SBO Blog Het blog van Studiecentrum voor Bedrijf en Overheid
Een datalek van persoonsgegevens kan grote gevolgen hebben voor jouw organisatie, niet alleen in de vorm van een forse boete van de Autoriteit Persoonsgegevens (AP), maar ook reputatieschade. Daarnaast ligt een massaclaim ook op de loer, zoals bij het datalek van Clinical Diagnostics, waar gegevens over een bevolkingsonderzoek van mogelijk wel meer dan 800.000 Nederlanders zijn gestolen. Gerrit-Jan Zwenne geeft aan hoe belangrijk het is om bewust om te gaan met de AVG.
Toename in het aantal schadeclaims
Het aantal massaschadeclaims in Nederland neemt toe. Steeds vaker gaat het om het niet naleven van de AVG met een datalek van persoonsgegevens als gevolg. Heeft de AP onderzoek gedaan en de bevindingen gepubliceerd? Dan volgt er soms een forse boete, die al gauw enkele honderdduizenden euro’s kan bedragen, en soms nog wel meer. Daarnaast is er een risico dat een claimstichting een collectieve actie begint en een massaschadeclaimprocedure begint, zo ook bij het datalek bij Clinical Diagnostics NMDL, waar hackers gevoelige gegevens over een bevolkingsonderzoek hebben buitgemaakt. Duizenden gedupeerde vrouwen hebben zich gemeld bij advocatenkantoren, omdat er een vermoeden heerst dat er nalatig is gehandeld en daardoor de grootste datadiefstal in de Nederlandse zorggeschiedenis kon plaatsvinden.
Een aantal voorbeelden van massaschadeclaims
Het datalek bij Clinical Diagnostics is een recent voorbeeld, maar de afgelopen jaren zien we al een grote stijging in het aantal massaschadeclaims. Je denkt hierbij aan:
- De Data Privacy Stichting procedeert tegen Facebook over uiteenlopende onrechtmatige gegevensverwerking door het sociale netwerk.
- De stichting The Privacy Collective begon een procedure tegen Oracle en Salesforce, die volgens hen ten onrechte gebruikersgegevens verzamelen zonder toestemming van internetgebruikers. De Rechtbank Amsterdam heeft besloten de inhoudelijke behandeling van de rechtszaak op te schorten totdat er een uitspraak van de Hoge Raad is.
- Stichting ICAM sprak de GGD en het Ministerie van VWS aan vanwege het datalek waarbij gegevens waren gelekt van mensen die zich op Corona hebben laten testen.
- Drie claimstichtingen zijn collectieve acties begonnen tegen TikTok voor het schenden van privacyrechten van kinderen.
Waarom nemen deze schadeclaims toe?
Het aantal collectieve schadeclaims groeit omdat gedupeerden samen sterker staan in hun vraag om een schadevergoeding. De rechter heeft voor overtredingen van de AVG al verschillende keren aan gedupeerden een schadevergoeding toegekend van €250 tot €500. Een zaak waarin een claimstichting optreedt voor 100.000 gedupeerden gaat het in theorie dus om een bedrag van 25 tot 50 miljoen euro. De claim bij het datalek van Clinical Diagnostics gaat potentieel dus om een gigantisch bedrag. De claimstichting zelf hoopt hier 15 tot 20 procent van te krijgen, de businesscase is dus duidelijk.
Voorkom een datalek van persoonsgegevens
Er zijn nog niet veel gerechtelijke uitspraken over massaschadeclaims door de overtreding van de AVG, vaak omdat de geleden schade door gedupeerden niet concreet is. De kans van slagen van een schadeclaim is dus lastig in te schatten, maar het is wel duidelijk dat het meer dan ooit de moeite waard is om ervoor te zorgen dat jouw organisatie voldoet aan de AVG. Om een boete en een massaschadeclaim te voorkomen, maar zeker ook om reputatieschade te ontlopen.
Bescherm jouw organisatie
Wil jij de financiële, juridische en emotionele schade die een datalek van persoonsgegevens met zich meebrengt voorkomen? Schrijf je dan in voor de opleiding Praktische toepassing Privacywet AVG. Gerrit-Jan Zwenne is hoogleraar privacyrecht in Leiden en aan de Open Universiteit, en daarbij advocaat die optreedt in vele grote privacyzaken. Hij maakt tijdens deze opleiding de vertaalslag van rechtspraak naar jouw praktijk, zodat jij kunt voorkomen dat jouw organisatie in de problemen komt. Wil je meer weten over het programma? Vraag dan de brochure aan. De opleiding is ook volledig op maat te volgen als Incompany-traject.
