Als gedupeerde zie ik niets terug van de aan een online dienst opgelegde boete wegens een datalek. Wat kan ik daar aan doen?

In dit artikel:

Een Franse toezichthouder heeft een boete opgelegd aan een online muziekdienst wegens een groot datalek waarbij ook jouw persoonsgegevens zijn gestolen. Omdat de verwerkingsverantwoordelijke in Frankrijk valt, trad juist die toezichthouder op (zie AVG-artikelen 55 en 56). De boete is bedoeld als sanctie en afschrikmiddel om organisaties betere beveiliging te laten regelen; het geld vloeit naar de staatskas en komt niet automatisch bij gedupeerden terecht.

Als gebruiker kun je wél een schadevordering indienen tegen de dienstverlener — individueel of via een collectieve procedure met andere slachtoffers. Dat de toezichthouder een boete heeft opgelegd helpt jouw zaak: het vormt een sterk aanwijzend feit dat de organisatie tekortgeschoten is, maar het civiele (schade)traject staat formeel los van het boetebesluit. In tegenstelling tot strafrechtelijke procedures bestaat er in het bestuursrecht (waar de AVG onder valt) geen gelijkwaardige mogelijkheid om als slachtoffer bij het boetetraject aan te sluiten om vergoeding af te dwingen.

Praktisch advies: verzamel bewijs van schade en contactgegevens van medegedupeerden, overweeg aansluiting bij een collectieve claim en schakel zo nodig een advocaat die ervaring heeft met AVG-schadezaken of grensoverschrijdende claims.