Iedereen die materiële of immateriële schade lijdt door een schending van de Algemene verordening gegevensbescherming (AVG), heeft recht op schadevergoeding. Bijvoorbeeld als gevoelige persoonsgegevens zoals BSN of e-mailadres per ongeluk openbaar gemaakt worden. Ook bij het onterecht te lang bewaren van gegevens kan de persoonlijke levenssfeer worden geschonden. En kan er dus ook sprake zijn van immateriële schade. In deze opinie bespreek ik een recente uitspraak van de Rechtbank Rotterdam waarbij een gemeente veroordeeld is tot het betalen van een schadevergoeding voor het te lang bewaren van persoonsgegevens.

Immateriële schade bij onterecht bewaren gegevens

In de zaak die aan de Rechtbank Rotterdam werd voorgelegd, verzocht een betrokkene de gemeente meerdere malen om haar gegevens te verwijderen. Het ging om medische gegevens in meerdere dossiers. De gemeente heeft de verzoeken eerst afgewezen, maar is uiteindelijk wel overgegaan tot het verwijderen van de gegevens. Betrokkene wil schadevergoeding voor de immateriële schade die zij geleden heeft.

Als een organisatie gegevens verwerkt, mag degene om wie het gaat, een verwijderverzoek indienen. Als de gegevens niet kloppen, niet compleet zijn of niet langer noodzakelijk zijn om te bewaren, moet de organisatie de gegevens verwijderen (artikel 17 AVG). Worden de gegevens niet verwijderd, terwijl dat wel zou moeten, kan dat financiële gevolgen hebben voor de organisatie. De rechter kan dan oordelen dat er sprake is van immateriële schade, die moet worden vergoed aan de betrokkene.

Waarom de gemeente in deze zaak de gegevens niet heeft verwijderd, blijkt niet uit de uitspraak. Vast staat in ieder geval dat de gegevens onterecht te lang bewaard zijn. Daarom oordeelt de rechtbank dat betrokkene immateriële schade heeft geleden en dat de gemeente een schadevergoeding moet betalen.

Waarin zit de immateriële schade bij te lang bewaren gegevens vs. datalek

In een eerdere uitspraak van de rechtbank Noord-Nederland zagen we hoe een datalek leidt tot immateriële schade. Dat kan aan de orde zijn bij het onbedoeld lekken van gevoelige persoonsgegevens, zoals een BSN of e-mailadres. Je spreekt in dat geval van een ‘aantasting in de persoon’, die aangetoond wordt door een schending van de persoonlijke levenssfeer. Lees onze eerdere opinie voor meer uitleg daarover.

Nu kun je denken; de gegevens zijn dan wel te lang bewaard, maar staan op zijn minst veilig achter slot en grendel. Dat is bijvoorbeeld bij een datalek niet het geval. Dan liggen de gegevens “op straat”. Waar zit dan die immateriële schade?

De rechter vindt het in deze zaak aannemelijk dat, in de tien jaar dat de gegevens onrechtmatig in de dossiers zijn bewaard, meerdere personen (of instanties) de gegevens hebben kunnen lezen. Zonder dat zij daartoe het recht hadden. Hiermee staat dus vast dat de betrokkene immateriële schade heeft geleden. Er is namelijk sprake van een schending van het recht op eerbiediging van de persoonlijke levenssfeer.

Of daadwerkelijk instanties/personen bij de gegevens zijn geweest, is niet van belang. De mogelijkheid was er en het is aannemelijk dat dit ook is gebeurd. Zeker gelet op de lange duur van de onrechtmatige opslag, oordeelt de rechter.

Noodzaak gegevensbewaring blijft aandachtspunt voor gemeenten

De schending leidt tot een relatief hoge schadevergoeding

Al eerder is door de Raad van State voor kortdurende onrechtmatige verwerking van medische gegevens een schadevergoeding van  € 500,- gegeven (ECLI:NL:RVS:2020:898). Omdat het hier gaat om een periode van 10 jaar, veroordeelt de rechtbank de gemeente tot het betalen van een schadevergoeding van € 2.500,-. Dit is een relatief hoog bedrag. Het laat zien dat de rechtspraak zorgvuldige gegevensverwerking door gemeenten heel belangrijk vindt.

Voorkom immateriële schade door te lang bewaren van persoonsgegevens

Waar het bij een datalek misschien meer voor de hand ligt dat schade ontstaat, kan dus ook het te lang bewaren van gegevens immateriële schade opleveren. Het is voor gemeenten daarom niet alleen van belang dat zij gegevens goed beschermen, maar ook dat zij kritisch kijken naar de noodzaak van bewaring. Kortom:

  • Weeg bij een vernietigingsverzoek altijd goed af wat voor moet gaan: de wettelijke bewaartermijn óf de wens van iemand om de gegevens eerder te verwijderen. Dat kan ertoe leiden dat de gegevens direct vernietigd moeten worden, zelfs als de wettelijke bewaartermijn nog niet is verstreken.
  • Blijf ook zonder vernietigingsverzoek altijd alert. Er gelden voor het bewaren van gegevens een aantal belangrijke richtlijnen. Volgens de AVG mogen gegevens niet langer dan noodzakelijk bewaard blijven. De term ‘noodzakelijk’ is niet heel concreet. Meer concrete gegevens over het bewaren/archiveren van stukken zijn te vinden in de Archiefwet 1995 en de Selectielijst. Zo geeft de Selectielijst onder andere bewaartermijnen voor afgebroken aanvragen, toekenningen, afwijzingen en beëindigingen. Voor het gebruik van de Selectielijst is door de VNG een handreiking ontwikkeld.

Altijd op de hoogte zijn van de nieuwste uitspraken in het sociaal domein? Dat kan met een abonnement op onze online kennisbank Schulinck Participatiewet, Wmo, Jeugd, Inburgering of Schuldhulpverlening.