Een lezer vroeg me:
Een online muziekdienst waar ik gebruik van maakte heeft wegens een groot datalek van de Franse toezichthouder een boete gekregen. Bij dit datalek werden ook mijn persoonlijke gegevens gestolen. Alleen, het geld van die boete gaat nu naar de Franse overheid. Als gedupeerde Nederlandse gebruiker zie ik hier helemaal niets van terug. Waarom is dit zo en kun je er als getroffen gebruiker iets aan doen?
Inderdaad kunnen onder de AVG boetes worden opgelegd voor gebrekkige beveiliging van persoonsgegevens, zeker als die daardoor in onbevoegde handen zijn gekomen.
De bevoegde toezichthouder die zo’n maatregel neemt, hangt (in principe) af van het land waarin het incident plaatsvond, wat vaak samenhangt met waar de verwerkingsverantwoordelijke gevestigd is. In dit geval was dat dus Frankrijk, vandaar dat daar de boete is opgelegd. (Wie de juridische details wil: artikelen 55 en 56 AVG.)
Doel van een boete is organisaties bestraffen, en anderen afschrikken zodat die hun zaakjes beter gaan regelen. Uit de boete worden slachtoffers dus niet schadeloos gesteld, en ze kunnen ook geen aanspraak maken op een kostenvergoeding of iets dergelijks. De boete gaat ‘gewoon’ de staatskas in.
Getroffenen mogen wél een schadeclaim indienen bij de organisatie in kwestie, al dan niet via een collectieve procedure met alle andere gedupeerden samen. Dat de organisatie is beboet door de toezichthouder, is dan een heel sterk argument dat die schade moet worden vergoed. Maar formeel staat deze procedure los van het boetetraject. (In het Nederland strafrecht kun je je als slachtoffer voegen, wat betekent dat je via de strafrechter je schade vergoed krijgt van de dader. In het bestuursrecht, waar de AVG onder valt, bestaat zo’n route niet.)
Arnoud
