UCALL Blog

Massaschade en compensatie

Collectieve schadeactie van de Wamca strijdig met de AVG?

Twee maanden geleden deed de rechtbank Amsterdam uitspraak ter zake van de collectieve schadevordering van de stichting The Privacy Collective (TPC) namens internetgebruikers tegen softwarebedrijven Oracle en Salesforce. De media karakteriseerden de uitspraak als een ‘gevoelige nederlaag’ en een ‘koude douche’: TPC werd niet-ontvankelijk verklaard. Daarmee blijft vooralsnog onbeslist of deze bedrijven collectief schadevergoeding verschuldigd zijn wegens het op grote schaal schenden van de AVG. De rechtbank komt bovendien niet toe aan een belangrijke rechtsvraag die deze zaak opwerpt: staat artikel 80 AVG in de weg aan een collectieve vordering tot schadevergoeding wegens schending van de AVG? In dit blog sta ik kort stil bij de gevolgen van deze uitspraak en betoog ik dat uitsluiting van collectieve schadeprocedures ingevolge de Wamca bij AVG-schendingen onwenselijk zou zijn.

De relevantie van de AVG

TPC stelde de techbedrijven aansprakelijk voor hun rol in het verwerken en aanbieden van persoonsgegevens in de online advertentiemarkt, die door het plaatsen van cookies op de randapparatuur van internetgebruikers is verkregen. Daarnaast zou sprake zijn geweest van een datalek. TPC vorderde maar liefst 11 miljard euro namens de gedupeerde internetgebruikers. Deze collectieve schadevordering van TPC vindt (primair) haar grondslag in artikel 82 van de Algemene verordening gegevensbescherming (AVG). De AVG beschermt het fundamentele recht op bescherming van persoonsgegevens, neergelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Het begrip ‘persoonsgegevens’ omvat alle informatie over een persoon, zoals naam, adres, maar bijvoorbeeld ook het burger servicenummer (BSN), voorkeuren, karaktereigenschappen, uiterlijke kenmerken, surfgedrag, et cetera.

Als bij het verwerken van persoonsgegevens materiële en/of immateriële schade ontstaat, dan geeft artikel 82 AVG de rechthebbende recht op schadevergoeding jegens de organisatie of persoon die de gegevens over anderen verzamelt of gebruikt of die daartoe opdracht geeft (de verwerker en/of de verwerkingsverantwoordelijke). Zoals bekend, is het aantonen van schade en de omvang in dit verband verre van eenvoudig. Dit speelde onder andere rond een uitspraak van het Gerechtshof Den Bosch die daags vóór de onderhavige TPC-uitspraak gewezen werd. Die uitspraak draaide mede om een essentiële vraag die ik ook eerder heb opgeworpen, namelijk of het enkele controleverlies over persoonsgegevens ‘schade’ is.

De onderhavige TPC-uitspraak onderstreept dat het effectueren van het recht op schadevergoeding van artikel 82 AVG minstens zo complex is als het aantonen van schade op zich. Bij gegevensbescherming werd en wordt waarde gehecht aan de per 1 januari 2020 van kracht gegane Wet Afwikkeling Massaschade in Collectieve Actie (Wamca). Die biedt in algemene zin de mogelijkheid tot het indienen van een collectieve schadevordering, mits de belangenbehartiger (het claimvehikel) voldoende representatief is (naast andere ontvankelijkheidseisen). Dáár was in deze zaak niet aan voldaan. TPC komt volgens haar statuten op voor het privacyrecht van “eenieder die actief gebruikt maakt van het internet”. Er zouden 13,25 miljoen mensen in Nederland zijn, die vrijwel dagelijks het internet gebruiken en meer dan 75.000 hebben de steunknop geliket, zoals te zien in de afbeelding hieronder. Van hen kon door TPC het IP-adres worden vastgelegd; dit was volgens TPC voldoende om te betogen dat in het belang van deze groep wordt geprocedeerd. Méér gegevens tracken acht TPC in strijd met het vereiste van dataminimalisatie van de AVG.

De betreffende pagina van TPC

Maar volgens de rechtbank (rov. 5.11) had TPC moeten verduidelijken of personen die deze klik maken, tevens behoren tot de kring van benadeelden en of TPC met deze vordering voor deze personen opkomt. Zo blijkt nergens uit dat personen die een like gaven, zich daarmee aanmeldden als gedupeerde voor deze procedure. De stichting had bovendien hun contactgegevens moeten registreren, opdat TPC contact kan onderhouden met haar achterban, nu de Wamca dit vereist. Vermoedelijk zou een e-mailregistratie met bevestiging wel hebben volstaan, zoals de Consumentenbond op haar website verlangt voor zijn massaschadevordering tegen TikTok. De rechtbank biedt TPC bij het ontbreken van bijzondere omstandigheden geen mogelijkheid tot herstel van deze gebreken (rov. 5.17). Hiermee is wel duidelijk dat het claimvehikel niet lichtvaardig kan omspringen met de representativiteitseis.

Verenigbaarheid Wamca en AVG

Omdat de zaak stukloopt op de representativiteit van de eiser komt de rechtbank niet toe aan de vraag of de Wamca bij schending van de AVG überhaupt kan worden aangewend, indien er geen overeenkomst van opdracht is van de benadeelden aan de belangenbehartiger – zoals bij TPC het geval was. Artikel 80 AVG verlangt in lid 1 dat de betrokkenen daarvoor opdracht geven: dit is een bewust gekozen opt-in systeem terwijl de Wamca nou juist nadrukkelijk op een opt-out basis berust. Van lid 1 kan op grond van het tweede lid van artikel 80 AVG evenwel een uitzondering worden gemaakt, zoals ook is gebeurd in de recente collectieve (schade)actie van de Data Privacy Stichting tegen Facebook. Wel valt op dat de rechter in die uitspraak nadrukkelijk een voorbehoud lijkt te maken voor massaclaims ter verkrijging van schadevergoeding: volgens de rechtbank ‘vereist de AVG niet dat de Stichting in deze procedure (waarbij uitsluitend verklaringen voor recht worden gevorderd, en geen schadevergoeding) over een opdracht van de betrokkenen beschikt’ (mijn cursiveringen, EE).

Ook in de onderhavige TPC-kwestie sluit de rechtbank niet uit dat de Wamca niet goed met artikel 80 AVG verenigbaar zou zijn. De suggestie die in deze beide uitspraken besloten ligt dat de Wamca uitgesloten zou zijn bij AVG-schendingen op grote schaal, acht ik weinig overtuigend. Het lijkt me in ieder geval onwenselijk, aangezien artikel 82 AVG nu juist nadrukkelijk bedoeld is om (ook) in civilibus de handhaving van het gegevensbeschermingsrecht te bevorderen en de Wamca daar bij uitstek een effectief mechanisme voor zou kunnen zijn (mits, zoals ik hiervoor al aangaf, ook het schadebegrip daar materieelrechtelijk voldoende op wordt toegesneden). Uiteindelijk zal het uiteraard aan het Hof van Justitie zijn om te oordelen over de ondergrenzen van het opt-in systeem van artikel 80 AVG en over de reikwijdte van artikel 80 lid 2, waaruit dan tevens kan blijken hoe zich dit verhoudt tot de opt-out basis van Wamca. Maar wellicht dat de Nederlandse rechter zich hier al eerder over zal uitlaten. TPC heeft tot eind deze maand om hoger beroep aan te tekenen.