Uitspraak Geschillencommissie Financiële Dienstverlening nr. 2021-0730
(mr. E.L.A. van Emden, voorzitter en mr. E.H.C. Vos, secretaris)
Klacht ontvangen op : 1 maart 2021
Ingediend door : De consument
Tegen : DEFAM B.V., gevestigd te Bunnik, verder te noemen de kredietverstrekker
Datum uitspraak : 18 augustus 2021
Aard uitspraak : Bindend advies
Uitkomst : Vordering afgewezen
Bijlage : Relevante bepalingen uit wet- en regelgeving
Samenvatting
De kredietverstrekker heeft persoonsgegevens van de consument per abuis naar een andere klant gestuurd. De consument heeft zich hierover beklaagd en heeft een financiële compensatie van de kredietverstrekker gevorderd. De kredietverstrekker heeft excuses aangeboden aan de consument voor het delen van haar persoonsgegevens, maar heeft de consument geen schadevergoeding aangeboden. De commissie is van oordeel dat, hoewel de gegevens van de consument onrechtmatig gedeeld zijn met een andere klant, de consument geen recht heeft op schadevergoeding. Er is namelijk geen sprake van schade die voor vergoeding in aanmerking komt. De vordering van de consument is afgewezen.
1. De procedure
1.1 De commissie beslist op basis van haar reglement en op basis van de door partijen aan Kifid ingestuurde documenten inclusief bijlagen. Het gaat om: 1) het klachtformulier van de consument; 2) de aanvullende stukken van de consument; 3) het verweerschrift van de kredietverstrekker; 4) de repliek van de consument en 5) de dupliek van de kredietverstrekker.
1.2 De commissie is van oordeel dat het niet nodig is de zaak mondeling te behandelen. De zaak wordt daarom op grond van de stukken beslist.
1.3 De consument en de kredietverstrekker hebben gekozen voor een bindend advies. Dit betekent dat partijen elkaar aan de uitspraak kunnen houden.
2. Het geschil
Wat is er gebeurd?
2.1 De consument heeft een lopende kredietovereenkomst bij de kredietverstrekker. Op 1 oktober 2020 ontving zij een brief van de kredietverstrekker, waarin vermeld is dat een medewerker van de kredietverstrekker eerder die week per abuis persoonsgegevens van de consument gedeeld heeft met een andere klant. Het gaat om de naam, de geboortedatum, het contractnummer, het e-mailadres en het telefoonnummer van de consument (hierna: de persoonsgegevens). Deze gegevens waren opgenomen in een bijlage van een e-mail die de medewerker naar de andere klant gestuurd heeft. De kredietverstrekker heeft snel na het verzenden van de persoonsgegevens contact gehad met de ontvangende klant. Die klant heeft bevestigd dat hij of zij de gegevens direct vernietigd heeft.
2.2 De kredietverstrekker heeft een melding gemaakt van bovengenoemd incident bij de Autoriteit Persoonsgegevens. Daarnaast heeft de kredietverstrekker in de brief van 1 oktober 2020 excuses aangeboden aan de consument en heeft zij een bos bloemen naar de consument gestuurd. Ten slotte heeft de kredietverstrekker naar aanleiding van de gebeurtenissen aan alle medewerkers gevraagd alle persoonsgegevens van klanten uit hun persoonlijke mappen te verwijderen en hen verzocht de standaard blancoformulieren die als bijlage meegestuurd worden, uit een gezamenlijke map te halen.
De klacht en vordering
2.3 De consument heeft zich beklaagd over het delen van haar persoonsgegevens met een andere klant van de kredietverstrekker. De consument wil vanwege dit datalek financieel gecompenseerd worden. Er is sprake van een grove fout en slordigheid van de kredietverstrekker.
2.4 Omdat de consument zelf niet via de e-mail met de kredietverstrekker gecommuniceerd heeft, is het onterecht en in strijd met haar privacy dat de persoonsgegevens naar een andere klant gestuurd zijn.
Het verweer
2.5 De kredietverstrekker heeft verweer gevoerd tegen de stellingen van de consument. Voor zover relevant zal de commissie bij de beoordeling daarop ingaan.
3. De beoordeling
3.1 Tussen partijen staat vast dat de persoonsgegevens van de consument ten onrechte gedeeld zijn met een andere klant. Dit betekent dat er sprake is van een onrechtmatige verwerking van persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG). Aan de commissie is ter beoordeling voorgelegd of deze onrechtmatige verwerking van de persoonsgegevens van de consument ertoe leidt dat de kredietverstrekker schadevergoeding aan de consument moet betalen. De commissie is tot de conclusie gekomen dat de kredietverstrekker geen schadevergoeding hoeft te betalen en licht dit als volgt toe.
Schadevergoeding onder de AVG
3.2 In artikel 82 AVG is bepaald dat de verwerkingsverantwoordelijke (de kredietverstrekker) eenieder (de consument), die materiële of immateriële schade heeft geleden, een schadevergoeding dient te bieden, indien deze schade is geleden als gevolg van een inbreuk op de AVG. De tekst van dit artikel is in de bijlage opgenomen.
Heeft de consument recht op schadevergoeding?
3.3 De consument heeft niet gesteld dat er sprake is van materiële schade en dat is ook niet op een andere manier gebleken. Er kan dus geen aanspraak worden gemaakt op materiële schadevergoeding. Volgens de consument heeft zij wel immateriële schade geleden. Haar vertrouwen is namelijk geschaad. Daarnaast heeft zij last van angst en onbetrouwbare gevoelens doordat haar persoonlijke gegevens zijn doorgestuurd naar een andere klant.
3.4 De AVG is gestoeld op Europese regelgeving. In de AVG is niet bepaald op welke wijze de immateriële schade moet worden vastgesteld en berekend. Ook heeft het Hof van Justitie nog geen uitleg gegeven aan specifiek het schadebegrip of over de vergoedbare immateriële schade bij onrechtmatige verwerking van persoonsgegevens. Dit betekent dat de commissie bij de vraag of de consument recht heeft op immateriële schadevergoeding vanwege het in strijd handelen met de AVG door de kredietverstrekker, het nationale schadevergoedingsrecht als uitgangspunt neemt. In artikel 6:106 lid 1, onder b van het Burgerlijk Wetboek (BW, zie de tekst van dit artikel in de bijlage) is het recht op schadevergoeding opgenomen in geval de consument lichamelijk letsel heeft opgelopen, in haar eer of goede naam is geschaad of op andere wijze in haar persoon is aangetast. De commissie begrijpt dat de consument stelt dat zij in de woorden van de wet ‘op andere wijze in haar persoon is aangetast’. Het recht op bescherming van persoonsgegevens is een grondrecht, onder meer vastgelegd in artikel 10 van de Grondwet (zie de tekst van dit artikel in de bijlage). Volgens de Hoge Raad is onvoldoende om te stellen dat er bij schending van een grondrecht automatisch sprake is van aantasting van de persoon (en daarmee aanspraak kan worden gemaakt op immateriële schadevergoeding). Degene die zich beroept op de aantasting in zijn persoon moet dit met concrete gegevens onderbouwen. De aard en ernst van de normschending kunnen echter meebrengen dat de aantasting in de persoon mag worden aangenomen. De voorbeelden die de Hoge Raad hiertoe aanhaalt, zijn zeer ernstig: grootschalige rellen en de geboorte van een kind tegen de uitdrukkelijke anticonceptiewens in.
3.5 De commissie is van oordeel dat de aard en ernst van de schending van de privacyrechten van de consument niet zodanig zijn dat er sprake is van een aantasting in haar persoon. Daarnaast is de commissie van oordeel dat de consument onvoldoende gemotiveerd heeft onderbouwd dat hij in zijn persoon is aangetast. Het volgende is daarbij in overweging genomen. De naam en geboortedatum, het contractnummer, e-mailadres en telefoonnummer van de consument zijn met een derde gedeeld. Zoals de kredietverstrekker opgemerkt heeft, zijn dit geen financiële gegevens. Ook zijn het geen bijzondere persoonsgegevens (zoals bedoeld in de AVG, waaronder bijvoorbeeld gegevens met betrekking tot de gezondheid van de consument). De gegevens zijn verder met niet meer dan één persoon gedeeld, die bovendien verklaard heeft de gegevens direct te hebben vernietigd. De consument heeft gesteld dat zij geen garantie heeft dat de ontvangende klant de gegevens daadwerkelijk verwijderd heeft. Hier staat tegenover dat niet gesteld en ook niet gebleken is dat de ontvangende partij misbruik gemaakt heeft van de persoonsgegevens van de consument. Daarnaast is relevant dat de kredietverstrekker in haar organisatie reeds maatregelen genomen heeft om herhaling te voorkomen. Ook heeft de kredietverstrekker toegelicht dat altijd vier controlevragen gesteld worden in contact met klanten. Ten slotte is relevant dat de gegevens niet doelbewust gedeeld zijn, maar dat er sprake is van een menselijke fout.
4. De beslissing
De commissie wijst de vordering af.
Deze uitspraak is een bindend advies. Tegen deze uitspraak kunt u beroep instellen bij de Commissie van Beroep Financiële Dienstverlening als wordt voldaan aan de vereisten van artikel 2 van het Reglement van de Commissie van Beroep Financiële Dienstverlening. Voor het instellen van beroep geldt een termijn van zes weken na verzending van deze uitspraak. Het reglement van de commissie van beroep en meer informatie over het instellen van beroep kunt u vinden op de website www.kifid.nl/in-beroep-gaan-bij-kifid.
Binnen twee weken na de verzenddatum van deze uitspraak kunt u een schriftelijk verzoek indienen tot herstel van vergissingen in de uitspraak zoals schrijffouten, een verkeerde naam/datum of rekenfouten. De beslissing van de geschillencommissie in de uitspraak kan hiermee niet ter discussie worden gesteld. Binnen een maand na de verzenddatum van de uitspraak kunt u een schriftelijk verzoek indienen om de uitspraak aan te vullen als u vindt dat de geschillencommissie niet heeft beslist over alle onderdelen van uw vordering. Dit ziet niet op de situatie waarin u meent dat de geschillencommissie in haar uitspraak niet uitdrukkelijk al uw argumenten, ter onderbouwing van uw vordering, heeft behandeld. Meer informatie hierover staat in artikel 40 van het reglement van de geschillencommissie, te vinden op de website www.kifid.nl/reglementen-en-statuten.
Bijlage – Relevante bepalingen uit wet- en regelgeving
Algemene Verordening Gegevensbescherming
“Artikel 82
Recht op schadevergoeding en aansprakelijkheid
1. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
2. Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.
3. Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.
4. Wanneer meerdere verwerkingsverantwoordelijken of verwerkers bij dezelfde verwerking betrokken zijn, en overeenkomstig de leden 2 en 3 verantwoordelijk zijn voor schade die door verwerking is veroorzaakt, wordt elke verwerkingsverantwoordelijke of verwerker voor de gehele schade aansprakelijk gehouden teneinde te garanderen dat de betrokkene daadwerkelijk wordt vergoed.
5. Wanneer een verwerkingsverantwoordelijke of verwerker de schade overeenkomstig lid 4 geheel heeft vergoed, kan deze verwerkingsverantwoordelijke of verwerker op andere verwerkingsverantwoordelijken of verwerkers die bij de verwerking waren betrokken, het deel van de schadevergoeding verhalen dat overeenkomt met hun deel van de aansprakelijkheid voor de schade, overeenkomstig de in lid 2 gestelde voorwaarden.
6. Gerechtelijke procedures voor het uitoefenen van het recht op schadevergoeding worden gevoerd voor de in artikel 79, lid 2, bedoelde lidstaatrechtelijk bevoegde gerechten.”
Burgerlijk Wetboek
“Artikel 6:106
Voor nadeel dat niet in vermogensschade bestaat, heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding:
a. indien de aansprakelijke persoon het oogmerk had zodanig nadeel toe te brengen;
b. indien de benadeelde lichamelijk letsel heeft opgelopen, in zijn eer of goede naam is geschaad of op andere wijze in zijn persoon is aangetast;
c. indien het nadeel gelegen is in aantasting van de nagedachtenis van een overledene en toegebracht is aan de niet van tafel en bed gescheiden echtgenoot, de geregistreerde partner of een bloedverwant tot in de tweede graad van de overledene, mits de aantasting plaatsvond op een wijze die de overledene, ware hij nog in leven geweest, recht zou hebben gegeven op schadevergoeding wegens het schaden van zijn eer of goede naam.”
Grondwet
“Artikel 10
1Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
2De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
3De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.”
Bekijk de volledige uitspraak