Wet meldplicht datalekken en boete CBP
De onlangs gepubliceerde - maar nog niet in werking getreden - wet inzake de meldplicht datalekken en de boetebevoegdheid voor het College Bescherming Persoonsgegevens, gaat over (veel) meer dan alleen de introductie van boetebevoegdheden op overtreding van de Wbp en de introductie van de meldplicht datalekken. In dit artikel licht ik één van de andere aspecten er uit. Overigens doe ik dat vooral vragenderwijs; zoals uit de conclusie blijkt heb ik namelijk de antwoorden (ook) nog niet. Ik hoop met deze blog de discussie over dit onderwerp te voeden.
Verplichting om mee te werken aan onderzoek CBP
In de algemene wet bestuursrecht (Awb) staat in artikel 5:20 de verplichting opgenomen voor een ieder om medewerking te verlenen aan de uitoefening van bevoegdheden door een toezichthouder.
Uit de toelichting op dit wetsartikel van destijds blijkt dat artikel 5:20 Awb heel ruim is bedoeld. Medewerking verlenen ziet namelijk zowel op bijv. feitelijke handelingen (deur open doen, wijzen waar computers staan, etc.), als op het verschaffen van inlichtingen. Zie hierover ook deze passage uit de toelichting:
Uit de bewoordingen van de voorgestelde bepaling blijkt dat de medewerkingsplicht betrekking heeft op alle gevallen waarin de betrokkene de uitoefening van een toezichthoudende bevoegdheid moet gedogen. Het gaat hier dus zowel om de in de artikelen 5.1.5 tot en met 5.1.9 vermelde bevoegdheden als om eventuele andere bevoegdheden die bij bijzondere wet zijn verleend. Voorts betekent dit dat de plicht tot medewerking ook betrekking heeft op de in de artikelen 5.1.6 en 5.1.7 opgenomen bevoegdheden tot het vorderen van inlichtingen en inzage van gegevens en bescheiden. Het is derhalve niet nodig om daarnaast afzonderlijke verplichtingen op te nemen tot het verschaffen van de gevorderde inlichtingen en tot afgifte van de gevorderde gegevens en bescheiden.
Overigens stond die verplichting al in de Awb; de nieuwe wetswijziging inzake de meldplicht datalekken wijzigt hier op zichzelf niets aan.
Boete op niet meewerken aan onderzoek CBP
Nieuw is echter dat dankzij de nieuwste wijziging van de Wbp op het schenden van deze verplichting, een boete komt te staan van 810.000 euro of 10% van de jaaromzet. In artikel 66 van de nieuwe wet is namelijk een verwijzing naar dit artikel 5:20 Awb opgenomen:
2. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens (...) artikel 5:20 van de Algemene wet bestuursrecht.
Uitzondering in de wet voor professionele geheimhouders
Artikel 5:20 Awb bevat een belangrijke uitzondering. Professionele geheimhouders zijn namelijk niet verplicht medewerking te verlenen aan een vordering van een toezichthouder:
Zij die uit hoofde van ambt, beroep of wettelijk voorschrift verplicht zijn tot geheimhouding, kunnen het verlenen van medewerking weigeren, voor zover dit uit hun geheimhoudingsplicht voortvloeit.
In de literatuur wordt wel aangenomen dat deze kring van geheimhouders breder is dan de klassieke verschoningsgerechtigden (arts, advocaat, notaris, geestelijke, etc.). Hoe breed precies moet zich in de jurisprudentie nader ontwikkelen.
Geheimhouding door F-G niet geheel duidelijk
Het opvallende is nu dat de wet niet geheel duidelijk is of een functionaris gegevensbescherming (F-G) tot geheimhouding verplicht is. Artikel 63 lid 4 Wbp bepaalt weliswaar dat de F-G geheimhouding moet betrachten van "hetgeen hem op grond van een klacht of een verzoek van betrokkene is bekend geworden", maar dat is slechts een deel van de kennis die een F-G zou kunnen hebben. In de praktijk beschikt een (goede) FG nu juist ook over informatie over de die sterke en zwakke punten van een organisatie als het aankomt op privacycompliance.
Moet je nu uit die heel beperkte wettekst, a contrario, afleiden dat de F-G dus overigens geen wettelijke geheimhoudingsplicht heeft? Dat is niet duidelijk. Een heel waarschijnlijke uitleg is het echter volgens mij niet.
In de wetsgeschiedenis zijn verschillende aanwijzingen te vinden, die er toch - alles afwegend - op wijzen dat bedoeld is geweest om de F-G een positie te geven waarbij deze in alle vertrouwen in een organisatie geraadpleegd moet kunnen worden en dus uit hoofde van ambt een geheimhoudingsplicht heeft.
Zie de Memorie van Toelichting:
Treft de functionaris onregelmatigheden aan, dan ligt in zijn taakopdracht en in zijn aanstelling besloten dat hij daarover verslag uitbrengt aan de verantwoordelijke of de organisatie waardoor hij is aangesteld. Zijn rol tegenover de verantwoordelijke is louter adviserend. Het is aan de verantwoordelijke om te beslissen of hij een advies van de privacyfunctionaris opvolgt. De functionaris heeft geen verplichting onregelmatigheden te melden bij de Registratiekamer. Daar staat tegenover dat de Registratiekamer te allen tijde zijn bevoegdheden kan uitoefenen, ook al is er een functionaris aangesteld binnen de organisatie of branche.
In de nota naar aanleiding van het verslag:
De leden van de PvdA-fractie stellen voor om de functionaris te verplichten eventuele onregelmatigheden te melden aan het Cbp. Hoewel wij begrip hebben voor de gedachte die aan dit voorstel ten grondslag ligt, zijn wij hier geen voorstander van. In de memorie van toelichting hebben wij uiteengezet dat de functionaris fungeert als intermediair tussen Cbp en de branche of de organisatie waar hij werkzaam is. Dit brengt met zich dat zijn positie op evenwichtige wijze vorm moet krijgen. Enerzijds zijn er wettelijke waarborgen ten einde zijn onafhankelijkheid binnen de branche of organisatie te verzekeren, anderzijds rapporteert en adviseert hij uitsluitend aan degene door wie hij is aangesteld. Een wettelijke verplichting zoals door de leden van de PvdA-fractie voorgesteld, staat naar onze opvatting met deze positie op gespannen voet. Het risico bestaat dat een dergelijke verplichting ten koste zal gaan van het vertrouwen binnen de desbetreffende organisatie of branche dat nodig is om adequaat te kunnen functioneren. Daarmee wordt een effect bereikt dat tegengesteld is aan hetgeen wordt beoogd. Hetzelfde geldt voor een eventuele verplichting om jaarlijks een openbaar verslag uit te brengen.
En misschien nog wel het allerduidelijkst in de lijst van de vragen en antwoorden:
Wij hebben ervoor gekozen om de privacyfunctionaris geen meldingsplicht op te leggen, omdat wij menen dat dit beter past bij de aard van het instituut van de functionaris. Organisaties dienen in de gelegenheid te zijn door middel van interne voorzieningen onregelmatigheden binnenshuis te herstellen zonder dat deze meteen bij de officiële instanties behoeven te worden gemeld. Voorts zou door een dergelijke meldingsplicht verantwoordelijken onder wiens gezag privacyfunctionarissen werkzaam zijn onder omstandigheden gehouden zullen zijn zichzelf te belasten.
Ik zou dan ook menen dat goed verdedigbaar is dat de F-G ook uit hoofde van beroep een verderstrekkende geheimhoudingsplicht heeft dan in het hiervoor aangehaalde wetsartikel vermeld.
Maar.... geen beroep op geheimhouding bij onderzoek CBP!
De Wet bescherming persoonsgegevens bevat echter nog een bepaling, die wel eens relevant zou kunnen zijn, en wel artikel 61 lid 5 Wbp. Dit artikel luidt als volgt:
5. Geen beroep is mogelijk op een geheimhoudingsplicht, voor zover inlichtingen of medewerking wordt verlangd in verband met de eigen betrokkenheid bij de verwerking van persoonsgegevens.
In de memorie van toelichting bij de Wbp staat bij artikel 61 dat dit artikel een rechtvaardiging vormt voor (de ambtenaren van) het CBP om onderzoeksbevindingen openbaar te maken. Dat aspect laat ik even in het midden. De toelichting bij artikel 12 Wbp vind ik in dit verband relevanter. Hier is het volgende te lezen:
De bepaling dient in samenhang te worden bezien met artikel 61, vijfde lid. Op een geheimhoudingsverplichting kan geen beroep worden gedaan indien de Registratiekamer inlichtingen verlangt in verband met de betrokkenheid bij de verwerking van persoonsgegevens van degene op wie de geheimhoudingsverplichting rust.
Het wetsartikel is bovendien jonger dan artikel 5:20 Awb (01-09-2001 vs. 01-01-1998). Dat bevestigt dat het artikel echt bedoeld is als een specifieke uitzondering op de uitzondering op de medewerkingsverplichting van artikel 5:20 Awb (volgt u het nog?). Er kan dus geen beroep op geheimhouding worden gedaan wanneer het CBP onderzoek doet naar overtreding van de wet.
Wel zwijgrecht, maar toepasselijk op F-G?
De Awb bevat ook een algemene regel omtrent het zwijgrecht in artikel 5:10a Awb. Het artikel luidt als volgt:
1. Degene die wordt verhoord met het oog op het aan hem opleggen van een bestraffende sanctie, is niet verplicht ten behoeve daarvan verklaringen omtrent de overtreding af te leggen.
2. Voor het verhoor wordt aan de betrokkene medegedeeld dat hij niet verplicht is tot antwoorden.
Dit artikel lijkt echter, in ieder geval naar de tekst ervan, niet van toepassing op de F-G als het CBP een onderzoek doet naar de verantwoordelijke. En vice versa niet van toepassing op de (vertegenwoordigers van) de verantwoordelijke als een onderzoek gedaan wordt naar de F-G. Het artikel lijkt alleen bedoeld om niet te hoeven meewerken aan de eigen persoonlijke veroordeling.
Resumerend: positie van F-G onder druk?
Het voorgaande op een rijtje zettend, lijkt er toch een wat vreemde situatie te zijn ontstaan. Wellicht zie ik iets over het hoofd, maar de voorlopige conclusie lijkt toch te moeten zijn dat de F-G weliswaar waarschijnlijk een functioneel beroepsgeheim heeft, maar dat hij hier bij een onderzoek door het CBP naar overtreding van de wet geen beroep op kan doen.
Aldus zou de (vreemde) situatie kunnen ontstaan dat het CBP een FG - die de ins en outs qua privacy compliance van een organisatie kent (en dus ook de Wbp-overtredingen) - onder dreiging van een boete van 810.000 euro dwingt openheid van zaken te geven over de zwakke punten van een organisatie op privacyvlak (overtredignen van de Wbp), om vervolgens de verantwoordelijke een boete op te leggen. In die constructie lijkt de F-G zich ook niet te kunnen beroepen op het zwijgrecht van artikel 5:10a Awb, de F-G is dan immers niet de gene die bloot staat aan een sanctie op de overtreding van de Wbp, dat is de verantwoordelijke.
Deze situatie komt mij niet wenselijk voor. Als deze voorlopige conclusie van mij juist is, dan zou dit (enorm) afbreuk kunnen doen aan de onafhankelijke positie van de F-G. Er zou immers in de organisatie terughoudendheid kunnen gaan ontstaan om de F-G te betrekken bij nieuwe plannen van de organisatie, teneinde te vermijden dat de F-G wetenschap heeft (krijgt) van overtredingen van de Wbp. Dit terwijl de F-G nu juist (onder meer) bedoeld is om intern in vrijheid mee van gedachten te kunnen wisselen (zie citaten wetsgeschiedenis hiervoor). Als de nieuwe wet boetebevoegdheden daar (de facto) een rem op zet, dan lijkt me dit nieuwe middel op in ieder geval dit punt niet het doel "heiligt". Het is te hopen dat het CBP in de komende beleidsregels boetebevoegdheden ook (meer) helderheid geeft over dit onderwerp.
