25 feb 2022
Schadevergoeding wegens gelekte persoonsgegevens
Ktr. Rotterdam 25 februari 2022, IT 3843; ECLI:NL:RBROT:2022:1420 (Excelbestand met persoonsgegevens) Gedaagde voert een nieuwbouwproject uit waarbij personen die belangstelling hebben voor de eventuele koop van een nieuwbouwwoning zich via een website kunnen inschrijven als kandidaat-koper. Eiseres is een van de kandidaat-kopers. Gedaagde heeft een e-mail verzonden aan alle personen die zich hebben ingeschreven. Bij deze e-mail heeft gedaagde een onbeveiligd Excelbestand gevoegd met daarin de persoonsgegevens van alle kandidaat-kopers. Het lukte gedaagde niet de verzonden e-mail in te trekken. Gedaagde heeft vervolgens een e-mail gestuurd met de vraag aan alle kandidaat-kopers om het Excelbestand direct te verwijderen.
Eiseres vordert een schadevergoeding. De rechtbank oordeelt dat gedaagde de persoonsgegevens onrechtmatig heeft verwerkt. Eiseres heeft echter niet nader onderbouwd wat haar belang is bij een verklaring voor recht. Deze wordt daarom afgewezen. Eiseres heeft wel recht op een schadevergoeding. Zij is namelijk de controle over haar persoonsgegevens kwijtgeraakt, wat kan worden aangemerkt als schade. Bij de omvang van de schadevergoeding houdt de rechtbank rekening met het feit dat de gegevens niet openbaar zijn gemaakt aan een algemeen publiek, dat het geen bijzondere persoonsgegevens betreffen, maar dat het wel gaat om gevoelige financiële gegevens.
4.4.
Een van de hoofddoelen van de AVG is namelijk dat iedere persoon de controle houdt over zijn eigen persoonsgegevens (overweging 7 AVG). [eiseres] is deze controle kwijtgeraakt doordat [gedaagde] de gegevens heeft doorgestuurd naar een aanzienlijke groep mensen. Zoals [eiseres] tijdens de zitting onbetwist heeft aangevoerd is niet te achterhalen waar deze gegevens nu circuleren. In het kader van een doeltreffende naleving van de AVG is de kantonrechter van oordeel dat dit dient te worden aangemerkt als schade van [eiseres].