Schadevergoeding op grond van de AVG: hot and happening?

In een recente uitspraak heeft de rechtbank Amsterdam geoordeeld dat een werkgever ernstig verwijtbaar heeft gehandeld wegens het doorzoeken van een e-mailbox van haar werknemer zonder toestemming. De kantonrechter bestempelt de inbreuk op de privacy van de werknemer als een ernstige inbreuk en kent – voor de eerste keer – een zeer forse schadevergoeding toe voor de privacyinbreuk van € 10.000,-. Het vorderen van schadevergoeding wegens een inbreuk op de Algemene Verordening Gegevensbescherming (hierna: AVG) staat in Nederland (nog) in de kinderschoenen. Nog maar een jaar geleden werd door de rechtbank Overijssel voor de eerste keer schadevergoeding op grond van de AVG toegekend. Op 1 april 2020 oordeelde de bestuursrechter echter in hoger beroep dat de schadevergoeding toch niet kon worden toegekend, omdat niet inzichtelijk was gemaakt waar de schade precies uit bestond. Naast deze uitspraak, werd door de bestuursrechter op 1 april 2020 de schadevergoeding eveneens afgewezen in twee andere zaken. Slechts in één uitspraak werd door de bestuursrechter een vergoeding toegewezen, toen van € 500,-. Eerdere toewijzing schadevergoeding van € 500,- De schadevergoeding van dat bedrag vond de rechtbank in die betreffende zaak redelijk gezien de aard, duur en ernst van de inbreuk. Hierbij speelde volgens de rechter een rol dat het ging om de onrechtmatige verwerking van bijzondere (medische) persoonsgegevens. Wanneer het gaat om een inbreuk op bijzondere persoonsgegevens brengt dat vaak met zich mee dat er nadelige gevolgen aan de inbreuk verbonden zijn. Dan komt een schadevergoeding al snel om de hoek kijken. Ook het feit dat een inbreuk gedurende een langere periode aanhoudt of de omstandigheid dat persoonsgegevens in het bezit zijn gekomen van een grotere groep personen, kan aanleiding geven tot het toekennen van een schadevergoeding. Interessant is om te bezien hoe voorgaande uitspraak zich verhoudt tot de recente uitspraak waarin de kantonrechter een forse schadevergoeding toekent van het bedrag van € 10.000,-. Wat leidde tot de schadevergoeding van € 10.000,-? Opvallend is allereerst dat werkgever de betreffende verzoekschriftprocedure is gestart. Werkgever verzoekt de rechtbank Amsterdam om de arbeidsovereenkomst met werknemer te ontbinden nu volgens haar sprake is van disfunctioneren, ernstig verwijtbaar handelen, een verstoorde arbeidsrelatie en/of de “verzamelgrond”. Om dit aan te kunnen tonen, heeft werkgever zonder vooraankondiging of toestemming de e-mailbox van betreffende werknemer door een andere persoon binnen de organisatie laten onderzoeken. De kantonrechter oordeelt echter dat werkgever zonder concrete verdenking, zonder vooraankondiging of toestemming, geen recht had de gehele e-mailbox van de werknemer tot het jaar 2016 door nota bene een eigen werknemer te laten doorzoeken. Deze inbreuk op de privacy van de werknemer is in strijd met artikel 8 lid 1 van het Europees Verdrag van de rechten van de mens (hierna: EVRM) en heeft bovendien de verhouding tussen partijen onnodig verstoord, te meer nu uit de e-mails niets schokkends naar voren is gekomen. Daarnaast stelt de kantonrechter dat de werkgever de e-mailbox niet door een eigen werknemer had mogen laten onderzoeken, maar dat werkgever hiervoor een extern bureau had kunnen inschakelen. Ook hierdoor zijn de verhoudingen binnen de organisatie onnodig verstoord. De werkgever heeft met de op deze manier verkregen e-mailberichten haar werknemer beticht van ernstige delicten (waaronder racisme en een onoorbare liefdesrelatie), wat de verhoudingen niet ten goede is gekomen. De verstoring van de arbeidsrelatie is volgens de kantonrechter dan ook ernstig te wijten aan werkgever in plaats van aan de werknemer. Kortom, de kantonrechter stelt dat werkgever de privacy van haar werknemer ernstig heeft geschonden en dat een bedrag van € 10.000,- redelijk is gezien de grove privacyinbreuk. De kantonrechter acht dit bedrag aan schadevergoeding aan de orde gezien het feit dat werkgever ongefundeerde verwijten naar werknemer heeft gemaakt. Verder is daarbij in aanmerking genomen dat werkgever op geen enkel moment hoor en wederhoor heeft toegepast en werknemer zonder gegronde reden op non-actief is gesteld, welke omstandigheden uiteindelijk tevens hebben geleid tot een rechtsgeldige ontbinding van de arbeidsovereenkomst. Wat betekent dit voor de praktijk? Mijns inziens is het de vraag of er in deze recente uitspraak een ‘grovere’ privacyinbreuk heeft plaatsgevonden ten opzichte van de eerdere uitspraak waarbij ‘slechts’ € 500,- werd toegekend. Te meer nu het verschil in de toegekende bedragen groot is en het in de eerdere uitspraak zelfs ging om de verwerking van bijzondere persoonsgegevens. Bovendien lijkt nu ook mee te wegen bij de hoogte van de schadevergoeding of de werkgever op basis van de onrechtmatig verkregen berichten werknemer ‘ongefundeerd’ heeft beticht. Indien echter zou blijken uit de onrechtmatig verkregen berichten dat de delicten niet ongefundeerd zijn, zou de schadevergoeding dan lager of nihil zijn? Maakt de uitkomst van de inbreuk, een inbreuk minder ernstig? Ik vraag mij af of dit soort factoren daadwerkelijk kunnen worden herleid uit artikel 83 lid 2 AVG en de Boetebeleidsregels van de Autoriteit Persoonsgegevens. Ik ben benieuwd of de uitspraak van de kantonrechter stand zal houden in een eventueel hoger beroep. Het zal overigens dan ook de eerste keer zijn dat een gerechtshof, in plaats van de Afdeling bestuursrechtspraak van de Raad van State, haar hoofd zal buigen over een schadevergoeding wegens een inbreuk op de AVG. Wellicht dat er door de civiele rechter een nieuwe lijn wordt ingezet of meer duidelijkheid wordt gegeven omtrent dit (relatief nieuwe) onderwerp. Of zouden er twee sporen ontstaan: via het bestuursrecht en via de civiele rechter? Dat lijkt mij onwenselijk. De uitspraak van de kantonrechter kan overigens mede interessant zijn voor de recent in gang gezette massaclaim van The Privacy Collective tegen Salesforce en Oracle wegens (een mogelijke) schending van de privacy van miljoenen Nederlanders. Indien de rechter de privacy activisten gelijk geeft, kan de immateriële schadevergoeding oplopen tot honderden miljoenen euro’s. De uitspraak omtrent deze massaclaim zal hoogstwaarschijnlijk pas worden gepubliceerd in 2021, maar zal zonder meer voor veel ophef – en wellicht mogelijkheden – zorgen. Heeft u een vraag over een eventuele schadevergoeding bij schending(en) van de AVG, neemt u dan gerust contact met ons op!