Articles

Wetsvoorstel voor boetes tot EUR 810.000,- voor privacyschendingen ingediend

Wetsvoorstel voor boetes tot EUR 810.000,- voor privacyschendingen ingediend

Wetsvoorstel voor boetes tot EUR 810.000,- voor privacyschendingen ingediend

05.12.2014 NL law

Op 24 november jl. heeft staatssecretaris Teeven een tweede nota van wijziging ingediend op het wetsvoorstel tot aanpassing van de Wet bescherming persoonsgegevens ("Wbp"). Met de wijziging, die wordt doorgevoerd via onder meer een aanpassing van artikel 66 Wbp, wordt beoogd om het College bescherming persoonsgegevens ("Cbp") de bevoegdheid toe te kennen om (i) in meer gevallen en (ii) hogere bestuurlijke boetes op te gaan leggen.

1. Hoge boetes

Momenteel is deze bevoegdheid beperkt tot een aantal specifieke administratieve bepalingen, zoals het aanmelden van een gegevensverwerking bij het Cbp. Daarnaast is de hoogte van de mogelijk op te leggen boete laag (EUR 4500,-) en wordt deze in de praktijk niet opgelegd. Het wetsvoorstel breidt deze bevoegdheid uit tot een groot aantal algemene verplichtingen van de Wbp en voert boetecategorieën in die variëren van EUR 20.250,- voor relatief lichte overtredingen tot maximaal EUR 810.000,- voor opzettelijke en herhaaldelijke overtredingen, die grote maatschappelijke gevolgen kunnen hebben. Voor rechtspersonen wordt de hoogte van de boete geflexibiliseerd: dit betekent dat als de hoogste boetecategorie van EUR 810.000,- niet tot een passende bestraffing leidt, het Cbp een boete tot maximaal 10 procent van de jaaromzet van de rechtspersoon mag opleggen. Opmerkelijk (en voor de praktijk prettig) is dat de boete voor het niet aanmelden van een gegevensverwerking bij het Cbp, die tot nu toe als een van de weinige bepalingen van de Wbp wel beboetbaar was, zal komen te vervallen.

2. Bindende aanwijzing door Cbp

Het wetsvoorstel sluit aan bij de boetecategorieën zoals opgenomen in artikel 23 van het Wetboek van Strafrecht. Het Cbp mag echter pas overgaan tot het opleggen van een dergelijke bestuurlijke boete nadat het een bindende aanwijzing aan de overtreder heeft gegeven. Hierbij kan een termijn worden opgelegd waarin de overtreder de aanwijzing moet opvolgen. De overtreder kan tegen dit besluit bestuursrechtelijke rechtsmiddelen aanwenden, zoals het indienen van een bezwaarschrift. Het indienen daarvan heeft echter geen schorsende werking. Dit kan problematisch zijn nu er in de praktijk twee parallelle procedures kunnen gaan lopen. In situaties waarin sprake is van een opzettelijke overtreding van de materiële normen van de Wbp, bestaat de verplichting tot het geven van een bindende aanwijzing niet.

3. Cbp krijgt een nieuwe naam

Het Cbp zal indien het wetsvoorstel wordt aangenomen, voortaan als 'Autoriteit persoonsgegevens' door het leven gaan om aan te sluiten bij de terminologie van het Europese voorstel voor de nieuwe algemene privacyverordening en om de bestaande verwarring met het Centraal Planbureau (CPB) uit de wereld te helpen. Daarnaast moet het Cbp de richtsnoeren die ter uitleg en interpretatie van materiële normen van de Wbp waarvan bij overtreding een bestuurlijke boete kan worden opgelegd, worden opgesteld, in de toekomst laten goedkeuren door de Minister van Veiligheid en Justitie.

4. Kritiek Cbp op het voorstel

Het voorstel vloeit voort uit het regeerakkoord, waarin een uitbreiding van de boetebevoegdheid was opgenomen. Hierdoor wordt het toezicht versterkt en verschuift de focus van herstelsancties, zoals de last onder dwangsom die momenteel vaak door het Cbp wordt opgelegd, naar bestuurlijke beboeting. De vraag is echter of dit verschil in de praktijk merkbaar zal zijn, nu het Cbp eerst verplicht een bindende aanwijzing moet opleggen. Deze verplichting vloeit voort uit het advies van de Raad van State, die van mening is dat gelet op de 'vage' normen van de Wbp, het ongewenst is dat zonder voorafgaande waarschuwing een boete wordt opgelegd. Het Cbp kan zich echter in dit deel van het voorstel niet vinden: het voelt zich 'tandeloos' en meent dat het hierdoor niet snel en effectief zal kunnen optreden. De vrees bestaat dat bedrijven en organisaties zich hierdoor niet geroepen zullen voelen om de wet na te leven.

Tandeloos of niet, een ding is zeker: het creëren van een ruimere boetebevoegdheid toont aan dat na vele jaren van praten en lobbyen de naleving van de privacyregels serieus wordt genomen. Privacy compliance is hiermee een boardroomissue geworden en zal naar verwachting in 2015 bij menig bedrijf op de agenda staan.

 

Team

Related news

27.07.2020 NL law
Outsourcing laws and Regulation in the Netherlands – 2020

Articles - Are there any additional legal or regulatory requirements for outsourcing transactions undertaken by government or public sector bodies? What formalities are required to transfer, lease or license assets on an outsourcing transaction? Or, What are the most material legal or regulatory requirements and issues concerning data security and data protection that may arise on an outsourcing transaction?

Read more

29.07.2020 NL law
Over temperaturen ten tijde van corona

Articles - Met haar standpunt ten aanzien van het meten van temperaturen van werknemers, geeft de Autoriteit Persoonsgegevens (AP) verduidelijking over de reikwijdte van haar toezicht. Deze nuancering houdt in dat, als er geen sprake is van verwerking van persoonsgegevens, de AVG niet geldt en de AP dus niet handhavend kan optreden.

Read more

03.07.2020 NL law
E-book NOW-2: Second Temporary Emergency Bridging Measure Work Retention

Articles - On 17 March 2020, the Dutch cabinet announced the first emergency package of support measures to alleviate the economic consequences of the corona crisis. This emergency package inter alia comprised the First Temporary Emergency Bridging Measure for the purpose of Work Retention (“NOW-1”) and the Temporary Bridging Measure for Self-Employed Persons (“Tozo-1”).

Read more