Netherlands

Risk Impact: Ook in Nederland juridische massaclaims mogelijk na datalek

 

Januari 2019

Risk Impact is een uitgave van Aon Global Risk Consulting (AGRC), waarin de actuele risico’s en hun potentiële impact voor het Nederlands bedrijfsleven worden besproken. Wat speelt er in de wereld, wat betekent dit voor u en wat kunt u doen om de impact op uw bedrijf te beheersen en beperken?

Een datalek bij hotelketen Marriot eind vorig jaar bleek een van de meest impactvolle datalek incidenten tot nu toe te zijn. Na een hack die maar liefst vier jaar lang duurde bleek dat naar schatting 500 miljoen persoonsgegevens in verkeerde handen zijn gekomen. Het antwoord daarop was snel en krachtig: tientallen zogeheten ‘class actions’ worden tegen Mariott gevoerd. Gedupeerden stappen daarbij gezamenlijk naar de rechter om claims in te dienen.

Ook in Nederland is het mogelijk om gezamenlijk juridische stappen te ondernemen. De vraag is daarom niet òf er in Nederland een collectieve actie na een datalek gevoerd gaat worden, maar wanneer dit zal gebeuren.

Class Action binnen de EU

In de VS is het al sinds jaar en dag mogelijk om een class action te starten. In Nederland is sinds 2005 de Wet Collectieve Afhandeling Massaclaims (WCAM) ingevoerd. De invoering van deze wet past bij de Nederlandse ambitie om ook op het gebied van de class actions binnen de EU voorloper te zijn. In Nederland zijn al diverse class actions gevoerd, denk bijvoorbeeld aan de veelbesproken woekerpolissen. In de rest van de EU worstelen verschillende lidstaten al jaren met het ontwikkelen van een goed werkend juridisch mechanisme om een collectieve actie in te stellen. Zo is het in Frankrijk alleen mogelijk om op bepaalde in de wet genoemde rechtsgebieden een class action te voeren. Sinds kort zijn de mogelijkheden verruimd om organisaties aansprakelijk te stellen voor verlies van persoonsgegevens. In België is een class action op basis van dergelijke aansprakelijkheden al mogelijk, terwijl in Duitsland de mogelijkheden om een class action te voeren nog steeds zeer gering zijn.

Grensoverschrijdende schandalen, zoals ‘dieselgate’, laten zien hoe belangrijk het is om binnen de EU een class action te kunnen voeren. De Europese Commissie heeft daarom een voorstel gemaakt om collectieve acties binnen de EU te vergemakkelijken. De Europese Commissie doet dit ook om een class action in het geval van aansprakelijkheden rondom persoonsgegevens mogelijk te maken. Het doel van dergelijke class actions is immers bescherming van de belangen van de consument. De Commissie gaf hierbij nadrukkelijk aan dat het doel niet is om de verschillende nationale systemen te harmoniseren.

Organisatorische weerbaarheid en de dynamiek rondom de AVG

De Autoriteit Persoonsgegevens heeft voor de ingangsdatum van de AVG benadrukt dat wanneer een organisatie niet aan de nieuwe wet voldoet, niet direct de maximale boete van 4% van de wereldwijde omzet opgelegd zou worden. Veel organisaties voelen daardoor geen druk om (volledig) aan de AVG te voldoen. Daarnaast zijn er, zes maanden na inwerkingtreding van de AVG, nog steeds bedrijven die in de veronderstelling leven dat zij over geen tot weinig persoonsgegevens beschikken, bijvoorbeeld omdat zij alleen aan bedrijven leveren (business to business). Door deze verkeerde inschatting blijven zij ten onrechte stil zitten.

Als je puur naar de AVG kijkt, lijken de risico’s bij non-compliance berekenbaar en statisch te zijn. Vanuit het risk impactperspectief klopt deze constatering niet. Er zijn immers nieuwe risico’s bijgekomen. In Nederland is er nog geen class action gevoerd na een datalek, maar het is een kwestie van tijd voordat ook op dit vlak een advocaat wordt gevraagd om een collectieve actie namens gedupeerden te starten. Een ander bijkomend risico is reputatieschade. Na de invoering van de Meldplicht Datalekken komt het onderwerp veelvuldig in het nieuws. Neem deze risico’s serieus, door hier tijdig op te anticiperen en beheersmaatregelen te treffen om datalekken te voorkomen.

Voldoet uw organisatie al aan de AVG of zijn aanvullende maatregelen gewenst? Hoe voorkomt uw organisatie dat datalekken zich in de toekomst voordoen? En welke strategie ligt er klaar als het onverhoopt toch gebeurt? Wij denken graag met u mee.