De Algemene verordening gegevensbescherming (AVG) stelt dat de organisatie die verantwoordelijk is alle materiële én immateriële schade moet vergoeden bij schendingen. Dit is bij materiële schade vaak eenvoudig aan te tonen. Bij immateriële schade kan dat veel lastiger zijn. “Hoe bewijs je de emotionele impact van een onrechtmatige vermelding op een zwarte lijst, van gesnuffel in je medisch dossier of van discriminatie door een algoritme? Hoe bewijs je de frustratie, onzekerheid, angst, stress en het verdriet die dat kan veroorzaken? Hoe bewijs je een kras op je ziel?”, merkt Wolfsen op.

Er zijn inmiddels verschillende gerechtelijke uitspraken waarbij slachtoffers van wie gegevens onrechtmatig werden verwerkt smartengeld toegekend kregen. Zo veroordeelde de Raad van State minister Dekker voor Rechtsbescherming vorig jaar tot het betalen van 500 euro smartengeld aan een persoon voor het onrechtmatig verwerken/verstrekken van medische gegevens.

De veroordelingen in Nederland hadden betrekking op de verwerking van gevoelige gegevens, zoals gezondheidsgegevens en het BSN. “Maar ik zou werkelijk niet weten waarom dat voor andere persoonsgegevens anders zou liggen. Zeker als de schending het gevolg is van onzorgvuldig of onnadenkend handelen of er meer grondrechten of waarden in het geding zijn”, stelt Wolfsen.

Volgens de AP-voorzitter worden schendingen met betrekking tot andere persoonsgegevens ook gekwalificeerd als een even ernstig strafbaar feit. “Dan valt toch moeilijk vol te houden dat die inbreuken geen immateriële schade veroorzaken?”, gaat hij verder. Mochten rechters twijfelen of bij schendingen met “gewone” persoonsgegevens ook smartengeld moet worden toegekend vindt Wolfsen dat het kabinet dit duidelijker moet opnemen in de wet.

Er zijn verschillende wetsvoorstellen waarbij de AP-voorzitter hiervoor ruimte ziet. “Slachtoffers hebben nog meer belang bij rechtsherstel dan bij een boete”, stelt Wolfsen. Hij vindt het moeilijk vol te houden dat een kras op een fiets of een auto wel standaard leidt tot schadevergoeding, maar dat dit niet het geval is bij schendingen met persoonsgegevens. “Dan moet smartengeld de regel zijn, geen uitzondering”, besluit hij.

Lees meer op security.nl