Hoe gaat het CBP zijn boetebevoegdheden invullen?

Vanaf 1 januari 2016 geldt de meldplicht datalekken en krijgt het College Bescherming Persoonsgegevens (CBP) uitgebreidere boetebevoegdheden. Eind oktober maakte het CBP bekend hoe het die nieuwe bevoegdheden wil toepassen. Het CBP publiceerde daarvoor het concept van zijn boetebeleidsregels. Daarin beschrijft het CBP hoe het in grofweg twee stappen tot de uiteindelijke boetesom komt: eerst het vaststellen van het type boete en daarna van een concreet boetebedrag.

In deze blog zetten we deze boetesystematiek uiteen. Vervolgens illustreren we aan de hand van een overtreding van de meldplicht datalekken de consequenties van de boetebeleidsregels en zetten we het een en ander in de praktische context. Tot slot reflecteren we kort wat we op dit moment kunnen verwachten van het boetebeleid dat het CBP in 2016 – onder zijn nieuwe naam Autoriteit Persoonsgegevens – zal hanteren.

Stap 1: vaststellen van het type boete
Om de boete te kunnen vaststellen, hanteert het CBP in eerste instantie de wettelijke indeling tussen lagere en hogere boetes volgens artikel 66 Wet Bescherming Persoonsgegevens (WBP). In de boetebeleidsregels is er ook nog sprake van een tussencategorie, maar die geldt alleen in speciale gevallen voor telecomaanbieders. Deze laten we hier daarom buiten beschouwing.

In artikel 66 WBP geeft de wetgever aan wat de maximale boete is voor de overtreding van specifieke wetsartikelen. Zo is er een ‘lage’ boete met een maximum van 20.500 euro. Deze lagere boetes zijn alleen relevant voor specifieke wetsovertredingen in internationale context, bijvoorbeeld het schenden van een specifiek opgelegd verbod op gegevensverkeer naar landen buiten de EU.

Op het overtreden van de overige beboetbare bepalingen uit de WBP staat een ‘hoge’ boete. Het maximum van een boete voor deze overtredingen is 820.000 euro. Een voorbeeld van zo’n overtreding is het verwerken van gegevens ondanks een geheimhoudingsplicht. Het CBP mag onder omstandigheden de maximale boete van 820.000 nog verder verhogen tot 10% van de jaaromzet. Wanneer dat speelt, verduidelijken we in Stap 2 in deze blog. Tussen de WBP-normen staat ook aparte overtreding voor het niet meewerken aan onderzoek van het CBP op basis van artikel 5.20 Algemene Wet Bestuursrecht (AWB).

Let op, door een wijziging in het Wetboek van Strafrecht, worden ook de boetes van het CBP nog iets hoger. Vanaf 1 januari 2016 worden de oude bedragen (20.250 en 810.000) vervangen door respectievelijk 20.500 en 820.000.

Onderliggende boetecategorieën
Op basis van de maximum boetes volgens de WBP onderscheidt het CBP vervolgens eigen boetecategorieën met ieder aparte bandbreedtes. De eerste categorie bevat de lichtste overtredingen, daarna loopt het in zwaarte op. Voor de boetes tot 20.500 euro wil het CBP gaan werken met twee categorieën. Bij de boetes tot 820.000 euro zijn er drie categorieën vastgesteld. In grote lijnen baseert het CBP zijn boetecategorieën op het volgende onderscheid:

I. Overtreding van een norm die verplicht tot een formaliteit (‘Procedureel’) – bijvoorbeeld wanneer een datalek is gemeld, maar de melding onvolledig is gedaan.
II. Overtreding van een norm die verplicht tot organisatorische, technische of juridische maatregelen (‘Materieel’) – bijvoorbeeld wanneer er een datalek niet is gemeld.
III. Overtreding van een norm die ziet op misbruik of hevige aantasting van privacyrechten (‘Fundamenteel’) – bijvoorbeeld wanneer blijkt dat de informatie die gelekt is, helemaal niet verwerkt mocht worden.

Het onderstaande schema maakt de gedachtegang van het CBP bij de drie boetecategorieën beter inzichtelijk:

Stap 2: vaststelling van het concrete boetebedrag
Om tot het uiteindelijke boetebedrag te komen, zo geeft het CBP aan, gaat de toezichthouder de ernst van de overtreding verder afwegen aan de hand van de volgende factoren:

  • de aard en de omvang van de overtreding;
  • de duur van de overtreding;
  • de schade door de overtreding voor personen en/of de maatschappij;
  • de mate van verwijtbaarheid.

Daarnaast zal het CBP rekening gaan houden met de omstandigheden rond de overtreding en de (financiële) situatie van de overtreder. Wanneer blijkt dat de boete niet voldoende effect heeft of – omgekeerd – juist buiten proporties uitvalt, zal het CBP dit corrigeren door naar een hogere of lagere boetecategorie uit te wijken (omlaag of omhoog bewegen in de kolom volgens het bovenstaande schema). Dit is ook de omstandigheid waarin de toezichthouder kan beslissen om in plaats van 820.000 euro, een boete op te leggen tot maximaal 10% van de jaaromzet van de overtredende rechtspersoon. Waarschijnlijk zal dit toegespitst zijn op het deel van de onderneming dat de (juridische) verantwoordelijkheid draagt voor de gegevensverwerking.

Er zijn ook andere boeteverhogende of -verlagende omstandigheden. Als de overtreder een overtreding al eerder heeft begaan (‘recidive’), kan het CBP de boete met 50% verhogen. Een andere boeteverhogende situatie is wanneer de overtreder het onderzoek belemmert of tegenwerkt. Bij Stap 1 gaven we al aan dat het CBP hiervoor op basis van artikel 5.20 AWB ook een aanvullende boete kan opleggen. Verleent de overtreder daarentegen medewerking die verder gaat dan wettelijk vereist is, dan spreekt het CBP van een boeteverlagende omstandigheid. Zo verdient de overtreder ook boeteverlaging door het uit eigen beweging beëindigen van de overtreding of schadeloos stellen van gedupeerden.

Rekenvoorbeeld: Meldplicht Datalekken
Stel, u heeft een ernstig datalek dat ook sterk nadelig is voor de personen waarvan data gelekt zijn. Daarmee valt u onder de twee nieuwe meldplichten van artikel 34a WBP: de verplichting tot het melden van het datalek aan het CBP én de verplichting om alle gedupeerden over het datalek te informeren. Als u beide verplichtingen niet ‘onverwijld’ – voor de melding aan het CBP is dit binnen twee werkdagen – nakomt, zijn dat twee overtredingen van de WBP.

Beide overtredingen vallen onder het hoge boetetype (rechterkolom in het schema). Het CBP ziet het niet voldoen aan de dubbele meldplicht als een overtreding van categorie II, dus zal (stap 1) in eerste instantie uitgaan van een boete tussen de 120.000 en 500.000 euro. De afweging van factoren in stap 2 zal er vervolgens toe leiden dat het CBP binnen die bandbreedte een hoge boete oplegt (bijvoorbeeld 450.000 euro) indien u al langer wist van het lek maar geen actie ondernam óf juist een lage boete (bijvoorbeeld 130.000 euro) omdat u bijvoorbeeld vergaande medewerking verleende. Mocht de boete alsnog disproportioneel blijken – te hoog of te laag – dan zal het CBP binnen de kolom ‘een vakje opschuiven’ en kan de boete zowel onder het minimum als boven het maximum liggen.

Cumulatieve boetes
Houd er rekening mee dat het CBP per overtreding rekent. Om bij het bovenstaande voorbeeld te blijven: het niet melden aan het CBP én het niet-informeren van gedupeerden zijn twee overtredingen en kunnen bijvoorbeeld leiden tot een maximale boete van 2 x 500.000 = 1.000.000 euro. Uit het onderzoek naar de toedracht van het datalek kan echter blijken dat het incident werd veroorzaakt door gebrekkige informatiebeveiliging. Dat is een overtreding die binnen het hoge boetetype is ingedeeld in categorie II én III. Dat betekent dat het CBP redelijk snel kan beslissen dat de overtreder in aanmerking komt voor een maximale boete in de hoogste categorie tot 820.000 euro.

Als de overtreder niet meewerkt aan het onderzoek is dit niet alleen een boeteverhogende omstandigheid. Zoals aangegeven mag het CBP op basis van het bestuursrecht (artikel 5.20 AWB) hier ook nog een extra boete voor opleggen, gebaseerd op de categorie-indeling van de onderliggende overtreding. Stel dat u probeert te voorkomen dat het CBP achter uw ondermaatse beveiliging komt, dan kan dit leiden tot nog eens 820.000 euro. Als we de zojuist genoemde bedragen bij elkaar optellen, bedraagt het totaal aan boetes dus 1.000.000 (twee meldplichten) + 820.000 (informatiebeveiliging) + 820.000 (medewerkingsplicht) = 2,64 miljoen euro – aangenomen dat het CBP niet overgaat tot de hantering van de 10%-regeling.

Om de boetesystematiek te verduidelijken, hanteren we hier bewust een extreem voorbeeld. Het CBP kan er ook voor kiezen om bij meerdere overtredingen toch slechts één boete op te leggen, en kan boeteverlagende omstandigheden constateren. Wel blijft het reëel dat, indien de toezichthouder een overtreder eenmaal in het vizier heeft, het CBP een diepgaand onderzoek start. Daarbij horen ook aandachtspunten als bestuurlijke borging. Het managen van privacy staat met name bij de nieuwe Europese privacyverordening hoog in het vaandel en nalatigheid op dat vlak kan leiden tot hoge boetes.

Boetes in de praktijk
Tot zover hebben we stap voor stap besproken hoe het CBP de boetes gaat berekenen. Ter afsluiting dient het een en ander nog in zijn context geplaatst te worden. Het CBP heeft namelijk ook de mogelijkheid om de naleving van de WBP af te dwingen met behulp van een ‘last onder dwangsom’. In dat geval geeft de toezichthouder eerst dwingende instructies die binnen een bepaalde termijn moeten worden opgevolgd. Wanneer die termijn verstrijkt zonder dat de instructies goed zijn opgevolgd, zal de toezichthouder de dwangsom ‘invorderen’.

Voor het opleggen van boetes geldt óók dat het CBP in beginsel eerst een dwingende instructie moet geven (het CBP spreekt van een bindende aanwijzing en ‘de gele kaart’). Een last onder dwangsom en de gele kaart-boete lijken dus erg op elkaar – met dat verschil dat het voor het CBP veel gemakkelijker is om een dwangsom te innen dan een boete. De toezichthouder heeft daarom aangegeven dat het inzetten van de gele kaart niet snel voor de hand ligt.

Dit wordt anders op het moment dat er sprake is van opzet of ernstig verwijtbare nalatigheid. Het CBP mag dan onmiddellijk een boete opleggen (‘de rode kaart’). Dit brengt voor de toezichthouder echter wel de complicatie met zich mee dat hij opzet of schuld moet kunnen bewijzen. Het CBP noemt als voorbeeld van opzet het ongeoorloofd handelen in persoonsgegevens met financieel gewin. Indien de overtreding bestond uit aanzienlijk onzorgvuldig, onachtzaam of onoordeelkundig handelen, wijst dit op ernstig verwijtbare nalatigheid en kan het CBP direct de rode kaart-boete opleggen.

Conclusie
Met de boetebeleidsregels geeft het CBP, zoals van hem verwacht werd, beter inzicht in het toepassen van de boetebevoegdheden. De categorisering kent een bepaald gewicht toe aan overtredingen, dat maakt het een stuk concreter dan voorheen. Daarnaast is het helder dat de hoogte van de (cumulatieve) boetes bij opzettelijke overtredingen, snel kan oplopen. Dit risico is aan de andere kant sterk genuanceerd door de voorwaarde dat het CBP eerst moet bewijzen dat er sprake is van opzet of ernstig verwijtbare nalatigheid voordat de toezichthouder een boete op kan leggen. Het legt op die manier de nadruk op het bewust managen van privacy, waardoor de kans op verwijtbare nalatigheid sterk afneemt.

Toch blijft er nog een hoop onduidelijk. De gelaagdheid geeft enig inzicht in de waarde van specifieke normen van de WBP, maar kan juist in het concrete geval weer overschreden worden. Het CBP geeft daarnaast zelf aan in de boetebeleidsregels dat op dit moment nog niet vast te stellen is wanneer het zal kiezen voor het 10%-plafond in plaats van de maximale 820.000 euro. Juist omdat het om grote bedragen gaat, zullen sommige overtreders boetes aanvechten bij de rechter. Op basis daarvan kunnen de overwegingen van het CBP nog worden aangescherpt, maar zover is het nog niet.

We zullen dus moeten afwachten hoe het CBP de boetebevoegdheden in de praktijk gaat invullen. Wordt vervolgd!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *