icon

Ruimere boetebevoegdheden voor het Cbp

De Europese Privacyverordening, officieel de Algemene Verordening Gegevensbescherming (AGV) ( pdf) komt eraan. Een verordening die het omgaan met persoonsgegevens voor veel ondernemingen tot een serieuzere zaak zal moeten maken. Al was het alleen al vanwege de vele voorschriften die op straffe van een boete zullen moeten worden nagevolgd; boetes die kunnen oplopen tot 2% van de wereldwijde jaaromzet van de onderneming. Ondanks dit gegeven vindt de Nederlandse regering het echter nodig eerst zélf de bescherming van persoonsgegevens nog te gaan verbeteren, middels wijzigingen van de Wet bescherming persoonsgegevens (Wbp) en de Telecommunicatiewet, aan te brengen via de Wet meldplicht datalekken. Aan dat al bestaande wetsvoorstel zijn deze week nieuwe boetebevoegdheden voor het College bescherming persoonsgegevens (Cbp) toegevoegd.

Kennelijk heeft men er niet zoveel vertrouwen in dat de Europese AVG snel zal kunnen worden ingevoerd. Dit terwijl er toch geruchten gaan dat dit op redelijk korte termijn het geval kan zijn, zij het dat de daadwerkelijke toepassing (inclusief die hoge boetes) in ieder geval pas twee jaar ná die invoering van start zal gaan. Waarna er feitelijk geen behoefte meer zal zijn aan nationale wetgeving op dit gebied, sterker: de Europese Verordening heeft straks rechtstreekse werking en gaat vóór.

Maar in de tussentijd mag als het het wetsvoorstel is doorgevoerd (hetgeen ook nog een jaar kan duren) het Cbp alvast in meer gevallen een bestuurlijke boete gaan opleggen. De maxima van die boetes variëren van 20.250 euro tot 810.000 euro. Die bedragen zijn laag in verhouding tot wat straks onder de AVG opgelegd kan worden, maar serieus in verhouding tot de huidige praktijk. Ze kunnen straks namelijk worden opgelegd bij zo ongeveer iedere overtreding van de Wbp, óók van bepalingen die nu alleen een last onder dwangsom kunnen opleveren. Denk aan het hebben van een geoorloofd doel, zorgen voor behoorlijke beveiliging, niet te lang bewaren, (straks) melden van een datalek, etc.

Wel is het zo dat, tenzij er opzet in het spel is, de boetes pas worden opgelegd nadat het Cbp eerst een bindende aanwijzing heeft gegeven. Wie geen kwade bedoelingen had wordt dus eerst gewaarschuwd en pas gestraft als die waarschuwing wordt genegeerd. Je kunt je afvragen of dat eigenlijk wel zo verschilt van het opleggen van een last onder dwangsom.

Is dit nu allemaal nodig? Niet echt: de AVG gaat straks min of meer hetzelfde inhouden (alleen met hogere boete-maxima en zonder eerst een bindende aanwijzing voor te schrijven). Uit de eerste reactie van het Cbp leid ik af dat met name dat laatste hen ook meer aanspreekt dan de tussenvorm die nu wordt voorbereid. (Het Cbp is daarnaast ongetwijfeld ook niet blij dat het straks onder een strenger overheidstoezicht komt. Het gaat ook anders heten: Autoriteit persoonsgegevens)

Maar toch vind ik het wetsvoorstel wel een goede zet, als tenminste haast kan worden gemaakt met de invoering. We weten immers niet wanneer de AVG wordt ingevoerd en áls die is ingevoerd duurt het nog twee jaar voordat hij effect heeft. Te verwachten is dat de aangepaste Nederlandse wet minimaal een jaar eerder effectief is dan de AVG.
In een wereld waarin data het nieuwe goud zijn, is een jaar privacywinst de moeite waard.

Heeft u vragen?

This field is for validation purposes and should be left unchanged.
Ruimere boetebevoegdheden voor het Cbp