Wetsvoorstel verruiming boetebevoegdheid College Bescherming Persoonsgegevens

Op 24 november jl. heeft staatssecretaris Teeven een tweede nota van wijziging van de Wet bescherming persoonsgegevens (Wbp) ingediend. In dit wijzigingsvoorstel wordt het College Bescherming Persoonsgegevens (CBP) de bevoegdheid toegekend om veel hogere boetes op te leggen bij overtreding van alle hoofdverplichtingen van de Wbp. Op dit moment kan het CBP alleen bij een overtreding van specifieke bepalingen – zoals het niet melden van een gegevensverwerking – een bestuurlijke boete opleggen van maximaal € 4.500,-. Deze boetebevoegdheid wordt met het wetsvoorstel verhoogd tot maximaal € 810.000,- of 10 % van de jaaromzet van de onderneming die de Wbp opzettelijk of herhaaldelijk overtreedt.

In het regeerakkoord ‘Bruggen slaan’ van oktober 2012 stond het voornemen om de bestuurlijke boetebevoegdheid van het CBP uit te breiden. Met de versterking van de sanctiemogelijkheden van het CBP beoogt het kabinet de naleving van de Wbp door bedrijven en overheden te bevorderen. Staatssecretaris Teeven heeft daarom op 24 november 2014 een tweede nota van wijziging ingediend bij het wetsvoorstel 33662 (Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid CBP).

Op dit moment kan het CBP uitsluitend een bestuurlijke boete opleggen in geval van overtreding van bepaalde administratieve verplichtingen, zoals het melden van een gegevensverwerking aan het CBP. Deze boete is maximaal €4.500,- en wordt weinig opgelegd. In het wetsvoorstel worden de boetes niet alleen aanzienlijk verhoogd, maar ook de gevallen waarin een boete kan worden opgelegd worden sterk uitgebreid. Voor de hoogte van de boetes is aangehaakt bij de strafrechtelijke boetecategorieën. In het voorstel kan bij een overtreding van bepaalde bepalingen, zoals het niet aanstellen van een Nederlandse vertegenwoordiger door een buiten de EU gevestigde onderneming, een boete worden opgelegd van maximaal € 20.250,-. Maar bij overtreding van de meeste algemene bepalingen van de Wbp, zoals de behoorlijke en zorgvuldige wijze van verwerking van persoonsgegevens, het niet langer bewaren van persoonsgegevens dan nodig, het treffen van adequate beveiligingsmaatregelen en de informatieplicht kan een boete worden opgelegd tot maximaal € 810.000,-. Deze boete wordt geflexibiliseerd voor rechtspersonen. Dat betekent dat als het maximum van € 810.000,- geen passende bestraffing is het CBP een boete op kan leggen ter hoogte van 10% van de jaaromzet. Dit maximum zal alleen worden opgelegd als een bedrijf of organisatie opzettelijk of herhaaldelijk de Wbp overtreedt.

Het CBP zal bij niet-opzettelijke overtredingen eerst een bindende aanwijzing moeten geven, voordat een boete kan worden opgelegd. In die aanwijzing zal staan welke wettelijke bepalingen zijn overtreden en wat de overtreder dient te doen om de overtreding (gedeeltelijk) te herstellen. Als een organisatie of bedrijf willens en wetens de Wbp overtreedt om er bijvoorbeeld zelf financieel beter van te worden kan het CBP zonder aanwijzing overgaan tot oplegging van een boete.

Met de verplichte bindende aanwijzing is het CBP het niet eens. Het vindt dat het daardoor  ‘tandeloos’ wordt. Wat daar ook van zij, de naleving van de Wbp wordt met deze verruiming van de boetebevoegdheid alleen maar belangrijker. Het is daarom sterk aan te raden privacy beleid op de bestuursagenda te plaatsen!