Articles

Wetsvoorstel voor boetes tot EUR 810.000,- voor privacyschendingen ingediend

Wetsvoorstel voor boetes tot EUR 810.000,- voor privacyschendingen ingediend

Wetsvoorstel voor boetes tot EUR 810.000,- voor privacyschendingen ingediend

05.12.2014 NL law

Op 24 november jl. heeft staatssecretaris Teeven een tweede nota van wijziging ingediend op het wetsvoorstel tot aanpassing van de Wet bescherming persoonsgegevens ("Wbp"). Met de wijziging, die wordt doorgevoerd via onder meer een aanpassing van artikel 66 Wbp, wordt beoogd om het College bescherming persoonsgegevens ("Cbp") de bevoegdheid toe te kennen om (i) in meer gevallen en (ii) hogere bestuurlijke boetes op te gaan leggen.

1. Hoge boetes

Momenteel is deze bevoegdheid beperkt tot een aantal specifieke administratieve bepalingen, zoals het aanmelden van een gegevensverwerking bij het Cbp. Daarnaast is de hoogte van de mogelijk op te leggen boete laag (EUR 4500,-) en wordt deze in de praktijk niet opgelegd. Het wetsvoorstel breidt deze bevoegdheid uit tot een groot aantal algemene verplichtingen van de Wbp en voert boetecategorieën in die variëren van EUR 20.250,- voor relatief lichte overtredingen tot maximaal EUR 810.000,- voor opzettelijke en herhaaldelijke overtredingen, die grote maatschappelijke gevolgen kunnen hebben. Voor rechtspersonen wordt de hoogte van de boete geflexibiliseerd: dit betekent dat als de hoogste boetecategorie van EUR 810.000,- niet tot een passende bestraffing leidt, het Cbp een boete tot maximaal 10 procent van de jaaromzet van de rechtspersoon mag opleggen. Opmerkelijk (en voor de praktijk prettig) is dat de boete voor het niet aanmelden van een gegevensverwerking bij het Cbp, die tot nu toe als een van de weinige bepalingen van de Wbp wel beboetbaar was, zal komen te vervallen.

2. Bindende aanwijzing door Cbp

Het wetsvoorstel sluit aan bij de boetecategorieën zoals opgenomen in artikel 23 van het Wetboek van Strafrecht. Het Cbp mag echter pas overgaan tot het opleggen van een dergelijke bestuurlijke boete nadat het een bindende aanwijzing aan de overtreder heeft gegeven. Hierbij kan een termijn worden opgelegd waarin de overtreder de aanwijzing moet opvolgen. De overtreder kan tegen dit besluit bestuursrechtelijke rechtsmiddelen aanwenden, zoals het indienen van een bezwaarschrift. Het indienen daarvan heeft echter geen schorsende werking. Dit kan problematisch zijn nu er in de praktijk twee parallelle procedures kunnen gaan lopen. In situaties waarin sprake is van een opzettelijke overtreding van de materiële normen van de Wbp, bestaat de verplichting tot het geven van een bindende aanwijzing niet.

3. Cbp krijgt een nieuwe naam

Het Cbp zal indien het wetsvoorstel wordt aangenomen, voortaan als 'Autoriteit persoonsgegevens' door het leven gaan om aan te sluiten bij de terminologie van het Europese voorstel voor de nieuwe algemene privacyverordening en om de bestaande verwarring met het Centraal Planbureau (CPB) uit de wereld te helpen. Daarnaast moet het Cbp de richtsnoeren die ter uitleg en interpretatie van materiële normen van de Wbp waarvan bij overtreding een bestuurlijke boete kan worden opgelegd, worden opgesteld, in de toekomst laten goedkeuren door de Minister van Veiligheid en Justitie.

4. Kritiek Cbp op het voorstel

Het voorstel vloeit voort uit het regeerakkoord, waarin een uitbreiding van de boetebevoegdheid was opgenomen. Hierdoor wordt het toezicht versterkt en verschuift de focus van herstelsancties, zoals de last onder dwangsom die momenteel vaak door het Cbp wordt opgelegd, naar bestuurlijke beboeting. De vraag is echter of dit verschil in de praktijk merkbaar zal zijn, nu het Cbp eerst verplicht een bindende aanwijzing moet opleggen. Deze verplichting vloeit voort uit het advies van de Raad van State, die van mening is dat gelet op de 'vage' normen van de Wbp, het ongewenst is dat zonder voorafgaande waarschuwing een boete wordt opgelegd. Het Cbp kan zich echter in dit deel van het voorstel niet vinden: het voelt zich 'tandeloos' en meent dat het hierdoor niet snel en effectief zal kunnen optreden. De vrees bestaat dat bedrijven en organisaties zich hierdoor niet geroepen zullen voelen om de wet na te leven.

Tandeloos of niet, een ding is zeker: het creëren van een ruimere boetebevoegdheid toont aan dat na vele jaren van praten en lobbyen de naleving van de privacyregels serieus wordt genomen. Privacy compliance is hiermee een boardroomissue geworden en zal naar verwachting in 2015 bij menig bedrijf op de agenda staan.

 

Team

Related news

15.07.2019 EU law
ICO to impose record-breaking fines for inadequate security measures and data breaches

Short Reads - Though the European data protection authorities have taken their time in enforcing the GDPR, two announcements by the ICO in the UK regarding proposed fines for British Airways and Marriott demonstrate that large fines are about to start landing regularly. Both of the substantial fines are to be handed out as a result of shortcomings in handling data breaches caused by cyber-attacks.

Read more

27.06.2019 NL law
Stibbe launches website about Digital Economy

Inside Stibbe - Stibbe's Digital Economy group published a new website this week: Stibbedigital.com With this new website we aim to view technological developments including artificial intelligence (AI), blockchain, the Internet of Things, smart mobility and the rise of digital platforms from a legal perspective.

Read more

05.07.2019 EU law
The two sides of the ECS coin

Articles - The concept of ‘electronic communications service’ (“ECS”) defined in Article 2(c) of Directive 2002/21/EC (“Framework Directive”) has been interpreted in two decisions of the ECJ in June 2019: C‑142/18 Skype communications and C-193/18 Google LLC.

Read more

21.06.2019 NL law
Nieuw boetebeleid van de Autoriteit Persoonsgegevens

Short Reads - Op 14 maart 2019 zijn de nieuwe Boetebeleidsregels Autoriteit Persoonsgegevens 2019 ("Boetebeleidsregels") van de Autoriteit Persoonsgegevens ("AP") gepubliceerd. Dit boetebeleid heeft de AP opgesteld vanwege de inwerkingtreding van de Algemene verordening gegevensverwerking ("AVG") en omdat er op Europees niveau nog geen boeterichtsnoeren zijn opgesteld.

Read more

02.07.2019 NL law
Debate night: HR Analytics: opportunity or threat?

Seminar - On 2 July 2019, Stibbe's Digital Economy Group will host a debate night in Amsterdam on the hot topic of HR analytics. During Stibbe's debate night, speakers from the world of business, politics, science and law will exchange views on HR analytics, how they can be used in practice, and their development in the context of employment and privacy law.

Read more

21.06.2019 NL law
Dutch Data Protection Authority publishes new fining policy

Short Reads - The Dutch Data Protection Authority ("DPA") has published its new Fining policy for Administrative Fines. The new policy was drafted in response to the lack of such guidelines at the European level following the entering into force of the General Data Protection Regulation ("GDPR"). In the policy, the DPA elaborates on how the amount of fines for infringements of the GDPR, the Police Data Act, the Judicial and Criminal Records Act and the Telecommunications Act will be calculated. In this blog post, we will discuss the outline of this new policy.

Read more

Our website uses functional cookies for the functioning of the website and analytic cookies that enable us to generate aggregated visitor data. We also use other cookies, such as third party tracking cookies - please indicate whether you agree to the use of these other cookies:

Privacy – en cookieverklaring