Computerrecht 2022/55:In een collectieve procedure verwijt The Privacy Collective (TPC) softwarebedrijven Oracle en Salesforce dat zij zonder geldige toestemming persoonsgegevens verzamelen en verkopen van tien miljoen Nederlanders. Volgens TPC handelen Oracle en Salesforce in strijd met de AVG en de Telecommunicatiewet. Voor de groepen benadeelden vordert TPC € 5 miljard (€ 500 per internetgebruiker) van zowel Oracle als Salesforce. Bovendien stelt TPC dat Oracle door een datalek de privacy heeft geschonden van Nederlandse internetgebruikers. Daarom vordert TPC ook nog € 100 per internetgebruiker van Oracle. In dit vonnis verklaart de rechtbank TPC niet-ontvankelijk in haar vorderingen, omdat zij niet voldoende representatief is. In een obiter dictum (r.o. 5.19-5.26) noemt de rechtbank een voor de rechtswetenschap en -praktijk belangrijke kwestie, namelijk de verhouding tussen de WAMCA en het collectieve-actierecht van artikel 80 lid 2 AVG.

Computerrecht 2022/55

In een collectieve procedure verwijt The Privacy Collective (TPC) softwarebedrijven Oracle en Salesforce dat zij zonder geldige toestemming persoonsgegevens verzamelen en verkopen van tien miljoen Nederlanders. Volgens TPC handelen Oracle en Salesforce in strijd met de AVG en de Telecommunicatiewet. Voor de groepen benadeelden vordert TPC € 5 miljard (€ 500 per internetgebruiker) van zowel Oracle als Salesforce. Bovendien stelt TPC dat Oracle door een datalek de privacy heeft geschonden van Nederlandse internetgebruikers. Daarom vordert TPC ook nog € 100 per internetgebruiker van Oracle. In dit vonnis verklaart de rechtbank TPC niet-ontvankelijk in haar vorderingen, omdat zij niet voldoende representatief is. In een obiter dictum (r.o. 5.19-5.26) noemt de rechtbank een voor de rechtswetenschap en -praktijk belangrijke kwestie, namelijk de verhouding tussen de WAMCA en het collectieve-actierecht van artikel 80 lid 2 AVG.

Documentgegevens:

Rb. Amsterdam 29-12-2021, ECLI:NL:RBAMS:2021:7647, m.nt. D.L. Barbiers & T.F. Walree

Instantie: Rechtbank Amsterdam
Datum: 29 december 2021
Magistraten: Mrs. R.H.C. Jongeneel, J.W. Bockwinkel, M.C.H. Broesterhuizen en C.E.P. Honing
Zaaknummer: C/13/688682 / HA ZA 20-863
Noot: D.L. Barbiers & T.F. Walree
Folio weergave: Deze functie is alleen te gebruiken als je bent ingelogd.
JCDI: JCDI:ADS638811:1
Vakgebied(en): Informatierecht / Algemeen
Informatierecht / ICT
Brondocumenten: ECLI:NL:RBAMS:2021:7647, Uitspraak, Rechtbank Amsterdam, 29‑12‑2021
Wetingang: (Art. 3:305a BW; art. 1018c Rv; art. 79, 80, 82 AVG)

Essentie

In een collectieve procedure verwijt The Privacy Collective (TPC) softwarebedrijven Oracle en Salesforce dat zij zonder geldige toestemming persoonsgegevens verzamelen en verkopen van tien miljoen Nederlanders. Volgens TPC handelen Oracle en Salesforce in strijd met de AVG en de Telecommunicatiewet. Voor de groepen benadeelden vordert TPC € 5 miljard (€ 500 per internetgebruiker) van zowel Oracle als Salesforce. Bovendien stelt TPC dat Oracle door een datalek de privacy heeft geschonden van Nederlandse internetgebruikers. Daarom vordert TPC ook nog € 100 per internetgebruiker van Oracle. In dit vonnis verklaart de rechtbank TPC niet-ontvankelijk in haar vorderingen, omdat zij niet voldoende representatief is. In een obiter dictum (r.o. 5.19-5.26) noemt de rechtbank een voor de rechtswetenschap en -praktijk belangrijke kwestie, namelijk de verhouding tussen de WAMCA en het collectieve-actierecht van artikel 80 lid 2 AVG.

Uitspraak

Selectie van rechtsoverwegingen

[…]

Waar deze zaak over gaat

2.1.

Deze zaak heeft betrekking op persoonsgegevens van Nederlandse internetgebruikers. Volgens TPC verzamelen Oracle en Salesforce in het kader van een dienst, die Data Management Platform (hierna: DMP) wordt genoemd, persoonsgegevens van internetgebruikers, verwerken zij deze in gedetailleerde profielen en verkopen zij deze informatie aan derden om hen onder meer in staat te stellen gepersonaliseerde advertenties aan te bieden op websites. Deze gegevensverzameling begint volgens TPC met het door Oracle en Salesforce plaatsen van een cookie op de randapparatuur van de internetgebruiker. Met behulp van de cookie worden persoonsgegevens verzameld. Oracle en Salesforce verrijken de via de cookie verzamelde gegevens en andere unieke identificatoren met informatie uit alternatieve bronnen. Volgens TPC bouwen Oracle en Salesforce op dagelijkse basis aan een profiel, zodat een zo volledig mogelijk overzicht ontstaat van de karaktereigenschappen en interesses van de betreffende persoon. Het doel van de gegevensverwerkingen is onder meer om het profiel van de internetgebruiker te delen in een proces dat Real Time Bidding (hierna: “RTB”) wordt genoemd. Hierbij wordt het profiel van de internetgebruiker aangeboden aan adverteerders, teneinde gepersonaliseerde advertenties op websites te tonen. Oracle en Salesforce spelen met hun DMP-dienst een cruciale rol in het RTB-proces, aldus TPC. Daarnaast stelt TPC dat de privacy van Nederlandse internetgebruikers is geschonden door een datalek bij Oracle.

2.2.

Volgens Oracle worden cookies geplaatst door de website die de internetgebruiker bezoekt en kan een website uitsluitend cookies plaatsen voor de browser die wordt gebruikt om de website te bezoeken. De beslissing om wel of geen cookies te gebruiken - en zo ja, welke cookies - wordt altijd enkel genomen door de websitehouder. Oracle betwist dat de DMP-dienst cruciaal is voor het door TPC gestelde doel van het RTB-proces. Oracle betwist dat zij advertentiediensten verleent. Het enige dat Oracle doet, is klanten een middel bieden om gesegmenteerde interesseprofielen van gebruikers te creëren en deze profielen vervolgens geschikt te maken voor filtering. Volgens Oracle is van een datalek geen sprake geweest, hooguit van een beveiligingsincident. Gedurende een periode van vijf dagen in mei 2020 was het voor ongeautoriseerde personen mogelijk om toegang te verkrijgen tot een zogenaamde ongestructureerde database van Oracle America. Dat betekent nog niet dat data zijn gelekt op het internet, aldus Oracle.

2.3.

Salesforce betoogt dat zij niet als datahandelaar opereert. Zij biedt haar klanten een DMP aan, genaamd Audience Studio, waarmee klanten na aanschaf zelf bepalen hoe zij hun interacties met internetgebruikers organiseren. Salesforce heeft geen inzage of inzicht in de persoonsgegevens die haar klanten met behulp van Audience Studio verwerken. Salesforce verzamelt via dit softwareproduct geen persoonsgegevens voor eigen commerciële doeleinden. Salesforce heeft geen toegang tot die informatie, aldus Salesforce.

2.4.

In deze fase van de procedure gaat de rechtbank niet in op de inhoud van de zaak, omdat eerst beslist moet worden of TPC ontvankelijk is in haar vorderingen.

[…]

4.2.

TPC vordert dat de rechtbank bij uitvoerbaar bij voorraad te verklaren vonnis TPC aanwijst als exclusieve belangenbehartiger in de zin van artikel 1018e lid 1 van het Wetboek van Burgerlijke Rechtsvordering (Rv) en bepaalt dat deze collectieve actie op de navolgende groepen van natuurlijke personen betrekking heeft:

a.: de groep van natuurlijke personen die door Oracle is benadeeld (hierna: de Oracle Groep) en die bestaat uit: i. alle natuurlijke personen die ii. een of meer computer(s) met internettoegang of andere randapparatuur in de zin van de Telecommunicatiewet in gebruik hebben, of hebben gehad, en iii. waarop een cookie met de naam ‘ [naam] ’ geplaatst is of is geweest, iv. op een moment of gedurende een periode dat zij in Nederland woonden of verbleven, na inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) in deze zaak; en
b.: de groep van natuurlijke personen die door Salesforce is benadeeld (hierna: de Salesforce Groep) en die bestaat uit: i. alle natuurlijke personen, die ii. een of meer computer(s) met internettoegang of andere randapparatuur in de zin van de Telecommunicatiewet in gebruik hebben, of hebben gehad, en iii. waarop een cookie met de naam ‘_ [naam] _’ geplaatst is of is geweest, iv. op een moment of gedurende een periode dat zij in Nederland woonden of verbleven, na het van toepassing zijn van de AVG in deze zaak.

[…]

Ontvankelijkheid

5.4.

Met ingang van 1 januari 2020 is de Wet afwikkeling Massaschade in collectieve actie (hierna: WAMCA) in werking getreden. De bepalingen van de WAMCA zijn van toepassing op collectieve acties ten aanzien van gebeurtenissen op of na 15 november 2016 die worden ingesteld na inwerkingtreding van de WAMCA. De bepalingen van de WAMCA zijn van toepassing op de onderhavige collectieve actie.

5.5.

De ontvankelijkheidseisen voor belangenorganisaties voor het instellen van een collectieve vordering zijn met de inwerkingtreding van de WAMCA ten opzichte van het vóór 2020 geldende recht aangescherpt op het punt van een goede governance, financiering en representativiteit. De inhoudelijke behandeling van de collectieve vordering vindt op grond van artikel 1018c lid 5 Rv slechts plaats indien en nadat de rechter (onder meer) heeft beslist dat de eiser voldoet aan de ontvankelijkheidseisen van artikel 3:305a lid 1 tot en met 3 BW. Artikel 3:305a BW bepaalt dat de belangen van degenen waarvoor de belangenorganisatie opkomt voldoende dienen te zijn gewaarborgd (lid 1, uitgewerkt in lid 2), de rechtsvordering een voldoende nauwe band heeft met de Nederlandse rechtssfeer (lid 3 sub b) en de belangenorganisatie in de gegeven omstandigheden voldoende heeft getracht het gevorderde door het voeren van overleg met de verweerder te bereiken (lid 3 sub c).

[…]

Het oordeel van de rechtbank

5.10.

De eis van representativiteit voorkomt dat een stichting of vereniging een rechtsvordering kan instellen zonder de ondersteuning van een achterban. Niet iedere willekeurige organisatie kan zich opwerpen als verdediger van de belangen van gedupeerden. Op voorhand moet duidelijk zijn dat zij opkomt voor een voldoende groot deel van de groep getroffen gedupeerden. Wat genoeg is, verschilt per geval en kan alleen worden bepaald in relatie tot het aantal gedupeerden. Dit kan bijvoorbeeld worden getoetst op basis van de bij een vereniging aangesloten leden of door middel van het aantal gedupeerden dat zich actief voor de vordering heeft aangemeld.2.

5.11.

TPC dient feitelijk te onderbouwen hoeveel gedupeerden deze actie daadwerkelijk ondersteunen en aldus wat de omvang is van de door haar vertegenwoordigde vordering. Dat heeft TPC niet gedaan. Op de website van TPC konden en kunnen bezoekers de steunknop aanklikken. Ten tijde van de mondelinge behandeling had TPC ruim 75.000 keer op deze manier een steunbetuiging verkregen. Bij een bezoek aan de website van TPC verschijnt het onder 3.5 afgebeelde scherm [niet opgenomen; red.] met daarin de steunknop. In het scherm staat boven de steunknop dat wordt gevraagd “steun te geven aan het voor de rechter slepen door TPC van twee techbedrijven voor het binnenslepen en verkopen van data van miljoenen Nederlanders, zonder toestemming”. Het enkel klikken op de steunknop betekent nog niet dat daarmee een steunbetuiging is verkregen zoals is beoogd met het representativiteitsvereiste. Informatie over de aard en de inzet van de procedure ontbreekt in het scherm. Hierin staat niet vermeld tegen welke partijen de actie is gericht. Oracle en Salesforce worden niet genoemd. Evenmin volgt hieruit dat een persoon door het aanklikken van de steunknop zich als gedupeerde aanmeldt voor deze collectieve actie of zal worden gerekend tot de achterban voor wie TPC in deze procedure opkomt. Een omschrijving van de gedupeerden voor wie TPC opkomt, ontbreekt. De conclusie van TPC dat meer dan 75.000 personen uit haar achterban hun steun kenbaar hebben gemaakt door te klikken op de steunknop, kan dan ook niet worden gevolgd. Gelet op de summiere informatie die bij de knop wordt gegeven, is niet kenbaar waarvoor de steun wordt gegeven. Hooguit kan worden gezegd dat degene die op de steunknop heeft geklikt zich kan vinden in de tekst die in het scherm staat. Dit wordt niet anders doordat TPC, zoals zij stelt, elders op haar website en via andere kanalen, zoals in nieuwsbrieven en op congressen, informatie verstrekt over deze procedure. TPC heeft niet inzichtelijk gemaakt dat de likers op basis van die informatie steun hebben gegeven aan deze actie. Daartoe volstaat niet de stelling dat bezoekers moeite hebben gedaan door naar de website te gaan. De omvang van de vertegenwoordigde vorderingen is door de wijze waarop TPC steunbetuigingen heeft vergaard aldus niet inzichtelijk geworden.

5.12.

Bovendien registreert TPC de gegevens van de likers niet. Zij beschikt enkel over een IP-adres van de bezoeker van de website die op de steunknop heeft geklikt. Een organisatie is volgens de wetgever weliswaar niet verplicht om een lijst met namen en gegevens van haar achterban over te leggen, maar zij dient wel nauwkeurig te omschrijven voor welke groep personen zij opkomt.3. Het gevolg van het systeem van liken is dat niet kan worden vastgesteld of degenen die via de steunknop een like hebben gegeven, behoren tot de groepen die TPC vertegenwoordigt. Zo is onduidelijk of deze personen in de relevante periode een cookie van Oracle en Salesforce op hun apparatuur hebben gehad. Bij afwezigheid van nadere gegevens over haar achterban kan de rechtbank niet beoordelen of TPC beschikt over de steun van een relevante achterban (in de hiervoor bedoelde zin). Verder kan TPC niet (volledig) voldoen aan de ontvankelijkheidseisen van transparantie en governance, zoals het organiseren van deelname aan of vertegenwoordiging bij de besluitvorming door de personen voor wie de rechtsvordering is ingesteld (artikel 3:305a lid 2 onder b BW). Omdat TPC geen contactgegevens heeft geregistreerd van de personen die op de steunknop hebben geklikt, kan zij immers niet communiceren met de door haar gestelde achterban.

5.13.

Dat TPC de steun geniet van privacyorganisaties, maakt haar nog niet voldoende representatief. Een achterban in de zin van de WAMCA kan alleen bestaan uit benadeelden voor wiens belangen een eiser in een WAMCA-zaak opkomt. De organisaties die de actie van TPC ondersteunen zijn dat niet. Hun steun betekent niet meer dan dat zij sympathiek staan tegenover de ingestelde vorderingen, maar zij kunnen daarmee niet worden gezien als onderdeel van de achterban van TPC. De steunverklaringen van privacyorganisaties kunnen dus niet bijdragen aan het oordeel dat TPC voldoende representatief is.

[…]

Herstel?

5.17.

Nu de rechtbank van oordeel is dat het systeem van liken niet voldoet, rijst de vraag of TPC in de gelegenheid moet worden gesteld alsnog aan te tonen dat haar vorderingen door een voldoende grote groep benadeelden wordt ondersteund, zodat zij voldoet aan het representativiteitsvereiste. Die vraag beantwoordt de rechtbank ontkennend.

Met de invoering van de WAMCA heeft de wetgever, zoals reeds overwogen, de ontvankelijkheidseisen voor belangenorganisaties in de zin van artikel 3:305a BW willen aanscherpen, onder andere op het punt van de representativiteit. Het vereiste van representativiteit is een zwaarwegend ontvankelijkheidsvereiste. Gelet daarop en gezien de eisen van een goede procesorde moet terughoudend worden omgegaan met het bieden van een herstelmogelijkheid. Slechts onder bijzondere omstandigheden kan anders worden geoordeeld.4. Van bijzondere omstandigheden is in dit geval niet gebleken. Oracle en Salesforce hebben conclusies van antwoord over de ontvankelijkheid van TPC als 3:305a-organisatie en de summierlijke (on)deugdelijkheid als bedoeld in artikel 1018c lid 5 Rv genomen en partijen hebben hun standpunten hierover toegelicht tijdens de mondelinge behandeling. TPC heeft volhard in haar standpunt dat haar wijze van verzamelen van steunbetuigingen toereikend is in het kader van het representativiteitsvereiste. Onder deze omstandigheden bestaat geen ruimte om TPC alsnog te laten aantonen dat een rechtens relevante achterban haar vorderingen ondersteunt.

Slotsom

5.18.

Dit leidt ertoe dat TPC niet-ontvankelijk wordt verklaard in haar vorderingen, omdat zij niet voldoende representatief is. De rechtbank komt bij deze uitkomst niet toe aan de bespreking van de overige voorwaarden uit artikel 3:305a BW waarover een geschil tussen partijen bestaat.

Verhouding AVG en WAMCA en het recht op schadevergoeding uit artikel 82 AVG

5.19.

De rechtbank acht het van belang voor toekomstige WAMCA-zaken over privacyrechten om een geschilpunt te signaleren dat in deze zaak een belangrijk onderdeel van het debat tussen partijen is geweest. Dit is de vraag hoe de WAMCA en de AVG zich tot elkaar verhouden. Daarbij is gebleken dat TPC enerzijds en Oracle/Salesforce anderzijds artikel 80 AVG verschillend uitleggen. In de parlementaire geschiedenis van de WAMCA, de Uitvoeringswet AVG (UAVG) en de literatuur is tot op heden niet ingegaan op de vraag of artikel 80 AVG in de weg staat aan een collectieve vordering tot schadevergoeding wegens schending van de AVG.

5.20.

De AVG onderscheidt in artikel 80 twee vormen van belangenbehartiging: in lid 1 is de mogelijkheid geregeld voor betrokkenen om een orgaan, organisatie of vereniging zonder winstoogmerk opdracht te geven om namens hen de in artikelen 77, 78 en 79 bedoelde rechten uit te oefenen en namens hen het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen. In lid 2 is de mogelijkheid geregeld om onafhankelijk van de opdracht van een betrokkene een klacht in te dienen en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen.

5.21.

Zowel Oracle als Salesforce voert aan dat TPC niet bevoegd is op grond van artikel 80 in verbinding met artikel 82 AVG schadevergoeding te vorderen wegens de gestelde schending van de AVG, omdat zij daartoe geen opdracht heeft ontvangen van de betrokken internetgebruikers en artikel 80 lid 1 AVG dus niet op TPC van toepassing is. In artikel 80 lid 2 wordt artikel 82 AVG niet genoemd. Oracle en Salesforce menen daarom dat de mogelijkheid om onafhankelijk van de opdracht van de betrokkene bepaalde rechten uit de AVG uit te oefenen, niet het recht op schadevergoeding van artikel 82 AVG omvat.

5.22.

Volgens Oracle bevat de Nederlandse tekst van de aan de AVG voorafgaande overweging 142 een (hinderlijke) vertaalfout: het woord “niet” in de laatste zin staat op de verkeerde plaats. In plaats van “Voor deze organen, organisaties of verenigingen kan worden bepaald dat zij […] niet het recht hebben om namens een betrokkene een vergoeding te eisen buiten de machtiging door de betrokkene om.” zou de Nederlandse tekst moeten luiden: “Voor deze organen, organisaties of verenigingen kan niet worden bepaald dat zij […] het recht hebben om namens een betrokkene een vergoeding te eisen buiten de machtiging door de betrokkene om.” Oracle en Salesforce wijzen in dit verband op de verschillende taalversies van deze overweging. Oracle en Salesforce betogen dat een collectieve actie tot schadevergoeding als bedoeld in de WAMCA wegens schending van de AVG in strijd is met het Unierecht. De Uniewetgever heeft een commerciële claimcultuur in de context van gegevensbescherming willen voorkomen, aldus Oracle en Salesforce.

5.23.

TPC bestrijdt dit betoog. Zij wijst daarbij op het doel en de inhoud van de AVG en het daarmee nagestreefde hoge beschermingsniveau. Schade die iemand lijdt ten gevolge van een ongeoorloofde gegevensverwerking moet “volledig en daadwerkelijk” worden vergoed. TPC wijst verder op het recht op verkrijging van een doeltreffende voorziening in rechte, de in het Unierecht verankerde beginselen van subsidiariteit en proportionaliteit en het daarmee samenhangende beginsel van procedurele autonomie.

5.24.

Volgens TPC is uit de tekst van artikel 80 lid 2 AVG (te weten het ontbreken van een verwijzing naar artikel 82) niet a contrario de bedoeling van de Uniewetgever af te leiden een dergelijke voorziening uit te sluiten. In de eerste plaats verwijst artikel 80 lid 2 AVG wel naar artikel 79 AVG. De daar bedoelde “doeltreffende voorziening” in rechte omvat ook schadevergoeding. Artikel 80 lid 2 AVG is gericht tot de lidstaten en dient er slechts toe de lidstaten bevoegdheden te verlenen, niet om de lidstaten te beperken. De lidstaten hebben de vrijheid deze bepaling al dan niet om te zetten. De door Oracle gestelde hinderlijke vertaalfout neemt niet weg dat overweging 142 optioneel is geformuleerd en is gericht tot de lidstaten. Het HvJ EU staat terughoudend tegenover het gebruik van voorbereidende documenten (“travaux préparatoires”) als hulpmiddel bij de uitleg van het Unierecht.

De Nederlandse wetgever heeft van de mogelijkheid die artikel 80 lid 2 AVG biedt gebruik gemaakt in artikel 37 UAVG.

5.25.

De uitleg die Oracle en Salesforce bepleiten valt volgens TPC ook niet te rijmen met de Richtlijn representatieve vorderingen.5. Volgens TPC is er ook geen aanleiding te veronderstellen dat de AVG zou willen treden in het beginsel van procedurele autonomie. De Nederlandse wetgever neemt als uitgangspunt dat de Richtlijn representatieve vorderingen de acties over schending van het gegevensbeschermingsrecht verder vereenvoudigt.

5.26.

De rechtbank komt aan een beoordeling op dit punt niet toe, omdat TPC op andere gronden niet-ontvankelijk is in haar vorderingen.

[…]

Noot

Auteur: D.L. Barbiers & T.F. Walree1.

Noot

1.

2.

In dit vonnis verklaart de rechtbank TPC niet-ontvankelijk in haar vorderingen, omdat zij niet voldoende representatief is. In een obiter dictum (r.o. 5.19-5.26) noemt de rechtbank een voor de rechtswetenschap en -praktijk belangrijke kwestie, namelijk de verhouding tussen de WAMCA en het collectieve-actierecht van artikel 80 lid 2 AVG. In deze beschouwing beperken wij ons tot deze twee hoofdaspecten.

3.

Representativiteit. De rechtbank overweegt dat niet duidelijk is dat voldoende beweerdelijke benadeelden zich hebben aangesloten bij TPC. Daardoor is ook onvoldoende duidelijk dat de omvang van hun vorderingen voldoende groot is (r.o. 5.11, eerste en laatste zin). De rechtbank signaleert dat TPC alleen likes van niet-geregistreerde internetgebruikers heeft verzameld bij een vrij algemeen bericht over een procedure tegen niet met naam genoemde gedaagden op haar website. Het is daarom niet inzichtelijk dat de likers op basis van die informatie steun hebben willen geven aan de actie van TPC tegen Salesforce en Oracle. Voorts is het onduidelijk of de likers feitelijk vallen onder de groep belanghebbenden waarvoor TPC blijkens haar vordering opkomt (r.o. 5.10-5.12, zie ook r.o. 4.2).

4.

Uit de wetsgeschiedenis van artikel 3:305a lid 2, aanhef, BW volgt inderdaad dat de omvang van de achterban voldoende groot moet zijn ten opzichte van het totaal aantal getroffen personen: “Op voorhand moet duidelijk zijn dat zij [de achterban, DB/TW] kwantitatief gezien voor een voldoende groot deel van de groep getroffen gedupeerden opkomt. [...] Dit kan bijvoorbeeld worden getoetst op basis van de bij een vereniging aangesloten leden of door middel van het aantal gedupeerden dat zich actief voor de vordering heeft aangemeld.”3. De tekst van de wet vermeldt in lijn hiermee dat een belangenbehartiger voldoende representatief moet zijn gelet op ‘de achterban’ en ‘de omvang van de vertegenwoordigde vorderingen’. Het gaat dus om het aantal daadwerkelijk bij de stichting aangesloten personen (en de omvang van hun vorderingen)4. ten opzichte van alle getroffen personen.5. De wetsgeschiedenis wekt de indruk dat TPC die representativiteit aannemelijk had kunnen maken als zij had aangegeven wat het aantal personen was dat zich specifiek – met een voldoende nauwkeurig aanmeldformulier – voor deze claim had aangemeld en had kunnen aantonen dat dit aantal groot genoeg zou zijn.

5.

Voor de rechtbank waren de duizenden likes bij een bericht over een procedure tegen niet met naam genoemde gedaagden op de website van TPC onvoldoende. Aan dit oordeel droeg bij dat niet kon worden vastgesteld of de personen die het bericht van TPC hebben geliked, ook daadwerkelijk behoren tot de groepen die TPC vertegenwoordigt. Met die like komt niet vast te staan dat de achterban van TPC in de relevante periode een cookie van Salesforce of Oracle op hun apparaten hadden (r.o. 5.12). De rechtbank stelt daarmee ogenschijnlijk zwaardere eisen aan het representativiteitsvereiste dan de wetgever. De controle of de leden van de achterban een cookie op hun apparaat hebben gehad, behelst reeds een inhoudelijke beoordeling. Dit is opmerkelijk, aangezien de rechtbank in lijn met de tekst van de wet (artikel 1018c lid 5, aanhef Rv) en de wetsgeschiedenis vooropstelt dat een inhoudelijke behandeling pas in een later stadium plaatsvindt (r.o. 5.5).6. Het overleggen van een lijst met namen en andere gegevens van de leden van de achterban van de belangenorganisatie is volgens de wetsgeschiedenis ook niet nodig,7. zoals de rechtbank zelf ook constateert (r.o. 5.12). Wellicht bedoelt de rechtbank daarom met r.o. 5.12 slechts dat beweerdelijke slachtoffers op een aanmeldformulier van een belangenbehartiger moeten aangeven of zij feitelijk binnen de groep vallen waarvoor de belangenbehartiger opkomt. Een individuele inhoudelijke toets kan uiteindelijk plaatsvinden bij de uitvoering van een collectieve schadeafwikkeling (artikel 1018i Rv).

6.

Hoe groot de vereiste achterban moet zijn, is sterk afhankelijk van de omstandigheden van het geval.8. Het vereisen van een relatief grote achterban staat mogelijk op gespannen voet met het voor Nederlandse ingezetenen geldende opt-outsysteem van de WAMCA. Als een streng representativiteitsvereiste vereist dat veel benadeelden zich eerst moeten aansluiten bij een claimorganisatie voordat de procedure van start gaat, dan is er voor die benadeelden in feite sprake van een opt-insysteem. Een opt-outsysteem gaat er juist van uit dat benadeelden zich in het beginstadium niet hoeven aan te melden bij een procedure. Aan de andere kant: representativiteit en een opt-in- of opt-outsysteem moeten wel van elkaar onderscheiden worden. De belangrijkste functie van een opt-in- of opt-outsysteem is het scheppen van duidelijkheid over wie wel en niet gebonden is aan een inhoudelijke uitkomst van de collectieve actie (en in het verlengde daarvan: het bereiken van finale geschilbeslechting). Dat is niet de functie van het representativiteitsvereiste. Dit vereiste moet waarborgen dat er voldoende steun van slachtoffers is voor een specifieke belangenbehartiger.

7.

Een representativiteitsvereiste past wellicht bij de bredere doelstelling van de wetgever om voldoende waarborgen voor zorgvuldige belangenbehartiging door belangenbehartigers te bieden: het aantal aangesloten personen kan een indicatie zijn van zorgvuldige belangenbehartiging door de belangenorganisatie.9.

8.

Verhouding tussen de AVG en WAMCA. In een obiter dictum presenteert de rechtbank een aantal voor- en tegenargumenten bij de discussie tussen partijen over de vraag of artikel 80 lid 2 AVG het lidstaten belet om een collectieve schadevergoedingsactie voor AVG-schendingen mogelijk te maken (r.o. 5.19 e.v.). Artikel 80 lid 2 AVG laat het aan lidstaten over om al dan niet mogelijk te maken dat belangenbehartigers onafhankelijk van de opdracht van de betrokkene een actie instellen voor de gevallen die zijn geregeld in artikel 77, 78 en 79 AVG. Het recht op schadevergoeding (artikel 82 AVG) wordt daarin niet genoemd. Moet daaruit a contrario worden afgeleid dat het lidstaten niet vrijstaat om belangenbehartigers zonder opdracht van de betrokkene(n) schadevergoeding te laten vorderen voor AVG-schendingen?10. Omdat de regels voor interpretatie van Unierechtelijke regelgeving redelijk algemeen en flexibel zijn,11. volstaan wij met een analyse van afzonderlijke interpretatiemethoden.

9.

Een tekstuele interpretatie biedt niet veel duidelijkheid: artikel 80 lid 2 AVG noemt het recht op schadevergoeding niet, maar sluit het ook niet expliciet uit. Naast het hiervoor genoemde a-contrario-argument bestaat een vergelijkbaar wetssystematisch argument. In tegenstelling tot artikel 80 lid 2 AVG noemt lid 1 (representatieve acties mét opdracht van de betrokkene) artikel 82 AVG wél.12. Artikel 80 lid 2 AVG maakt representatieve acties zonder opdrachten overigens wel mogelijk voor effective judicial remedies (artikel 79 AVG). Het heeft er de schijn van dat een effective judicial remedy in de zin van artikel 79 AVG geen recht op schadevergoeding omvat, maar – ook dit – is niet zeker.13. Als artikel 82 AVG wél een voorbeeld is van een effective judicial remedy in de zin van artikel 79 AVG, dan is dit uiteraard een argument voor het standpunt dat artikel 80 lid 2 AVG representatieve schadevergoedingsacties zonder opdrachten toestaat.

10.

De relevante overwegingen in de preambule (141-142) maken de interpretatie van artikel 80 lid 2 AVG niet makkelijker. Net als de Italiaanse versie is de Nederlandse versie van overweging 142 (laatste zin) in het voordeel van TPC: “Voor deze organen, organisaties of verenigingen kan worden bepaald dat zij niet het recht hebben om namens een betrokkene een vergoeding te eisen buiten de machtiging door de betrokkene om.” De Engelse versie is ambigu (‘That body, organisation or association may not be allowed to claim compensation on a data subject’s behalf independently of the data subject’s mandate.’).14. Daarentegen zijn de Duitse en de Franse taalversie in het voordeel van Salesforce en Oracle. Vertaald naar het Nederlands komen deze twee versies namelijk neer op: “Voor deze organen, organisaties of verenigingen kan niet worden bepaald dat zij het recht hebben om namens een betrokkene een vergoeding te eisen buiten de machtiging door de betrokkene om.” In een eerdere tekst tijdens het wetgevingsproces was de formulering van deze zin anders (‘This body, organisation or association does not have the right to claim compensation on a data subject’s behalf’.). Het is onduidelijk of de Uniewetgever daarmee een inhoudelijke wijziging beoogde.15.

11.

De volle of effectieve werking van de AVG is een argument voor de stelling dat artikel 80 lid 2 AVG ook het recht op schadevergoeding omvat.16. Hoewel dit type argument ook in een andere context (veel) gewicht in de schaal legt,17. is niet op voorhand duidelijk dat dit argument op zichzelf doorslaggevend is. De Uniewetgever hechtte bij het aannemen van de AVG namelijk óók belang aan het voorkomen van een claimcultuur voor AVG-schendingen.18. Dit belang volgt overigens niet duidelijk uit de bepalingen of de overwegingen van de AVG. Een ander aangedragen argument is dat een verbod op representatieve schadevergoedingsacties zonder opdrachten wenselijk is, omdat het bijdraagt aan het voorkomen van ‘fragmentation of data protection law enforcement’.19. Hoewel een algeheel verbod op dit punt fragmentatie in de lidstaten kan voorkomen, overtuigt dit argument ons niet, omdat wij het wenselijk vinden dat lidstaten deze vorm van rechtsbescherming open kunnen stellen voor betrokkenen én omdat artikel 80 AVG in het algemeen juist weinig belang hecht aan het voorkomen van fragmentatie.20. Artikel 80 lid 2 AVG biedt immers expliciet keuzeruimte aan lidstaten, in ieder geval ten aanzien van artikel 77, 78 en 79 AVG. Uniformiteit is volgens artikel 80 lid 1 AVG óók niet beslissend geweest voor representatieve schadevergoedingsacties mét opdrachten.

12.

Het komt – voor zover ons bekend – verder niet voor dat de Uniewetgever andere typen van nationale civielrechtelijke procedures die de handhaving van Europese rechten kunnen versterken, geheel uitsluit. Het Unierecht biedt vooral waarborgen tegen het omgekeerde geval waarin nationale procedurele regels de effectiviteit van het Unierecht beperken (bijvoorbeeld via het beginsel van nuttig effect of het effectiviteitsbeginsel). In het algemeen geldt ook het beginsel van procedurele autonomie: het is normaal gesproken aan de lidstaten om procedures in te richten die zorgen voor een effectieve werking van Unierecht. Een algeheel verbod op representatieve schadevergoedingsacties zonder opdracht van de betrokkene zou een opmerkelijke afwijking daarvan zijn. Recent heeft de Uniewetgever wel procedurele regels aangenomen in het kader van consumentenbescherming om de toegang van het recht voor consumenten te versterken. De Richtlijn representatieve vorderingen verplicht lidstaten om opt-in- of opt-outacties van belangenbehartigers mogelijk te maken voor vergoeding van schade van consumenten door inbreuken op bepaalde onderdelen van het Unierecht.21. Met name voor grensoverschrijdende representatieve acties van belangenbehartigers stelt de Uniewetgever beperkende toegangseisen. Lidstaten hebben niettemin veel ruimte bij de vormgeving van toegangseisen voor binnenlandse representatieve acties. De Richtlijn heeft ook betrekking op collectieve procedures aangaande de AVG (zie artikel 2 lid 1 en overweging 14).22. Dat zou betekenen dat lidstaten op basis van deze Richtlijn opt-in- of opt-outschadevergoedingsprocedures mogelijk moeten maken voor schendingen van de AVG (artikel 7 lid 4 en artikel 9 lid 2-3).23. Van belang is echter dat de Richtlijn representatieve acties geen afbreuk doet aan de bepalingen van de AVG, waaronder dus mogelijk artikel 80 lid 2 AVG (zie artikel 2 lid 1 van de Richtlijn en overwegingen 14-15 van de preambule).24.

13.

Al met al is onzeker of artikel 80 lid 2 AVG het lidstaten toestaat om een representatieve schadevergoedingsactie zonder opdrachten van betrokkenen voor AVG-schendingen mogelijk te maken. Er bestaan veel relevante argumenten die ook niet allemaal dezelfde richting uitwijzen. Als uitleg van Unierecht geen oplossing biedt omdat de taalversies simpelweg inhoudelijk van elkaar verschillen, lijkt een (formele) wijziging van de AVG nodig, omdat rectificatie van een taalversie niet mogelijk is voor inhoudelijke onjuistheden.25.

14.

In het geval vast komt te staan dat artikel 80 lid 2 AVG representatieve schadevergoedingsacties zonder opdrachten van betrokkenen voor AVG-schendingen onmogelijk maakt, moeten de WAMCA en artikel 37 UAVG26. in zoverre wegens strijd met artikel 80 lid 2 AVG buiten toepassing worden gelaten óf – als dat mogelijk is – verordeningsconform worden uitgelegd. Toch sluiten wij in dat geval niet direct uit dat schadevergoedingsvorderingen over gegevensbescherming in een WAMCA-procedure aan de orde kunnen worden gesteld. Dit volgt ten eerste uit de onduidelijkheid met betrekking tot het begrip ‘opdracht’ in artikel 80 AVG. ‘Opdracht’ kan in theorie betekenen: een volmacht en/of last van een betrokkene, een uitgebrachte opt-inverklaring van een betrokkene tijdens een WAMCA-procedure en/of zelfs ook de keuze van een betrokkene tijdens een WAMCA-procedure om een opt-outverklaring niet uit te brengen.27. Opt-in- én opt-outacties voor schadevergoeding op grond van de WAMCA zijn bij een restrictieve uitleg van artikel 80 lid 2 AVG niet mogelijk als ‘opdracht’ in de zin van artikel 80 lid 1 en 2 AVG slechts betekent: een volmacht en/of last.28. De WAMCA werkt immers niet met volmachten en lasten, maar met een opt-out- en opt-insysteem.

15.

Ten tweede, een belangenbehartiger kan wellicht op basis van een andere norm schadevergoeding vorderen in een representatieve schadevergoedingsactie zonder opdrachten over een gegevensbeschermingsgeschil. Bij claims tegen overheden valt te denken aan artikel 8 EVRM. In horizontale situaties kan men denken aan de maatschappelijke zorgvuldigheidsnorm of een inbreuk op een recht ex artikel 6:162 lid 2 BW, een wanprestatie ex artikel 6:74 BW, of meer in het bijzonder de schending van bepalingen van het consumenten- of mededingingsrecht. De vraag is dan eigenlijk hoe strikt de beperking van artikel 80 lid 2 AVG zou zijn: als slechts AVG-rechten niet kunnen worden ingeroepen, zou een belangenbehartiger voor hetzelfde feitencomplex wél op basis van andere gronden schadevergoeding in een representatieve actie zonder opdrachten kunnen vorderen. Daar zou men echter weer tegenin kunnen brengen dat belangenbehartigers artikel 80 lid 2 AVG niet op deze manier mogen kunnen ontwijken.29.

16.

Op 28 maart jl. liet TPC weten zich niet neer te leggen bij de beslissing van de rechtbank. De stichting gaat daarom in hoger beroep.30.

Toon alle voetnoten

Voetnoten

Voetnoten 'Uitspraak'

Kamerstukken II 2016/2017, 34608, nr. 3, p. 19.

Kamerstukken II 2016/2017, 34608, nr. 3, p. 18-19.

Vgl. HR 3 april 2020, ECLI:NL:HR:2020:587 (Trafigura I).

Richtlijn 2020/1828 inzake representatieve vorderingen voor consumenten van 25 november 2020 (Richtlijn representatieve vorderingen).

Voetnoten 'Noot'

Mr. D.L. Barbiers is promovendus en docent burgerlijk recht aan de Radboud Universiteit. Mr. dr. T.F. Walree is universitair docent burgerlijk recht aan de Radboud Universiteit en verbonden aan de interdisciplinary research hub on Privacy, Security and Data Governance (iHub). Beide auteurs zijn verbonden aan het Onderzoekscentrum Onderneming & Recht.

TPC stelt ook nog andere vorderingen in, maar die laten wij verder buiten beschouwing.

Kamerstukken II 2016/17, 34608, 3, p. 18-19 (MvT). Overigens is (voor ons) enigszins onduidelijk wat de minister op dezelfde pagina’s precies bedoelt met de mededeling dat voor het aangeven voor wie een belangenbehartiger opkomt (is dat hetzelfde als representativiteit?) voldoende is als de belangenbehartiger die groep voldoende omschrijft.

Vgl. Kamerstukken II 2016/17, 34608, 3, p. 18-19 (MvT); conclusie van A-G Valk, ECLI:NL:PHR:2021:933, rolnr. 3.31.

Deze interpretatie zou ook goed aansluiten bij art. 1018c lid 5 onder b Rv, omdat dit laatste representativiteitsvereiste (als onderdeel van het vereiste dat een collectieve actie efficiënter moet zijn dan individuele acties) verlangt dat de omvang van de groep (en in het geval van een schadevergoedingsvordering hun individuele of gezamenlijke financiële belang) van alle personen – dus ook niet-leden van de achterban – die kunnen profiteren van de collectieve actie voldoende groot is (zie ook Kamerstukken II 2016/17, 34608, 3, p. 39-40 (MvT)): het betreft hier eigenlijk de representativiteit van de vordering. Vgl. nog Rb. Midden-Nederland 2 juni 2021, ECLI:NL:RBMNE:2021:2142, r.o. 2.23; Rb. Amsterdam 1 april 2020, ECLI:NL:RBAMS:2020:5271, r.o. 5.24.

Zie Kamerstukken II 2016/17, 34608, 3, p. 19, 39-40 (MvT); Kamerstukken II 2017/18, 34608, 6, p. 3, 5 (NnavV) (hier gaat de minister ook in op herstel van ontvankelijkheidsgebreken); Handelingen II 23 januari 2019, 44-6-12, 44-6-14.

Kamerstukken II 2016/17, 34608, 3, p. 18-19 (MvT).

Vgl. Kamerstukken II 2016/17, 34608, 3, p. 6-7, 18-19 (MvT); Kamerstukken II 2011/12, 33126, 3, p. 5-6, 12-13 (MvT); Kamerstukken II 2012/13, 33126, 7, p. 9-10 (NnavV). Zie nog T.S.F. Hautvast, 'Representativiteit onder de WAMCA', MvO 2022/3.4, par. 4-5, die de toegevoegde waarde van het representativiteitsvereiste sterk betwijfelt.

10.

G. Potjewijd e.a., ‘Mass damage claims for GDPR infringements: a multi-jurisdictional perspective’, Mass Claims 2021/1, p. 7, noemen dit argument, en stellen daarbij dat een verordening naar haar aard weinig implementatieruimte voor lidstaten laat, tenzij de verordening dit expliciet toestaat (p. 22-23, met verwijzing naar onder meer conclusie A-G Bobek, C‑40/17, rn. 47; vgl. echter ook conclusie A-G De la Tour, C-319/20, rn. 50-58). Zie ook nog de voorlaatste zin van overweging 142 van de preambule. Art. 82 AVG wordt hier níet genoemd.

11.

Zie hierover HvJ EG 27 oktober 1977, C-30/77, r.o. 9 e.v.; HvJ EG 6 oktober 1982, C-283/81, r.o. 18-20; HvJ EG 7 december 1995, C-449/93, r.o. 23 e.v.; HvJ EG 24 oktober 1996, C-72/95, r.o. 28 e.v. Zie hierover ook Asser/Hartkamp 3-I 2019/97-98, 180; H.C.F.J.A. de Waele, Rechtsvinding op veertien terreinen (SteR nr. 12) 2012/2.1-2.4.

12.

Zie ook overweging 142 van de preambule. Uit de wetsgeschiedenis lijkt te volgen dat er mogelijk sprake was van een compromis tussen de Raad en het Europees Parlement waaruit zou volgen dat schadevergoeding alleen in het kader van acties mét opdracht mogelijk is. Zie Note nr. 13606/15, file 2012/0011(COD), 30 oktober 2015, te raadplegen op https://data.consilium.europa.eu/doc/document/ST-13606-2015-INIT/en/pdf, rn. 6, p. 3; zie ook Note nr. 14318/15, file 2012/0011(COD), 20 november 2015, te raadplegen op https://data.consilium.europa.eu/doc/document/ST-14318-2015-INIT/en/pdf, rn. 17, p. 8-9; Note nr. 15039/15, file 2012/0011(COD), 15 december 2015, te raadplegen op https://data.consilium.europa.eu/doc/document/ST-15039-2015-INIT/en/pdf, p. 193.

13.

Preambule overweging 142 AVG, art. 79 AVG, art. 80 lid 1 AVG en art. 82 AVG (vgl. met name lid 6) lijken beide rechten te onderscheiden. Zie anders: Kamerstukken II 2021/22, 36034, 3, p. 9 (MvT) (met nadruk op de laatste zin van overweging 142 van de (Nederlandse taalversie van de) preambule). Vgl. nog preambule overweging 147. Wolters leidt uit de aanhef van art. 77 lid 1 AVG, art. 78 lid 1 en 2 AVG, en art. 79 lid 1 AVG af dat art. 80 lid 2 AVG geen verbod op schadevergoedingsacties zonder opdrachten inhoudt, zie P.T.J. Wolters, ‘De handhaving door de betrokkene onder de AVG’, TvCH 2019/1, p. 20.

14.

‘May not’ kan hier in theorie betekenen dat het feitelijk mogelijk is dat het belangenorganisaties niet is toegestaan om dit soort acties in te stellen óf dat lidstaten belangenorganisaties niet mogen toestaan om dit soort acties in te stellen. Gelet op de context van nr. 142 van de preambule – wat mag of moet een lidstaat doen? – lijkt de laatste interpretatie meer voor de hand te liggen. Die laatste interpretatie noemen G. Potjewijd e.a., ‘Mass damage claims for GDPR infringements: a multi-jurisdictional perspective’, Mass Claims 2021/1, p. 7.

15.

Wellicht was enkel bedoeld de tekst beter te laten aansluiten bij de adressaat van overweging 142 van de preambule en art. 80 lid 2 AVG (de lidstaten) door de zin te passiviseren. Zie Note nr. 9398/15, file 2012/0011(COD), 1 juni 2015, te raadplegen op https://data.consilium.europa.eu/doc/document/ST-9398-2015-INIT/en/pdf, p. 66 (voetnoot 70); Note nr. 9281/15, file 2012/0011(COD), 3 juni 2015, te raadplegen op https://data.consilium.europa.eu/doc/document/ST-9281-2015-INIT/en/pdf, p. 69 (voetnoot 78). Nederland had in een vroeg stadium voorgesteld om een verbod op schadevergoedingsvorderingen te introduceren voor acties mét opdracht vanwege het belang van het tegengaan van een claimcultuur. Zie daarvoor de wetsgeschiedenis genoemd in voetnoot 18.

16.

Vgl. T.F. Walree, Schadevergoeding bij de onrechtmatige verwerking van persoonsgegevens (diss. Nijmegen), (Serie Onderneming en Recht, nr. 126), Deventer: Wolters Kluwer 2021, p. 151-153. Zie voor dit belang ook overweging 7 en 11 van de preambule van de AVG.

17.

Vgl. in het kader van mededingingsrecht, HvJ EU 6 oktober 2021, ECLI:EU:C:2021:800, C-882/19 (Sumal), r.o. 33-37.

18.

Zie Note nr. 8383/2015, file 2012/0011(COD), 13 mei 2015, te raadplegen op https://data.consilium.europa.eu/doc/document/ST-8383-2015-INIT/en/pdf, p. 17 (voetnoot 31); Note nr. 9398/15, file 2012/0011(COD), 1 juni 2015, te raadplegen op https://data.consilium.europa.eu/doc/document/ST-9398-2015-INIT/en/pdf, p. 66 (voetnoot 70), p. 239 (voetnoot 558); Note nr. 9281/15, file 2012/0011(COD), 3 juni 2015, te raadplegen op https://data.consilium.europa.eu/doc/document/ST-9281-2015-INIT/en/pdf, p. 242 (voetnoot 576); Note nr. 5419/16, file 2012/0011(COD), 31 maart 2016, te raadplegen op https://data.consilium.europa.eu/doc/document/ST-5419-2016-ADD-1-REV-1/nl/pdf, p. 30-31. Zie hierover ook G. Potjewijd e.a., ‘Mass damage claims for GDPR infringements: a multi-jurisdictional perspective’, Mass Claims 2021/1, p. 7.

19.

Zie over dit argument G. Potjewijd e.a., ‘Mass damage claims for GDPR infringements: a multi-jurisdictional perspective’, Mass Claims 2021/1, p. 22; vgl. ook preambule nrs. 7 (‘a strong and more coherent data protection framework in the Union, backed by strong enforcement’), 8-10, 11 (‘equivalent powers for monitoring and ensuring compliance with the rules for the protection of personal data’), 13. Dit argument kan men overigens net zo goed voeren voor het standpunt dat het wenselijk is dat schadevergoedingsacties zonder opdrachten in alle lidstaten mogelijk zouden moeten zijn. Wij vinden verder het argument dat representatieve schadevergoedingsacties zonder opdrachten de publiekrechtelijke handhaving van de AVG op ontoelaatbare wijze zouden doorkruisen niet overtuigend (vgl. HvJ EU 29 juli 2019, C‑40/17, r.o. 60; conclusie A-G Bobek, C‑40/17, rn. 43-44). In het algemeen staat de AVG zowel privaatrechtelijke als publiekrechtelijke routes toe. De routes vullen elkaar juist aan en hebben in ieder geval gedeeltelijk een andere functie (zie over dit argument G. Potjewijd e.a., ‘Mass damage claims for GDPR infringements: a multi-jurisdictional perspective’, Mass Claims 2021/1, p. 5-7, 22).

20.

Zie ook conclusie A-G De la Tour, C-319/20, rn. 50-58.

21.

Zie Annex I Richtlijn representatieve vorderingen (2020/1828). Een opt-insysteem is verplicht (opt-out is in zoverre dus niet mogelijk) voor buitenlandse ingezetenen in herstelacties, zie art. 9 lid 3 van de Richtlijn.

22.

Ook A-G De la Tour benadrukt dit in zijn conclusie in C-319/20, zie rn. 66, 84.

23.

Zo ook Kamerstukken II 2021/22, 36034, 3, p. 9 (MvT).

24.

G. Potjewijd e.a., ‘Mass damage claims for GDPR infringements: a multi-jurisdictional perspective’, Mass Claims 2021/1, p. 24, wijzen nog op art. 9 lid 1 van de Richtlijn, ter onderbouwing van hun standpunt dat opt-outschadevergoedingsacties voor AVG-schendingen niet mogelijk zijn. Men kan art. 9 lid 1 echter ook zo lezen dat de verwijzing naar Unierecht en nationaal recht enkel betrekking heeft op het materiële recht, en niet (ook) op specifieke procedures. G. Potjewijd e.a., ‘Mass damage claims for GDPR infringements: a multi-jurisdictional perspective’, Mass Claims 2021/1 noemen ook nog het argument dat de Richtlijn juist náást art. 80 lid 2 AVG andere representatieve acties mogelijk zou maken, en het argument dat de AVG meer in het algemeen een lex specialis zou vormen (p. 23-24).

25.

Rectificatie is alleen mogelijk bij niet-inhoudelijke wijzigingen. Zie over interpretatie, rectificatie en wijzigingen, Handleiding Wetgeving en Europa, par. 2.4.2, te raadplegen op https://www.kcbr.nl/beleid-en-regelgeving-ontwikkelen/handleiding-wetgeving-en-europa/2-module-2-omzetting-en-uitvoering-nationale-regelgeving/24-interpretatie-van-eu-regelgeving/242-omgang-met-kennelijke-onjuistheden.

26.

Bij de totstandkoming van art. 37 UAVG heeft de wetgever het hier besproken discussiepunt niet betrokken. Zie Kamerstukken II 2017/18, 34851, 3, p. 88, 119 (MvT).

27.

Zie hierover ook G. Potjewijd e.a., ‘Mass damage claims for GDPR infringements: a multi-jurisdictional perspective’, Mass Claims 2021/1, p. 7-8, 23. De Nederlandse minister refereert in dit verband aan volmachten. Zie Kamerstukken II 2021/22, 36 034, 3, p. 9 (MvT).

28.

Als alleen opt-inacties mogelijk zijn, zou art. 80 lid 2 AVG tot een vreemde consequentie leiden in Nederland. Een WAMCA-schadevergoedingsactie kan dan alleen voor AVG-schendingen voor buitenlandse ingezetenen worden ingezet, omdat op grond van de WAMCA enkel voor die personen in beginsel een opt-insysteem geldt.

29.

De Richtlijn representatieve vorderingen (2020/1828) lijkt geen afbreuk te doen aan andere (procedurele/materiële) rechtsbescherming: zie art. 1-2. De AVG lijkt in ieder geval geen afbreuk te doen aan andere bestaande materiële aanspraken, zie preambule, overweging 146, en de conclusie van A-G De la Tour, C-319/20, rn. 51. Volgens de A-G kan een actie voor een injunction op grond van art. 80 lid 2 AVG ook worden gebruikt voor zaken waarin het verwijt bestaat uit AVG-schendingen én schendingen van andere (consumenten)regelgeving, áls een lidstaat daarvoor heeft gekozen. Vgl. nog rn. 49, 69-72, 85 (hier lijkt de A-G te stellen dat een actie op grond van art. 80 lid 2 AVG alleen mogelijk is als een partij óók een schending van de AVG wordt verweten), en rn. 66 en 84 (hier lijkt de A-G te benadrukken dat art. 80 AVG en de Richtlijn representatieve vorderingen (2020/1828) twee te onderscheiden grondslagen voor representatieve acties zijn).

30.

The Privacy Collective, ‘The Privacy Collective zet strijd voor online privacy voort’, theprivacycollective.nl 28 maart 2022.