Stel, een ziekenhuis neemt software af waarin persoonsgegevens van haar patiënten opgeslagen worden. De beveiliging hiervan laat echter te wensen over, waardoor medische gegevens openbaar toegankelijk zijn geweest. Wie is dan aansprakelijk voor schade die betrokkenen hebben geleden, en voor welk bedrag? Veel organisaties zitten momenteel met dergelijke vragen. Op basis van de Algemene Verordening Gegevensbescherming (AVG) (en dan specifiek artikel 82) kunnen betrokkenen namelijk schadevergoeding eisen van zowel de verwerkingsverantwoordelijke als de verwerker. Maar, hoe wordt in zo’n geval de schade verdeeld? En, kun je hier onderling afspraken over maken in je verwerkersovereenkomst?
Wanneer heeft een betrokkene recht op schadevergoeding?
Omdat één van de doelen van de AVG is om de personen over wie de gegevens gaan (de betrokkenen) beter te beschermen, kunnen zij op basis van de AVG schadevergoeding eisen van iedere partij die inbreuk heeft gemaakt op de AVG waardoor zij schade hebben geleden. Het niet nakomen van de AVG levert namelijk een onrechtmatige daad op richting de betrokkene.
Voor het innen van deze schadevergoeding, kan de betrokkene zowel een gerechtelijke procedure starten tegen de verwerker als de verwerkingsverantwoordelijke. Beide partijen zijn in deze namelijk hoofdelijk aansprakelijk richting de betrokkene voor de geleden schade. Onderling kunnen partijen deze schadevergoeding echter op elkaar verhalen. Dit als het gaat om een plicht die die is geschonden en die op de andere partij rustte op basis van de AVG.
Voor welke schade van betrokkenen is de verwerkingsverantwoordelijke aansprakelijk?
De verwerkingsverantwoordelijke is in beginsel voor alle schade aansprakelijk, ongeacht of dit is veroorzaakt door de verwerker of hemzelf. Hij dient immers enkel samen te werken met partijen die ‘afdoende garanties’ bieden. Niet aansprakelijk is de verwerkingsverantwoordelijke echter wanneer de schade is ontstaan door overmacht (in de zin van art. 6:75 BW), of als de schade voortvloeit uit een handeling die volledig aan de verwerker is te wijten. Dus als bijvoorbeeld de verwerker besluit de gegevens ook voor zijn eigen doeleinden te gaan verwerken zonder dat hij hier een grondslag voor heeft. Om een geslaagd beroep op overmacht te kunnen doen, moet de verwerkingsverantwoordelijke dan wel kunnen aantonen dat de schadeveroorzakende gebeurtenis hem echt niet kan worden aangewreven.
Voor welke schade van betrokkenen is de verwerker aansprakelijk?
Verwerkers zijn (op grond van artikel 82 lid 2 AVG) alleen aansprakelijk voor schending van specifiek tot hen gerichte verplichtingen. De verwerker kan bijvoorbeeld aansprakelijk zijn wanneer zij:
- persoonsgegevens niet goed beveiligt (dit is een plicht van beide partijen, de verdeling van de schade hangt ervan af aan wie de slechte beveiliging te wijten is);
- een instructie van de verwerkingsverantwoordelijke niet uitvoert zoals het wissen van gegevens; of
- zonder grondslag voor eigen doeleinden de gegevens gebruikt om bijvoorbeeld reclame te sturen.
Voor verplichtingen waar de verwerker nooit aansprakelijk voor zal zijn, kun je denken aan het verwerken van gegevens zonder grondslag (zoals toestemming), het niet voldoen aan de informatieplicht (bijvoorbeeld doordat er geen privacyverklaring op de website is geplaatst) of het niet ingaan op een verzoek van een betrokkene (zoals om inzage of verwijdering). Dit zijn immers enkel verantwoordelijkheden van de verwerkingsverantwoordelijke, en hier kan de verwerker dan ook niet richting de verantwoordelijke voor aansprakelijk worden gehouden.
Kunnen partijen onderling afspraken maken over de verdeling van aansprakelijkheid?
Als de ene partij de schade vergoed heeft, kan deze het deel van de schade dat aan de andere partij te wijten is, bij die partij verhalen (artikel 82 lid 5). Dit als het gaat om een plicht die voor deze specifieke partij geldt (zie hierboven). Verantwoordelijke en verwerker kunnen echter onderling een beperking van aansprakelijkheid afspreken. Nergens blijkt immers uit dat deze bepaling van dwingend recht is. In een verwerkersovereenkomst kan hiertoe een aansprakelijkheidsbeperking worden opgenomen die geldt in geval van schending van privacywetgeving of de verwerkersovereenkomst, ten aanzien van schadevergoeding naar de andere partij toe. Let op: je aansprakelijkheid naar betrokkenen toe, kun je niet op deze manier inperken.
Tot slot is het niet mogelijk om álle aansprakelijkheid contractueel uit te sluiten. In het geval van opzet of bewuste roekeloosheid, ben je altijd aansprakelijk voor de daardoor ontstane schade.
