12 jul 2019 Ondernemingsrecht Yannick Willems
In de BNdeStem was enige tijd geleden een artikel te lezen van mijn kantoorgenoot Erik van Loon. Hij waarschuwde dat het MKB er verstandig aan zou doen zich te verdiepen in de AVG en een ‘activiteitenregister’, ‘privacyverklaring’ en ‘verwerkingsovereenkomst’ op te stellen. Eventuele fikse boetes zouden daarmee simpelweg kunnen worden voorkomen.
In aanvulling op die waarschuwing wil ik u er op wijzen dat overtreding van de AVG ook tot schadeclaims van derden kan leiden.
In de praktijk lijkt de perceptie te bestaan dat de Autoriteit Persoonsgegevens (hierna ook: ‘AP’) eerst wel de ‘grote jongens’ zal aanpakken en zich richt op grove overtredingen. Op het eerste gezicht lijkt die perceptie ook wel te kloppen.
Zo legde in november van vorig jaar de AP een boete aan Uber van 600.000,- euro op voor het overtreden van de meldplicht datalekken. Het Uitvoeringsinstituut Werknemersverzekeringen (UWV) werd een last onder dwangsom opgelegd, omdat de beveiliging van haar werkgeversportaal volgens de AP niet voldeed.
Zoals Erik al waarschuwde, neemt dat het risico niet weg, dat het niet hebben van een ‘register van verwerkingsactiviteiten’ of het niet schriftelijk of digitaal vastleggen daarvan, kan leiden tot een serieuze (basis)boete. Voorkomen blijft beter dan genezen.
De AP heeft zich in 2018 met name gericht op voorlichting, normuitleg en normoverdracht. Uit het jaarverslag van de AP valt af te leiden, dat zij dit jaar meer nadruk gaat leggen op het doen van onderzoek en, waar nodig, handhavend zal optreden. Dat de AP vooralsnog terughoudend is geweest met de inzet van ‘zwaardere’ middelen als onderzoeken en boetes, biedt dus geen garantie.
Daarnaast dient de praktijk er ook op bedacht te zijn dat een overtreding van de AVG kan leiden tot schadeclaims, zo blijkt uit een recente uitspraak van de Rechtbank Overijssel. In deze zaak werd door een burger een tweetal ‘Wob‑verzoeken’ ingediend bij de gemeente Deventer. Een dergelijk verzoek strekt er kortgezegd toe dat een overheidsorgaan bepaalde informatie openbaar dient te maken.
Omdat het niet de eerste keer was dat deze burger een dergelijk verzoek deed, informeerde de gemeente bij andere gemeenten hoe om te gaan met de verzoeken. Zij heeft de verzoeken (met vermelding van naam en woonplaats van de burger) aan deze gemeenten doorgestuurd.
In een later stadium deed de burger een verzoek bij de gemeente Deventer om inzage te krijgen in de door de gemeente verwerkte persoonsgegevens. De gemeente gaf daaraan gevolg en verstrekte een overzicht. De burger vond dat het overzicht onvolledig was, omdat daarop enkele gemeenten ontbraken die ook kennis hadden genomen van zijn verzoeken (en daarmee ook van zijn persoonsgegevens). Op 18 juli 2018 stelde de rechtbank de burger in het gelijk.
Daarop is de burger nog een juridische procedure gestart om aanspraak te maken op een schadevergoeding. Hij vond namelijk dat door de verspreiding van zijn persoonsgegevens sprake is geweest van een schending van zijn privacy. De Rechtbank Overijssel ging daarin mee en kende hem een schadevergoeding toe van 500,- euro.
Sommige auteurs vragen zich af in hoeverre burgers met deze uitspraak in de hand bij iedere schending van hun privacy aanspraak kunnen maken op een vergoeding? Wat mij betreft is deze uitspraak in ieder geval een waarschuwing dat men de AVG toch echt serieus dient te nemen.
Yannick is gespecialiseerd in het vastgoed- en ondernemingsrecht. Hij heeft ervaring met het opzetten van samenwerkingen en ondernemingen, maar houdt zich ook bezig met conflicten binnen ondernemingen.
Meer artikelen van Yannick Willems