Bestuursrechter kan vaker schadevergoeding geven bij schending EU-privacyregels door bestuursorgaan
Nieuwsbericht | 01-04-2020
Het gaat om de uitspraken van de Afdeling bestuursrechtspraak van de Raad van State van 1 april 2020: ECLI:NL:RVS:2020:898,ECLI:NL:RVS:2020:899, ECLI:NL:RVS:2020:900 en ECLI:NL:RVS:2020:901.
De Afdeling bestuursrechtspraak komt tot deze conclusie in vier verschillende zaken. Eén van de zaken draaide om een man van wie ten onrechte medische gegevens waren verstrekt aan een tuchtcollege voor de gezondheidszorg. Hij had daar geen toestemming voor gegeven. De andere drie zaken betroffen personen van wie gegevens waren geplaatst op een internetforum van de Vereniging Nederlandse Gemeenten. Dit internetforum is bedoeld om gegevens uit te wisselen tussen gemeenten om misbruik van de Wet openbaar van bestuur te voorkomen. Ook in deze zaken was hiervoor geen toestemming gegeven.
In de onderhavige zaken is EU-verordening 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van gegevens (Algemene Verordening Gegevensbescherming, hierna: AVG) van toepassing. Artikel 82, lid 1 van de AVG bepaalt dat een ieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op de AVG, het recht heeft om van de verantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
Artikel 8:88 Algemene wet bestuursrecht (hierna: Awb) geeft de bestuursrechter in nader omschreven gevallen de bevoegdheid om een bestuursorgaan te veroordelen tot vergoeding van de schade. In de onderhavige zaken staat de vraag centraal of de bestuursrechter bevoegd is om een verzoek om schadevergoeding, als gevolg van een handelen in strijd met de AG door het bestuursorgaan, te beoordelen.
Afdeling bestuursrechtspraak
De Afdeling overweegt dat de AVG niet bepaalt welke gerechten binnen een lidstaat bevoegd zijn over het recht op schadevergoeding te oordelen. Omdat EU-rechtelijke procedurele voorschriften ontbreken, staat het aan de lidstaten om de bevoegde rechterlijke instanties aan te wijzen en om hun nationale procesrecht toe te passen. Deze regels moeten voldoen aan de voorwaarden van gelijkwaardigheid (bescherming EU-rechten niet ongunstiger dan nationale rechten) en doeltreffendheid (uitoefening EU-recht niet onmogelijk of uiterst moeilijk). Op grond van deze randvoorwaarden moet worden bepaald welke rechter bevoegd is.
De Afdeling overweegt dat artikel 34 van de Uitvoeringswet AGV in samenhang met artikel 8:88, eerste lid, aanhef en onder a, Awb bepaalt dat de bestuursrechter oordeelt over besluiten van bestuursorganen op een verzoek als bedoeld in de artikelen 15 tot en met 22 van de AVG. De artikelen 15 tot en met 22 van de AVG bieden belanghebbenden, onder meer het recht op inzage van hun persoonsgegevens, het recht op rectificatie of wissing van persoonsgegevens en het recht om tegen verwerking van persoonsgegevens bezwaar te maken. De bestuursrechter kan schadevergoeding vaststellen bij onrechtmatige besluiten op grond van de artikelen 15 tot en met 22 van de AVG.
De Afdeling oordeelt dat de verplichting om eerst toestemming te vragen zo nauw samenhangt met de in artikelen 15 tot en met 22 neergelegde rechten, dat bij de bestuursrechter ook een verzoek moet kunnen worden ingediend om de schade vergoed te krijgen als gevolg van het nalaten om toestemming te vragen. De Afdeling acht dit des te meer in het belang van de concentratie van de rechtsbescherming.
De Afdeling oordeelt dat er een keuze mogelijk is tussen de burgerlijke rechter of de bestuursrechter. Indien de bestuursrechter zich bevoegd acht, moet hij wel de criteria uit het Burgerlijk Wetboek en de rechtspraak van de Hoge Raad volgen. De Afdeling oordeelt eveneens dat voor schadevergoedingen hoger dan 25.000 euro alleen de burgerlijke rechter bevoegd is.