CBP laat slagtanden zien

En toen was daar opeens een Tweede Nota van Wijziging op het wetsvoorstel Meldplicht Datalekken (wetsvoorstel nr. 33662). En met deze Nota kwam de bevoegdheid van het CBP om bestuurlijke boetes op te leggen van maar liefst 810.000 euro (stand per 1 januari 2014, wordt periodiek aangepast). Niet mis dus. Privacycompliance wordt daarmee nu echt serieus.

De boete kan worden opgelegd voor een groot aantal aangewezen overtredingen van de Wet bescherming persoonsgegevens (WBP), zoals het verwerken van persoonsgegevens zonder legitiem belang of zonder rechtvaardigingsgrond (bijv. toestemming), het gebruik van persoonsgegevens voor onverenigbare doeleinden, het te lang bewaren van persoonsgegevens, schending van de beroepsgeheimhoudingsplicht, het niet of onvoldoende nemen van beveiligingsmaatregelen, overtreding van het verbod op verwerken van het BSN nummer of bijzondere gegevens (zoals etniciteit, gezondheidsgegevens en strafrechtelijke veroordelingen), het niet of onvoldoende informeren van de betrokkene over het privacybeleid van de organisatie, het niet melden van een datalek, niet voldoen aan inzage-, of correctieverzoeken of het negeren van het recht van verzet, en het overtreden van de regels rond data export naar niet-Europese landen.

Toch was Jacob Kohnstamm, de voorzitter van het CBP, not amused met zijn nieuwe bevoegdheden. De Raad van State had namelijk in haar advies gewaarschuwd dat het niet zo’n goed idee is om een toezichthouder een boetebevoegdheid te geven als de norm waarvoor de boete kan worden opgelegd te vaag is, zoals bij de WBP veelal het geval is (wat is bijvoorbeeld “passende beveiliging”?). Juristen noemen dit het lex certa beginsel: als je niet kan weten wat goed of fout is, is het niet rechtvaardig dat je een boete krijgt voor het maken van zo’n ‘fout’. Er was dus behoefte aan checks and balances. Die zijn gevonden in een bestuursrechtelijk dingetje, genaamd “bindende aanwijzing”, dat volgens het wetsvoorstel vooraf moet gaan aan de boete. Via die bindende aanwijzing wordt de vage WBP-norm concreet gemaakt voor die betreffende situatie. Volgens Kohnstamm komt de regeling er echter op neer dat hij eerst een gele kaart moet trekken, voordat hij een rode kaart (de boete) mag uitdelen.

Toch mag Kohnstamm niet klagen. Met deze nieuwe bevoegdheden gaat het CBP zowel in Nederland als in Europa tot de toezichthouders behoren met de meest ingrijpende sanctie- en herstelmogelijkheden, waar zijn collega-toezichthouders nog wel eens heel jaloers op zouden kunnen zijn. Niet iedereen kan én hoge boetes opleggen, én een last onder dwangsom, én onaangekondigd bij een organisatie binnenvallen, én een boete uitdelen als men niet mee werkt aan een onderzoek.

Het valt overigens wel mee met die gele kaart. Het CBP mag de boete namelijk wel onmiddellijk opleggen als de overtreding opzettelijk is begaan. Eerst een bindende aanwijzing is dan dus niet nodig. Hoewel opzet in het bestuursrecht een betrekkelijk onbekend fenomeen is, is het niet uitgesloten dat er – net als in het strafrecht – met de figuur van ‘kansopzet’ al snel sprake is van opzet: je doet iets dat bepaalde gevolgen kan hebben, en je neemt die gevolgen op de koop toe. Ik kan mij dan ook voorstellen dat dit met name bij ernstige datalekken als gevolg van slechte beveiliging of verwijtbare onachtzaamheid/slordigheid direct tot een boete zal gaan leiden.

Ook kan het CBP op grond van de Algemene wet bestuursrecht (AWB) boetes opleggen aan de leidinggevenden van de organisatie en andere medeplegers. En omdat artikel 12 WBP, waarin een geheimhoudingsplicht staat voor iedereen die met persoonsgegevens werkt, zelfstandig beboetbaar is, kan het CBP zelfs boetes opleggen aan medewerkers van organisaties die een datalek hebben veroorzaakt.

Maar de klap op de vuurpijl is toch wel een klein, maar uiterst betekenisvol, zinnetje helemaal aan het eind van het wetsvoorstel: “Artikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.” Dat zinnetje betekent dat het CBP een boete van maximaal 10% van de jaaromzet van de verantwoordelijke of de bewerker mag opleggen als het CBP vindt dat 810.000 euro geen “passende bestraffing toelaat”. Dat opent de weg naar miljoenenboetes.

Het CBP krijgt dus tanden. En wij moeten ons er voor gaan opmaken dat het ook een keer gaat bijten. Maar in ieder geval bijt het niet voor 1 juli 2015, want dan gaan de nieuwe bevoegdheden waarschijnlijk pas in. Die boete krijg je dan echter van de Autoriteit Persoonsgegevens, de fonkelnieuwe naam van het CBP.

Door: Jeroen Terstegge, partner bij Privacy Management Partners in samenwerking met cqure.nl