Het College bescherming persoonsgegevens (Cbp) mag straks in meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. De nieuwe bevoegdheid versterkt het toezicht op de naleving en toepassing van wetten die het gebruik van persoonsgegevens regelen. Hierdoor kan het Cbp effectiever optreden tegen overheidsinstanties en bedrijven die onzorgvuldig omgaan met gegevens van burgers.
Dit blijkt uit een wetswijziging van staatssecretaris Teeven (Veiligheid en Justitie) die mede namens minister Plasterk (Binnenlandse Zaken en Koninkrijksrelaties) naar de Tweede Kamer is gestuurd. De maatregel vloeit voort uit het regeerakkoord en beoogt de bescherming van persoonsgegevens te verbeteren.
Het Cbp mag nu alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Straks kan dat ook bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt.
De bestuurlijke boete varieert van maximaal 20.250 euro in de laagste categorie tot maximaal 810.000 euro in de hoogste categorie. Dit sluit aan bij de bedragen die in het strafrecht worden gebruikt. De hoogste boete is bedoeld om ook overtredingen aan te kunnen pakken die opzettelijk en herhaaldelijk worden gepleegd, vaak met grote maatschappelijke gevolgen. Dat kan het geval zijn bij handel in persoonsgegevens. Het Cbp legt niet onmiddellijk een boete op, maar geeft eerst een zogeheten bindende aanwijzing. Dat is een op herstel gerichte, corrigerende maatregel. Wordt de aanwijzing niet binnen een bepaalde termijn uitgevoerd, dan volgt de boete.
Tot slot krijgt het Cbp een nieuwe naam: Autoriteit persoonsgegevens. Die sluit meer aan bij Europese ontwikkelingen, in het bijzonder de nieuwe algemene verordening gegevensbescherming van de Europese Unie die in de loop van het volgend jaar wordt verwacht.
Het College bescherming persoonsgegevens (CBP) zet vraagtekens bij het wetsvoorstel waarin wordt geregeld dat de privacytoezichthouder een bestuurlijke boete voor overtredingen van de privacywetgeving kan opleggen. Dit wetsvoorstel is vandaag door de staatssecretaris van Veiligheid en Justitie aan de Tweede Kamer gezonden. Het CBP pleit al langere tijd voor een boetebevoegdheid. De verwachting is dat een boetebevoegdheid bedrijven en overheden zal stimuleren om aan de bestuurstafel na te denken over de bescherming van persoonsgegevens. De voorgestelde werkwijze in het wetsvoorstel maakt echter dat het CBP niet snel en effectief zal kunnen optreden tegen grove schendingen van de privacywetgeving. “Dit wetsvoorstel leidt niet tot een betere naleving van de Wet bescherming persoonsgegevens”, aldus de voorzitter van het CBP Jacob Kohnstamm. “De roep in de samenleving is om een waakhond met tanden. Nu worden we tandeloos aan banden gelegd waardoor bedrijven en organisaties niet de druk zullen voelen om de wet na te leven.”
