Op 1 januari 2016 treedt een wijziging van de Wet bescherming persoonsgegevens (Wbp) in die het karakter van de handhaving nogal wijzigt. Mitopics zet de belangrijkste punten op een rijtje.
Nieuw zijn de:
- boetebevoegdheid toezichthouder
- dubbele meldplicht datalekken
- bindende aanwijzingen
Boetebevoegdheid toezichthouder
De privacytoezichthouder (die op eerdergenoemde ingangsdatum van 1 januari 2016 van naam verandert en niet langer College bescherming persoonsgegevens maar Autoriteit Persoonsgegevens gaat heten) gaat een bevoegdheid krijgen om boetes op te leggen van (bepaalde) overtredingen van de Wbp. Die boetes kunnen oplopen tot 810.000 Euro (het is een zogenaamde geldboete in de zesde categorie, de hoogte van het boeteplafond voor de zesde categorie kan in de toekomst wijzigen), of indien gepaster, tot tien procent van de jaaromzet van de beboette partij (dus ongeacht of die in Nederland gerealiseerd wordt of niet). De boetebevoegdheid raakt o.a. het:
- verwerken van persoonsgegevens zonder een wettige verwerkingsgrondslag (bijvoorbeeld het verwerken voor een derde zonder bewerkersovereenkomst)
- onnodig bewaren van persoonsgegevens;
- disproportioneel verwerken van persoonsgegevens;
- niet nemen van passende beveiligingsmaatregelen;
- niet melden van een datalek;
- verwerken van bijzondere persoonsgegevens;
- verwerken Burgerservicenummers; en
- de inzage-, correctie- en verwijderingsrechten van betrokkenen.
Dubbele meldplicht datalekken
Er ontstaat een (soms dubbele) meldplicht bij geconstateerde datalekken:
- Een ‘onverwijlde’ meldplicht aan de betrokkenen als er sprake is van een voorzienbare ongunstige impact op diens privacy.
- Een meldplicht aan het CBP als er een aanzienlijke kans op ernstige nadelige gevolgen voor de privacy bestaat als gevolg van het datalek.
Dit betekent dat bij datalekken in ieder geval de mensen die hierdoor geraakt kunnen worden omdat de inbreuk waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer ingelicht moeten worden en bij ernstige gevallen ook de toezichthouder. Wat ernstige gevallen zijn ist natuurlijk een vraag. De memorie van toelichting bij de wet noemt het lekken van de ledenadministratie van een sportclub als een voorbeeld waarbij dit niet zou hoeven en het lekken van de administratie van een uitvoerder van sociale wetgeving als een voorbeeld waarbij dit wel zou moeten. Voor het bepalen van die grenzen zal uiteindelijk rechtspraak noodzakelijk zijn, zo valt te voorzien. Overigens kan het CBP (straks de Autoriteit Persoonsgegevens) alsnog eisen dat er aan betrokkenen gemeld wordt, omdat deze bijvoorbeeld een andere beleving van de mogelijke impact heeft.
Opvallend is wel dat financiële instellingen (en dus ook zorgverzekeraars) uitgezonderd zijn van de meldplicht aan de betrokkenen, maar niet aan het CBP. Een andere uitzondering voor de meldplicht aan de betrokkenen betreft een lek van persoonsgegevens die versleuteld zijn. Dit laatste roept dan weer de vraag op welke versleuteling voldoende is om niet onder deze meldplicht te vallen.
Ook opvallend is dat deze meldplicht expliciet meegenomen moet worden in bewerkersovereenkomsten met onderaannemers (bewerkers) die persoonsgegevens verwerken. In de systematiek van de Wbp is er altijd voor gekozen om de wettekst in algemene bewoordingen te houden, waarbij de criteria voor de inhoud van de bewerkingsovereenkomst vooral door de toezichthouder verder zijn ingevuld. De wetgeving is op dit punt wat concreter geworden, wat prettig is voor de rechtszekerheid.
Onderdeel van de meldplicht is verder ook dat een verantwoordelijke een administratie bij moet houden van beveiligingsincidenten; ook hiervoor geldt dat de exacte afbakening van een dergelijke administratie nog een vraag voor de toekomst is. Het CBP heeft wel aangekondigd met richtsnoeren op het terrein van de meldplicht te komen.
Bindende aanwijzing (zelfstandige last) vanwege een overtreding
Als er bij een overtredingen waar de eerder besproken boetebvoegdheid speelt geen sprake is geweest van opzet of ernstig verwijtbare nalatigheid, dan mag het CBP pas boetes opleggen nadat er door de Autoriteit Persoonsgegevens een bindende aanwijzing is opgelegd aan de overtredende partij en deze de aanwijzing niet voldoende heeft opgevolgd. Dit kan betekenen dat bij overtredingen van de Wbp het CBP aanwijzingen kan geven om tot bepaalde handelingen over te gaan of die juist na te laten. Dit is een bevoegdheid waar het CBP nooit om gevraagd heeft maar op advies van de Raad van State in de wet is opgenomen. Het is dan ook de vraag of het CBP hier vaak gebruik van zal maken en zo ja, hoe ze dat zal gaan doen. Wat de toegevoegde waarde ten opzichte van de al bestaande praktijk van het opleggen van lasten onder dwangsom kan zijn is evenzeer de vraag.