Wetsvoorstel: Hoge boetes bij schending privacy

Datum: 8 december 2014

Op 24 november 2014 heeft Staatssecretaris van Veiligheid en Justitie een wijziging ingebracht op het wetsvoorstel tot aanpassing van de Wet bescherming persoonsgegevens ('Wbp') en de Telecommunicatiewet in verband met de invoering van de meldplicht datalekken. De wijziging heeft tot doel het College bescherming persoonsgegevens ('Cbp') de bevoegdheid te geven om bestuurlijke boetes op te leggen tot EUR 810.000,- of, indien dit geldbedrag geen passende straf is, 10% van de jaaromzet van een rechtspersoon bij overtredingen van de Wbp.

Huidige wetgeving

Momenteel kan het Cbp slechts een bestuurlijke boete opleggen van ten hoogste EUR 4.500,- indien een gegevensverwerking, in strijd met de wet, niet wordt gemeld bij het Cbp of een functionaris voor de gegevensbescherming. Daarnaast kan er in beperkte gevallen een strafrechtelijke sanctie van EUR 8.100,- worden opgelegd.

Nieuwe wetgeving

Indien het wetsvoorstel wordt aangenomen krijgt het Cbp de mogelijkheid om bij een schending van veel artikelen van de Wbp (hogere) boetes tot EUR 810.000,- op te leggen. Hieronder wordt een samenvatting gegeven van de normen van de Wbp en de bijbehorende boete in geval van schending van die norm.

Hierbij is van belang dat het Cbp in geval van een niet-opzettelijke overtreding een dergelijke boete niet meteen mag opleggen. Het Cbp dient in dat geval eerst een bindende aanwijzing geven, zodat de overtreding binnen een bepaalde, door het Cbp gestelde, termijn hersteld kan worden. Tegen een dergelijke aanwijzing staan bezwaar en beroep open.

Kritische noot Cbp

Het Cbp pleit al langer voor een verder strekkende boetebevoegdheid, maar is niet tevreden met de voorgestelde wijziging. De verplichting tot een bindende aanwijzing wijkt bij niet-opzettelijke overtredingen namelijk niet veel af van de huidige bevoegdheid van het Cbp tot het opleggen van een last onder dwangsom. Het Cbp stelt daardoor nog steeds niet snel en effectief te kunnen optreden tegen grove schendingen van de privacywetgeving.

Dit is een Legal Update van Elze 't Hart. Klik hier voor pdf.

Voor meer informatie:

Elze 't Hart
+31 30 259 5580
elzethart@vbk.nl

                                                 

Norm onder Wbp (samengevat)


 

Maximale
boete bij overtreding 

Een verantwoordelijke die niet is gevestigd in de Europese Unie, maar wel gebruik maakt van middelen die zich in Nederland bevinden om persoonsgegevens te verwerken, dient een gemachtigde aan te wijzen die namens hem handelt overeenkomstig de Wbp (artikel 4(3) Wbp).

EUR 20.250,- 

Voldoen aan alle kwaliteitseisen bij de verwerking persoonsgegevens (artikel 6, 7, 9(1)(2)(3)(4), 10(1) en 11  Wbp).

EUR 810.000,- of 10% van jaaromzet
rechtspersoon 

Voldoen aan één van de legitimatiegronden, zoals toestemming of een gerechtvaardigd belang, om persoonsgegevens te verwerken (artikel 8 Wbp).

EUR 810.000,- of 10% van jaaromzet
rechtspersoon 

Persoonsgegevens worden door een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, slechts in opdracht van verantwoordelijke verwerkt, behoudens afwijkende wettelijke verplichtingen. Deze personen zijn voorts verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen (artikel 12 Wbp). 

EUR 810.000,- of 10% van jaaromzet
rechtspersoon

 

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (artikel 13 Wbp). 

EUR 810.000,- of 10% van jaaromzet
rechtspersoon

 

Bijzondere persoonsgegevens, zoals persoonsgegevens over de gezondheid, levensovertuiging of een strafrechtelijk verleden van natuurlijke personen, mogen niet verwerkt worden, tenzij de Wbp anders bepaald (artikel 16 Wbp).

EUR 810.000,- of 10% van jaaromzet
rechtspersoon


 
 

BSN nummers of ander nummer dat ter identificatie van een persoon bij wet is voorgeschreven mogen alleen worden gebruikt ter uitvoering van die wet (artikel 24 Wbp).

EUR 810.000,- of 10% van jaaromzet
rechtspersoon 

Voldoen aan alle informatieverplichtingen aan betrokkene (artikel  33, 34(1)(2)(3) WBp).

EUR 810.000,- of 10% van jaaromzet
rechtspersoon 

Meldplicht Cbp bij datalek  (let op: dit artikel 34a Wbp is nog in concept: het is niet aangenomen door de Eerste en Tweede Kamer). 

EUR 810.000,- of 10% van jaaromzet
rechtspersoon

Voldoen aan rechten van betrokkenen, zoals recht van inzage en recht van verzet (artikel 35(1,tweede volzin)(2)(3)(4),36(2)(3)(4), 38, 39, 40(2)(3), 41(2)(3), 42(1)(4) Wbp). 

EUR 810.000,- of 10% van jaaromzet
rechtspersoon 

 

Verbod doorgifte persoonsgegevens, in strijd met de Wbp, naar een land buiten de Europese Unie zonder passend beschermingsniveau (artikel, 76, 77 of  78(3)(4) Wbp). 

Of, voor zover Minister van Justitie heeft besloten dat de doorgifte naar een land buiten de Europese Unie is
verboden, de doorgifte naar dat land in strijd met de Wbp. 

EUR 810.000,- of 10% van jaaromzet
rechtspersoon

EUR 20.250,-

Verplichting tot verlenen van alle medewerking aan een toezichthouder binnen de door hem gestelde redelijke termijn die deze redelijkerwijs kan gevorderd kan (uitgezonderd personen met beroepsgeheim) (artikel 5:20 Algemene wet bestuursrecht). 

EUR 810.000,- of 10% van jaaromzet
rechtspersoon