Boete tot 810.000 euro, maar pas na last
Het CBP krijgt volgens het wetsvoorstel de bevoegdheid om boetes op te leggen tot maar liefst 810.000 euro (6e categorie artikel 23 Sr) op overtreding van de verplichting:
- gegevens op behoorlijk en zorgvuldige wijze te verwerken (artikel 6 Wbp);
- gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te verzamelen (artikel 7 Wbp);
- de gegevens binnen de kaders van een in de wet genoemde grondslag voor de verwerking te verwerken (artikel 8 Wbp);
- gegevens te verwerken voor doeleinden die verenigbaar zijn met de verkrijgingsdoeleinden (artikel 9 lid 1 Wbp);
- gegevens niet te verwerken indien geheimhouding daaraan in de weg staat (artikel 9 lid 4 Wbp);
- gegevens niet langer te bewaren dan noodzakelijk (artikel 10 lid 1 Wbp);
- niet te veel maar ook niet te weinig gegevens te verzamelen en maatregelen te treffen om de juistheid te borgen (artikel 11 Wbp);
- gegevens slechts in opdracht van een verantwoordelijke te verwerken (artikel 12 Wbp);
- gegevens op passende wijze te beveiligen (artikel 13 Wbp);
- bijzondere gegevens niet te verwerken, behoudens uitzonderingen (artikel 16 Wbp);
- een wettelijk identificatienummer niet anders dan bij wet voorgeschreven te verwerken (artikel 24 Wbp);
- transparantie te betrachten jegens de betrokkene (artikel 33/34 Wbp);
- de nieuwe wet meldplicht datalekken na te leven (artikel 34a Wbp);
- mee te werken aan de uitoefening van rechten door de betrokkene (artikel 35, 36, 38-42);
- de gegevens in beginsel binnen de EER te verwerken (artikel 76 e.v. Wbp);
- mee te werken aan een onderzoek door het CBP (artikel 5:20 Awb).
Een indrukwekkende lijst van mogelijke overtredingen dus, waar bovendien een flinke (maximale) sanctie op komt te staan.
Wel valt op dat de sanctie pas mag worden opgelegd wanneer nadat het College "een bindende aanwijzing heeft gegeven". Met andere woorden: wie de wet overtreedt, krijgt straks niet direct een boete, maar eerst een instructie van het CBP om de overtreding ongedaan te maken. Wordt die instructie niet opgevolgd, dan zou een boete kunnen volgen.
Die extra stap is alleen niet vereist indien de overtreding opzettelijk wordt begaan. In de toelichting op het wetsvoorstel wordt hiervoor de volgende omschrijving gegeven:
Te denken valt aan ongeoorloofde handel in persoonsgegevens met het oogmerk van winstbejag. In dergelijke situaties gaat het om overtreders die willens en wetens de regels overtreden om er zelf financieel beter van te worden. Het belang van de bescherming van persoonsgegevens vergt in deze situaties dat het Cbp niet gebonden is aan de verplichting om eerst een bestuurlijke aanwijzing te geven.
Of winstbejag in de praktijk nu zo'n praktisch onderscheidend criterium is, vraag ik me af (is niet iedere organisatie uit op meer winst c.q. minder kosten?). Verder roept het de vraag op of onder opzet ook "voorwaardelijk opzet" mag worden verstaan. Dit bijv. in het kader van het willens en wetens niet installeren van de laatste software-updates omdat het net even te veel moeite kost, of het op de koop toenemen dat een systeem eigenlijk niet helemaal goed is afgeschermd (in de gedachte: "maar wie komt daar nu achter?.....").
Verder vraag ik me af wat de nieuwe bestuurlijke boete nu toevoegt, ten opzichte van de bestaande mogelijkheid tot het opleggen van een last onder dwangsom. In beide gevallen verbeurt de overtreder immers, onderaan de streep, een bepaald bedrag als niet tijdig de aanwijzing van het CBP wordt opgevolgd. En de afschrikwekkende werking lijkt me in beide gevallen ook vergelijkbaar (er vloeit nog steeds geen direct bloed uit overtreding van de wet). Maar wellicht zie ik iets over het hoofd in deze eerste snelle analyse (het wetsvoorstel staat net online).
CBP onder rijkstoezicht gesteld
Verder valt op dat het wetsvoorstel bepaalt dat iedere beleidsregel die het CBP opstelt over de uitleg van de wetsartikelen waar een boete op komt te staan, eerst ter goedkeuring aan de minister van BZK moet worden voorgelegd. De gedachte hierachter is dat voorkomen moet worden dat één autoriteit zowel gaat over de uitleg als de handhaving van de Wet bescherming persoonsgegevens. Dat is denk ik op zichzelf een goede gedachte.
Het roept alleen wel de vraag op hoe de regering de bevoegdheid zal uitoefenen. En hoe die bevoegdheidsuitoefening zich verhoudt tot het bestaan van de artikel 29 werkgroep.De privacyrichtlijn bepaalt immers al dat er voor uitleg van de abstracte begrippen uit de richtlijn een centraal Europees orgaan is (de artikel 29 werkgroep). Zodra de Nederlandse regering in de goed- of afkeuring van het beleid van het CBP een andere koers kiest dan die werkgroep, wordt de relevantie van die werkgroep voor Nederland in één klap een stuk kleiner. En is in één klap sprake van een minder uniform Europees privacyrecht dan door de richtlijn beoogd. Dit terwijl het Hof van Justitie in veel uitspraken nu juist lijkt aan te sturen op een uniforme Europese interpretatie van het rechtsgebied. Veel vragen dus, die om nadere uitleg vragen. Wordt ongetwijfeld vervolgd.
Boete op meldplicht komt te vervallen
Voor de praktijk is opvallend dat de minst relevante bepaling uit de WBP eindelijk komt te vervallen: de boete op de meldplicht. Deze boete werd sinds 2007 toch al niet opgelegd en was daarmee tot een dode letter verworden. Een welkome aanvulling voor de praktijk dus.
En CBP wordt AP
Verder zal het College Bescherming Persoonsgegevens voortaan de Autoriteit Persoonsgegevens gaan heten. Of deze autoriteit met de tandjes die zij nu krijgt veel gezag zal krijgen, valt nog wel te bezien. Wordt ongetwijfeld vervolgd.
Ten slotte
Tot zover deze snelle analyse op basis van een eerste blik op het wetsvoorstel. We zullen ongetwijfeld nog wel nader over dit wetsvoorstel berichten. Mogelijk ook dat inzichten nog wel wijzigingen naar aanleiding van een verdere analyse.
