Wetsvoorstel: hoge boetes bij schending privacyregelgeving

Het belang van gegevensverwerking is sterk toegenomen en daarmee ook de relevantie van adequate bescherming van persoonsgegevens. In dit verband heeft de Staatssecretaris van Veiligheid en Justitie op 24 november jl. een aanpassing van de Wet bescherming persoonsgegevens (‘WPB’) en de Telecommunicatiewet voorgesteld. Doel van deze aanpassing is om het College Bescherming Persoonsgegevens (‘CBP’) de bevoegdheid te geven bij schending van privacyregelgeving hogere boetes op te leggen.

Het CBP als waakhond

Het CBP is ingesteld als Nederlandse “waakhond” op het gebied van persoonsgegevensuitwisseling. De Wbp legt immers verschillende verplichtingen op aan degene die persoonsgegevens verwerkt. Zo wordt onder meer voor­geschreven dat persoonsgegevens alléén mogen worden verwerkt voor welbepaalde, duidelijk omschreven en ge­rechtvaardigde doeleinden. Daarnaast is de verantwoor­delijke op grond van de Wbp verplicht om persoonsgege­vens op een adequate wijze te beveiligen tegen verlies en diefstal, het tegengaan van het zogeheten “datalekken” dus waar de kranten vrijwel dagelijks melding maken.

Boetebevoegdheid

Op dit moment mag het CBP slechts beperkt boetes opleggen bij schending van de Wbp. Wanneer een gegevensverwerking ten onrechte niet wordt gemeld, kan een (relatief geringe) boete van maximaal € 4.500 worden opgelegd. Daarnaast kan het CBP in uitzonderlijke gevallen een strafrechtelijke sanctie van maximaal € 8.100 opleggen. Daar komt bij dat het CBP in de afgelopen jaren weinig gebruik van zijn sanctiebevoegdheden heeft gemaakt. Aanpassing van de boetebevoegdheid viel bovendien te verwachten gezien de toenemende aandacht, op zowel Europees als nationaal niveau, voor privacy. Indien de aanpassing wordt doorgevoerd, krijgt het CBP voortaan de bevoegdheid om bij een schending van de Wbp een boete van € 810.000 of van 10% van de jaaromzet, op te leggen. Let wel, indien sprake is van een niet-opzettelijke overtre­ding mag het CBP niet zonder meer een boete op leggen. Het CBP is dan verplicht om eerst een bindende aanwij­zing te geven waarin een redelijke termijn voor herstel van de overtreding wordt gegeven. Bij ernstige nalatigheid kan wel direct een boete worden opgelegd.

Conclusie

Effectief of niet, een ding is zeker: het faciliteren van een hogere boetebevoegdheid geeft blijk van toenemende aandacht voor privacy. Het Cbp lijkt bovendien geen afwachtende houding aan te nemen. Dit volgt onder meer uit de last onder dwangsom van maximaal € 15.000.000 die Google in december jl. opgelegd kreeg. Kortom, privacy compliance zou dit jaar bij elke organisatie op de agenda zou moeten staan.