Home > Privacyrecht > De grenzen van de nieuwe boetebevoegdheid van het College Bescherming Persoonsgegevens
De grenzen van de nieuwe boetebevoegdheid van het College Bescherming Persoonsgegevens

De grenzen van de nieuwe boetebevoegdheid van het College Bescherming Persoonsgegevens

Onlangs is de wet goedgekeurd op grond waarvan het College Bescherming Persoonsgegevens (forse) boetes kan opleggen op overtreding van veel artikelen uit de Wet bescherming persoonsgegevens (Wbp). Deze boetebevoegdheid is echter niet onbegrensd. In dit artikel verken ik enkele beperkingen.

Inleiding

Tot op heden kon het College Bescherming Persoonsgegevens (CBP) alleen een boete opleggen vanwege schending van de meldplicht. Voor het overige kon het CBP een last onder dwangsom of bestuursdwang opleggen. Die middelen gaf het CBP overigens al behoorlijke armslag. Boetes opleggen was verder echter niet mogelijk.

Nieuwe boetebevoegdheden

Dankzij de nieuwe wet komt daar binnenkort vrij radicaal verandering in:

  1. de boete op schending van de meldplicht vervalt;
  2. er komt een boete van de 4e categorie (=22.500) te staan op
    1. het niet aanwijzen van een NL-vertegenwoordiger door verantwoordelijke van buiten de EU;
    2. data-export naar een land dat door EU-besluit als onveilig is aangemerkt;
  3. er komt een boete van de 6e categorie (=810.000) of maximaal 10% van de jaaromzet te staan op schending van bijna alle beginselen uit de Wbp
  4. er komt een boete van de 6e categorie (=810.000) of maximaal 10% van de jaaromzet te staan op het niet-naleven van een door het CBP opgelegde bindende aanwijzing.

Waar vroeger (heel bewust) alleen op overtreding van een formaliteit in de Wbp (meldingsplicht) een boete stond, draait de wetgever nu dus 180 graden en stelt juist (forse) boetes op overtreding van de materiele normen.

Beperking 1: niet iedere overtreding van de Wbp is beboetbaar

De allereerste beperking is dat niet op overtreding van alle bepalingen een boete is gesteld. De volgende wetsbepalingen kunnen namelijk overtreden worden, zonder dat een boete kan volgen:

  1. het uitbesteden van de verwerking van persoonsgegevens zonder deugdelijke bewerkersovereenkomst (artikel 14 Wbp);
  2. het niet vooraf melden bij het CBP van een verwerking waarop voorafgaand onderzoek van toepassing is (artikel 32 Wbp);
  3. het niet deugdelijk vaststellen van de identiteit van een betrokkene bij uitoefening rechten en communiceren met wetelijk vertegenwoordigers indien betrokkene minderjarig is (artikel 37 Wbp).

Het is mij niet duidelijk waarom er voor gekozen is op overtreding van deze bepalingen van de Wbp – met in potentie vrij ernstige gevolgen – geen boete te stellen.

Beperking 2: vaak eerst bindende aanwijzing vereist

De tweede beperking voor de boete is dat deze alleen direct mag worden opgelegd in drie situaties:

  1. bij opzettelijk handelen (“willens en wetens”);
  2. bij voorwaardelijke opzet (“willens en wetens aanmerkelijke kans op intreden negatieve gevolgen aanvaarden (incl. behoren te weten)”;
  3. bij ernstig verwijtbare nalatigheid (“een situatie die het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen”).

In alle andere gevallen moet het CBP eerst een zogenaamde bindende aanwijzing opleggen (de “last zonder dwangsom“, naast de al bestaande “last onder dwangsom“). Praktisch gesproken geeft dat tijd de overtreding alsnog ongedaan te maken.

De indeling in de hiervoor genoemde drie categorieen roept nog wel wat vragen op. Er is in de Kamer veel over gedebatteerd, maar er zijn maar weinig concrete voorbeelden genoemd. De paar voorbeelden die wel worden genoemd, zijn niet altijd even overtuigend en worden bovendien niet consequent gehanteerd. Zo is bijv. opvallend dat het heimelijk filmen op een Eerste Hulp (de VUmc-casus) zowel wordt genoemd als een sprekend voorbeeld van opzettelijk handelen (categorie 1), als van ernstig verwijtbaar nalatig handelen (categorie 3).

Verder heeft de staatssecretaris in een brief benadrukt dat de opzet niet gericht hoeft te zijn op overtreding van de Wet bescherming persoonsgegevens. Het enkele verweer “ik wilde helemaal niet de Wbp overtreden” is dus niet voldoende om onder een boete uit te komen. Op zichzelf lijkt me dat nog wel aanvaardbaar. Niettemin roept het wel allerlei nieuwe vragen op, juist omdat de Wbp bestaat uit allemaal open normen die nader geïnterpreteerd moeten worden. Van opzettelijk overtreden van de wet lijkt in zoverre alleen sprake te kunnen zijn bij die situaties waar (behoorlijk) evident is dat een beginsel uit de Wbp wordt overtreden. In de meer “grijze gevallen” dat er discussieruimte is of bepaalde gedraging een schending van een beginsel is, lijkt het me ook lastig volhouden dat de wet opzettelijk wordt overtreden.

Het is hier dus duidelijk wachten op beleidsregels van het College Bescherming Persoonsgegevens, om te zien hoe zij het de drie categorieën waar direct een boete mag worden opgelegd in de praktijk interpreteren en hoe ze, meer algemeen, met de nieuwe bevoegdheden zullen omgaan.

Beperking 3: Openbaar Ministerie heeft primaat (“una via” beginsel)

Een andere belangrijke beperking ligt gelegen in het zogenaamde “una via” beginsel. Dat wil zeggen dat voor dezelfde gedraging in beginsel maar één keer bestraffing volgt.

Dit komt terug in artikel 5:44 Awb, dat van toepassing is op boeteoplegging door het CBP. In dit artikel staat (samengevat) het volgende:

  1. het CBP legt geen boete op als de strafzaak al is begonnen of als er als een strafbeschikking door het OM is uitgevaardigd;
  2. het CBP moet met het OM overleggen als de overtreding van de Wbp tevens een misdrijf is;
  3. als de overtreding van de Wbp tevens een misdrijf is, mag het CBP alleen een boete opleggen als het OM afziet van vervolging of daarover niet binnen 13 weken iets aan het Cbp heeft laten horen.

Waarom is dit relevant? Welnu, de verklaring is eigenlijk heel simpel: een heleboel vormen van schending van de privacy zijn ook strafbaar gesteld als misdrijf. In die gevallen waar de WBP en het Wetboek van Strafrecht dezelfde gedraging verbieden, gaat in principe het Openbaar Ministerie voor.

Relevant is hierbij steeds of sprake is van “dezelfde gedraging”, ook wel “hetzelfde feit” genoemd. De Hoge Raad heeft daarover enkele jaren terug het volgende geoordeeld (en dit is onlangs nog herhaald):

2.9.1 Bij de beoordeling van de vraag of sprake is van “hetzelfde feit”, dient de rechter in de situatie waarop art. 68 Sr ziet de in beide tenlasteleggingen omschreven verwijten, en in de situatie waarop art. 313 Sv ziet de in de tenlastelegging en de in de vordering tot wijziging van de tenlastelegging omschreven verwijten te vergelijken.

Bij die toetsing dienen de volgende gegevens als relevante vergelijkingsfactoren te worden betrokken.
(A) De juridische aard van de feiten.
Indien de tenlastegelegde feiten niet onder dezelfde delictsomschrijving vallen, kan de mate van verschil tussen de strafbare feiten van belang zijn, in het bijzonder wat betreft
(i) de rechtsgoederen ter bescherming waarvan de onderscheidene delictsomschrijvingen strekken, en
(ii) de strafmaxima die op de onderscheiden feiten zijn gesteld, in welke strafmaxima onder meer tot uitdrukking komt de aard van het verwijt en de kwalificatie als misdrijf dan wel overtreding.
(B) De gedraging van de verdachte. Indien de tenlasteleggingen respectievelijk de tenlastelegging en de vordering tot wijziging daarvan niet dezelfde gedraging beschrijven, kan de mate van verschil tussen de gedragingen van belang zijn, zowel wat betreft de aard en de kennelijke strekking van de gedragingen als wat betreft de tijd waarop, de plaats waar en de omstandigheden waaronder zij zijn verricht.

2.9.2. Opmerking verdient dat reeds uit de bewoordingen van het begrip “hetzelfde feit” voortvloeit dat de beantwoording van de vraag wat daaronder moet worden verstaan, mede wordt bepaald door de omstandigheden van het geval. Vuistregel is nochtans dat een aanzienlijk verschil in de juridische aard van de feiten en/of in de gedragingen tot de slotsom kan leiden dat geen sprake is van “hetzelfde feit” in de zin van art. 68 Sr.

Er zijn behoorlijk wat delicten die je ook als een onrechtmatige verwerking van persoonsgegevens kunt kwalificeren. Ik heb een korte zoektocht door het Wetboek van Strafrecht ondernomen en kwam daarbij al het volgende tegen (zonder ook maar de pretentie te hebben volledig te zijn):

  • Artikel 138ab lid 1 jo. Lid 2: hacken en vervolgens aftappen gegevens
  • Artikel 139a: heimelijk afluisteren/aftappen gesprek dat in woning plaatsvindt
  • Artikel 139b: heimelijk afluisteren/aftappen gesprek dat buiten plaatsvindt
  • Artikel 139c: aftappen/opnemen gegevens
  • Artikel 139d: aftapmiddel ter plaatse doen zijn
  • Artikel 139e: beschikken over afgetapte gegevens
  • Artikel 139f: maken van of beschikken over heimelijke camera-opnames
  • Artikel 139g: openbaren heimelijke camera-opnames
  • Artikel 161sexies lid 1: opzettelijk computer of netwerkapparatuur verstoren of beveiligingsmaatregelen opheffen
  • Artikel 161sexies lid 2: verspreiden wachtwoorden
  • Artikel 161 septies: door schuld verstoren of vernielen computer- en netwerkapparatuur of opheffen beveiliging
  • Artikel 231b: opzettelijk misbruik persoonsgegevens ihkv identiteitsfraude
  • Artikel 272: schending beroepsgeheim
  • Artikel 273 lid 1 sub 2: verhandelen van door hack verkregen computergegevens
  • Artikel 273d lid 1: opzettelijk kennisnemen of bekendmaken van gegevens via telecomnetwerk verstuurd door medewerkers telecomaanbieders
  • Artikel 317 lid 2: afpersing door dreiging computergegevens te vernietigen
  • Artikel 318 lid 1 Sr: dreiging van ter beschikking stellen gegevens
  • Artikel 350a: opzettelijk wissen/wijzigen/ontoegankelijk maken digitale gegevens
  • Artikel 350b lid 1: door schuld wissen/wijzigen/ontoegankelijk maken digitale gegevens
  • Artikel 350b lid 2: door schuld aanbieden/verspreiden gegevens bedoeld om schade aan te richten in computers
  • Artikel 350c: opzettelijk computer of netwerkapparatuur verstoren of beveiligingsmaatregelen opheffen
  • Artikel 350d: verspreiden wachtwoorden
  • Artikel 441b Sr: heimelijk fotograferen in niet-openbare plaats

Van al deze delicten zou gezegd kunnen worden dat het (veelal) ook onrechtmatige verwerkingen van persoonsgegevens betreft. Enkele van deze delicten vallen met name op, omdat zowel de juridische aard van de feiten en gedragingen wel sterk op elkaar lijken:

Strafrecht Wet bescherming persoonsgegevens
Artikel 161sexies lid 1: opzettelijk computer of netwerkapparatuur verstoren of beveiligingsmaatregelen opheffen Ongedaan maken van beveiligingsmaatregelen ex. artikel 13 WBP
Artikel 161 septies: door schuld verstoren of vernielen computer- en netwerkapparatuur of opheffen beveiliging Niet treffen van c.q. ongedaan maken van beveiligingsmaatregelen ex. artikel 13 WBP
Artikel 272: schending beroepsgeheim Overtreding artikel 12 Wbp
Artikel 350b lid 1: door schuld wissen/wijzigen/ontoegankelijk maken digitale gegevens Ontbreken passende beveiliging ex. artikel 13 Wbp
Artikel 350b lid 2: door schuld aanbieden/verspreiden gegevens bedoeld om schade aan te richten in computers Ontbreken passende beveiliging ex. artikel 13 Wbp (immers, kennelijk kunnen virussen viral gaan)
Artikel 350c: opzettelijk computer of netwerkapparatuur verstoren of beveiligingsmaatregelen opheffen Ongedaan maken van beveiligingsmaatregelen ex. artikel 13 WBP
Artikel 350d: verspreiden wachtwoorden Ongedaan maken van beveiligingsmaatregelen ex. artikel 13 WBP (mits gedaan door interne medewerker)

Let wel, ik pretendeer zeker niet dat het hier per definitie over “hetzelfde feit” gaat. Ik verken alleen de grenzen van de bevoegdheden van het CBP. En daarbij valt de parallel tussen deze wetsartikelen me toch op.

In dit kader citeer ik graag een passage uit de wetsgeschiedenis van de nieuwe wet over voorwaardelijke opzet:

De CDA-fractie haalt een ander sprekend voorbeeld aan, ditmaal uit de Verenigde Staten. De winkelketen Target installeerde geavanceerde beveiligingssoftware om zijn netwerk te monitoren. Ondanks dat er alarmbellen afgingen, deed het bedrijf niets. Het resultaat was dat de gegevens van 40 miljoen creditcardhouders gestolen werden. In dat soort zaken moet je redelijkerwijs vermoeden dat het fout gaat als je niets doet. Dat lijkt mij logisch.

Stel dat in deze casus de gegevens niet waren gestolen, maar gewist. Dat doet dan toch wel sterk denken aan artikel 350b Sr (schuld hebben aan o.m. wijziging van digitaal opgeslagen gegevens). Deze schuldvariant van dit delict is overigens destijds heel bewust bij amendement door de Tweede Kamer geintroduceerd (naast de opzetvariant die de regering introduceerde). Dit wetsartikel (schuld aan verlies van gegevens) zou bij allerlei beveiligingsincidenten dus in de toekomst nog wel eens een rol kunnen spelen.

Ook hier is het afwachten op beleidsregels van het CBP hoe zij hier mee om wenst te gaan. Mocht het CBP hier geen of onvoldoende rekening mee houden, dan is dit una via beginsel uiteraard waarschijnlijk één van de bewaargronden bij de eerste opgelegde boete.

Ten slotte

Er zitten dus wel enkele “mitsen en maren” aan de nieuwe boetebevoegdheid van het CBP. In dit artikel heb ik er alvast enkele behandeld. In de tussentijd is het wachten op de beleidsregels van het CBP. We houden u op de hoogte.

P.s. Op het moment van schrijven van dit artikel is de nieuwe wet al in het Staatsblad gepubliceerd. De wet is daarmee nog niet in werking getreden. Dat gebeurt middels een koninklijk besluit, dat nog moet verschijnen (zie in dat kader ook de wetstechnische informatie over artikel 34a Wbp).

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
  • Print
Naar boven scrollen