Home Ondernemen & Business Cbp, of de autoriteit krijgt tanden

Cbp, of de autoriteit krijgt tanden

86

Bijna twee weken geleden is in de Tweede Kamer een wetsvoorstel aangenomen waarmee een algemene meldplicht voor datalekken wordt geïntroduceerd. Interessante materie, zeker omdat deze meldplicht consequenties heeft voor de beveiliging en het monitoren van verwerkingen van persoonsgegevens. Het wetsvoorstel datalekken kent nog een belangrijk aspect: de enorme uitbreiding van de mogelijkheden van de toezichthouder om boetes op te leggen. En fors hoge boetes ook.

De bescherming van onze privacy is een merkwaardig fenomeen. Aan de ene kant zijn veel mensen erg makkelijk in het prijsgeven van persoonlijke gegevens, niet alleen via sociale media maar ook door zonder aarzelingen tal van web formulieren in te vullen. Aan de andere kant bestaat er de zorg of al die gegevens wel ‘veilig’ zijn. Wordt er integer mee omgegaan, zij ze op juistheid en volledigheid te controleren en zijn ze beveiligd?

Met name in het licht van dit laatste is het wetsvoorstel datalekken tot stand gekomen. We kennen in de telecom sector nu al een verplichting om inbreuken op de beveiliging in bepaalde omstandigheden te melden. Die plicht is opgenomen in de Telecommunicatiewet. Er komt dus nu een algemene plicht bij, vastgelegd in de Wet bescherming persoonsgegevens (‘Wbp’).

In de slipstream van deze wet speelt echter nog een andere vraag. Is de controle op de naleving van alle regels omtrent privacy wel goed geregeld? Heeft het College bescherming persoonsgegevens (‘Cbp’) wel voldoende tanden?

Het Cbp wordt de Ap
In vergelijking met andere toezichthouders als ACM, AFM, DNB en de Zorgautoriteit, is de positie van het Cbp altijd wat merkwaardig geweest. Haar bevoegdheden zijn beperkt. Althans, vanuit een juridisch perspectief. Het Cbp kan naleving van de wet afdwingen door het opleggen van een last onder dwangsom, maar heeft nauwelijks mogelijkheden om wangedrag af te straffen via een administratieve boete.

In de praktijk is de positie van het Cbp echter niet zo zwak, met name omdat zij doorgaans handig gebruik maakt van de mogelijkheden om haar bevindingen te publiceren. Het risico op slechte publiciteit omtrent (vermeende of geconstateerde) inbreuken op de privacy van klanten, werknemers of anderen, blijkt vaak voldoende om organisaties tot een gedragsverandering te bewegen.

Het Cbp wil echter meer, echte administratieve bevoegdheden en echte autoriteit. En die krijgt zij nu ook. Als het wetsvoorstel binnenkort door de Eerste Kamer wordt aangenomen mag het Cbp zich straks Autoriteit persoonsgegevens (Ap) noemen. En kan zij overtreding van veel van de normen onder de Wbp straks bestraffen met een boete.

Tanden of tandjes?
In de Tweede Kamer is uitvoerig aan de orde geweest of de voorgestelde verruiming van de boetebevoegdheid van het Cbp wel ver genoeg gaat. Hoe gaat het straks werken?
Op vrijwel iedere overtreding van de Wbp kan straks een boete van de 6de categorie worden opgelegd. Dat is op dit moment 810.000 euro, fors meer dan de maximale bevoegdheid van 450.000 euro die de ACM heeft ten aanzien van bijvoorbeeld SPAM en cookies. Tanden dus.

Echter, de boete mag pas worden opgelegd nadat het Cbp eerst een bindende aanwijzing heeft gegeven. Er is dus eerst een mogelijkheid om de overtreding weg te nemen. Toch slechts tandjes?

Het venijn zit in de staart. Er kan ook een boete worden opgelegd indien de bindende aanwijzing niet wordt nagekomen. In dat geval kan de boete zelfs oplopen tot 10% van de jaaromzet indien 810.000 euro geen passende bestraffing zou zijn.

Dat lijken mij toch scherpe tanden, zeker ook omdat het Cbp zowel de bindende aanwijzing formuleert als ook controleert of die is nagekomen en beslist of er een boete wordt opgelegd. Dat zijn veel rollen in één hand. We zullen zien of de Eerste Kamer zich ook kan vinden in dit voorstel.

Hoe dan ook, de hogere boetes betekenen in ieder geval dat organisaties veel bewuster moeten zijn van wat zij met persoonsgegevens doen. Het Cbp staat te trappelen om haar nieuwe bevoegdheden te gebruiken.

Patrick Wit is ICT-recht advocaat en partner bij het Amsterdamse advocatenkantoor Kennedy Van der Laan

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in