Scriptie Privaatrechtelijke rechtspraktijk

Collectief schadeverhaal bij inbreuk op de AVG

Naam: T.A. Gijsberts

Studentnummer: 12960985

Collegejaar: 2019-2020

Studie: Master Privaatrechtelijke rechtspraktijk

Universiteit: Universiteit van Amsterdam

Scriptiebegeleider: dhr. mr. A.V.T. de Bie

Tweede lezer: mvr. mr. L. Burgers

Inleverdatum: 7 augustus 2020

2

Inhoudsopgave

Scriptie Privaatrechtelijke rechtspraktijk ................................................................................................................ 1

Inhoudsopgave ........................................................................................................................................................ 2

Lijst van afkortingen ............................................................................................................................................... 3

Abstract ................................................................................................................................................................... 4

Inleiding .................................................................................................................................................................. 5

1. De collectieve actie in Nederland ................................................................................................................... 7

2. Doelstelling en wettelijk kader van de WAMCA ......................................................................................... 10

2.1 Doelstelling WAMCA ......................................................................................................................... 10

2.2 Wettelijke kader WAMCA .................................................................................................................. 12

2.3 Tussenconclusie ................................................................................................................................... 16

3. Voldoende nauwe band met de Nederlandse rechtssfeer .............................................................................. 17

3.1 Tussenconclusie ................................................................................................................................... 20

4. Doelstelling en wettelijk kader van de AVG ................................................................................................ 21

4.1 Doelstelling AVG ................................................................................................................................ 21

4.2 Wettelijk kader AVG ........................................................................................................................... 24

4.3 Tussenconclusie ................................................................................................................................... 26

5. Schade onder de AVG .................................................................................................................................. 27

5.1 Jurisprudentie ...................................................................................................................................... 28

5.2 Strooischade ........................................................................................................................................ 30

5.3 Tussenconclusie ................................................................................................................................... 31

6. Collectief schadeverhaal bij inbreuk op de AVG ......................................................................................... 32

6.1 Individuele actie tot schadevergoeding ................................................................................................ 32

6.2 Collectieve actie tot schadevergoeding ................................................................................................ 34

6.3 Strooischade ........................................................................................................................................ 36

6.4 Buitenlandse schadeveroorzakers ........................................................................................................ 37

6.5 Tussenconclusie ................................................................................................................................... 37

Conclusie ............................................................................................................................................................... 39

Bronnen ................................................................................................................................................................. 40

3

Lijst van afkortingen

AVG: Algemene verordening gegevensbescherming

BW: Burgerlijk Wetboek

HGEU: Handvest van de grondrechten van de Europese Unie

Rv: Wetboek van Rechtsvordering

UAVG: Uitvoeringswet AVG

VWEU: Verdrag betreffende de werking van de Europese Unie

WAMCA: Wet afwikkeling massaschade in collectieve actie

WCA: Wet collectieve actie

WCAM: Wet collectieve afwikkeling massaschade

4

Abstract

Op grond van de Wet afwikkeling massaschade in collectieve actie (hierna: ‘WAMCA’) is het

sinds 1 januari 2020 mogelijk om een collectieve actie tot schadevergoeding in te stellen. In

deze scriptie wordt aan de hand van de volgende onderzoeksvraag onderzocht of de

collectieve actie tot schadevergoeding kan bijdragen aan het verhalen van schade als gevolg

van een inbreuk op de AVG.

‘Draagt de collectieve actie van de WAMCA bij aan het verkrijgen van schadevergoeding vanwege

schending van de AVG?’

De onderzoeksvraag is een samengesteld vraag en bestaat zowel uit een beschrijvend,

evaluerend als uit een voorspellend element. De scriptie is geschreven vanuit het perspectief

van een betrokkene die zijn schade als gevolg van een inbreuk op het

gegevensbeschermingsrecht wil verhalen.

In dit onderzoek is gebleken dat de WAMCA zeker kan bijdragen aan het verkrijgen van

schadevergoeding vanwege schending van de AVG. Gelaedeerden kunnen bij de collectieve

schadevergoedingsactie gebruikmaken van schaalvoordelen om de normschending vast te

stellen. Ook wordt het aantonen van het causaal verband en de normschending makkelijker in

een collectieve procedure. Zeker in het geval van strooischade is de WAMCA bij uitstek

geschikt om collectief schade te verhalen bij een inbreuk op het gegevensbeschermingsrecht.

Ten aanzien van buitenlandse partijen geldt dat het op grond van de AVG en de WAMCA een

lastig verhaal kan worden om collectief schade te verhalen, vanwege de territoriale

ontvankelijkheidseisen van de WAMCA en de bevoegdheidsregeling inzake het internationaal

privaatrecht van de AVG. Dat doet echter niets af aan het feit dat de collectieve actie van de

WAMCA kan bijdragen aan het verkrijgen van schadevergoeding vanwege schending van de

AVG door Nederlandse schadeveroorzakende partijen.

5

Inleiding

In de laatste decennia heeft de toepassing van informatie- en communicatietechnologie (ICT)

een enorme vlucht genomen en de verwerking van persoonsgegevens heeft een massaal

karakter gekregen. Dat heeft geleid tot een sterke toename van productiviteit en bedrijvigheid

in allerlei sectoren. Het heeft de maatschappij echter ook afhankelijk gemaakt van deze

technologie en buitenlandse techbedrijven profiteren daar op grote schaal van. De vijf grootste

techbedrijven ter wereld – Apple, Amazon, Facebook, Aphabet (Google) en Microsoft - halen

gezamenlijk een jaaromzet van $900.000.000.0001. Het succes van deze bedrijven heeft tot

gevolg dat ze beschikken over een enorme database van persoonsgegevens van burgers. Zo

zijn in Nederland naar schatting 9,6 miljoen mensen actief op het sociale netwerk van

Facebook2. Om misbruik van deze gegevens te voorkomen is er Europese

gegevensbeschermingswetgeving die de privacy van burgers moet beschermen. Sinds de

inwerkingtreding van de Algemene verordening gegevensbescherming (hierna: ‘AVG’) in

2016 heeft iedereen die schade lijdt als gevolg van een inbreuk op de AVG het recht om

schadevergoeding te ontvangen voor schade als gevolg van deze inbreuk. Tot op heden is het

in Nederland echter op slechts één hand te tellen hoe vaak een betrokkene daadwerkelijk

schadevergoeding heeft ontvangen als gevolg van een inbreuk op de AVG. Terwijl de

Autoriteit Persoonsgegevens – de Nederlandse gegevensbeschermingsautoriteit – in 2019

bijna 27.000 datalekmeldingen ontving3. Het blijkt dat een betrokkene het bij een inbreuk op

de AVG moeilijk vindt om zijn schade te verhalen. Op grond van de Wet afwikkeling

massaschade in collectieve actie (hierna: ‘WAMCA’) is het sinds 1 januari 2020 mogelijk om

een collectieve actie tot schadevergoeding in te stellen. In deze scriptie wordt onderzocht of

de collectieve actie tot schadevergoeding kan bijdragen aan het verhalen van schade als

gevolg van een inbreuk op de AVG. De in de voorgaande paragaaf geschetste problematiek

heeft geleid tot de volgende onderzoeksvraag:

‘Draagt de collectieve actie van de WAMCA bij aan het verkrijgen van schadevergoeding vanwege

schending van de AVG?’

De onderzoeksvraag van deze scriptie is een samengestelde vraag en bestaat zowel uit een

beschrijvend, evaluerend als uit een voorspellend element. De onderzoeksvraag is tevens

1 Visual Capitalist juli 2020. 2 Onderzoek van de Autoriteit Persoonsgegevens naar het verwerken van persoonsgegevens van betrokkenen in

Nederland door het Facebook-concern van 21 februari 2017, p. 5. 3 Autoriteit persoonsgegevens februari 2020.

6

normatief van aard. De scriptie wordt geschreven vanuit het perspectief van een betrokkene

die zijn schade als gevolg van een inbreuk op het gegevensbeschermingsrecht wil verhalen.

Het onderliggende normatieve standpunt is dat natuurlijke personen beschermd moeten

worden bij een inbreuk op het gegevensbeschermingsrecht. De bescherming van natuurlijke

personen bij de verwerking van persoonsgegevens is immers ook een Europees grondrecht4.

De beantwoording van de onderzoeksvraag vindt plaats door middel van een descriptief en

normatief rechtswetenschappelijk onderzoek. De onderzoeksmethoden worden met elkaar

gecombineerd om zo tot een helder antwoord op de onderzoeksvraag te komen. De

geraadpleegde bronnen zijn de wet, kamerstukken, wetenschappelijke literatuur en relevante

jurisprudentie van de rechtbanken, de hoven, de Hoge Raad en de Afdeling

bestuursrechtspraak van de Raad van State. Daarnaast is het onderzoek mijns inziens

maatschappelijk en juridisch relevant. De relevantie volgt onder andere uit de actie die de

Consumentenbond in samenwerking met de Data Privacy Stichting is gestart tegen

Facebook5. Zij eisen compensatie van Facebook voor Facebook-gebruikers vanwege

privacyschending door Facebook. Het behoort tot de mogelijkheden dat deze zaak – de

veronderstelde inbreuk op het gegevensbeschermingsrecht - uiteindelijk op grond van de

WAMCA beslecht wordt.

Alvorens in het laatste hoofdstuk (nr. 6) de onderzoeksvraag te beantwoorden worden in de

daaraan voorafgaande hoofdstukken de volgende deelvragen beantwoord:

- ‘Wat is de rechtsontwikkeling van de collectieve actie in Nederland?’

- ‘Wat is de doelstelling en wat is het wettelijk kader van de Wet afwikkeling massaschade in

collectieve actie?’.

- ‘Wanneer heeft de rechtsvordering van een belangenorganisatie een voldoende nauwe band

met de Nederlandse rechtssfeer onder de WAMCA’?

- ‘Wat is de doelstelling en wat is het wettelijk kader van de Algemene verordening

gegevensbescherming?’

- ‘Welke schade kan een betrokkene lijden bij een inbreuk op de AVG?’

De beantwoording van de deelvragen moeten de lezer een goed beeld geven van het

Nederlandse en Europese recht ten aanzien van de collectieve actie en het

gegevensbeschermingsrecht. Aan de hand van de deelvragen wordt uiteindelijk ook de

hoofdvraag behandeld.

4 Artikel 8 lid 1 HGEU. 5 Consumentenbond juli 2020.

7

1. De collectieve actie in Nederland

Nederland loopt op het gebied van collectieve acties al sinds jaar en dag voorop in Europa6.

Met de komst van de WAMCA kan er sinds 1 januari 2020 ook een collectieve actie tot

schadevergoeding ingesteld worden. Om een goed beeld te schetsen van collectieve acties in

Nederland wordt in dit eerste hoofdstuk allereerst kort de ontwikkeling van de wetgeving ten

aanzien van collectieve acties uiteengezet en vervolgens wordt er een overzicht gegeven van

jurisprudentie met betrekking tot collectieve acties. Daarmee wordt de volgende deelvraag

beantwoord: ‘Wat is de rechtsontwikkeling van de collectieve actie in Nederland?’

WCA WCAM WAMCA

Mogelijkheid tot

collectieve actie

√

√

√

Mogelijkheid tot

verbindend verklaren van

de schikking

×

√

√

Schadevergoeding in

geld

×

×

√

De ontwikkeling van wetgeving ten aanzien van de collectieve actie in Nederland.

De discussie omtrent de invoering van een collectieve actie kwam op gang in de jaren

zeventig van de vorige eeuw7. Tussen de jaren zeventig en de jaren negentig kwam er veel

jurisprudentie en wetgeving met betrekking tot de bevoegdheid van belangenbehartigers in het

Nederlandse juridische veld. Met de invoering van de Wet collectieve actie (hierna: ‘WCA’)

werd het vanaf 1 juli 1994 mogelijk om op grond van artikel 3:305a BW (oud) een collectieve

actie in te stellen. Hiermee werd de civielrechtelijke collectieve actie gecodificeerd8. Middels

artikel 3:305a BW (oud) konden homogene vorderingen voortaan gebundeld worden in één

rechtsvordering. Een stichting of vereniging kon een groep benadeelden vertegenwoordigen

om een verbod, gebod of een verklaring voor recht te bewerkstelligen. Schadevergoeding in

geld vorderen was daarentegen niet mogelijk.

6 Van der Krans, OF 2019/3, p. 61. 7 Tillema, AA 2019/6, p. 506-515. 8 Wet van 6 april 1994, Stb. 1994, 269.

8

Door de WCA werden de kosten van een procedure gedrukt en nam de efficiëntie toe. Er was

echter ook een grote beperking aan de WCA: de uitspraak in de collectieve actie bond formeel

enkel en alleen de belangenbehartiger en de verweerder9. De WCA bood niet de mogelijkheid

om met finaliteit een individuele schadevergoedingsvordering af te doen. Uit de parlementaire

geschiedenis blijkt dat de individuele beoordeling van een schadevergoedingsvordering werd

verkozen boven een gemeenschappelijke beoordeling10. Het gevolg hiervan was dat de

benadeelden met een verklaring voor recht op zak - die formeel slechts gold in de relatie

tussen de belangenbehartiger en de verweerder – een schikking moesten bewerkstelligen of

een individuele procedure aanhangig moesten maken ter verkrijging van een

schadevergoeding. Ingewikkelde procedures voor het gemiddelde individu, met vaak hoge

kosten. Bij de afwikkeling van de DES-zaak kwamen de nadelen van de wet goed aan het

licht11. De aansprakelijke producenten waren in deze zaak voornemens om een

schadevergoeding aan te bieden aan de gelaedeerden, voorwaarden was wel dat de zaak

daarmee finaal beslecht zou zijn. Op grond van de WCA was dit evenwel niet mogelijk. De

wetgever erkende de nadelen van de WCA en de Wet collectieve afwikkeling massaschade

(hierna: WCAM) was in 2005 een feit. De kern van de WCAM was gelegen in de

mogelijkheid om een overeenkomst tot schadeafwikkeling die werd gesloten tussen een

belangenbehartiger en de schadeveroorzakende partij of partijen, door het gerechtshof

Amsterdam verbindend te laten verklaren. Op grond van de WCAM is de DES-zaak

uiteindelijk ook finaal beslecht12.

De WCAM werd net als de WCA een groot succes. De WCAM bleek een effectief middel om

massaal geleden belegginsschade af te wikkelen, zie hierover onderstaande paragraaf die een

overzicht geeft van de jurisprudentie op het gebied van de collectieve actie13. In de praktijk

bleek ook dat er twee grote nadelen kleefden aan de WCAM, zie hiervoor hoofdstuk 2

paragraaf 1 over de doelstelling van de WAMCA.

9 Equesnijmegen maart 2020. 10 Wet van 6 april 1994, Stb. 1994, 269. 11 Rijksoverheid juni 2008. 12 Hof Amsterdam 1 juli 2006, ECLI:NL:GHAMS:2006:AX6440. 13 Van Boom, TvC 2019/4, p. 154.

9

WCAM-jurisprudentie

Zaak Jaar Aantal

gelaedeerden

Omvang totale

schadevergoeding

Soort aansprakelijkheid

DES 2006 en

2014

200.000 €38.000.000 Productaansprakelijkheid

DEXIA 2007 300.000 €1.000.000.000 Schending zorgplicht

VIE D’OR 2009 11.000 €45.000.000 Schending zorgplicht

SHELL 2009 500.000 €448.000.000 Waardeverlies aandelen

VENDIOR 2009 2.000 €4.250.000 Waardeverlies aandelen

CONVERIUM 2012 12.000 €58.400.000 Waardeverlies aandelen

DSB 2014 345.000 €500.000.000

(max.)

Schending zorgplicht

FORTIS 2018 119.000 €1.300.000.000 Waardeverlies aandelen

Overzicht van de WCAM-zaken met een weergave van het soort aansprakelijkheidsrecht.

Uit het bovenstaande overzicht blijkt dat de WCAM tweemaal werd gebruikt voor de

afwikkeling van letselschades. Daarnaast is de WCAM nog zevenmaal gebruikt om een

schikking algemeen verbindend te verklaren.14

Al deze zeven zaken zagen op zuiver financiële schade, namelijk het afwikkelen van

beleggingsschade. Na het algemeen verbindend verklaren van de Converium-schikking bleek

bovendien dat zelfs beleggingsschades die slechts gedeeltelijk een aanknopingspunt hadden

met de Nederlandse rechtsorde, onder het WCAM-regime konden worden afgewikkeld. De

gevolgtrekking die gemaakt kan worden is dat de WCAM werd ‘weggekaapt’ door financiële

massaclaims. Evenwel is de WCAM van toepassing op alle soorten massaschades. Hetzelfde

geldt voor de WAMCA.

14 Hof Amsterdam 25 januari 2007, ECLI:NL:GHAMS:2007:AZ7033 (DEXIA), Hof Amsterdam 29 april 2009,

ECLI:NL:GHAMS:2009:BI2717 (Vie d’Or), Hof Amsterdam 29 mei 2009, ECLI:NL:GHAMS:2009:BI5744

(Shell), Hof Amsterdam 15 juli 2009, ECLI:NL:GHAMS:2009:BJ2691 (Vedior), Hof Amsterdam 17 januari

2012, ECLI:NL:GHAMS:2012:BV1026 (Converium), Hof Amsterdam 4 november 2014,

ECLI:NL:GHAMS:2014:4560 (DSB) en Hof Amsterdam 13 juli 2018, ECLI:NL:GHAMS:2018:2422 (Fortis).

10

2. Doelstelling en wettelijk kader van de WAMCA

Per 1 januari 2020 is de WAMCA in werking getreden. Hierdoor werd artikel 3:305a BW

volledig herschreven. Op grond van artikel 3:305a BW is het nu mogelijk voor een stichting

of vereniging met volledige rechtsbevoegdheid (hierna: ‘vehikel’ of ‘belangenbehartiger’) om

een rechtsvordering in te stellen die strekt tot schadevergoeding te voldoen in geld voor een

groep gelaedeerden. Om een goed beeld te schetsen van de WAMCA wordt in dit hoofdstuk

de volgende deelvraag beantwoord: ‘Wat is de doelstelling en wat is het wettelijk kader van de

Wet afwikkeling massaschade in collectieve actie?’.

2.1 Doelstelling WAMCA

Het wetgevingsproces richting de WAMCA begon met de motie Dijksma van november

2011. De motie bracht het verzoek aan de regering om “een brief te sturen met daarin een

stappenplan om te komen tot de toekenning van het recht voor representatieve

belangenorganisaties om schade collectief te verhalen, door de WCAM en het BW op dit punt

[…] aan te passen”15. Deze motie leidde uiteindelijk tot het wetsvoorstel dat op 29 januari

2019 door de Tweede Kamer werd aangenomen. Een collectieve schadeafwikkeling voorziet

volgens de wetgever in een behoefte wanneer sprake is van massaschade en de

verwezenlijking van rechten in een individuele procedure op problemen stuit of wanneer

collectieve afwikkeling een effectiever en efficiënter middel biedt om tot toekenning van

schadevergoeding te komen aan een grote groep gedupeerden. De wet heeft dan ook tot doel

een efficiënte en effectieve collectieve afwikkeling van massaschade te bevorderen en is na de

WCA en de WCAM de derde grote stap in de rechtsontwikkeling van de afwikkeling van

massaschade. Er is gestreefd naar een balans tussen het belang van gedupeerden om hun

rechten te kunnen verwezenlijken en het belang van aangesproken partijen om beschermd te

worden tegen ongefundeerde of lichtvaardige massaclaims16. De wetgever benadrukt expliciet

dat de WAMCA het materiele aansprakelijkheids- of schadevergoedingsrecht niet verandert17.

Met de invoering van de WAMCA denkt de wetgever twee problemen uit het pre-WAMCA

tijdperk op te lossen. Ten eerste wordt het derde lid van artikel 3:305a BW (oud) geschrapt,

waardoor een collectieve actie tot schadevergoeding voortaan tot de mogelijkheden behoort.

15 Kamerstukken II 2011/12, 33000-XIII, 14 e.v. 16 Idem. 17 Idem.

11

In het vorige hoofdstuk bleek dat het onder de WCAM niet mogelijk was om een collectieve

actie tot schadevergoeding in te stellen. De reden hiervoor was dat de wetgever destijds vond

dat de vraag of, en zo ja, in hoeverre een persoon jegens wie onrechtmatig zou zijn gehandeld

daardoor schade heeft geleden, slechts individueel kon worden beantwoord18. Het verbod op

het vorderen van een schadevergoeding in collectieve actie is in de literatuur vaak

bekritiseerd19. De wetgever is door het schrappen van het derde lid van artikel 3:305a BW

(oud) aldus tot inkeer gekomen. Door de schade in een collectieve

schadevergoedingsprocedure af te wikkelen via schadebegroting en een onderverdeling te

maken in categorieën van personen denkt de wetgever problemen rondom individuele

schadebegroting te ondervangen20.

Ten tweede is het voor een partij die wordt aangesproken niet meer mogelijk om het

afwikkelen van de massaschade te frustreren. Een vermeende schadeveroorzaker kan in een

collectieve actie worden verplicht om mee te werken aan een collectieve schikking. Mocht dit

niet lukken dan kan de rechtbank de aansprakelijkheid vaststellen in een gerechtelijke

procedure en schadevergoeding toekennen aan de gelaedeerden. Dit was anders onder de

WCAM. De rechter had onder de WCAM niet de mogelijkheid om een geschil te beslechten,

hij kon alleen een schikking algemeen verbindend verklaren. Bij weigerachtige

schadeveroorzakers waren de gelaedeerden onder de WCAM aangewezen op individuele

procedures. In de praktijk leidde dit vaak tot cessies ter incasso aan claimvehikels. De

wildgroei daarin beoogt de WAMCA op te lossen, door middel van strengere

ontvankelijkheidsvereisten21. De WAMCA moet dienen als een stok achter de deur om

aangesproken partijen te dwingen om mee te werken, wanneer de onderhandelingsbereidheid

bij deze ontbreekt22. Het beslechten van geschillen met finaliteit is hetgeen de wetgever

beoogt te bereiken met deze stok achter de deur.

18 Kamerstukken II 2016/17, 34608, nr. 3. 19 Zie bijvoorbeeld Oranje 2004, p. 289 e.v., Zippro & Meijer, M&M 2010/3 of Numann e.a. 2010, p. 127-143. 20 Kamerstukken II 2016/17, 34608, 3, .p 5, 50-54. 21 Kamerstukken II 2016/17, 34 608, nr. 3 p. 6 e.v. 22 Idem.

12

2.2 Wettelijke kader WAMCA

Het wettelijk kader van de WAMCA kan in vier fases worden ingedeeld: een eerste fase

waarin een vehikel een 305a-vordering instelt. Daarna volgt de tweede fase waarin de rechter

de ontvankelijkheidsvereisten beoordeelt. Tijdens de derde fase nodigt de rechter het vehikel

en de wederpartij uit om tot een schikking te komen. Indien partijen een schikking treffen,

volgt er een algemeen verbindendverklaring door de rechter. In het geval er geen schikking tot

stand komt beslist de rechter in de vierde fase op de vordering. Hieronder wordt per fase het

juridisch kader geschetst.

Eerste fase: het instellen van een artikel 305a-vordering

Naast de gewone eisen die gelden voor een dagvaarding volgt uit het Wetboek van

Rechtsvordering dat er voor een artikel 305a-vordering bijzondere eisen gelden23. De

dagvaarding waarmee de procedure aanhangig wordt gemaakt moet een omschrijving van de

gebeurtenis(sen) waarop de collectieve vordering betrekking heeft vermelden. Daarnaast geldt

dat de groep van belanghebbenden moet worden aangemerkt. Ook moet de dagvaarding een

omschrijving bevatten van de mate waarin de te beantwoorden feitelijke en rechtsvragen

gemeenschappelijk zijn. Hiermee doelt de wetgever erop dat het vehikel dat de vordering

instelt voldoende aannemelijk heeft gemaakt dat het voeren van de collectieve vordering

efficiënter en effectiever is dan het instellen van een individuele vordering24. Verder moet de

dagvaarding ingaan op de ontvankelijkheidseisen van artikel 305a. Tot slot bevat de

dagvaarding gegevens die de rechter in staat stelt om voor de collectieve vordering een

exclusieve belangenbehartiger (hierna: ‘EB’) aan te wijzen. Zodra de dagvaarding is

betekend, moet deze binnen twee dagen worden ingediend ter griffie en gelijktijdig in het

centraal register voor collectieve actie worden ingeschreven25. In beginsel volgt dan een

termijn van drie maanden waarin andere vehikels de mogelijkheid hebben om een 305a-

vordering in te stellen26.

23 Artikel 1018c lid 1 Rv. 24 Artikel 1018c lid 5 sub b Rv. 25 Artikel 1018c lid 2 Rv juncto artikel 3:305a lid 7 BW. 26 Artikel 1018c lid 3 Rv.

13

Tweede fase: ontvankelijkheid

Indien er meerdere vehikels zijn die een collectieve vordering hebben ingesteld omtrent

dezelfde gebeurtenis wijst de rechter de meest geschikte eiser aan als EB27. Dit doet de rechter

pas nadat hij heeft getoetst aan de ontvankelijkheidseisen van artikel 3:305a. Er bestaan twee

regimes ten aanzien van de ontvankelijkheid: een zwaar en een licht regime. Het zware

regime is de hoofdregel, het lichte regime de uitzondering.

Ten aanzien van het zware regime geldt dat het vehikel een collectieve vordering kan instellen

mits zij de belangen van de belanghebbenden behartigt en deze belangen voldoende zijn

gewaarborgd28. De belangen van de belanghebbenden tot bescherming van wier belangen de

rechtsvordering strekt, zijn voldoende gewaarborgd, indien het vehikel voldoende

representatief is voor de groep belanghebbenden, gelet op de achterban en de omvang van de

vordering29. Met achterban bedoelt de wetgever het kwantitatief aandeel van de groep

getroffen gedupeerden waar het vehikel voor opkomt30.

Ontvankelijkheidsvereisten ten aanzien van de collectieve actie:

- de bestuurder betrokken bij de oprichting van het vehikel, en hun opvolgers, mogen geen

rechtstreeks of middellijk winstoogmerk hebben, dat via de rechtspersoon wordt

gerealiseerd31;

- de rechtsvordering moet een voldoende nauwe band met de Nederlandse rechtssfeer hebben

(meer hierover in hoofdstuk 3)32;

- het vehikel moet voldoende getracht hebben om door middel van overleg met de verweerder

tot een oplossing te komen33;

- het vehikel moet het bestuursverslag en de jaarrekening openbaar maken34.

Daarnaast geldt dat het vehikel moet beschikken over een toezichthoudend orgaan en

passende en doeltreffende mechanismen in acht moet nemen voor de deelname aan of

vertegenwoordiging bij de besluitvorming van de personen tot bescherming van wier

belangen de rechtsvordering strekt. Het vehikel moet de beschikking hebben over voldoende

middelen om de kosten voor het instellen van een rechtsvordering te dragen, waarbij de

27 Artikel 1018e Rv. 28 Artikel 3:305a lid 1 BW. 29 Artikel 3:305a lid 2 BW. 30 Kamerstukken II 2016/17, 34608, 3, p. 19. 31 Artikel 3:305a lid 3 aanhef en onderdeel a BW. 32 Artikel 3:305a lid 3 aanhef en onderdeel b BW. 33 Artikel 3:305a lid 3 aanhef en onderdeel c BW. 34 Artikel 3:305a lid 5 BW.

14

zeggenschap over de rechtsvordering in voldoende mate bij de rechtspersoon ligt. Het vehikel

dient verder zorg dragen voor een toegankelijke internetpagina, waarop informatie te vinden

is over onder andere statuten, bestuursstructuur en bestuurs- en toezichtverslagen35. Voldoet

het vehikel niet aan bovenstaande eisen, dan volgt niet-ontvankelijkheid.

In artikel 3:305a lid 6 is het lichte regime beschreven. De rechter kan een vehikel ook

ontvankelijk verklaren wanneer de rechtsvordering wordt ingesteld met een ideëel doel en een

zeer beperkt financieel belang of wanneer de aard van de vordering van het vehikel of van de

personen tot bescherming van wier belangen de rechtsvordering strekt, daartoe aanleiding

geeft. De rechtsvordering kan niet strekken tot een schadevergoeding te voldoen in geld36.

Een verklaring voor recht kan wel gevorderd, evenals een gebod of een verbod. Omwille van

het feit dat de rechtsvordering niet kan strekken tot een schadevergoeding te voldoen in geld

wordt er hier niet nader ingegaan op het lichte regime.

Niet alleen het vehikel moet ontvankelijk zijn, de vordering ook. De rechter toetst of de

collectieve vordering deugdelijk is en of de eiser voldoende aannemelijk heeft gemaakt dat

het instellen van een collectieve vordering efficiënter en effectiever is dan het instellen van

een individuele vordering doordat de te beantwoorden feitelijke en rechtsvragen in voldoende

mate gemeenschappelijk zijn, het aantal personen tot bescherming van wier belangen de

vordering strekt, voldoende is en, indien de vordering strekt tot schadevergoeding, dat zij

individueel dan wel gezamenlijk een voldoende groot financieel belang hebben37.

Indien zich binnen de driemaandentermijn een ‘concurrerend’ vehikel heeft gemeld volgt er

een procedure waarin de rechter de meest geschikte EB aanwijst38. In het geval er slechts een

vehikel is dat zich heeft gemeld, wordt dit benoemd, uiteraard onder de voorwaarde dat het

voldoet aan de ontvankelijkheideisen. De EB leidt de procedure en treedt op voor de belangen

van de nauw omschreven groep personen die de rechter op hetzelfde moment benoemt39. Het

belang van het oordeel van de rechter over voor welke nauw omschreven groep personen de

EB de belangen behartigt is gelegen in het feit dat de uitkomst in de procedure bindend is

voor alle personen binnen deze groep, behalve voor hen die gebruik hebben gemaakt van een

opt-out40. De mogelijkheid van opt-out wordt aan alle personen geboden behorend tot de

35 Artikel 3:305a lid 2 aanhef en onderdeel d BW. 36 Kamerstukken II 2018/19, 34608, 15. 37 Artikel 1018c lid 5 aanhef en onderdeel a, b en c Rv. 38 Artikel 1018e lid 1 Rv. 39 Artikel 1018e lid 2 en lid 3 Rv. 40 Kamerstukken II 2016/17, 34608, 3, p. 43.

15

nauw omschreven groep personen, zij hebben een termijn van ten minste een maand nadat de

vordering is aangekondigd om de griffie te informeren dat zij zich van de behartiging van hun

belangen in deze collectieve vordering willen bevrijden41.

Derde fase: schikking beproeven

Nadat de EB is benoemd stelt de rechter een termijn voor het beproeven van een schikking

tussen partijen42. In het positieve geval dat partijen tot een schikking komen, wordt er een

vaststellingsovereenkomst opgesteld die ter goedkeuring aan de rechter wordt voorgelegd.

Indien de rechter de schikking goedkeurt, volgt algemeenverbindendverklaring43. De personen

binnen de nauw omschreven groep krijgen dan een tweede mogelijkheid van opt-out44.

Vierde fase: rechter beslist

Indien het partijen niet lukt om een schikking te beproeven beslist de rechter over de

vordering van de EB. De rechter heeft dezelfde mogelijkheden om schade vast te stellen als in

een reguliere procedure, artikel 6:97 BW is namelijk onverkort van toepassing45. Voordat de

rechter beslist kan hij de overlegging bevelen van een of meerdere voorstellen voor een

collectieve schadeafwikkeling door de eiser en de gedaagde46. Al dan niet aan de hand van

deze voorstellen wikkelt de rechter de schade in een collectieve schadevergoedingsprocedure

af via schadebegroting, waarbij hij de schadevergoeding voor de gelaedeerden zo nodig in

categorieën vaststelt47. Bij de vaststelling van categorieën van vergelijkbare gelaedeerden

heeft de rechter de mogelijkheid om zoveel mogelijk rekening te houden met de verschillende

omstandigheden die voor verschillende groepen gelaedeerden van belang zijn48. Hij kan

daarbij ook de hulp van deskundigen inschakelen49. Afhankelijk van het soort vordering en

het soort schade kan dit een financieel deskundige zijn of bijvoorbeeld bij een vordering op

grond van het gegevensbeschermingsrecht een deskundige op het gebied van

41 Artikel 1018f lid 1 eerste volzin Rv. 42 Artikel 1018g Rv. 43 Artikel 7:907 lid 1 BW. 44 Artikel 1018h lid 5 Rv jo. artikel 1018f lid 1-4 Rv. 45 Artikel 1018i lid 2 Rv. 46 Artikel 1018i lid 1 Rv. 47 Artikel 1018i lid 2 Rv. 48 Kamerstukken II 2017/18, 34608, nr. 6, p. 15 e.v. 49 Artikel 1018i lid 3 Rv.

16

informatietechnologie50. Een door de rechter vastgestelde collectieve schadeafwikkeling moet

de onderdelen a tot en met f van artikel 7:907 lid 2 BW bevatten. De WAMCA kan overigens

worden ingezet voor alle typen schade, ongeacht hoe de schade is veroorzaakt51. De uitspraak

van de rechter is verbindend voor alle belanghebbenden die niet al eerder waren uitgestapt. Na

vaststelling van de schadeafwikkeling door de rechter zullen gelaedeerden hun claim moeten

indienen bij een ‘claim administrator’. Deze zorgt dan voor de uitbetaling van de

schadevergoeding op basis van de categorieën die de rechter heeft vastgesteld52.

2.3 Tussenconclusie

In dit hoofdstuk is gebleken dat de doelstelling van de wetgever is om een efficiënte en

effectieve collectieve afwikkeling van massaschade te bevorderen door het mogelijk te maken

om bij de rechter een collectieve schadevergoedingsactie in te stellen. Hierdoor moet de

schikkingsbereidheid bij schadeveroorzakers toenemen en moeten geschillen vaker finaal

beslecht worden. Daarnaast is het wettelijk kader van de WAMCA geschetst.

50 Kamerstukken II 2016/17, 34608, 3, p. 50-51. 51 Kamerstukken II 2016/17, 34607, 3 52 Idem.

17

3. Voldoende nauwe band met de Nederlandse rechtssfeer

In het vorige hoofdstuk is gebleken dat een vehikel onder de WAMCA slechts ontvankelijk is

indien de rechtsvordering een voldoende nauwe band heeft met de Nederlandse rechtssfeer53.

Het territoriale ontvankelijkheidsvereiste in de WAMCA strekt ertoe de internationale

reikwijdte van de nieuwe collectieve actie aldus af te bakenen dat deze uitsluitend openstaat

voor zaken die een voldoende nauwe band met de Nederlandse rechtssfeer hebben54. Het is

dan ook van belang om een goed beeld te hebben welke eisen de wetgever stelt aan dit

territoriale ontvankelijkheidsvereiste. Omwille hiervan wordt in dit hoofdstuk de volgende

deelvraag beantwoord: ‘Wanneer heeft de rechtsvordering van een belangenorganisatie een

voldoende nauwe band met de Nederlandse rechtssfeer onder de WAMCA’?

De reden dat de wetgever heeft gekozen voor het territoriale ontvankelijkheidvereiste in de

WAMCA is tweeledig. Ten eerste is beoogd te voorkomen dat de invoering van de nieuwe

collectieve actie een aanzuigende werking heeft voor zaken die een onvoldoende nauwe band

met de Nederlandse rechtssfeer hebben. Dit ziet op de angst voor een claimcultuur, waarin

overmatig of ongegrond zou worden geprocedeerd. Ten tweede zou de rechterlijke macht in

Nederland onnodig belast worden en voorzag de wetgever negatieve invloed op het

Nederlandse vestigingsklimaat. De gedachte hierachter is dat ondernemingen zich minder snel

in Nederland zullen vestigen als ze hier makkelijker dan in andere jurisdicties geconfronteerd

kunnen worden met een grensoverschrijdende collectieve actie55. In de literatuur bestaat er

echter twijfel of een ruimer territoriaal bereik van de collectieve actie zonder meer nadelig

zou zijn voor het Nederlandse vestigingsklimaat56. Van der Plas stelt dat het in schril contrast

staat met de oprichting van de Netherlands Commercial Court en voert aan dat niet is

onderzocht wat de effecten van dit ontvankelijkheidsvereiste zijn op de economie.

In de volgende drie gevallen is op grond van artikel 3:305a lid 3 sub b BW sprake van een

voldoende nauwe band met de Nederlandse rechtssfeer:

1. De rechtspersoon maakt genoegzaam aannemelijk dat het merendeel van de personen tot

bescherming van wier belangen de rechtsvordering strekt zijn gewone verblijfplaats in

Nederland heeft; of

53 Naast de overige eisen van artikel 3:305a lid 3 BW. 54 Kamerstukken II 2016/17, 34608, nr. 3 55 Kamerstukken II 2016/17, 34608, nr. 3, p. 11 en 25 en Kamerstukken II 2018/19, 34608, nr. 12. 56 Van der Plas, NIPR 2019/3.

18

2. Degene tegen wie de rechtsvordering zich richt, heeft woonplaats in Nederland en bijkomende

omstandigheden wijzen op voldoende verbondenheid met de Nederlandse rechtssfeer; of

3. De gebeurtenis of gebeurtenissen waarop de rechtsvordering betrekking heeft, heeft of hebben

in Nederland plaatsgevonden.

Het eerste vereiste ziet op de achterban van de belangenbehartiger. De belangenbehartiger is

ontvankelijk indien het merendeel van de achterban zijn gewone verblijfplaats heeft in

Nederland. Uit de memorie van toelichting volgt dat dit onderdeel van het territoriale

ontvankelijkheidsvereiste zo is geformuleerd uit angst voor de bevoegdheid van de

Nederlandse rechter op grond van het ‘Erfolgsort’57. Uit artikel 7 lid 2 Verordening Brussel I-

bis volgt namelijk dat bij verbintenissen uit onrechtmatige daad bevoegd is het gerecht van de

plaats waar het schadebrengende feit zich heeft voorgedaan of zich kan voordoen. Deze

bevoegdheidsgrondslag heeft zowel betrekking op de plaats waar de schade is ingetreden

(“Erfolgsort”) als op de plaats van de gebeurtenis die de oorzaak is van de schade

(“Handlungsort”). De wetgever wilde voorkomen dat een belangenbehartiger uitsluitend

vanwege de beschikbaarheid van de collectieve actie in Nederland hier gaat procederen. Denk

bijvoorbeeld aan een scenario dat er een datalek plaatsvindt in Duitsland bij een in Duitsland

gevestigd bedrijf, met hoofdzakelijk Duitse benadeelden en slechts een kleine groep

Nederlandse benadeelden. Het eerste vereiste voorkomt dat een belangenbehartiger uitsluitend

vanwege de beschikbaarheid in Nederland een collectieve actie kan starten, doordat het

merendeel van de benadeelden in Nederland woonachtig moet zijn.

Het tweede element van het territoriale ontvankelijkheidsvereiste betreft de woonplaats van de

gedaagde, uitgebreid met het vereiste van ‘bijkomende omstandigheden’. Bijkomende

omstandigheden die wijzen op een voldoende nauwe band met de Nederlandse rechtssfeer. De

rechter toetst of dit het geval is58. Op deze manier hoopt de wetgever te voorkomen dat

financiers van massaschadeclaims (third party litigation funders) enkel in Nederland willen

procederen tegen een gedaagde die behalve zijn woonplaats voor het overige geen nauwe

band heeft met Nederland, omdat zij menen dat de mogelijke schadevergoeding in Nederland

het hoogst zou zijn. Denk hierbij aan partijen die louter om fiscale redenen in Nederland

gevestigd zijn.

Het laatste onderdeel van het territoriale ontvankelijkheidsvereiste betreft de normschending.

Indien de gebeurtenis of gebeurtenissen waarop de rechtsvordering betrekking heeft, in

57 Kamerstukken II 2016/17, 34608, nr. 3. 58 Kamerstukken II 2018/19, 34608, nr. 12.

19

Nederland heeft of hebben plaatsgevonden is er sprake van een voldoende nauwe band met de

Nederlandse rechtssfeer. Uit de memorie van toelichting volgt dat dit onderdeel uitsluitend

verwijst naar de plaats waar zich daadwerkelijk de gebeurtenis of gebeurtenissen heeft

respectievelijk hebben plaatsgevonden (‘Handlungsort’). Het is aldus niet tevens een

verwijzing naar de plaats waar de directe schade is geleden (‘Erfolgsort’)59. De rechter

oordeelt pas over het al dan niet voldaan zijn aan het ontvankelijkheidsvereiste nadat hij zijn

internationale bevoegdheid heeft vastgesteld ingevolge de Brussel I-bis verordening dan wel

het commuun internationaal bevoegdheidsrecht van de artikelen 1-14 Rechtsvordering.

Volgens de wetgever doet het ruimere territoriale ontvankelijkheidsvereiste niet af aan de

goede werking van Brussel I bis60. Daar waar de wetgever expliciet stelt dat het vereiste van

een voldoende nauwe band een ontvankelijkheidseis is en derhalve niet een aanvullende eis

voor het aannemen van internationale bevoegdheid stelt Van der Plas dat haars inziens het

territoriale ontvankelijkheidsvereiste van de WAMCA de effectiviteit van het systeem van

Brussel I bis weldegelijk ondermijnt. “Er wordt immers evenals in Brussel I bis gebruik

gemaakt van territoriale aanknopingsfactoren, waarbij bovendien – onder de noemer van

ontvankelijkheid – aan de hoofdregel van Brussel I bis een extra territoriaal vereiste wordt

gekoppeld”61. Het is uiteindelijk aan het Hof van Justitie om te oordelen of de

ontvankelijkheidsdrempel verenigbaar is met het gesloten stelsel van Brussel I bis62.

De AVG kent overigens een bevoegdheidsregeling inzake het internationaal privaatrecht.

Artikel 79 lid 2 AVG bepaalt dat een procedure kan worden ingesteld in de lidstaat waar de

verwerkingsverantwoordelijke of verwerker een vestiging heeft, of in de lidstaat waar de

betrokkene zijn of haar gewone verblijfplaats heeft. Dit alles heeft tot gevolg dat bij een

inbreuk op het gegevensbeschermingsrecht de Nederlandse rechter op grond van de WAMCA

en de AVG bevoegd is om over de collectieve vordering te beslissen indien het merendeel van

de gelaedeerden wier belangen worden behartigd in Nederland zijn gewone verblijfplaats

heeft, of indien de verwerkingsverantwoordelijke c.q. de verwerker in Nederland is gevestigd.

Indien de gebeurtenis of gebeurtenissen waarop de rechtsvordering betrekking heeft in

Nederland hebben plaatsgevonden bij een bedrijf dat in Duitsland is gevestigd met enkel

Duitse gedupeerden dan kan op grond van artikel 79 lid 2 AVG de procedure niet bij de

59 Kamerstukken II 2016/17, 34608, nr. 3. 60 Kamerstukken II 2016/17, 34608, nr. 3, p. 23-26 en nr. 4, p. 7 61 Van der Plas, NIPR 2019/3. 62 Advies Staatscommissie voor Internationaal Privaatrecht en Adviescommissie voor Burgerlijk Procesrecht van

1 april 2016, par. 3.2.2., 3.4.1, en 3.4.2.

20

Nederlandse rechter worden ingesteld. Terwijl er wel sprake is van een voldoende nauwe

band met de Nederlandse rechtssfeer op grond van artikel 3:305a lid 3 sub b BW.

Onder de WCAM nam de Nederlandse rechter een veel ruimere internationale bevoegdheid

aan. Daar is het voldoende dat de aansprakelijke partij in Nederland gevestigd is of dat de

rechten van buitenlandse gelaedeerden nauw verweven zijn met de rechten van in Nederland

woonachtige gelaedeerden. Dit kwam vooral naar voren in de algemeen verbindend

verklaring van de Converium-schikking. Het hof Amsterdam nam internationale bevoegdheid

aan in de Converium-schikking, waarin de aansprakelijke partijen niet in Nederland waren

gevestigd en meer dan 98% van de gelaedeerden niet in Nederland woonachtig waren. Het

verschil op dit punt tussen de WAMCA en de WCAM is gelegen in het feit dat partijen onder

de WCAM in staat zijn gebleken om tot een overeenkomst over de afwikkeling van de

massaschade te komen. De schikking die daaruit voortkomt willen beide partijen dan

algemeen verbindend laten verklaren door het hof Amsterdam. Dit ligt anders voor de

gevallen waarop de procedure in de WAMCA ziet. Belangenbehartigers die niet tot een

schikking zijn kunnen komen met de aansprakelijke partij kunnen hun vordering bij de rechter

neerleggen. De rechter beslist dan op vordering van de belangenbehartiger. Vermoedelijk is

de gedachte van de wetgever geweest dat het niet wenselijk is om een gerechtelijke uitspraak

te doen over een collectieve schadevordering, als een nauwe band met de Nederlandse

rechtssfeer ontbreekt. Dat zou mijns inziens een begrijpelijk gedachte zijn.

Voor buitenlandse gelaedeerden geldt onder de WAMCA sowieso een opt-in regime: zij

kunnen ervoor kiezen zich bij de Nederlandse collectieve actie aan te sluiten63. Dit in

tegenstelling tot Nederlandse gedupeerden waarbij een opt-out regime geldt. Met een opt-out

regime is de wetgever tegemoetgekomen aan zorgen dat de procedure ongewild een te ruim

bereik zou krijgen, waardoor afbreuk zou worden gedaan aan het streven naar een efficiënte

en effectieve afwikkeling van massazaken64.

3.1 Tussenconclusie

In dit hoofdstuk is verhelderd wat de eisen zijn die de wetgever stelt aan de voldoende nauwe

band van de rechtsvordering met de Nederlandse rechtssfeer.

63 Artikel 1018f lid 5 Rv. 64 Kamerstukken II 2017/18, nr. 6 34608, p. 7.

21

4. Doelstelling en wettelijk kader van de AVG

De AVG is op 25 mei 2016 in werking getreden en behelst het Europese recht op het gebied

van gegevensbescherming. Om een goed beeld te schetsen van de AVG wordt in dit

hoofdstuk de volgende deelvraag beantwoord: ‘Wat is de doelstelling en wat is het wettelijk

kader van de Algemene verordening gegevensbescherming?’

4.1 Doelstelling AVG

Door de digitalisering in de eenentwintigste eeuw worden persoonsgegevens op een

ongekende schaal gedeeld en verwerkt. Dit heeft zowel inrichting van de economie als van de

maatschappij als geheel ingrijpend veranderd en de bescherming van natuurlijke personen bij

de verwerking van persoonsgegevens is een Europees grondrecht geworden65. De verordening

beschermt dan ook de grondrechten en de fundamentele vrijheden van natuurlijke personen en

met name hun recht op bescherming van persoonsgegevens66. “De verordening beoogt bij te

dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een

economische unie, alsook tot economische en sociale vooruitgang, de versterking en de

convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke

personen”67. De AVG moet het vrije verkeer van persoonsgegevens binnen de Europese Unie

en de doorgifte aan de derde landen en internationale organisaties vergemakkelijken en

daarbij een hoge mate van bescherming van persoonsgegevens garanderen68. De bescherming

die door de AVG wordt geboden, heeft betrekking op natuurlijke personen, ongeacht hun

nationaliteit of verblijfplaats.

In de verordening zijn regels vastgesteld betreffende de bescherming van natuurlijke personen

in verband met de verwerking van persoonsgegevens69. Om de bescherming van natuurlijke

personen bij de verwerking van persoonsgegeven te waarborgen moet een verwerking op

grond van de AVG voldoen aan de volgende beginselen70:

1. Rechtmatigheid, behoorlijkheid en transparantie;

2. Doelbinding;

3. Minimale gegevensverwerking;

65 Artikel 8 lid 1 Handvest van de grondrechten van de Europese Unie. 66 Artikel 1 lid 2 AVG. 67 Overweging 2 AVG. 68 Overweging 6 AVG. 69 Artikel 1 lid 1 AVG. 70 Artikel 5 AVG.

22

4. Juistheid;

5. Opslagbeperking;

6. Integriteit en vertrouwelijkheid;

7. Verantwoordingsplicht.

Deze beginselen vormen de kern van de AVG. Ze geven geen vaste regels, maar belichamen

de geest van het algemene gegevensbeschermingsrecht. Naleving van de beginselen is een

fundamentele bouwsteen voor organisaties om te voldoen aan de AVG. Hieronder worden de

zeven beginselen kort toegelicht.

Rechtmatigheid, behoorlijkheid en transparantie

Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene

rechtmatig, behoorlijk en transparant is71. De drie elementen overlappen elkaar, maar

organisaties moet ervoor zorgdragen dat zij aan alle drie voldoen. Om de verwerking van

persoonsgegevens rechtmatig te laten zijn, moeten organisaties specifieke gronden voor de

verwerking van persoonsgegevens identificeren72. Als er geen grondslag is voor de

verwerking van persoonsgegevens, is de verwerking onrechtmatig en in strijd met de AVG.

Het element behoorlijkheid ziet op het verwerken van persoonlijke gegevens op een manier

die door mensen als redelijk geacht wordt en waarbij er geen ongerechtvaardigde nadelige

gevolgen zijn voor betrokkenen. Het element transparantie ziet op het informeren van de

natuurlijke personen over de verwerking die plaatsvindt. De betrokkenen moeten

geïnformeerd worden over de verwerking en individuele rechten die zij hebben ten aanzien

van de verwerking moeten benoemd worden. Bijvoorbeeld het recht op inzage van artikel 15

AVG.

Doelbinding

Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde

doeleinden worden verzamelend en mogen vervolgens niet verder op een met die doeleinden

onverenigbare wijze worden verwerkt73. Dit beginsel moet ervoor zorgen dat organisaties

duidelijk en open zijn over de redenen voor het verkrijgen van persoonsgegevens en dat

hetgeen zij met de gegevens doen, in overeenstemming is met de redelijke verwachting van de

betrokkenen.

71 Artikel 5 lid 1 sub a AVG. 72 Artikel 6 AVG. 73 Artikel 5 lid 1 b AVG.

23

Minimale gegevensbewerking

De persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat

noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt74. Organisaties moeten

ervoor zorgen dat zij alleen persoonsgegevens verzamelen en bewaren die zij nodig hebben

voor de verwerking. Hier moet door middel van de beginselen van gegevensbescherming door

ontwerp (‘Privacy by design’) en gegevensbescherming door standaardinstellingen (‘Privacy

by default’) uitvoer aan worden gegeven75.

Juistheid

De persoonsgegevens moeten juist zijn en zo nodig worden geactualiseerd76. Organisaties

moeten redelijke maatregelen nemen om de juistheid van de persoonsgegevens te waarborgen

en ervoor zorgen dat de bron en de status van persoonsgegeven duidelijk zijn. Dit principe

heeft een sterke band met artikel 16 AVG. De betrokkene heeft op grond van dit artikel het

recht om onjuiste persoonsgegevens te rectificeren.

Opslagbeperking

De persoonsgegeven moeten worden bewaard in een vorm die het mogelijk maakt de

betrokkene niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens

moeten worden verwerkt noodzakelijk is77. Door ervoor te zorgen dat organisaties

persoonsgegevens wissen of anonimiseren wanneer zij deze niet langer nodig hebben, wordt

het risico verkleind dat de persoonsgegevens irrelevant, buitensporig of onnauwkeurig

worden.

Integriteit en vertrouwelijkheid

Organisaties moeten door het nemen van passende technische en organisatorische

maatregelen persoonsgegevens op een dusdanige manier verwerken dat een passende

beveiliging ervan gewaarborgd is, en dat de persoonsgegevens onder meer beschermd zijn

tegen ongeoorloofde of onrechtmatige verwerking en tegen opzettelijk verlies, vernietiging of

beschadiging78.

74 Artikel 5 lid 1 sub c AVG. 75 Artikel 25 AVG. 76 Artikel 5 lid 1 sub d AVG. 77 Artikel 5 lid 1 sub e AVG. 78 Artikel 5 lid 1 sub f AVG.

24

Verantwoordingsplicht

Het verantwoordingsprincipe vereist dat organisaties verantwoordelijkheid nemen voor wat

zij doen met persoonsgegeven en hoe zij zich aan de andere beginselen houden. Organisaties

moeten over interne controlemechanismen beschikken om hun conformiteit met de AVG aan

te kunnen tonen79.

4.2 Wettelijk kader AVG

De AVG is een EU-verordening en heeft daardoor rechtstreekse werking in alle lidstaten van

de Europese Unie. De verordening is van toepassing op de geheel of gedeeltelijk

geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van

persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden

opgenomen (materieel toepassingsgebied)80. De verordening is van toepassing op alle

organisaties die persoonsgegevens van EU-burgers verwerken, ongeacht of zij zijn gevestigd

in de Europese Unie (territoriaal toepassingsgebied).

Om het wettelijk kader van de AVG te begrijpen moeten de kernbegrippen van de AVG

duidelijk zijn. De vier kernbegrippen zijn ‘persoonsgegevens’, ‘verwerking’,

‘verwerkingsverantwoordelijke’ en ‘verwerker’.

De verordening definieert als persoonsgegevens alle informatie over een geïdentificeerde of

identificeerbare natuurlijke persoon. Als identificeerbaar worden beschouwd de elementen die

kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische,

culturele of sociale identiteit van een natuurlijk persoon81. Te denken valt aan een naam, een

identificatienummer of locatiegegevens. In de verordening wordt met verwerking gedoeld op

een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een

geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het

verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen,

raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere

wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van

gegevens.82 De verordening onderscheidt twee soorten entiteiten die persoonsgegevens

79 Artikel 5 lid 2 AVG. 80 Artikel 2 lid 1 AVG. 81 Artikel 4 sub 1 AVG. 82 Artikel 4 sub 2 AVG.

25

verwerken: de verwerkingsverantwoordelijke en de verwerker. De

verwerkingsverantwoordelijke is een natuurlijk persoon of rechtspersoon, een

overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het

doel van en de middelen voor de verwerking van persoonsgegevens vaststelt83. De verwerker

is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander

orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens

verwerkt84. De verwerker is derhalve ondergeschikt aan de verwerkingsverantwoordelijke.

Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de

verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen

nodig om te waarborgen dat aan de voorschriften van de verordening wordt voldaan85.

Een verwerking van persoonsgegevens is rechtmatig indien die is gebaseerd op een van de

grondslagen genoemd in de AVG: (1) de betrokkene heeft toestemming gegeven voor de

verwerking van zijn persoonsgegevens, (2) het is noodzakelijk om de persoonsgegevens te

verwerken om een overeenkomst uit te voeren, (3) het is wettelijk verplicht, (4) het is

noodzakelijk om vitale belangen te beschermen, (5) het is noodzakelijk om een taak van

algemeen belang of openbaar gezag uit te oefenen dan wel (6) is het noodzakelijk om de

gegevens te verwerken om gerechtvaardigde belangen te behartigen.86

Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op

passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade

voor natuurlijke personen87. Te denken valt aan het verlies van controle over

persoonsgegevens, identiteitsdiefstal of -fraude en verder enig ander aanzienlijk economisch

of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. Op grond van artikel 82

AVG kan een benadeelde, indien een verwerkingsverantwoordelijke of een verwerker in strijd

handelt met de verordening, aanspraak maken op schadevergoeding. Voorwaarde is wel dat

hij of zij daadwerkelijke materiële of immateriële schade heeft geleden. Uit artikel 80 AVG

volgt dat bij een inbreuk op het gegevensbeschermingsrecht een natuurlijk persoon het recht

heeft om organen, organisaties of verenigingen zonder winstoogmerk te machtigen om

namens betrokkenen het recht op de ontvangst van een schadevergoeding uit te oefenen indien

dit in het lidstatelijke recht is voorzien. Deze partijen moeten dan wel overeenkomstig het

83 Artikel 4 sub 7 AVG. 84 Artikel 4 sub 8 AVG. 85 Overweging 78 AVG. 86 Artikel 6 lid 1 AVG. 87 Overweging 85 AVG.

26

recht van een lidstaat zijn opgericht, statutaire doelstellingen hebben die het publieke belang

dienen en actief zijn op het gebied van de bescherming van persoonsgegevens. Collectief

schadeverhaal door organisaties ‘zonder winstoogmerk’ is zodoende mogelijk onder AVG op

grond van artikel 80. Dit artikel is het verbindingsstuk met de WAMCA.

4.3 Tussenconclusie

In dit hoofdstuk gebleken dat de AVG een hoge mate van bescherming van persoonsgegevens

binnen de Europese Unie moet garanderen en is het wettelijk kader van de verordening

geschetst.

27

5. Schade onder de AVG

Inbreuk op het gegevensbeschermingsrecht kan leiden tot een schadeclaim van degene die

door de inbreuk is getroffen. In dit hoofdstuk wordt aan de hand van wetgeving en

jurisprudentie de volgende deelvraag beantwoord: ‘Welke schade kan een betrokkene lijden

bij een inbreuk op de AVG’? Er wordt in dit hoofdstuk voornamelijk ingegaan op immateriële

schade, omdat de opgelopen schade bij een inbreuk op de AVG vaak immaterieel van aard

is88.

De grondslag voor schadevergoeding staat in artikel 82 lid 1 AVG: “Eenieder die materiële of

immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het

recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te

ontvangen voor de geleden schade.” Vermogensschade en ander nadeel in de zin van artikel

6:95 BW komen aldus voor vergoeding in aanmerking. De verwerkingsverantwoordelijke of

de verwerker moeten alle schade vergoeden die iemand kan lijden ten gevolge van een

verwerking die inbreuk maakt op deze verordening. Dit geldt zowel voor materiële als

immateriële schade. “Het begrip ‘schade’ moet ruim worden uitgelegd in het licht van de

rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstelling

van deze verordening”89. Volgens vaste rechtspraak van het Hof geldt dat de te vergoeden

schade reëel en zeker moet zijn en betrokkene dienen ten alle tijden volledige en

daadwerkelijke vergoeding van door hen geleden schade te ontvangen90.

Het Hof van Justitie heeft echter nog geen uitleg gegeven aan specifiek het schadebegrip of

over de vergoedbare immateriële schade bij een onrechtmatige verwerking van

persoonsgegevens. Volgens vaste rechtspraak van het Hof van Justitie is het bij gebrek aan

communautaire regelgeving een aangelegenheid van de interne rechtsorde van elke lidstaat

om de regels vast te stellen voor de uitoefening van het recht op schadevergoeding, mits het

gelijkwaardigheidsbeginsel en het doeltreffendheidsbeginsel in acht worden genomen91. Mijns

inziens is daarom de Nederlandse rechtspraak ten aanzien van immateriële schadevergoeding

88 Zie bijvoorbeeld: Solove & Citron, Tex. L. Rev, 2017/96:737, p. 755 e.v., Descheemaker, JML 2015/2, p. 278-

306 en de noot van O.L. van Daalen bij Rb. Oost-Brabant 20 juli 2016, ECLI:NL:RBOBR:2016:3892,

Mediaforum 2016-8, p. 240. 89 Overweging 146 AVG. 90 Hof van Justitie 4 april 2017, C-337/15 P, ECLI:EU:C:2017:256, Europese Ombudsman tegen Staelen. 91 Hof van Justitie 13 juli 2006, C-295/04, ECLI:EU:C:2006:461, Manfredi.

28

op basis van schending van de AVG op dit moment leidend.

5.1 Jurisprudentie

Onlangs heeft de Afdeling bestuursrechtspraak geoordeeld over de toekenning van

immateriële schadevergoeding op basis van schending van de AVG. Zij heeft op 1 april 2020

vier uitspraken gepubliceerd en is daarin met vuistregels gekomen omtrent de toekenning van

immateriële schadevergoeding onder de AVG. Omdat de Afdeling aansluiting heeft gezocht

bij de regels van het Burgerlijk Wetboek en de rechtspraak van de Hoge Raad kunnen de

vuistregels mijns inziens ook worden gebruikt in civiele procedures. Conform artikel 6:95

BW komen zowel materiële als immateriële schade veroorzaakt door overtredingen van het

gegevensbeschermingsrecht voor vergoeding in aanmerking. Wanneer het nadeel niet uit

vermogensschade bestaat (art. 6:96 BW), heeft de benadeelde recht op een naar billijkheid

vast te stellen schadevergoeding (art. 6:106 BW). Recht op vergoeding van immateriële

schade bestaat volgens artikel 6:106 BW in de volgende gevallen: de benadeelde heeft

lichamelijk letsel opgelopen, is in zijn eer of goede naam geschaad of is op andere wijze in

zijn persoon aangetast.

De Afdeling oordeelde in vier verschillende zaken over de al dan niet gemaakte inbreuk op

het gegevensbeschermingsrecht. Eén van de zaken draaide om een man wiens medische

gegevens zonder zijn toestemming waren verstrekt aan een tuchtcollege voor de

gezondheidszorg92. De andere drie zaken gingen over het zonder toestemming plaatsen van

persoonlijke gegevens op een internetforum van de Vereniging Nederlandse Gemeenten93.

De Afdeling volgt de redenering van de Hoge Raad in het EBI-arrest van 15 maart 2019 ten

aanzien van de aantasting van de persoon op andere wijze94. Gebaseerd op dit arrest komt de

Afdeling met de volgende vuistregels om vast te stellen of een inbreuk op het

gegevensbeschermingsrecht een schadevergoeding rechtvaardigt:

- De schade moet worden onderbouwd met concrete gegevens;

- Uitzondering op concrete onderbouwing van de schade: de aard en de ernst van de

inbreuk op het gegevensbeschermingsrecht.

92 Raad van State 1 april 2020, ECLI:NL:RVS:2020:898. 93 Raad van State 1 april 2020, ECLI:NL:RVS:2020:899, Raad van State 1 april ECLI:NL:RVS:2020:900, Raad

van State 1 april 2020 ECLI:NL:RVS:2020:901. 94 HR 15 maart 2019, ECLI:NL:HR:2019:376.

29

Uit het EBI-arrest volgt dat van de aantasting in persoon ‘op andere wijze’ in ieder geval

sprake is als de benadeelde geestelijk letsel heeft opgelopen. De Hoge Raad overweegt in het

EBI-arrest dat degene die zich hierop beroept, voldoende concrete gegevens zal moeten

aanvoeren waaruit kan volgen dat in verband met de omstandigheden van het geval

psychische schade is ontstaan. Van een aantasting in de persoon op andere wijze is niet reeds

sprake bij de enkele schending van een fundamenteel recht95. Het enkel aanvoeren dat iemand

immateriële schade lijdt door de inbreuk op het gegevensbeschermingsrecht is volgens de

Afdeling dan ook niet voldoende96. De Afdeling overweegt vervolgens in de lijn van het EBI-

arrest dat ook als het bestaan van geestelijk letsel niet kan worden aangenomen, de aard, ernst

en gevolgen van de normschending met zich mee kunnen brengen dat van de ‘aantasting in

persoon op andere wijze’ sprake is. Ook in dat geval zal degene die zich hierop beroept dit

met concrete gegevens moeten bewijzen. “Dat is slechts anders indien de aard en de ernst

van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen

daarvan voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan

worden aangenomen”97.

In de zaak van de man wiens medische gegevens zonder toestemming waren verstrekt heeft

de Afdeling geoordeeld dat de nadelige gevolgen daarvan zo voor de hand lagen, dat een

aantasting in de persoon kon worden aangenomen. Er is gehandeld in strijd met het

gegevensbeschermingsrecht en daardoor is het recht op eerbieding van de persoonlijke

levenssfeer van de man geschonden. Zijn persoonlijke levenssfeer is zo geschonden dat er

sprake is van een ‘aantasting in de persoon’ in de zin van artikel 6:106 lid 1 sub b BW. Gelet

op de omstandigheden van dit geval, waaronder de aard, duur en ernst van de inbreuk is de

Afdeling van oordeel dat de man recht heeft op een schadevergoeding van 500 euro. In de

andere zaken is volgens de Afdeling geen sprake van ‘aantasting in de persoon’. Hieruit volgt

dat als een inbreuk op het gegevensbeschermingsrecht evidente nadelige gevolgen heeft voor

benadeelden, een aantasting in de persoon kan worden aangenomen en er aldus een grondslag

is voor het vergoeden van de schade. Het is van groot belang dat de nadelige gevolgen

volgens de Afdeling hier voor de hand liggen. Bij schendingen van het

gegevensbeschermingsrecht is dikwijls niet of nauwelijks concreet aan te tonen welke

nadelige gevolgen er zijn voor de betrokkenen, zeker niet dat er sprake is van geestelijk letsel.

Dat de nadelige gevolgen voor de hand kunnen liggen is ook van belang voor collectieve

95 HR 15 maart 2019, ECLI:NL:HR:2019:376. 96 Raad van State 1 april 2020 ECLI:NL:RVS:2020:901. 97 HR 15 maart 2019, ECLI:NL:HR:2019:376

30

procedures, immers, als het in deze zaak niet was gegaan om slechts één benadeelde, maar om

duizenden benadeelden dan had de WAMCA hier gebruikt kunnen worden voor het

afwikkelen van de schade. In hoeverre het mogelijk is om tot een gestandaardiseerde

afwikkeling van aantastingen in de persoon te komen heeft de Hoge Raad besproken in het

aardbevingsschade Groningen-arrest. In deze zaak heeft de rechtbank prejudiciële vragen

gesteld aan de Hoge Raad over aansprakelijkheid voor schade die het gevolg is van

aardbevingen die zich in Groningen voordoen als gevolg van gaswinning uit het

Groningenveld. De Hoge Raad herhaalt allereerst de overweging uit het EBI-arrest ten

aanzien van aantasting in de persoon ‘op andere wijze’. Vervolgens overweegt de Hoge Raad

dat de omvang van een verplichting tot vergoeding van schade die bestaat in een aantasting in

de persoon op andere wijze, zich niet ‘min of meer forfaitair’ laat vaststellen, nu dat niet te

verenigen is met het hoogst persoonlijke karakter van de vordering tot vergoeding van deze

schade98. Echter, zo overweegt de Hoge Raad, dat laat onverlet dat de rechter kan oordelen

dat de aard en de ernst van de aansprakelijkheidvestigende gebeurtenis meebrengen dat de in

dit verband relevante nadelige gevolgen zo voor de hand liggen, dat een aantasting in de

persoon kan worden aangenomen en dat de rechter daarbij aannemelijk kan achten dat de door

deze aantasting in de persoon geleden schade ten minste een bepaald bedrag beloopt. In het

geval dat de relevante nadelige gevolgen voor een grote groep benadeelden bij een inbreuk op

het gegevensbeschermingsrecht zo voor de hand liggen dat aantastingen in de persoon kunnen

worden aangenomen, lijkt het aldus op basis van dit arrest mogelijk om tot een

gestandaardiseerde afwikkeling te komen. In de praktijk moet dan bij een inbreuk op het

gegevensbeschermingsrecht de vraag gesteld worden of er benadeelden zijn ten aanzien van

wie de nadelige gevolgen zo voor de hand liggen dat een persoonsaantasting mag worden

aangenomen.

5.2 Strooischade

Een laatste categorie schade die toelichting verdient is de zogenoemde ‘strooischade’.

Strooischade is een bijzondere vorm van massaschade: “er is sprake van strooischade indien

de schade is veroorzaakt door één of een beperkt aantal veroorzaker(s) bij een groot aantal

schadelijders, wier individuele schade zo gering is dat het op grond van een kosten-

batenanalyse niet loont die individueel te verhalen, maar wier collectieve schade

98 Vgl. Parl. Gesch. Boek 6 BW, p. 378, 381 en 383.

31

gecumuleerd wel een aanzienlijk belang vertegenwoordigt”99. Strooischade kan zowel

materieel als immaterieel van aard zijn. Bij een inbreuk op het gegevensbeschermingsrecht is

de omvang van de schade per individu over het algemeen gering, waardoor de hoogte van de

immateriële schadevergoeding vaak laag is100,101. Ook de materiële schade is meestal beperkt.

Zo ligt de schade in het geval van identiteitsfraude gemiddeld rond de €400102. Gelaedeerden

die strooischade hebben geleden als gevolg van een inbreuk op het

gegevensbeschermingsrecht zullen niet snel geneigd zijn een individuele zaak te starten voor

een schadevergoeding van €400. Een belangrijk kenmerk van een inbreuk op de AVG is

echter dat de groep van potentiële benadeelden heel erg groot is. Het gevolg is dan dat de

schadepost van de groep als geheel groot kan zijn, ondanks dat de schadepost per individu

heel klein is. Bij strooischade geldt voor een individu dat de mogelijke schadevergoeding niet

opweegt tegen de kosten van een procedure103. Een individuele schadeactie tegen een

verwerkingsverantwoordelijke is dan economisch onverantwoord. Een uitkomst kan de

bundeling van de vorderingen zijn in een collectieve actie, zie daarvoor paragraaf 6.2

‘collectieve actie tot schadevergoeding’.

5.3 Tussenconclusie

In dit hoofdstuk is gebleken dat vermogensschade en ander nadeel in de zin van artikel 6:95

BW voor vergoeding in aanmerking komen. Er is tevens ingegaan op een bijzondere vorm

van massaschade bij een inbreuk op het gegevensbeschermingsrecht: strooischade. Ook bleek

dat niet iedere schending van het gegevensbeschermingsrecht dusdanig ernstig is dat deze

automatisch recht geeft op immateriële schadevergoeding. Er is volgens de Afdeling geen

aanleiding om te veronderstellen dat een inbreuk op de AVG zonder meer “aantasting van de

integriteit van een persoon impliceert en daarmee tot vergoedbare schade leidt”104. De

Afdeling gebruikt het kader van het EBI-arrest van de Hoge Raad en overweegt dat

schadevergoeding afhankelijk is van de aard, ernst en gevolgen van de normschending. Bij de

beoordeling van hoogte van de schadevergoeding betrekt de Afdeling vervolgens de aard, de

ernst en de duur van de inbreuk105.

99 Tzankova 2005. 100 Tjong Tjin Tai, WPNR 2016/7110, p. 459-464. 101 Rechtbank Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700. 102 Paulissen & Van Wilsem 2015. 103 Van der Linden & Walree, AV&S 2018/20. 104 Raad van State 1 april 2020, ECLI:NL:RVS:2020:899. 105 Raad van State 1 april 2020, ECLI:NL:RVS:2020:898.

32

6. Collectief schadeverhaal bij inbreuk op de AVG

Uit artikel 80 van de AVG volgt dat bij een inbreuk op het gegevensbeschermingsrecht een

natuurlijk persoon het recht heeft om een belangenbehartiger te machtigen om namens de

betrokkenen het recht op ontvangst van een schadevergoeding uit te oefenen, indien het

lidstatelijke recht daarin voorziet. Met de inwerkingtreding van de WAMCA voorziet het

Nederlandse recht in een mogelijkheid tot een collectieve vordering tot schadevergoeding bij

schending van het gegevensbeschermingsrecht. Omdat deze scriptie wordt geschreven vanuit

het perspectief van een betrokkene die zijn schade als gevolg van een inbreuk op het

gegevensbeschermingsrecht wil verhalen wordt in dit hoofdstuk de volgende onderzoeksvraag

beantwoord:

‘Draagt de collectieve actie van de WAMCA bij aan het verkrijgen van schadevergoeding

vanwege schending van de AVG?’

De AVG bepaalt dat de verwerkingsverantwoordelijke aansprakelijk is voor de materiële of

immateriële schade die een betrokkene lijdt als gevolg van een schending van het

gegevensbeschermingsrecht106. Er zijn verschillende redenen die maken dat het voor een

lastig is om schade als gevolg van een schending van het gegevensbeschermingsrecht te

verhalen. Zo is het voor een individu moeilijk om in een individuele zaak een normschending

en/of concrete schade en/of een causaal verband aan te tonen107.

6.1 Individuele actie tot schadevergoeding

Voor de normschending geldt dat op grond van artikel 150 Rv de bewijslast bij de betrokkene

ligt. Het is aan de betrokkene om te bewijzen dat een verwerkingsverantwoordelijke het

gegevensbeschermingsrecht heeft geschonden. In het geval een betrokkene stelt dat zijn

persoonsgegevens zijn verwerkt zonder grondslag kan hij dit eenvoudig aantonen door de zes

grondslagen van de AVG af te gaan108. Echter, in het geval van een datalek kan het een

ingewikkeld verhaal worden. Bij een datalek geldt dat de betrokkene moet aantonen dat de

verwerkingsverantwoordelijke tekort is geschoten in het nemen van passende technische en

organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te

106 Artikel 82 AVG. 107 Van der Linden & Walree, AV&S 2018/20. 108 Artikel 6 AVG.

33

waarborgen109. De hoge mate van informatieasymmetrie tussen de betrokkene en de

verwerkingsverantwoordelijke maakt het voor de betrokkene lastig om aan te tonen dat de

beveiligingsplicht is geschonden110,111. Het gegevensverwerkingsproces vindt immers plaats

achter gesloten deuren, waardoor de betrokkene slechts in beperkte mate kennis kan nemen

van eventuele onregelmatigheden in de gegevensverwerking en de gevolgen daarvan slechts

beperkt kan inschatten112. Doordat de betrokkene niet over dezelfde technische kennis en

deskundigheid beschikt als de verwerkingsverantwoordelijke kan de betrokkene slechts

beperkt inschatten wat de verwerkingsrisico’s waren en in hoeverre de

beveiligingsmaatregelen daarop aansloten113.

In het vorige hoofdstuk (nr. 5) is gebleken dat alle schadesoorten onder de AVG voor

vergoeding in aanmerking komen: vermogensschade en ander nadeel in de zin van artikel

6:95 BW. De horde van de materiële schadevergoeding is lastig te nemen. Vaak is niet

(direct) duidelijk of een inbreuk op het gegevensbeschermingsrecht materiële schade heeft

veroorzaakt en is het lastig om de schade aan te tonen. Een betrokkene wiens bankrekening

wordt leeg getrokken doordat de verwerkingsverantwoordelijke niet heeft voldaan aan de

beveiligingsplicht van de AVG lijdt vermogensschade. Het is dan aan de betrokkene om aan

te tonen dat zijn schade het gevolg is van de zwakke plek in de beveiliging. Zeker omdat

dezelfde persoonsgegevens vaak door een groot aantal verwerkingsverantwoordelijken

worden verwerkt kan dit lastig zijn. Daarnaast is het potentiële gebruik van data eindeloos: in

tegenstelling tot stoffelijke objecten kunnen data wereldwijd door een onbepaald aantal

partijen worden (her)gebruikt114. Een inbreuk op het gegevensbeschermingsrecht door een

verwerkingsverantwoordelijke in 2020 kan ernstige nadelige vermogensrechtelijke gevolgen

hebben voor een betrokkene in 2030.

In hoofdstuk 5 bleek verder dat het verkrijgen van immateriële schadevergoeding niet

eenvoudig is. De lat voor het toekennen van deze vorm van schadevergoeding ligt in

Nederland erg hoog. Van geestelijk letsel als gevolg van een inbreuk op het

gegevensbeschermingsrecht zal niet snel sprake zijn115. Dit kan anders zijn in het geval er

109 Artikel 32 AVG. 110 Informatieasymmetrie is een onbalans waarbij de ene partij over meer of over betere informatie beschikt dan

de andere. 111 Van Alsenoy 2016, p. 275; Bellanova e.a. 2013, p. 141. 112 Lynsky 2015, p. 211-213. 113 Van Alsenoy 2016, p. 275. 114 Kreimer, U. Pa. J. Const. L, 2015/18:3. 115 Jagt-Vink, MvV 2019/7-8.

34

sprake is van een inbreuk op bijzondere categorieën van persoonsgegevens, zoals gegevens

over iemands seksuele geaardheid of iemands gezondheid116. Van aantasting van in persoon

op ‘andere wijze’ is in ieder geval sprake als de gelaedeerde geestelijk letsel heeft

opgelopen117. Een persoon die stelt dat hij geestelijk letsel heeft opgelopen zal voldoende

concrete gegevens moeten aanvoeren waaruit blijkt dat hij psychische schade heeft

opgelopen. Volgens vaste jurisprudentie betekent dat, dat hij geobjectiveerd geestelijk letsel

moet hebben, dat wil zeggen een diagnose van een psychische aandoening moet aantonen118.

Ook als er geen psychische schade is ingetreden kan de aard, de ernst en de duur van de

normschending meebrengen dat de in dit verband relevante nadelige gevolgen daarvan voor

de benadeelde zo voor de hand liggen dat een aantasting in de persoon kan worden

aangenomen. Zie hiervoor het vorige hoofdstuk (nr. 5) waar de vuistregels van de Afdeling en

het EBI-arrest van de Hoge Raad uitgebreid zijn besproken.

De bewijslast met betrekking tot het aantonen van een causaal verband tussen de inbreuk op

het gegevensbeschermingsrecht en de vermeende schade rust op de betrokkene. Voor

materiële schade geldt dat dit problematisch kan zijn voor een betrokkene als zijn

persoonsgegevens door een groot aantal verwerkingsverantwoordelijken wordt verwerkt. Hoe

toon je aan dat de opgetreden schade het gevolg is van een datalek bij die ene

verwerkingsverantwoordelijke119? Het vaststellen van het causaal verband is bij immateriële

schade minder problematisch. De immateriële schade zal dan het gevolg zijn van de inbreuk

op het gegevensbeschermingsrecht en de mogelijke onzekere gevolgen daarvan.

6.2 Collectieve actie tot schadevergoeding

Gebleken is dat het instellen van een individuele procedure met betrekking tot een overtreding

van het gegevensbeschermingsrecht in vele opzichte onverantwoord is. De hoge kosten, lange

wachttijden en de onzekerheid van de procedure zijn belettende factoren bij het instellen van

een individuele claim. Omdat inbreuken op het gegevensbeschermingsrecht vaak een grote

groep gelaedeerden treft, die met eenzelfde soort schade zit, ligt collectivisering van

individuele claims voor de hand. De Europese Toezichthouder voor gegevensbescherming

erkent het belang van mechanismen van collectieve schadeacties bij de handhaving van het

116 Overweging 51 en artikel 9 AVG 117 Raad van State 1 april 2020, ECLI:NL:RVS:2020:899. 118 HR 9 mei 2003, ECLI:NL:HR:2003:AF4606. 119 Idem.

35

gegevensbeschermingsrecht120. Al eerder is aangegeven dat het Nederlandse recht met de

inwerkingtreding van de WAMCA voorziet in een mogelijkheid tot een collectieve vordering

tot schadevergoeding bij schending van de AVG. In deze paragraaf wordt onderzocht of de

collectieve actie van de WAMCA bijdraagt aan het verhalen van schadevergoeding vanwege

schending van de AVG. Het is dan voornamelijk de vraag in hoeverre de collectieve

schadevergoedingsactie de in voorgaande paragraaf geschetste problematiek bij het aantonen

van aansprakelijkheid voor schade bij een inbreuk op het gegevensbeschermingsrecht

wegneemt.

De collectivisering van een claim brengt schaalvoordelen met zich mee bij het aantonen van

de normschending. Door de bundeling van krachten nivelleert de informatieasymmetrie tussen

partijen, doordat de kosten van informatievergaring en het inschakelen van deskundigen over

een grotere groep kan worden verspreid121. Bij een datalek kunnen experts op het gebied van

cybercrime en cybersecurity worden ingeschakeld waardoor de gedupeerden eerder te weten

komen in wiens handen de gegevens zijn gevallen, wat de intenties zijn van deze derde partij

en of de gegevens zijn misbruikt122.

Ook voor het aantonen van concrete schade geldt dat de collectivisering van de claim

voordelen met zich meebrengt.

In hoofdstuk 2 is uiteengezet dat in een collectieve schadevergoedingsprocedure de

schadeafwikkeling verloopt via collectieve schadebegroting. Het is aan de rechter om te

beslissen op grond van welke criteria de gelaedeerden worden ingedeeld, wat de omvang van

de schadecategorieën is en de wijze waarop de gelaedeerden hun schadevergoeding kunnen

verkrijgen123. De rechter kan zich dan toeleggen op de totale schade, in plaats van de

individuele schade, en kan daarbij de ‘gemiddelde betrokkene’ centraal stellen124. De

schadebegroting vindt aldus plaats op een meer abstract niveau125. De rechter categoriseert de

betrokkenen in schadegroepen, waardoor er toch rekening wordt gehouden met onderlinge

verschillen tussen de gelaedeerden. Let wel dat een collectieve schadevergoedingsactie slechts

meerwaarde biedt ten opzichte van een individuele procedure in de gevallen waarin duidelijk

120 Resolutie van het Europees Parlement van 6 juli 2011 over een integrale aanpak van de bescherming van

persoonsgegevens in de Europese Unie (2011/2025(INI)). 121 Faure & Visscher 2015, p. 12 e.v., Visscher 2016, p. 62. 122 Van der Linden & Walree, AV&S 2018/20. 123 Artikel 1018i lid 2 Rv, tweede volzin jo. art. 7:907 lid 2 BW 124 Pavillon, Themis 2019/4. 125 Rijsterborgh, MvV 2017/11.

36

is dat een inbreuk op het gegevensbeschermingsrecht concrete en rechtstreekse gevolgen heeft

voor de gelaedeerden.

Ten aanzien van het aantonen van het causaal verband tussen de normschending en de schade

geldt ook dat de collectivisering van de claim een positief effect heeft. Het causaal verband

tussen de inbreuk op het gegevensbeschermingsrecht en de schade bij betrokkenen is immers

groter als blijkt dat de gemene deler tussen de betrokkenen is dat hun gegevens zijn verwerkt

door dezelfde verwerkingsverantwoordelijke. In het geval dat er sprake is van een datalek bij

een bank, waardoor er creditcardgegevens zijn gelekt en er met de creditcardgegevens van

X,Y en Z bij hetzelfde louche bedrijf in Azië voor duizenden euro’s aan producten is besteld,

is het causaal verband tussen de normschending en de schade natuurlijk aannemelijker.

Uit het bovenstaande is gebleken dat de collectivisering van schadeclaims een voordeel kan

opleveren ten opzichte van individuele vorderingen bij overtreding van de AVG. Feit blijft

wel dat de WAMCA geen wijziging in het materiële schadevergoedingsrecht met zich

meebrengt. De opgelopen schade bij een inbreuk op het gegevensbeschermingsrecht is vaak

immaterieel van aard en de eisen aan het verkrijgen van immateriële schadevergoeding

blijven hoog.

6.3 Strooischade

In de specifieke situatie van strooischade geldt dat de collectieve schadevergoedingsactie bij

uitstek geschikt is. In hoofdstuk 5 werd al aangegeven dat gelaedeerden die strooischade

hebben geleden als gevolg van een inbreuk op het gegevensbeschermingsrecht niet snel

geneigd zijn een individuele zaak te starten, omdat de schadevergoeding laag is en de kosten

van een procedure hoog. Het is dan natuurlijk interessant voor een betrokkene om zijn

belangen te laten behartigen door een belangenbehartiger. Die heeft de genoemde

schaalvoordelen en het voordeel dat het causaal verband tussen de normschending en de

schade eerder wordt aangenomen. Ook hoeft de betrokkene zijn individuele schade dan niet

meer te benoemen. De rechter legt zich immers toe op de totale schade, in plaats van de

individuele schade. Uit een in 2010 uitgevoerd onderzoek in opdracht van de Minister van

Economische Zaken bleek ook dat invoering van een collectieve schadevergoedingsactie een

effectieve en efficiënte methode kan zijn om strooischade te verhalen voor een groep

gedupeerden126. In het geval door identiteitsdiefstal bij een grote Nederlandse bank er van

126 Kamerstukken II, 2010/11, 27 879, nr. 34.

37

duizenden klanten aan creditcardgegevens is gestolen en zij elk zitten met een schade van

ongeveer € 400,- per persoon kan de collectieve actie tot schadevergoeding een uitstekend

middel zijn om deze schade te verhalen. Zij moeten zich dan laten vertegenwoordigen door

een vehikel dat voldoet aan de eisen van artikel 3:305a BW.

6.4 Buitenlandse schadeveroorzakers

Een belangenbehartiger die in Nederland namens betrokkenen een collectieve vordering wil

instellen is slechts ontvankelijk indien de rechtsvordering een voldoende nauwe band heeft

met de Nederlandse rechtssfeer (zie hoofdstuk 3). De vijf grootste techbedrijven ter wereld

(zie inleiding) zijn allemaal buitenlandse partijen, waardoor het van belang is om vast te

stellen of de WAMCA zich leent voor de aanpak van grote techbedrijven die in het buitenland

gevestigd zijn bij een inbreuk op het gegevensbeschermingsrecht. Er is op grond van de

territoriale ontvankelijkheidseisen van de WAMCA en de bevoegdheidsregeling inzake het

internationaal privaatrecht van de AVG onder andere sprake van een voldoende nauwe band

met de Nederlandse rechtssfeer indien de verwerkingsverantwoordelijke c.q. de verwerker in

Nederland is gevestigd. Nu de grote internationale techbedrijven niet in Nederland gevestigd

zijn en zij allen geen vestiging hebben in Nederland kan een procedure niet op basis van

vestiging van de organisatie in Nederland worden ingesteld.

Een belangenbehartiger kan ook ontvankelijk zijn indien het merendeel van de benadeelden in

Nederland woonachtig is. In het geval van grote buitenlandse techbedrijven is dat een lastig

verhaal, zij hebben immers een internationaal bereik. Nu Nederland een klein land is en er bij

een inbreuk op het gegevensbeschermingsrecht door een groot buitenlands techbedrijf het

aantal buitenlandse gedupeerden veel groter zal zijn dan het aantal gedupeerden in Nederland.

Aldus kan geconcludeerd worden dat een collectieve actie tot schadevergoeding tegen een in

het buitenland gevestigd techbedrijf tot ontvankelijkheidsproblemen kan leiden.

6.5 Tussenconclusie

In dit hoofdstuk is gebleken dat de WAMCA zeker kan bijdragen aan het verkrijgen van

schadevergoeding vanwege schending van de AVG. Gelaedeerden kunnen bij de collectieve

schadevergoedingsactie gebruikmaken van schaalvoordelen om de normschending vast te

stellen. Ook wordt het aantonen van het causaal verband en de normschending makkelijker in

38

een collectieve procedure. Zeker in het geval van strooischade is de WAMCA bij uitstek

geschikt om collectief schade te verhalen bij een inbreuk op het gegevensbeschermingsrecht.

Mijn verwachting is dan ook dat in de komende jaren de WAMCA gebruikt zal gaan worden

voor het afwikkelen van schade als gevolg van een inbreuk op de AVG. De grootste uitdaging

blijft het vaststellen van schade. In Nederland is de wettelijke drempel voor het toekennen van

een immateriële schadevergoeding hoog, en deze drempel moet ook in een collectieve

procedure worden genomen. Ten aanzien van buitenlandse partijen geldt dat het op grond van

de AVG en de WAMCA een lastig verhaal kan worden om collectief schade te verhalen,

vanwege de territoriale ontvankelijkheidseisen van de WAMCA en de bevoegdheidsregeling

inzake het internationaal privaatrecht van de AVG. Dat doet echter niets af aan het feit dat de

collectieve actie van de WAMCA kan bijdragen aan het verkrijgen van schadevergoeding

vanwege schending van de AVG door Nederlandse schadeveroorzakende partijen.

39

Conclusie

Deze scriptie is ingegaan op de mogelijkheid tot collectief schadeverhaal bij inbreuk op de

AVG. In de eerste vijf hoofdstukken is getracht de lezer een goed beeld te geven van het

Nederlandse en Europese recht ten aanzien van de collectieve actie en het

gegevensbeschermingsrecht. Daarna is in hoofdstuk 6 de onderzoeksvraag beantwoord:

‘Draagt de collectieve actie van de WAMCA bij aan het verkrijgen van schadevergoeding

vanwege schending van de AVG?’

In hoofdstuk 6 is gebleken dat de WAMCA een effectief mechanisme kan zijn voor de

handhaving van het gegevensbeschermingsrecht. De collectivisering van een claim brengt

schaalvoordelen met zich mee bij het aantonen van de normschending. Door de bundeling van

krachten nivelleert de informatieasymmetrie tussen de benadeelden en de schadeveroorzaker.

Daarnaast geldt dat ook voor het aantonen van concrete schade de collectivisering van de

claim voordelen met zich meebrengt. Dit komt doordat de rechter zich in een collectieve

schadevergoedingsprocedure toelegt op de totale schade, in plaats van de individuele schade,

en daarbij de ‘gemiddelde betrokkene’ centraal kan stellen. Ten aanzien van het causaal

verband tussen de normschending en de schade is gebleken dat het causaal verband

aannemelijker is als een groep benadeelden met eenzelfde soort schade zit veroorzaakt door

dezelfde schadeveroorzaker. Ten aanzien van strooischade geldt dat de WAMCA bij uitstek

een effectieve en efficiënte methode kan zijn om strooischade als gevolg van inbreuk op de

AVG te verhalen. Er dient wel opgemerkt te worden dat het ten aanzien van buitenlandse

schadeveroorzakers lastig kan zijn om collectief schade te verhalen, vanwege de territoriale

ontvankelijkheidseisen van de WAMCA en de bevoegdheidsregeling inzake het internationaal

privaatrecht van de AVG. Dat het mogelijk is om op grond van de WAMCA schade als

gevolg van een inbreuk op de AVG te verhalen is mijns inziens in de huidige

informatiemaatschappij van groot belang. De informatiemaatschappij berust nu eenmaal op

een proces van een veelheid aan gegevensverwerking. Vanuit het recht op bescherming van

persoonsgegevens is het niet de bedoeling om dit proces tegen te gaan, maar juist belangrijk

om te zorgen voor adequate waarborgen voor de rechten en vrijheden van de betrokkenen.

Daar hoort bij dat een betrokkene de mogelijkheid moet hebben om bij een inbreuk op het

gegevensbeschermingsrecht zijn schade collectief te kunnen verhalen. De toekomst moet gaan

uitwijzen of op grond van de WAMCA schade als gevolg van een inbreuk op de AVG

vergoedt gaat worden. Ik hoop het van harte en blijf de ontwikkelingen nauwgezet volgen.

40

Bronnen

Literatuurlijst

Bellanova e.a.

R. Bellanova, & P. de Hert, ‘Practices and modes of transatlantic data processing: From

sorting countries to sorting individuals’, The routledge handbook of European criminology,

Routledge 2013. p. 514-535.

Descheemaeker

E. Descheemaeker, ‘The harms of privacy’, Journal of Media Law, 2015/7, p. 278-306.

Faure & Visscher

M. Faure & L. Visscher, ‘Een rechtseconomische visie op collectieve actie’, Zuthpen:

Uitgeverij Paris, 2015.

Jagt-Vink

F.C. Jagt-Vink, ‘Schadevergoeding onder de Algemene Verordening Gegevensbescherming’,

Maandblad voor Vermogensrecht, 2019/7-8.

Kreimer

S.F. Kreimer, ‘Spooky Action at a Distance: Intangible Injury in Fact in the Information Age’,

University of Pennsylvania Journal of Constitutional Law, 2015/18, p. 745.

Lynskey

O. Lynskey, ‘The foundations of EU data protection law’, Oxford: Oxford University Press,

2015.

Meijer & Zippro

M.R. Meijer & Erik-Jan Zippro, ‘Privaatrechtelijke handhaving van mededingingsrecht’

Markt & Mededinging, 2010/13, p. 121-123.

Numann e.a.

G. Snijders, ‘Massificatie in het privaatrecht’, Opstellen ter gelegenheid van het 200-jarig

41

bestaan van het genootschap Iustitia & Amicitia’, Deventer: Kluwer 2010, p. 135 e.v.

Oranje

D.J. Oranje, ‘Artikel 3:305a BW dient te worden uitgebreid met de bevoegdheid tot het

vorderen van een schadevergoeding in geld’, G. van Solinge, M. Holtzer & AFJA Leijten

(red.), Geschriften vanwege de Vereniging Corporate Litigation, 2005, p. 289-297.

Paulissen & Van Wilsem

L. Paulissen & J. van Wilsem, ‘De heeft iemand anders gedaan!’, Den Haag: SDU, 2015.

Pavillon

C. Pavillon, ‘Leen het materiële privaatrecht zich voor de afwikkeling van massaschade?’,

Themis, 2019/4.

Rijsterborgh

A.J. Rijsterborgh, 'Het begroten van de schadevergoeding in een collectieve actie', Maandblad

voor Vermogensrecht 2017/11, p. 325-331.

Solove & Citron

D.J. Solove & D.K. Citron, ‘Risk and anxiety: A theory of data-breach harms’, Texas Law

Review, 2017/96, p. 737

Tillema

I. Tillema, ‘Commerciële actoren in massaschadezaken: pionieren tussen toegang tot het recht

en claimcultuur’, Ars Aequi: juridisch studentenblad, 2019/6, p. 506-515.

Tjong Tjin Tai

E. Tjong Tjin Tai, ‘Aansprakelijkheid bij datalekken’, Weekblad voor privaatrecht, notariaat

en registratie, 2016/7110, p. 459-464.

Tzankova

I.N. Tzankova, ‘Strooischade: een verkennend onderzoek naar een nieuw rechtsfenomeen’,

Den Haag: SDU, 2005.

42

Van Alsenoy

B. van Alsenoy, ‘Regulating data protection: the allocation of responsibility and risk among

actors involved in personal data processing’, 2016.

Van Boom

W.H. van Boom, ’WCA→ WCAM→ WAMCA’, Tijdschrift voor consumentenrecht &

handelspraktijken, 2019/4, p. 154-160.

Van der Krans

A. van der Krans, ‘Van WCAM naar WAMCA: class actions in Nederland?’, Onderneming

en Financiering 2019/3

Van der Linden & Walree

T.E. van der Linden & T.F. Walree, ‘De collectieve procedure als oplossing voor het

privaatrechtelijke handhavingstekort bij een datalek?’, Aansprakelijkheid, Verzekering &

Schade, 2018/20.

Van der Plas

C.G. van der Plas, ‘De collectieve actie 2.0 in grensoverschrijdende zaken: het territoriaal

ontvankelijkheidsvereiste onder de loep’, Tijdschrift Nederland Internationaal Privaatrecht,

2019/3.

43

Jurisprudentie

Europese Unie

Hof van Justitie 13 juli 2006, C-295/04, ECLI:EU:C:2006:461 Manfredi

Hof van Justitie 4 april 2017, C-337/15 P, ECLI:EU:C:2017:256, Europese Ombudsman

tegen Staelen

Nederland

HR 9 mei 2003, ECLI:NL:HR:2003:AF4606

HR 15 maart 2019, ECLI:NL:HR:2019:376

Raad van State 1 april 2020, ECLI:NL:RVS:2020:898

Raad van State 1 april 2020, ECLI:NL:RVS:2020:899

Raad van State 1 april 2020 ECLI:NL:RVS:2020:900

Raad van State 1 april 2020 ECLI:NL:RVS:2020:901

Hof Amsterdam 1 juli 2006, ECLI:NL:GHAMS:2006:AX6440.

Hof Amsterdam 25 januari 2007, ECLI:NL:GHAMS:2007:AZ7033

Hof Amsterdam 29 april 2009, ECLI:NL:GHAMS:2009:BI2717

Hof Amsterdam 29 mei 2009, ECLI:NL:GHAMS:2009:BI5744

Hof Amsterdam 15 juli 2009, ECLI:NL:GHAMS:2009:BJ2691

Hof Amsterdam 17 januari 2012, ECLI:NL:GHAMS:2012:BV1026

Hof Amsterdam 4 november 2014, ECLI:NL:GHAMS:2014:4560

Hof Amsterdam 13 juli 2018, ECLI:NL:GHAMS:2018:2422

Rechtbank Oost-Brabant 20 juli 2016, ECLI:NL:RBOBR:2016:3892

Rechtbank Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700

Kamerstukken

Kamerstukken II, 2010/11, 27 879, nr. 34

Kamerstukken II 2011/12, 33000, nr. 14

Kamerstukken II 2016/17, 34607, nr. 3

Kamerstukken II 2016/17, 34608, nr. 3

Kamerstukken II 2016/17, 34608, nr. 3

Kamerstukken II 2017/18, 34608, nr. 6

Kamerstukken II 2018/19, 34608, nr. 12

Kamerstukken II 2018/19, 34608, nr. 15

44

Internetpagina’s

Autoriteit persoonsgegevens februari 2020

‘Cijfers datalekken 2019’, Autoriteit persoonsgegevens februari 2020,

Te raadplegen via:

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-

datalekken/overzichten-datalekken/cijfers-datalekken-2019.

Laatst bezocht: donderdag 6 augustus 2020.

Consumentenbond juli 2020

‘Facebook in de fout’, Consumentenbond juli 2020,

Te raadplegen via: https://www.consumentenbond.nl/acties/facebook.

Laatst bezocht: donderdag 6 augustus 2020.

Equesnijmegen maart 2020

‘Claimen en masse anno 2020, Eques Nijmegen maart 2020

Te raadplegen via: https://equesnijmegen.nl/claimen-en-masse-anno-2020-gedachten-bij-de-

wet-afwikkeling-massaschade-in-collectieve-actie.

Laatst bezocht: donderdag 6 augustus 2020.

Rijksoverheid juni 2008

‘De Nederlandse wet collectieve afwikkeling massaschade’, Rijksoverheid 2008,

Te raadplegen via: https://www.rijksoverheid.nl/documenten/richtlijnen/2008/06/24/de-

nederlandse-wet-collectieve-afwikkeling-massaschade.

Laatst bezocht: donderdag 6 augustus 2020.

Visual Capitalist juli 2020

‘How big tech makes their billions’, Visual Capitalist juli 2020,

Te raadplegen via: https://www.visualcapitalist.com/how-big-tech-makes-their-billions-2020.

Laatst bezocht: donderdag 6 augustus 2020.