Het College Bescherming Persoonsgegevens (CBP) mag straks in meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. Die boete kan in het ernstigste geval oplopen tot 810.000 euro. Dat staat in een wetsvoorstel van staatssecretaris Teeven (Veiligheid en Justitie) dat naar de Tweede kamer is gestuurd. De nieuwe bevoegdheid van CBP moet het toezicht op de naleving en toepassing van wetten die het gebruik van persoonsgegevens regelen, verbeteren.
‘Hierdoor kan het CBP effectiever optreden tegen overheidsinstanties en bedrijven die onzorgvuldig omgaan met gegevens van burgers’ stelt staatssecretaris Teeven (Veiligheid en Justitie) in een wetsvoorstel dat mede namens minister Plasterk (Binnenlandse Zaken en Koninkrijksrelaties) naar de Tweede Kamer is gestuurd. Volgens het ministerie vloeit de maatregel voort uit het regeerakkoord en beoogt het de bescherming van persoonsgegevens te verbeteren.
Het CBP mag nu alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. ‘Straks kan dat ook bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt’, licht Justitie toe.
De bestuurlijke boete varieert van maximaal 20.250 euro in de laagste categorie tot maximaal 810.000 euro in de hoogste categorie. ‘Dit sluit aan bij de bedragen die in het strafrecht worden gebruikt. De hoogste boete is bedoeld om ook overtredingen aan te kunnen pakken die opzettelijk en herhaaldelijk worden gepleegd, vaak met grote maatschappelijke gevolgen. Dat kan het geval zijn bij handel in persoonsgegevens’, staat in een toelichting op het voorstel. Justitie benadrukt dat CBP niet onmiddellijk een boete oplegt, maar eerst een zogeheten bindende aanwijzing geeft. ‘Dat is een op herstel gerichte, corrigerende maatregel. Wordt de aanwijzing niet binnen een bepaalde termijn uitgevoerd, dan volgt de boete.’
Meldplicht datalekken
In het wetsvoorstel is ook een meldplicht voor datalekken opgenomen. Bedrijven moeten een datalek melden als het om een ‘ernstig’ lek gaat. Als bedrijven geen melding maken, kunnen zij ook een boete van maximaal 810.000 euro krijgen.
Eerst was het idee dat alle datalekken gemeld moesten worden, maar daar heeft Teeven van afgezien. Dat zou te maken hebben met de administratieve lasten en kosten.
De meeste lekken zijn tot dusver nog bij overheden en semi-overheden geweest. Maar die zullen nooit zo’n boete hoeven te verwachten want het CBP heeft het overwicht niet om zo’n boete op te leggen.
In mijn beleving, een paar maal met deze materie te maken hebben gehad, ook dagelijks zelfs, lijkt het CBP nog steeds op een slapende papieren tijger die niet bij machte is anticiperend en slagvaardig op te treden.
Helaas verworden tot een ambtelijke molen met trage en langlopende processen met vele escapes die vaak tot niet zo heel veel leiden. Heb je hart voor de zaak en treed je ondubbelzinnig op tegen overtreders van je eigen regels, dan kun je in eigen huis enorm scoren.
Heb ik het niet alleen over de perikelen rond een EPD dan heb ik het ook over al die ‘clubjes’ en commercie die zonder dat velen het weten, gewoon overgaan tot het binnenhengelen en harken van allerhande persoonlijke gegevens. Geen hond van het CPB die daar ook maar iets van zegt. Laat staan zich geroepen voelt daar tegen op te treden.
Het CPB is hier helemaal niet zo blij mee omdat ze hierdoor juist minder snel boetes kunnen geven en als ze het al doen het veel te laat is om partijen te dwingen om snel lekken te dichten.
http://www.cbpweb.nl/Pages/pb_20141124_wetsvoorstel-boetebevoegdheid-cbp.aspx
Ach, zolang er niet heel veel meer mensen bij het CBP gaan werken verandert er niks. Pakkans is ~0, en van enige effectiviteit in het optreden bij de schandalen rondom EPD, ov-chipkaart, kentekenscanners en stemcomputers is niks te merken.
De rol van de CPB is een tandeloze toezichter voor de vorm waardoor men gewoon haar gang kan gaan zonder dat de publieke opinie dit door heeft. Blijkbaar deden ze toch te goed hun best zodat ze nu nog minder middelen krijgen om in te grijpen.