Schadevordering ex artikel 82 AVG

Schadevordering ex artikel 82 AVG 225 340 Ina Brouwer

Persoonsgegevens via werkgever opgevraagd: schadevordering ex artikel 82 Algemene Verordening Gegevensbescherming?!

Meestal staan er in wetten bepalingen waarvan men denkt : ‘ja, dat is logisch. Dat zegt mijn boerenverstand ook.’ Neem artikel 6 lid 1 sub a van de AVG: ‘Persoonsgegevens mogen slechts worden verwerkt na de toestemming van betrokkene’. Een werkgever weet: persoonlijke gegevens kun je niet zomaar verschaffen aan iedereen die daar om vraagt. Niet doen dus of eerst toestemming vragen!

Maar dat blijkt soms een wat al te optimistische visie op de werkelijkheid.

Praktijkvoorbeeld

Zo werd ik deze week gebeld door een man die zich radeloos afvroeg wat hij kon doen tegen zijn (inmiddels ex-)werkgever die op aanvraag van een incassobureau zijn persoonsgegevens (adres, geboortedatum, email) gewoon had doorgegeven.

Schadevordering

Het incassobureau had zich vervolgens bij hem gemeld met het verzoek om binnen een week na dato een vordering van €45.000 te voldoen op straffe van een gerechtelijke procedure. Zulks op verzoek van een Duits autoverhuurbedrijf dat een auto had verhuurd, maar deze nooit meer had terug gezien. De goede man wist van niets, laat staan van een in Duitsland gehuurde auto. Hij vroeg zich verbijsterd af hoe dit had kunnen gebeuren.  De Duitse opdrachtgever was op LinkedIn gaan zoeken op achternaam en had zo de naam van de man gevonden. De werkgever was gemakkelijk te vinden – stond gewoon op LinkedIn – en de medewerkster was zo vriendelijk geweest om al zijn persoonsgegevens telefonisch door te geven, zodat het incassobureau meteen aan de slag kon.

Pas toen de man zijn geboortebewijs had laten zien bleek dat het incassobureau inderdaad de verkeerde voor zich had. Het ging om een man met dezelfde achternaam maar met een andere geboortedatum. Hij had dus nooit mogen worden aangesproken.

Is dit nu het probleem van de digitale tijd? Zeker niet. Vroeger pakte het incassobureau ook weleens de verkeerde aan en kreeg men persoonsgegevens op een niet-rechtmatige manier maar de schade bleef beperkt. Nu staat de man in kwestie via de digitale snelweg zowel in Nederland als in Duitsland als wanbetaler bekend, terwijl hij er niets mee te maken had! Zijn gevoel van onveiligheid is groot. Wat kan er nog meer door persoonsverwisseling?

Is een schadevordering mogelijk?

Natuurlijk kun je schadevergoeding vorderen op grond van de Algemene Verordening Gegevensbescherming. De werkgever is duidelijk in overtreding en kan voluit worden aangesproken voor materiële- en immateriële schade. Dat geldt ook voor het Duitse autoverhuurbedrijf dat zelf de verkeerde naam heeft aangeleverd. Maar wie garandeert dat de naam straks is verdwenen uit de Duitse registers van wanbetalers? En dat de man in kwestie tijdens de vakantie niet door een Belgisch verhuurbedrijf wordt geweigerd nu steeds meer systemen aan elkaar worden gekoppeld? Hoe werkt hier ‘the right to be forgotten?’ We kunnen nog aardig wat verwachten aan dit type zaken.

In dit geval kan in elk geval de werkgever een stevige schadeclaim verwachten. Een klacht bij de Autoriteit Persoonsgegevens is een extra mogelijkheid. Het is voor ieder bedrijf een stuk goedkoper om medewerkers te instrueren wat wel en niet mag volgens de geldende privacywetgeving!

Laatste update: 9 mei 2019
Publicatiedatum: 4 april 2017