serieschadeclausule’. Een reeks met elkaar verband houdende gebeurtenissen worden dan als één gebeurtenis gezien. Dit kan ertoe leiden dat de dekking van de verzekering beperkt is tot slechts één keer de verzekerde som. Wanneer de collectieve claim zo hoog is dat deze de verzekerde som overstijgt, kan dit nog wel eens grote financiële gevolgen hebben voor uw onderneming. Om dit te voorkomen kunt bijvoorbeeld een polis afsluiten waar het verzekerde bedrag niet per schadegeval, maar per vordering geldt.
Concluderend kan wel gesteld worden, dat de collectieve actie in combinatie met een schending van de AVG een machtig wapen is. Eén kleine onvoorzichtigheid ten aanzien van persoonsgegevens kan ervoor zorgen dat uw organisatie wordt betrokken in een torenhoge claim. Ter voorkoming daarvan adviseren wij nog eens goed na te gaan of uw onderneming persoonsgegevens wel conform de AVG verwerkt.
Vraagt u zich af uw onderneming persoonsgegevens correct verwerkt, of wilt u meer informatie over het opstellen van een privacy beleid? Neem dan contact op met onze privacyspecialisten: Annemarie van Woudenberg of Sander Poelman. Zij helpen u graag verder.
Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.