Meldplicht datalekken: de boetes van het CBP (1)

Het meest besproken onderdeel van de wijzigingen die de Wet Meldplicht Datalekken in de Wbp aanbrengt is ongetwijfeld de nieuwe boetebevoegdheid van het CBP. Als de wijzigingen straks op 1 januari ingaan zal het CBP boetes kunnen opleggen die oplopen tot 810.000 euro. En als dat nog niet genoeg is, en de verantwoordelijke een rechtspersoon is, is onder bijzondere omstandigheden zelfs een boete mogelijk ter grootte van 10% van de jaaromzet in het voorafgaande boekjaar.

Er heersen een paar misverstanden over die nieuwe boetebevoegdheid die wij in het navolgende willen ontzenuwen.

Allereerst wordt veelal gedacht dat de boetes alleen betrekking kunnen hebben op het ten onrechte niet melden van een datalek, of op het anderszins niet goed gevolg geven aan de nieuwe eisen die de wet meldplicht stelt. Dat klopt niet. De boetes kunnen worden opgelegd naar aanleiding van vrijwel alle overtredingen van de Wbp. Dus bijvoorbeeld ook wegens het verwerken van persoonsgegevens zonder geldige rechtsgrond (art. 8 WBP), het te lang bewaren van persoonsgegevens (namelijk langer dan nodig is voor het doel waarvoor zij werden verwerkt -art. 10 Wbp), of het zonder bevoegdheid verwerken van bijzondere persoonsgegevens (art. 16 WBP).

Daarnaast wordt wel gedacht dat het hier om strafrechtelijke boetes gaat. Om die reden verbaast men zich er dan over dat de boete kan worden opgelegd zonder dat daar een rechter aan te pas komt. Ook dat klopt niet. Het gaat hier om bestuursrechtelijke boetes. Dergelijke boetes kunnen inderdaad direct worden opgelegd door een bestuursorgaan (in dit geval dus het CBP, dat dan inmiddels Autoriteit Persoonsgegevens zal heten). Maar wie het niet met de boete eens is kan de zaak nog altijd voorleggen aan de rechter, volgens de gebruikelijke bestuursrechtelijke rechtsbescherming. Dat betekent dat men eerst bezwaar moet maken bij het CBP en vervolgens desgewenst nog beroep kan instellen bij de rechtbank, afdeling bestuursrecht en hoger beroep bij de afdeling bestuursrechtspraak van de Raad van State. Zo lang dit traject loopt hoeven de boetes niet te worden betaald (art. 71 WBP).

Wél is het overigens zo dat met de hoogte van de boetes direct aansluiting wordt gezocht bij de boete-categorieën van het Wetboek van Strafrecht. Het betreft de vierde categorie (maximaal 20.250 euro) en de zesde categorie (maximaal 810.000 euro). Boetes van die laatste categorie kunnen overigens, behoudens de aanwezigheid van opzet of grove nalatigheid, alleen worden opgelegd nadat het CBP eerst een bindende aanwijzing heeft gedaan, die vervolgens niet (behoorlijk) is opgevolgd. En alleen in die gevallen kan aan een rechtspersoon ook de boete van 10% van de jaaromzet worden opgelegd. (Daarover meer in de volgende aflevering van deze serie.)

Tenslotte denkt men wel dat het CBP pas nu echte handhavingsmogelijkheden krijgt. Ook dat is onjuist, maar het is wel begrijpelijk. Het CBP had en houdt wel degelijk andere handhavingsmogelijkheden (waaronder zelfs al het opleggen van een bestuurlijke boete). Zo kon en kan het CBP een last onder dwangsom opleggen (art. 65 WBP). Daar ging echter begrijpelijkerwijze niet de dreiging van uit die nu van de boetes wordt verwacht. Ook al worden die bij afwezigheid van opzet of grove schuld ook pas opgelegd nadat niet aan een bindende aanwijzing is voldaan.

Volgende keer meer over het aangekondigde boetebeleid van het CBP.

Overzicht van de andere afleveringen van deze serie

Vragen?