Afgelopen november heeft de toenmalige staatssecretaris Teeven door middel van een zogenaamde Nota van Wijziging een al aanhangig wetsvoorstel over de meldplicht datalekken uitgebreid met een boetebevoegdheid van het College Bescherming Persoonsgegevens (Cbp) tot ruim acht ton. Daarin staat echter een tweetal merkwaardige weeffouten.
De bestaande, zeer beperkte, boetebevoegdheid van het Cbp van het opleggen van boetes voor het niet aanmelden van registraties van persoonsgegevens bij het Cbp komt in zijn geheel te vervallen. Dat is weinig verrassend aangezien het vrijstellingsbesluit deze registratieplicht al fors heeft ingeperkt en ook de toekomstige Europese Verordening de registratieplicht al geheel laat vervallen. In de praktijk werden hier dan ook hoogst zelden boetes voor opgelegd.
In de plaats hiervan komt een, gerekend naar de maximale hoogte van de voorgestelde boete, forse boetebevoegdheid voor het Cbp in de plaats. Er wordt aangeknoopt bij de boetesystematiek uit het Wetboek van Strafrecht en er wordt gekozen voor een boete van de zesde categorie, wat naar huidige maatstaven een maximum van 810.000 Euro betekent.
Als eerste valt te betwijfelen of dit nu wel zoveel verschil gaat uitmaken omdat het Cbp pas naar het boetemiddel mag grijpen nadat een zogenaamde bindende aanwijzing is gegeven aan de overtreder. Hier is voor gekozen, omdat de Wet bescherming persoonsgegevens erg open geformuleerde normen kent, dit om de technologieonafhankelijkheid te bevorderen. De consequentie hiervan is dat de Wbp vooral uit mooi geformuleerde principes bestaat die vervolgens naar de praktijk vertaald moeten worden. Dit levert een bepaalde mate van rechtsonzekerheid op voor degenen op wie de onderliggende normen van toepassing zijn – en die overtreden. Het CBP dient eerst duidelijkheid daaromtrent te verschaffen door het geven van een bindende aanwijzing. Daarbij komt nog dat het Cbp toch ook al het middel van de dwangsom had. Het ligt niet voor de hand dat met de komst van de nieuwe boetebevoegdheid de leemte tussen het relatief tijdloze, principe-gebaseerde, wettelijke regime en de praktijk van alledag opgevuld wordt. De wetgever lijkt uit het oog te verliezen dat de alledaagse praktijk er vooral een is van het naar beste weten naleven van relatief onbekende, zeer abstracte regels. En dat beste weten wordt niet geholpen door een Cbp (of in de toekomst Autoriteit Persoonsgegevens, wat ook onderdeel van de wetswijziging is) die maar niet tot concrete uitspraken wil komen vooraf, maar hooguit achteraf in een specifieke situatie. Voor de rechtspraktijk zou het veel beter zijn als naast de richtsnoeren van het Cbp het ministerie van Veiligheid en Justitie het middel van de algemene maatregel van bestuur meer zou inzetten, mits met waarborgen omkleed. Bijvoorbeeld door meer duidelijkheid te scheppen over veelvoorkomende vragen over informatiebeveiliging, pseudonimisatie etc.. En uiteraard dat de Cbp-richtsnoeren praktischer worden ingevuld dan ze nu zijn.
De tweede weeffout is de reikwijdte van de boetebevoegdheid. Die betreft vooral rechtmatigheid, proportionaliteit en doelbinding. Interessant is het ontbreken van een bewerkersovereenkomst (art. 14 Wbp) in de opsomming van het voorstel. En die bewerkersovereenkomsten vormen nu juist de meest voorkomende bron van overtredingen van de Wbp. Het roept ook de vraag op hoe dit in de praktijk uitpakt. Bij grammaticale lezing komt het er op neer dat de bewerker die zonder bewerkersovereenkomst persoonsgegevens verwerkt in overtreding is van de artt. 7-9 Wbp (want geen zelfstandige rechtvaardigingsgrond voor de verwerking, die heeft alleen de verantwoordelijke) en daarmee (na bindende aanwijzing door het Cbp) boeteplichtig kan worden, maar de verantwoordelijke die niet minder verwijtbaar bezig is dat niet zou zijn omdat die alleen in overtreding van art. 14 Wbp zou zijn, wat buiten de reikwijdte van de boetebevoegdheid valt.
Als dit voorstel in deze vorm aangenomen wordt, wat in de lijn der verwachtingen ligt, zou dit werk aan de winkel betekenen voor hostingpartijen, SaaS-leveranciers en dergelijke om er voor te zorgen dat hun voorwaarden als bewerkersovereenkomst kwalificeren. Of, bij de grote cloudleveranciers meer waarschijnlijk, dat zij dit soort boetes af kunnen wentelen op hun klanten.
De conclusie is dan ook dat het maar de vraag is of dit wetsvoorstel voor de praktijk nu een materiële verbetering teweeg gaat brengen. Het lijkt er in ieder geval op dat een nieuwe abstractie wordt toegevoegd aan het toch al zo formele privacylandschap, zonder dat prikkels worden gegeven ter verbetering van de toepassing van breed gedragen maar voor de praktijk te weinig concrete principes.