Bedrijven kunnen bij datalekken eerder beboet worden

Straks kan ook een boete opgelegd worden bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens.

Nu kan dat alleen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. De verruiming voor het College bescherming persoonsgegevens (Cbp) om in meer gevallen een boete te kunnen opleggen volgt uit de Wijziging van Wet meldplicht datalekken, die staatssecretaris van Justitie en Veiligheid Fred Teeven naar de Tweede Kamer heeft gestuurd.

De nieuwe bevoegdheid versterkt het toezicht op de naleving en toepassing van wetten die het gebruik van persoonsgegevens regelen. Hierdoor kan het Cbp effectiever optreden tegen overheidsinstanties en bedrijven die onzorgvuldig omgaan met gegevens van burgers.

Het Cbp mag nu alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Straks kan dat ook bij schending van meer algemene verplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt.

De bestuurlijke boete varieert van maximaal 20.250 euro in de laagste categorie tot maximaal 810.000 euro in de hoogste categorie. Dit sluit aan bij de bedragen die in het strafrecht worden gebruikt. De hoogste boete is bedoeld om ook overtredingen aan te kunnen pakken die opzettelijk en herhaaldelijk worden gepleegd, vaak met grote maatschappelijke gevolgen. Dat kan het geval zijn bij handel in persoonsgegevens. Het Cbp legt niet onmiddellijk een boete op, maar geeft eerst een zogeheten bindende aanwijzing. Dat is een op herstel gerichte, corrigerende maatregel. Wordt de aanwijzing niet binnen een bepaalde termijn uitgevoerd, dan volgt de boete.

Tot slot krijgt het Cbp een nieuwe naam: Autoriteit persoonsgegevens. Die sluit meer aan bij Europese ontwikkelingen, in het bijzonder de nieuwe algemene verordening gegevensbescherming van de Europese Unie die in de loop van het volgend jaar wordt verwacht.

De Raad van State had de nodige kritiekpunten op het voorstel, maar de belangrijkste daarvan zijn door het kabinet niet overgenomen, blijkt uit het Nader verslag.

GEEN REACTIES