Voorstel hogere boetes bij privacyschending naar Tweede Kamer

Staatssecretaris Teeven van Veiligheid en Justitie zond gisteren zijn wetsvoorstel Meldplicht datalekken naar de Tweede Kamer. Dit wetsvoorstel zou leiden tot grote veranderingen voor organisaties die persoonsgegevens verwerken. Het College bescherming persoonsgegevens (CBP) vindt het voorstel niet ver genoeg gaan omdat het niet meteen boetes kan opleggen maar bedrijven de gelegenheid krijgen hun overtreding te herstellen.

Het wetsvoorstel geeft privacytoezichthouder CBP uitgebreidere boetebevoegdheden. Nu nog kan het CBP alleen een boete (van maximaal 4.500 euro) opleggen wanneer een organisatie de verwerking van persoonsgegevens niet bij het CBP heeft gemeld. Het wetsvoorstel maakt het CBP bevoegd een boete op te leggen van maximaal 20.250 euro voor lichtere overtredingen, oplopend tot maximaal 810.000 bij de zwaarste vergrijpen. De titel van het wetsvoorstel slaat op een verplichting van bedrijven om melding te doen van ‘ernstige’ beveiligingsinbreuken waarbij persoonsgegevens in het geding komen.

De boete kan echter niet direct worden opgelegd. Het CBP moet de overtredende partij eerst een bindende aanwijzing (officiële waarschuwing) geven en partijen de tijd geven deze aanwijzing op te volgen. Alleen als deze aanwijzing niet binnen een bepaalde tijd is uitgevoerd kan het CBP besluiten zelfstandig een boete op te leggen. Bovendien moet de instantie volgens het wetsvoorstel eerst met ‘richtsnoeren’ komen die in kaart brengen aan welke normen bedrijven en overheidsinstanties moeten voldoen. Vandaar dat het CBP uiterst kritisch is over het voorstel.

Intussen wordt in Brussel nog verder onderhandeld over de Algemene Verordening Gegevensbescherming. Dat is Europese privacywetgeving met rechtstreekse werking voor alle lidstaten, die de bestaande nationale wetgeving op dit gebied grotendeels buiten werking zal stellen. Het is dan ook de vraag of dit wetsvoorstel Meldplicht datalekken daardoor niet wordt ingehaald.