Wordt Nederland de nieuwe hotspot voor collectieve privacy schadevergoedingen?

Op basis van de Wet Afwikkeling massaschade in collectieve actie (WAMCA) is het sinds januari 2020 mogelijk voor benadeelden om via een belangenorganisatie collectief schade te verhalen. Op dit moment zijn de in jurisprudentie aan benadeelden (betrokkenen) toegewezen schadevergoedingen op basis van de privacywetgeving, nog vrij summier en beperkt. Dit zou echter kunnen gaan veranderen, wanneer betrokkenen ervoor kiezen om collectief schadevergoeding te verhalen. Denk hierbij aan bijvoorbeeld schade opgelopen door een grote groep betrokkenen als resultaat van een datalek. Wat houdt de WAMCA nu precies in?

In Nederland, heerst met de komst van de WAMCA één regime voor collectieve acties, ongeacht of de belangenorganisatie schadevergoeding in geld vordert en ongeacht het rechtsgebied. Nederland is hierin het eerste Europese land dat dit mogelijk maakt.

Niet alleen  de WAMCA heeft tot deze situatie geleid. De afgelopen jaren hebben een tweetal wetswijzigingen hier eveneens aan bijgedragen:

• De invoering van artikel 3:305a Burgerlijk Wetboek op basis waarvan belangenorganisaties sinds de jaren 90 met een collectieve actie een verklaring voor recht kunnen vorderen (dit is geen financiële schadevergoeding, maar een vaststelling van de rechtsverhouding door de rechter die druk creëert om een schikking te treffen);
• De invoering van de Wet collectieve afwikkeling massaschade (WCAM) in 2005 op basis waarvan de rechter op verzoek van partijen een collectieve schikking tussen een belangenorganisatie en een aangesproken partij algemeen verbindend kan verklaren (dit is eveneens geen financiële schadevergoeding, maar creëert ook druk om een schikking te treffen en geeft de aangesproken partij zekerheid dat individuele gedupeerden geen afzonderlijke procedures gaan voeren).

De grote toevoeging van de WAMCA aan dit reeds bestaande wettelijke kader, is dat het hierdoor mogelijk is om collectief een financiële schadevergoeding  te vragen.

Een collectieve vordering kan worden ingesteld door een belangenorganisatie voor gedupeerden voor iedere inbreuk op een recht. Voor zowel de gedupeerden, de belangenorganisatie als de collectieve vordering geldt een aantal voorwaarden.

Gedupeerden

Om deel te kunnen nemen aan een collectieve actie, moeten gedupeerden:

• vallen binnen de groep van benadeelden die in Nederland wonen en die niet hebben gekozen voor een opt-out;[1]
• vallen binnen de groep van benadeelden die niet in Nederland wonen en die hebben gekozen voor een opt-in.[2]

Belangenorganisatie

Een belangenorganisatie die de collectieve vordering indient moet de door haar behartigde belangen voldoende waarborgen, o.a. op het gebied van governance, financiering en representativiteit. Zo moet de belangenorganisatie beschikken over voldoende financiële middelen om de procedure te voeren, en moet deze de benadeelden voldoende vertegenwoordigen. Daarbij moet de belangenorganisatie voldoen aan de principes uit de Claimcode.

Mochten  meerdere belangenorganisaties zich melden voor eenzelfde inbreuk, dan kan de rechter een ‘exclusieve belangenbehartiger’ aanwijzen uit alle betrokken belangenorganisaties. De exclusieve belangenbehartiger treedt in dat geval in de procedure op voor de belangen van alle gedupeerden, de andere belangenorganisaties blijven partij.

Collectieve vordering

Als laatste, gelden ook voor de collectieve vordering voorwaarden. Zo moet de vordering een ‘voldoende nauwe band hebben met de Nederlandse rechtssfeer’. Hiervan is sprake als:

• Het merendeel van de benadeelden zijn/haar woon- of verblijfplaats in Nederland heeft;
• De aangesproken partij in Nederland gevestigd is; of
• De gebeurtenissen waarop de collectieve vordering ziet, in Nederland hebben plaatsgevonden.

Qua relevante privacykaders, kennen we in Nederland op dit moment de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). In de toekomst zal ook de ePrivacy Verordening (ePV, de nieuwe Europese privacywetgeving die nog in ontwikkeling is en die ziet op o.a. marketing, cookies en device fingerprinting) relevant worden.

Op basis van de AVG heeft eenieder die schade heeft geleden als gevolg van een inbreuk op de AVG recht op schadevergoeding.[3] Benadeelden kunnen deze schadevergoeding o.a. via een gerechtelijke procedure claimen bij de rechter in de woon- of verblijfplaats van de betrokkene (de benadeelde) of in het land waar de organisatie die de gegevens verwerkt (de verwerkingsverantwoordelijke of de verwerker) een vestiging heeft.[4]

Op basis van de WAMCA in combinatie met de privacywetgeving, kan dus een collectieve schadevergoeding worden ingediend voor een inbreuk op de AVG (en straks waarschijnlijk ook op basis van de ePV in de combinatie met de WAMCA).

Schadevergoeding wordt tot op heden veelal op individuele basis gevorderd. Het lijkt echter aannemelijk dat  de komende jaren meer collectieve (grote) schadevergoedingsacties zullen worden gestart al dan niet met internationale aspecten.

Wilt u meer weten over (collectieve) schadevergoedingen bij inbreuken op de privacywetgeving? Neem dan gerust contact op.

Natascha van Duuren, advocaat / managing partner IT, Privacy & Cybersecurity

[1] Met een opt-out kan een benadeelde aangegeven niet gebonden te willen worden (Kamerstukken II 2016/17, 34 608, nr. 3, p. 46-47).

[2] Met een opt-in kan een benadeelde in een vroeg stadium van de procedure vrijwillig verklaren in te stemmen met de behartiging van zijn/haar belangen in de collectieve vordering (Kamerstukken II 2017/18, 34 608, nr. 6, p. 4).

[3] Artikel 82 Algemene Verordening Gegevensbescherming (AVG).

[4] Artikel 79 AVG.