Datum uitspraak:
Datum publicatie:
Rechtsgebied:
Zaaknummer:
Soort procedure:
Zittingsplaats:
Instantie:
Vindplaatsen:

Inhoudsindicatie:

Schadevergoeding van 250 euro, op grond van artikel 82 AVG, in verband met onrechtmatige verwerking van persoonsgegevens, door het rondsturen van Excellijst met gevoelige persoonsgegevens

Uitspraak



RECHTBANK ROTTERDAM

zaaknummer: 9436020 \ CV EXPL 21-30289

uitspraak: 25 februari 2022

vonnis van de kantonrechter, zitting houdende te Rotterdam,

in de zaak van

[eiseres] ,

wonend in [woonplaats] ,

eiseres,

hierna te noemen: [eiseres] ,

gemachtigde: mr. A.C. van 't Hek,

tegen

[gedaagde]

,

gevestigd in [vestigingsplaats] , gemeente [gemeente] ,

gedaagde,

hierna te noemen: [gedaagde] ,

gemachtigden: mr. O.A. Sleeking en mr. A.W.D. Lensink.

1. Het procesverloop

1.1.

Het verloop van de procedure volgt uit de volgende processtukken:

de dagvaarding met producties van 2 september 2021;

de conclusie van antwoord met producties;

het tussenvonnis van 11 oktober 2021, waarin een mondelinge behandeling is bepaald;

de brieven van [eiseres] van 30 december 2021 met aanvullende producties en een usb-stick.

1.2.

De mondelinge behandeling heeft plaatsgevonden op 31 januari 2022. [eiseres] is in persoon verschenen, bijgestaan door haar gemachtigde. Namens [gedaagde] zijn de gemachtigden verschenen, vergezeld door [persoon A 1] en [persoon B] (medewerkers van [gedaagde] ).

1.3.

De kantonrechter heeft bepaald dat vandaag uitspraak wordt gedaan.

2. De vaststaande feiten

Er wordt uitgegaan van de volgende vaststaande feiten.

2.1.

[gedaagde] voert in Zevenhuizen het nieuwbouwproject ‘Koningskwartier’ uit. In 2021 konden personen die belangstelling hadden voor de eventuele koop van een nieuwbouwwoning zich via een website inschrijven als kandidaat-koper. Ongeveer 1100 personen, onder wie [eiseres] , hebben van die mogelijkheid gebruik gemaakt. Bij deze inschrijving werden diverse vertrouwelijke, persoonlijke gegevens van de belangstellenden verzameld.

2.2.

Op 12 april 2021 om 17.14 uur heeft [gedaagde] een e-mail verzonden aan alle personen die zich hebben ingeschreven voor het project Koningskwartier. Bij deze e-mail heeft [gedaagde] een onbeveiligd Excelbestand gevoegd met daarin de gegevens van alle ongeveer 1100 personen die zich hebben ingeschreven voor het nieuwbouwproject. De Excellijst bevat onder meer de volgende gegevens van de ingeschrevene en diens eventuele partner:

voor- en achternaam;

geboortedatum en -plaats;

adres;

e-mailadres en telefoonnummer;

gewenste koopsom;

maximaal te lenen bedrag;

jaarinkomen;

eigen middelen die de kandidaat-koper wil inbrengen;

de nieuwbouwwoningen waarin de kandidaat-koper is geïnteresseerd.

2.3.

Een minuut later, om 17.15 uur, heeft [gedaagde] geprobeerd het verzonden e-mailbericht in te trekken.

2.4.

Diezelfde avond, om 22.19 uur, heeft [gedaagde] een e-mail gestuurd aan alle personen die zich hebben ingeschreven. Zij meldt daarin onder meer het volgende:

“(…) Vanmiddag heeft u een e-mail ontvangen van [gedaagde] ( [e-mailadres 1] ) met m.b.t. dat u niet bent uitgeloot en op de reservelijst staat. Helaas is er een Excel bijlage met persoonsgegevens bijgevoegd. Geprobeerd is nog om het bericht in te trekken maar dit is niet in alle gevallen gelukt. Wij willen u met klem verzoeken om de genoemde e-mail met bijlage direct te verwijderen. Ondanks dit verzoek is het mogelijk dat ca. 1100 ontvangers het e-mailbericht hebben ontvangen en ingezien. Wij betreuren dit incident ten zeerste en nemen uiteraard meteen maatregelen om te voorkomen dat dit nog een keer gebeurt.

Gezien de persoonsgegevens die in het Excel bestand zijn opgenomen, waaronder NAW-gegevens, telefoonnummer, e-mailadres en salarisgegevens, beschouwen wij dit als een datalek en doen wij hiervan conform de wettelijke verplichting melding bij de Autoriteit Persoonsgegevens. Aangezien in de bijlage ook uw e-mailadres is opgenomen willen wij u aanraden om de komende periode extra alert te zijn op mogelijke phishing mails uit naam van [gedaagde] . Mocht u twijfelen over de juistheid van een bericht, neem dan contact op met commercieel manager [persoon A 2] (email [e-mailadres 2] telnummer [o6-nummer] ).

Rest mij niets anders dan u namens [gedaagde] en de Gebiedsontwikkelingsmaatschappij Zuidplaspolder II CV onze welgemeende excuses aan te bieden. Wij nemen privacy en veiligheid zeer serieus. Helaas hebben wij dit in uw geval niet waar kunnen maken, maar we zullen er alles aan doen om uw gegevens vanaf nu wel zo goed mogelijk te beschermen.

(…)”

2.5.

De gemachtigde van [eiseres] heeft [gedaagde] aangeschreven en aanspraak gemaakt op een schadevergoeding. [gedaagde] heeft geweigerd een schadevergoeding te betalen.

3. Het geschil

3.1.

[eiseres] heeft gevorderd bij vonnis, uitvoerbaar bij voorraad, voor recht te verklaren dat [gedaagde] onrechtmatig heeft gehandeld ten opzichte van haar, en [gedaagde] te veroordelen tot betaling aan haar van € 20.000,-, althans een naar billijkheid te schatten bedrag, aan immateriële schadevergoeding, te vermeerderen met de wettelijke rente vanaf de dag van dagvaarding tot aan de dag van volledige betaling.

3.2.

Aan haar vordering heeft [eiseres] (samengevat) het volgende ten grondslag gelegd. Het versturen van de Excellijst met persoonsgegevens moet worden aangemerkt als onrechtmatig handelen, namelijk in strijd met artikel 6 lid 1 van de Algemene Verordening Gegevensbescherming (hierna: AVG). De schade die [eiseres] hierdoor heeft geleden moet [gedaagde] vergoeden op grond van artikel 82 AVG. Ze lijdt € 20.000,- immateriële schade. [eiseres] is namelijk aangetast in haar persoon, want haar (meest) intieme persoonsgegevens zijn nu bekend bij minimaal 1099 anderen.

3.3.

[gedaagde] heeft geconcludeerd tot (primair) algehele afwijzing, dan wel (subsidiair) matiging van de schadevergoeding, zonder toewijzing van de uitvoerbaarheid bij voorraad, althans onder de voorwaarde dat [eiseres] daartoe zekerheid dient te stellen, met veroordeling van [eiseres] in de (na)kosten van deze procedure, te vermeerderen met rente.

3.4.

[gedaagde] heeft ter onderbouwing van haar verweer (zakelijk weergegeven) het volgende aangevoerd. Door een menselijke fout is de Excellijst toegevoegd aan de e-mail. Het enkele feit dat persoonsgegevens van [eiseres] zijn verspreid betekent echter niet dat [gedaagde] een schadevergoeding aan [eiseres] moet betalen. [eiseres] moet specificeren dat van materiële en/of immateriële schade sprake is. Dat heeft zij niet gedaan. Ook op basis van de aard en ernst van de normschending en de gevolgen daarvan kan deze schade niet worden aangenomen. De gevorderde schadevergoeding moet daarom worden afgewezen. De verklaring voor recht dient eveneens te worden afgewezen, omdat [eiseres] daarbij geen belang heeft.

3.5.

Op hetgeen partijen verder hebben aangevoerd wordt, voor zover voor de beoordeling van belang, hierna ingegaan.

4. De beoordeling

verklaring voor recht

4.1.

Er is geen discussie over dat [gedaagde] een aanzienlijke hoeveelheid persoonsgegevens van [eiseres] heeft verspreid onder een grote groep mensen. Het verspreiden van persoonsgegevens is een vorm van verwerking zoals bedoeld in de AVG (artikel 4 sub 2 AVG ). In artikel 6 AVG is bepaald dat verwerking van persoonsgegevens alleen rechtmatig is, wanneer sprake is van één van de verwerkingsgrondslagen, zoals genoemd in dat artikel. Gesteld noch gebleken is dat in dit geval sprake is van een van die grondslagen. De conclusie is dat [gedaagde] de persoonsgegevens van [eiseres] onrechtmatig heeft verwerkt. [gedaagde] heeft dus een inbreuk gemaakt op de AVG. In beginsel is de gevorderde verklaring voor recht dan ook toewijsbaar. [gedaagde] heeft echter betwist dat [eiseres] een belang heeft bij die verklaring. Daarop heeft [eiseres] niet nader onderbouwd waar haar belang bij die verklaring in is gelegen. Zonder nadere toelichting valt dit belang niet in te zien. Bij gebrek aan belang wordt de gevorderde verklaring voor recht daarom afgewezen (artikel 3:303 BW).

juridisch kader

4.2.

[eiseres] maakt verder aanspraak op vergoeding van haar schade. In dat kader is het volgende juridische kader van belang. De AVG is in werking getreden op 25 mei 2018 en is rechtstreeks toepasselijk in Nederland (artikel 99 AVG en 288 VWEU ). Artikel 82 AVG bepaalt dat iedereen die materi ële of immateriële schade heeft geleden ten gevolge van een inbreuk op de AVG, het recht heeft om van de verwerker schadevergoeding te ontvangen voor de geleden schade. Uit overweging 85 van de considerans volgt dat daarbij onder meer kan worden gedacht aan: verlies van controle over persoonsgegevens, identiteitsdiefstal of -fraude, reputatieschade, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de persoon in kwestie. Overweging 146 licht toe dat het begrip “schade” ruim moet worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Verder volgt uit die overweging dat de betrokkenen volledige en daadwerkelijke vergoeding van door hen geleden schade dienen te ontvangen. Uit de voornoemde wetsbepaling en de toelichting daarbij volgt dat het schadebegrip gemeenschapsautonoom dient te worden uitgelegd, om een doeltreffende naleving van de AVG te kunnen waarborgen, met een gelijkwaardig niveau van bescherming in alle lidstaten (overweging 10 en 11 AVG).

immateriële schade

4.3.

[eiseres] vordert een vergoeding van haar immateriële schade. Zij heeft ter zitting toegelicht dat zij zich onveilig voelt, onder meer omdat zij kort na dit voorval door buren erop werd geattendeerd dat iemand foto’s had gemaakt van haar appartement. Ook krijgt ze de laatste tijd e-mails en sms’jes met spamberichten. Zowel dit ongewenste bezoek als de ongewenste berichten houden volgens haar waarschijnlijk verband met de e-mail van [gedaagde] , hoewel zij zich ervan bewust is dat dit niet bewezen kan worden. Zij heeft er daarbij ook op gewezen dat haar naam helemaal bovenaan de alfabetisch gesorteerde Excellijst staat, hetgeen ertoe leidt dat haar gegevens nog meer zijn opgevallen. Zij heeft er daarnaast op gewezen dat niet bekend is waar deze gegevens nog circuleren en dat zij daarom ook niet weet wat haar te wachten staat, hetgeen haar een heel onprettig gevoel geeft. Ter zitting hebben zowel de gemachtigden als de medewerkers van [gedaagde] te kennen gegeven dat zij deze gevoelens begrijpen.

4.4.

[gedaagde] heeft dus niet betwist dat de onrechtmatige verwerking tot vervelende gevolgen voor [eiseres] heeft geleid. Zij stelt zich echter op het standpunt dat dit geen juridisch relevante schade is, in de zin van artikel 6:106 lid 1 sub b BW. Zij gaat er echter aan voorbij dat artikel 82 AVG autonoom dient te worden uitgelegd op een wijze die ten volle recht doet aan de doelstellingen van deze verordening, zoals hiervoor overwogen onder r.o. 4.2. Naar oordeel van de kantonrechter kunnen de gevolgen die de onrechtmatige verwerking voor [eiseres] hebben gehad wel degelijk schade opleveren zoals bedoeld in artikel 82 AVG. Dat de schade op zichzelf niet direct gesubstantieerd kan worden, zoals door [gedaagde] aangevoerd, is daarvoor geen belemmering. Een van de hoofddoelen van de AVG is namelijk dat iedere persoon de controle houdt over zijn eigen persoonsgegevens (overweging 7 AVG). [eiseres] is deze controle kwijtgeraakt doordat [gedaagde] de gegevens heeft doorgestuurd naar een aanzienlijke groep mensen. Zoals [eiseres] tijdens de zitting onbetwist heeft aangevoerd is niet te achterhalen waar deze gegevens nu circuleren. In het kader van een doeltreffende naleving van de AVG is de kantonrechter van oordeel dat dit dient te worden aangemerkt als schade van [eiseres] .

omvang schadevergoeding

4.5.

Ten aanzien van de omvang van deze schade overweegt de kantonrechter het volgende. [gedaagde] heeft een grote hoeveelheid persoonsgegevens van [eiseres] doorgestuurd, die naast contactgegevens ook gevoelige financiële gegevens bevatten over het inkomen en het vermogen van [eiseres] . De omvang van de gegevens en de combinatie waarin die verstrekt zijn brengen risico’s met zich voor [eiseres] . Dit onderkent ook [gedaagde] , aangezien zij in haar e-mail waarschuwt voor phishingberichten als gevolg van de onrechtmatige verwerking (r.o. 2.4). Kortom, de aard en ernst van de onrechtmatige verwerking is van invloed op de toewijsbare vergoeding.

4.6.

Anderzijds weegt de kantonrechter mee dat de gegevens niet openbaar zijn gemaakt aan een algemeen publiek, maar slechts aan een in omvang beperkte groep van ongeveer 1100 personen. Verder is van belang dat onbetwist is dat het toevoegen van de bijlage aan de e-mail een menselijke fout betreft, dat [gedaagde] direct schadebeperkend heeft gehandeld en dat zij de inbreuk heeft gemeld. [gedaagde] heeft immers diezelfde avond alle ontvangers nog verzocht om de mail te verwijderen en daarnaast het incident gemeld bij de Autoriteit Persoonsgegevens. Ook is van belang dat de persoonsgegevens geen bijzondere persoonsgegevens betreffen, zoals bedoeld in artikel 9 AVG.

4.7.

Met oog op het voorgaande wijst de kantonrechter een schadevergoeding van € 250,- toe. De wettelijke rente over dat bedrag wordt als onbetwist en op de wet gegrond toegewezen.

uitvoerbaarheid bij voorraad

4.8.

[eiseres] heeft verzocht dit vonnis uitvoerbaar bij voorraad te verklaren. Op grond van artikel 233 lid 1 Rv kan de rechter, indien dit wordt gevorderd, het vonnis uitvoerbaar bij voorraad verklaren, tenzij uit de wet of uit de aard van de zaak anders voortvloeit. Noch de wet, noch de aard van de zaak verzet zich tegen de gevorderde uitvoerbaarverklaring bij voorraad. Uit vaste rechtspraak volgt dat [eiseres] belang heeft bij de uitvoerbaarverklaring, aangezien het vonnis ziet op betaling van een geldsom (HR 27 februari 1998, NJ 1998, 512). [gedaagde] heeft verweer gevoerd tegen de uitvoerbaarverklaring. Het door haar aangevoerde restitutierisico acht de kantonrechter echter niet aanwezig bij deze omvang van de schadevergoeding. De verder aangevoerde omstandigheid dat [gedaagde] bij een toewijzend vonnis zeker in hoger beroep zal gaan, levert op zichzelf geen gegronde reden op. De gevorderde uitvoerbaarheid bij voorraad wordt daarom toegewezen.

4.9.

Voor de gevorderde zekerheidsstelling (artikel 233 lid 3 Rv) ziet de kantonrechter om dezelfde reden geen aanleiding.

proceskosten

4.10.

Aangezien beide partijen voor een gedeelte in het ongelijk zijn gesteld ziet de kantonrechter aanleiding om de proceskosten te compenseren, in die zin dat beide partijen de eigen kosten dragen.

5. De beslissing

De kantonrechter:

veroordeelt [gedaagde] om aan [eiseres] een bedrag van € 250,- te betalen, vermeerderd met de wettelijke rente vanaf 2 september 2021 tot aan de dag van volledige betaling;

compenseert de proceskosten, in die zin dat beide partijen de eigen kosten dragen;

verklaart dit vonnis uitvoerbaar bij voorraad en wijst het meer of anders gevorderde af.

Dit vonnis is gewezen door mr. F. Aukema-Hartog en is in het openbaar uitgesproken.

33394


» Juridisch advies nodig? « advertorial

Heeft u een juridisch probleem of een zaak die u wilt voorleggen aan een gespecialiseerde jurist of advocaat ?

Neemt u dan gerust contact met ons op en laat uw zaak vrijblijvend beoordelen.



naar boven      |      zoeken      |      uitgebreid zoeken

Snel uitspraken zoeken en filteren

> per rechtsgebied > op datum > op instantie

Gerelateerde advocaten

Gerelateerde advocatenkantoren

Recente vacatures

Meer vacatures | Plaats vacature