Beleidsregels van de Autoriteit Persoonsgegevens van 15 december 2015 met betrekking tot het opleggen van bestuurlijke boetes (Boetebeleidsregels Autoriteit Persoonsgegevens 2016)

TOELICHTING OP DE BELEIDSREGELS

Algemene toelichting

Uitbreiding boetebevoegdheid Autoriteit Persoonsgegevens

Op grond van de Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp (Stb. 2015, 230) kan de Autoriteit Persoonsgegevens een bestuurlijke boete (hierna: boete) opleggen ter zake van overtreding van onder andere alle hoofdverplichtingen van de verantwoordelijke uit de Wet bescherming persoonsgegevens (Wbp). De Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp treedt op 1 januari 2016 in werking (Stb. 2015, 281).

De bevoegdheid van de Autoriteit Persoonsgegevens om bij overtredingen van de Wbp een boete op te leggen, gold voorheen uitsluitend voor overtreding van artikel 27 en 28.

De keuze van de wetgever om over te gaan tot uitbreiding van de boetebevoegdheid is ingegeven door de wens de sanctiemogelijkheden van de Autoriteit Persoonsgegevens te versterken om de naleving van de Wbp, zowel door bedrijven als overheden, te bevorderen.3 Met de uitbreiding van de boetebevoegdheid van de Autoriteit Persoonsgegevens wordt toegegroeid naar het handhavingssysteem uit de toekomstige Algemene verordening gegevensbescherming, die de Wbp als algemene wet zal gaan vervangen.4 Ook het voorstel voor deze verordening voorziet in de bevoegdheid voor de nationale toezichthouders om boetes op te leggen bij overtreding van de verordening.

Bindende aanwijzing

Op grond van artikel 66, derde lid, van de Wbp moet de Autoriteit Persoonsgegevens eerst een bindende aanwijzing aan de overtreder geven, voordat zij kan overgaan tot het opleggen van een boete wegens overtreding van de in artikel 66, tweede lid, genoemde artikelen. In de bindende aanwijzing zal de Autoriteit Persoonsgegevens ter concretisering van de wettelijke norm moeten aangeven welke gedraging op grond van de Wbp van de overtreder wordt verwacht en hem zo mogelijk moeten opdragen om de overtreding geheel of gedeeltelijk te herstellen.5 De Autoriteit Persoonsgegevens kan daarbij de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Indien de aanwijzing niet wordt opgevolgd, is de Autoriteit Persoonsgegevens reeds om die reden bevoegd een boete op te leggen.6

Deze verplichting een bindende aanwijzing te geven, alvorens een boete op te leggen, geldt niet indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid (zie het vierde lid van artikel 66 van de Wbp). Deze opsomming is niet cumulatief. Zodra aan een van de beschreven omstandigheden is voldaan, kan de Autoriteit Persoonsgegevens direct een boete opleggen.

Bij de term ‘opzettelijk gepleegd’ valt volgens de wetsgeschiedenis te denken aan ongeoorloofde handel in persoonsgegevens. In dergelijke situaties gaat het bijvoorbeeld om overtreders die willens en wetens de regels overtreden om er zelf financieel beter van te worden.7 Voor de uitleg van het begrip opzet wordt aansluiting gezocht bij de strafrechtelijke jurisprudentie over voorwaardelijk opzet. Onder ‘het gevolg van ernstig verwijtbare nalatigheid’ wordt volgens de wetsgeschiedenis verstaan: indien de overtreding het gevolg is van grof of aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen. Indien meerdere malen eenzelfde type overtreding heeft plaatsgevonden, kan sneller worden aangenomen dat sprake is van nalatigheid.8

Boetebevoegdheid, wettelijk boetemaximum en boetemaximum van tien procent van de jaaromzet

De Autoriteit Persoonsgegevens is op grond van artikel 66 van de Wbp bevoegd een boete op te leggen ter zake van overtredingen van de in het eerste en tweede lid van dat artikel genoemde bepalingen van de Wbp, niet-nakoming van een bindende aanwijzing als bedoeld in het vijfde lid van voornoemd artikel en overtreding van artikel 5:20 van de Algemene wet bestuursrecht (Awb) bij nalevingstoezicht op de Wbp.

De Autoriteit Persoonsgegevens kan voorts op grond van artikel 15.4, vierde lid, van de Telecommunicatiewet (hierna: Tw) een boete opleggen ter zake van overtreding van de in artikel 15.1, tweede lid, van deze wet bedoelde regels (de meldplicht voor datalekken in artikel 11.3a van de Tw), en artikel 5:20 van de Awb bij nalevingstoezicht op de Tw.

Tot slot kan de Autoriteit Persoonsgegevens op grond van artikel 35, derde lid, van de Wet politiegegevens (Wpg) en artikel 27, vierde lid, van de Wet justitiële en strafvorderlijke gegevens (Wjsg) een boete opleggen ter zake van overtredingen van een aantal bepalingen uit die wetten.

De beboetbare bepalingen uit de hiervoor genoemde wetten kennen een wettelijk boetemaximum van € 820.000, € 450.000 of € 20.500. Deze beboetbare bepalingen zijn, gegroepeerd per wettelijk boetemaximum, opgesomd en omschreven in bijlage 1 tot en met 3 bij deze beleidsregels.

Artikel 66, tweede en vijfde lid, van de Wbp, in samenhang gelezen met artikel 23, zevende lid, van het Wetboek van Strafrecht biedt de Autoriteit Persoonsgegevens de mogelijkheid, indien het hoogste boetemaximum van € 820.000 geen passende bestraffing toelaat, aan een rechtspersoon een hogere boete op te leggen tot tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan het besluit waarbij de boete wordt opgelegd.

De bedragen van € 820.000 en € 20.500 zijn de bedragen van geldboetecategorieën, genoemd in artikel 23, vierde lid, van het Wetboek van Strafrecht. Deze worden elke twee jaar bij algemene maatregel van bestuur aangepast aan de geldontwaarding (zie artikel 23, negende lid, van het Wetboek van Strafrecht). De aanpassing aan de ontwikkeling van de consumentenprijsindex kan aanleiding geven de bedragen in deze beleidsregels te wijzigen. De laatste aanpassing van de bedragen heeft met ingang van 1 januari 2016 plaatsgevonden bij het Besluit van 10 november 2015 tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht (Stb. 2015, nr. 420). De regering heeft in het voorstel van wet houdende een verhoging van voor de Autoriteit Consument en Markt geldende boetemaxima (Kamerstuknummers 34190) dat aanhangig is bij de Eerste Kamer, voorgesteld om het op grond van de Tw voor de Autoriteit Persoonsgegevens geldende boetemaximum van € 450.000 te verhogen naar € 900.000. Ook een dergelijke aanpassing kan leiden tot wijziging van de beleidsregels.

Bepalen van de hoogte van bestuurlijke boetes

Bij de vaststelling van (de hoogte van) de boete moet de Autoriteit Persoonsgegevens onder andere het wettelijk boetemaximum, de toepasselijke bepalingen van (hoofdstuk 5 van) de Awb en de algemene beginselen van behoorlijk bestuur in acht nemen.

De Autoriteit Persoonsgegevens kan omwille van de rechtsgelijkheid en rechtszekerheid beleid vaststellen en toepassen inzake de invulling van de bevoegdheid tot het opleggen van een boete, waaronder het bepalen van de hoogte daarvan. Met deze beleidsregels (hierna: Boetebeleidsregels) beoogt de Autoriteit Persoonsgegevens enerzijds inzicht te geven in de factoren die de hoogte van de boete bepalen. Anderzijds bieden de Boetebeleidsregels de Autoriteit Persoonsgegevens de nodige flexibiliteit om in individuele gevallen maatwerk te leveren.

Artikel 4:84 van de Awb biedt de Autoriteit Persoonsgegevens de mogelijkheid van deze beleidsregels met betrekking tot het bepalen van de hoogte van boetes af te wijken vanwege bijzondere gevallen die niet in de beleidsregels zijn verdisconteerd (inherente afwijkingsbevoegdheid).

De werking van deze Boetebeleidsregels wordt twee jaar na inwerkingtreding geëvalueerd om te bezien in hoeverre de inhoud van deze beleidsregels aanpassing behoeft. Te zijner tijd zal nader worden bekeken in welke vorm die evaluatie, waarbij externen zullen worden betrokken, zal plaatsvinden.

Systematiek van de Boetebeleidsregels: categorie-indeling en boetebandbreedtes

In deze Boetebeleidsregels is gekozen voor een categorie-indeling en bandbreedte systematiek.

De beboetbare bepalingen op de naleving waarvan de Autoriteit Persoonsgegevens toezicht houdt, zijn per wettelijk boetemaximum van € 820.000, € 450.000 of € 20.500 ingedeeld in een aantal boetecategorieën, en daaraan verbonden in hoogte oplopende boetebandbreedtes.

De boetecategorieën zijn gerangschikt naar zwaarte van de overtreding van de genoemde artikelen, waarbij categorie I de minst zware overtredingen bevat en categorie II of III de zwaarste overtredingen.

Met de indeling in categorieën geeft de Autoriteit Persoonsgegevens een indicatie van de hoogte van de boete die wegens een bepaalde overtreding kan worden opgelegd.

Bij het bepalen van de categorie-indeling heeft de Autoriteit Persoonsgegevens zich georiënteerd op het voorstel voor de Algemene verordening gegevensbescherming. Het voorstel van de Commissie voor deze verordening en de algemene benadering van de Raad delen de overtredingen in drie categorieën in, en verbinden daaraan in zwaarte oplopende bestuurlijke geldboetes.9

Bij de indeling van de bepalingen in de boetecategorieën heeft de Autoriteit Persoonsgegevens de zwaarte van de geschonden norm gewogen en beoordeeld. Het gaat daarbij om de waarde van de norm en zijn plaats in de hiërarchie van normen in het stelsel van privacy wet- en regelgeving, mede gelet op de daarmee te dienen doelen en de belangen die deze bepalingen beogen te beschermen. Daarnaast is bekeken in welke categorie de betreffende normen in het voorstel voor de Algemene verordening gegevensbescherming zijn ingedeeld.

Voor de algemene verplichtingen voor de verantwoordelijken uit hoofdstuk 2 van de Wbp met een wettelijk boetemaximum van € 820.000, geldt dat ze in beginsel nevengeschikt en niet ondergeschikt zijn ten opzichte van elkaar.10 Dat betreft allereerst de hoofdverplichtingen uit de artikelen 6 tot en met 13. Die bepalingen betreffen de materiële normen die gelden voor alle verwerkingen van persoonsgegevens, waardoor, over het algemeen, de indeling in categorie II op zijn plaats is. Datzelfde geldt voor overtreding van de artikelen 33, 34 en 34a. Transparantie is eveneens een hoofdverplichting van de verantwoordelijke.11 Ten aanzien van de meldplicht voor datalekken heeft de Autoriteit Persoonsgegevens zich georiënteerd op de beleidsregel die door de Minister van Economische Zaken is vastgesteld met betrekking tot het opleggen van bestuurlijke boetes door de Autoriteit Consument en Markt ter zake van overtreding van de meldplicht voor datalekken in artikel 11.3a van de Tw (Boetebeleidsregel ACM 2014).12

Ook voor de rechten van de betrokkene in hoofdstuk 6 geldt dat ze in beginsel nevengeschikt en niet ondergeschikt zijn ten opzichte van elkaar.13 Dit betreft de overtredingen van de artikelen 35 tot en met 42 van de Wbp. Bij het bepalen van de categorie-indeling is ervan uitgegaan dat de verplichtingen die de verantwoordelijken hebben bij de behandeling van verzoeken van betrokkenen om inzage, correctie en verzet in belangrijke mate van juridisch-administratieve aard zijn.14 De materiële rechten van de betrokkene zijn ingedeeld in categorie II. De bepalingen die meer procedurele waarborgen bieden, zoals artikel 35, derde lid, van de Wbp, zijn ingedeeld in categorie I. Hetzelfde geldt in grote lijnen voor de verplichtingen die voortvloeien uit de regeling van de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte zonder een passend beschermingsniveau. Dit betreft de overtredingen van de artikelen 76 tot en met 78 van de Wbp.15

De indeling in categorie III heeft te maken met de aard van het geschonden rechtsgoed, zoals het voorkomen van misbruik van de verwerking van gevoelige informatie over personen en het daaruit voortvloeiende kennispotentieel met betrekking tot andere personen16 dan wel de bescherming van de menselijke waardigheid. Artikel 16 van de Wbp bevat het belangrijke verbod op het verwerken van bijzondere persoonsgegevens. Overtreding van artikel 24 van de Wbp kan aan de orde zijn bij het buitenwettelijk gebruik van persoonsidentificerende nummers. Artikel 42 van de Wbp beschermt tegen besluitvorming ten aanzien van enige natuurlijke persoon op grond van een profielschets of een persoonlijkheidsschets die langs geautomatiseerde weg tot stand is gebracht. Uit de wetsgeschiedenis kan worden opgemaakt dat de menselijke waardigheid vereist dat dergelijke beslissingen over iemand door een andere persoon, en niet slechts door een geautomatiseerd systeem, worden genomen.17

Elke boetecategorie is gekoppeld aan een bepaalde boetebandbreedte die de Autoriteit Persoonsgegevens passend en geboden voorkomt. Dit betekent dat de hoogte van de boetebandbreedtes evenredig moet zijn en voldoende afschrikwekkend voor zowel de overtreder (speciale preventie) als andere potentiële overtreders (generale preventie). Binnen deze bandbreedte stelt de Autoriteit Persoonsgegevens een basisboete vast. Dat is het ‘startbedrag’ om mee verder te rekenen. Als uitgangspunt geldt dat de Autoriteit Persoonsgegevens de basisboete vaststelt op 33% van de bandbreedte van de aan de overtreding gekoppelde boetecategorie.

De hoogte van de boete stemt de Autoriteit Persoonsgegevens vervolgens af op de factoren die zijn genoemd in artikel 6, door te ‘plussen en minnen’ binnen de bandbreedte van de aan die overtreding gekoppelde boetecategorie. Het gaat om de ernst van de concrete overtreding, de mate waarin de overtreding aan de overtreder kan worden verweten en, indien daar aanleiding toe bestaat, andere omstandigheden, zoals de (financiële) omstandigheden waarin de overtreder verkeert. De Autoriteit Persoonsgegevens kan daarbij, zo nodig en afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 6 daartoe aanleiding geven, ‘doorschieten’ in de boetebandbreedte van de naast hogere respectievelijk de naast lagere categorie. Het treden buiten de grenzen van de boetebandbreedte van de basisboete als bedoeld in artikel 7, eerste lid, is aan de orde, indien de hoogte van de boete, gezien de omstandigheden van het concrete geval, anders niet voldoende preventieve werking heeft dan wel onevenredig hoog is. Is het hoogste boetemaximum voor een bepaalde overtreding door een rechtspersoon € 820.000, dan kan de Autoriteit Persoonsgegevens niettemin (eventueel: nog verder) ‘doorschieten’ en aan de rechtspersoon een hogere boete opleggen tot tien procent van de jaaromzet in het boekjaar voorafgaande aan het jaar waarin het boetebesluit wordt genomen. Deze omstandigheid doet zich voor indien de hoogte van de boete in het concrete geval anders als onvoldoende bestraffend wordt ervaren (zie artikel 7, tweede lid).

De Autoriteit Persoonsgegevens houdt voorts rekening met de aanwezigheid van boeteverhogende en boeteverlagende factoren als bedoeld in de artikelen 9 en 10 om bijzondere omstandigheden die zien op de gedragingen van de overtreder te kunnen meewegen. De Autoriteit Persoonsgegevens kan daarbij, zo nodig (nogmaals, als toepassing is gegeven aan artikel 7, eerste lid) en afhankelijk van de mate waarin de boeteverhogende of boeteverlagende omstandigheden daartoe aanleiding geven, buiten de grenzen van de toegepaste boetebandbreedte treden. Een boeteverhogende factor kan uiteraard niet leiden tot een boete die uitstijgt boven het wettelijk boetemaximum of, waar van toepassing, boven tien procent van de jaaromzet in het boekjaar voorafgaande aan het jaar waarin het boetebesluit wordt genomen.

Tot slot beoordeelt de Autoriteit Persoonsgegevens op grond van artikel 5:46 van de Algemene wet bestuursrecht of de toepassing van het beleid voor het bepalen van de hoogte van de boete gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt. Als zij de boete te hoog vindt, gaat zij over tot matiging van de boete. Een dergelijke toepassing van het evenredigheidsbeginsel kan onder andere spelen bij cumulatie van sancties. Op grond van artikel 5:8 van de Awb kan bij de uit het strafrecht bekende meerdaadse samenloop voor iedere overtreding afzonderlijk een boete worden opgelegd. Van meerdaadse samenloop is sprake indien een gedraging (een fysieke handeling) twee of meer overtredingen oplevert, die ook afzonderlijk hadden kunnen worden gepleegd en die verschillende belangen schenden. Indien de Autoriteit Persoonsgegevens voor te onderscheiden, maar wel samenhangende overtredingen twee of meer boetes wil opleggen, moet het totaal van de boetes nog wel aansluiten bij de ernst van de overtredingen. Toepassing van artikel 5:46 van de Awb kan er dan toe leiden dat een boete die voor de betreffende overtreding afzonderlijk in het algemeen redelijk is, in het concrete geval, gezien het totaal van de boetes, als onevenredig moet worden beschouwd en door de Autoriteit Persoonsgegevens dus moet worden gematigd.18

Consultatie

De conceptboetebeleidsregels zijn voor een reactie voorgelegd aan de volgende partijen: de Staatssecretaris van Veiligheid en Justitie, de Minister van Binnenlandse Zaken en Koninkrijksrelaties, de Minister van Economische Zaken, VNO-NCW, de VNG en het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (hierna: NGFG). Tijdens de besloten consultatie zijn schriftelijke reacties ontvangen van de Staatssecretaris van Veiligheid en Justitie, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Economische Zaken, en van VNO-NCW en MKB Nederland.

Verder zijn de conceptboetebeleidsregels voorwerp van een internetconsultatie geweest. De internetconsultatie heeft negen reacties opgeleverd. Tijdens de internetconsultatie zijn schriftelijke reacties ontvangen van twee individuele burgers en zeven organisaties, bedrijven en adviseurs.

Hoofdpunten uit de reacties zijn opmerkingen over: het ontbreken van inzicht in hoe de Autoriteit Persoonsgegevens de basisboete vaststelt; de indeling van artikelen in meer dan een boetecategorie (al dan niet gerelateerd aan de mogelijkheden voor de Autoriteit Persoonsgegevens om buiten de boetebandbreedte te treden of het gekozen aantal boetecategorieën); hoe de Autoriteit Persoonsgegevens rekening houdt met beperkte financiële draagkracht van kleine ondernemingen; hoe de Autoriteit Persoonsgegevens omgaat met cumulatie van bestuurlijke sancties; wanneer de Autoriteit Persoonsgegevens welk handhavingsinstrument inzet en de term ‘ernstig verwijtbare nalatigheid’ in relatie tot het lex certa-beginsel.

Naar aanleiding van de reacties heeft de Autoriteit Persoonsgegevens wijzigingen in de conceptboetebeleidsregels aangebracht. De aangehaalde punten zijn grotendeels geadresseerd in de betreffende artikelen van de beleidsregels of in de desbetreffende onderdelen van deze toelichting (waar relevant). De laatste twee punten hebben niet geleid tot aanpassing van het concept.

Deze Beleidsregels gaan alleen over het bepalen van de hoogte van boetes. De Autoriteit Persoonsgegevens heeft ervoor gekozen om de Beleidsregels handhaving door het CBP (Stcrt. 2011, nr. 1916) over het prioriteringsbeleid van de Autoriteit Persoonsgegevens op dit moment niet aan te vullen of uit te breiden met bijvoorbeeld een toelichting over wanneer de Autoriteit Persoonsgegevens kiest voor formele handhavingsinstrumenten zoals de last onder dwangsom, de bindende aanwijzing en de boete en wanneer voor meer informele instrumenten zoals een waarschuwing. Het bestuursrecht kent overigens ook geen ‘voorwaardelijke boete’. Te zijner tijd zal nader worden bekeken of de Beleidsregels handhaving door het CBP aanpassing behoeven, nadat ervaring is opgedaan met handhaving door middel van het opleggen van een boete.

In de wetsgeschiedenis wordt het lex certa-beginsel steeds in verband gebracht met het algemeen-abstracte karakter van de materiële normen van de Wbp.19 In de bindende aanwijzing zal de Autoriteit Persoonsgegevens ter concretisering van de wettelijke norm moeten aangeven welke gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht en hem zo mogelijk moeten opdragen om de overtreding geheel of gedeeltelijk te herstellen. Hieruit valt geenszins op te maken dat het gebruik van de term ‘ernstig verwijtbare nalatigheid’ (zonder nadere uitwerking) in strijd zou komen met het principe van kenbaarheid en duidelijkheid van door bestuurlijke sancties te handhaven voorschriften. Artikel 66, vierde lid, van de Wbp geeft geen materiële norm die kan worden overtreden. Het betreft een uitzondering op een procedurele bepaling over de verplichting een bindende aanwijzing te geven, alvorens een boete op te leggen. Nog daargelaten hetgeen reeds in de wetsgeschiedenis is opgenomen over de uitleg van dit begrip.

Overige reacties en opmerkingen die niet (primair) zien op het beleid met betrekking tot het bepalen van de hoogte van boetes zullen op een andere wijze ter hand worden genomen.

Artikelsgewijze toelichting

Artikel 6, eerste lid

De Autoriteit Persoonsgegevens stemt de beoordeling van de aard en omvang van de overtreding in ieder geval af op: de schaal waarop de overtreding heeft plaatsgevonden, de intensiteit van de overtreding en het stelselmatige of incidentele karakter ervan.

De Autoriteit Persoonsgegevens stemt de beoordeling van de impact van de overtreding op (de bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) de betrokkenen en/of de maatschappij bijvoorbeeld af op: het (financiële) voordeel dat de overtreder heeft behaald met de overtreding en/of de schade die betrokkenen hebben geleden door de overtreding.

Artikel 6, tweede lid, tweede volzin

De tweede volzin van dit artikellid maakt duidelijk dat het criterium ‘opzettelijk of ernstig verwijtbaar nalatig handelen’ in artikel 66, vierde lid, van de Wbp een aanzienlijke mate van verwijtbaarheid veronderstelt. Dat heeft, in gevallen waarin de Autoriteit Persoonsgegevens een boete kan opleggen aan de overtreder zonder eerst een bindende aanwijzing te geven, bij het bepalen van de hoogte van de boete overeenkomstig paragraaf 2.4 gevolgen voor de beoordeling van de mate waarin de overtreding aan de overtreder kan worden verweten. Dit houdt in dat een verlaging van de basisboete vanwege verminderde verwijtbaarheid in een dergelijk geval niet in de rede ligt.

Artikel 6, derde lid

De Autoriteit Persoonsgegevens houdt, op aandragen van de overtreder, zo nodig rekening met de grootte van een onderneming in relatie tot de beperkte(re) financiële draagkracht van de overtreder.

Artikel 7, eerste lid

De Autoriteit Persoonsgegevens kan de boetebandbreedte van de naast hogere categorie respectievelijk de bandbreedte van de naast lagere categorie toepassen indien de hoogte van de boete, gezien de relevante factoren die zijn genoemd in artikel 6, anders niet voldoende preventieve werking heeft dan wel onevenredig hoog is.

Artikel 7, tweede lid

Indien in voorkomende gevallen een boete van € 820.000 geen passende bestraffing toelaat omdat deze anders bijvoorbeeld niet in verhouding staat tot het met de overtreding behaalde voordeel, kan de Autoriteit Persoonsgegevens een hogere boete opleggen tot ten hoogste tien procent van de jaaromzet van de rechtspersoon.

Artikel 8

Indien in een concreet geval sprake is van boeteverhogende of boeteverlagende omstandigheden kan, na het bepalen van de boeteverhoging of boeteverlaging, buiten de toegepaste bandbreedte worden getreden. De ‘toegepaste’ bandbreedte hoeft niet de bandbreedte van de aan de overtreding gekoppelde boetecategorie (ook wel: bandbreedte van de basisboete) te zijn.

Artikel 9, eerste lid

Een boeteverhoging vanwege de omstandigheid dat de overtreder het onderzoek, bedoeld in artikel 60 van de Wbp, van de Autoriteit Persoonsgegevens heeft tegengewerkt of belemmerd, is mogelijk voor zover dit geen afbreuk doet aan de rechten van verdediging die een overtreder toekomen. Een dergelijke boeteverhoging is niet mogelijk indien een boete aan de overtreder is of wordt opgelegd wegens niet-meewerken aan het onderzoek (artikel 5:20 van de Awb).

Artikel 9, tweede lid

Dit artikel maakt duidelijk dat de enkele niet-nakoming van een bindende aanwijzing als bedoeld in artikel 66, vijfde lid, van de Wbp nog geen recidive veronderstelt, omdat geen sprake is van eenzelfde of soortgelijke overtreding van het onderliggende artikel in de zin van dit tweede lid. Dat is ook van belang omdat de ratio van de regeling van de bindende aanwijzing is dat de Autoriteit Persoonsgegevens in de bindende aanwijzing ter concretisering van de wettelijke norm moet aangeven welke gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht. Dit houdt verband met het algemeen-abstracte karakter van de normen van de Wbp en het lex certa-beginsel.20 Onduidelijkheid over de invulling van de betreffende norm behoort dan ook geen boeteverhogende factor te zijn.

Artikel 10

Dit artikel geeft een (niet-limitatief) overzicht van boeteverlagende omstandigheden.

Bij het criterium ‘verdergaande medewerking verleend aan de Autoriteit Persoonsgegevens dan waartoe de overtreder wettelijk gehouden was’, bedoeld in artikel 10, onder a, valt te denken aan de situatie waarin de overtreder niet alleen medewerking aan het onderzoek, bedoeld in artikel 60 van de Wbp, heeft verleend (bijvoorbeeld een verklaring heeft willen afleggen), maar ook sprake is van een daadwerkelijk verdergaande medewerking aan het onderzoek dan waartoe de overtreder wettelijk was gehouden.

Het criterium dat ‘de overtreder de overtreding heeft beëindigd voor of bij de eerste bekendwording met het onderzoek van de Autoriteit Persoonsgegevens’ heeft betrekking op gevallen waarin de overtreder heeft gehandeld met het oogmerk om actief (uit eigen beweging) de overtreding te beëindigen.

Bijlage 1, artikel 6 van de Wbp

Het woord ‘wet’ in artikel 6 van de Wbp heeft mede betrekking op andere wetgeving inzake de verwerking van persoonsgegevens. Het gaat hier dus om een schakelbepaling die verzekert dat de betrokken regelingen in onderling verband van toepassing zijn.21 Artikel 6 van de Wbp is daarom ingedeeld in categorie I, II of III. De voor de concrete overtreding geldende boetecategorie is dan bijvoorbeeld afhankelijk van de zwaarte van de geschonden norm uit die andere regelingen. Niet uitgesloten is voorts dat overtreding van een specifiek gedragsvoorschrift tevens een schending van artikel 6 van de Wbp oplevert. In dat geval ligt het in de rede dat de Autoriteit Persoonsgegevens een eventuele boete primair baseert op het meer specifieke voorschrift (vergelijk artikel 55, tweede lid, van het Wetboek van Strafrecht).22

Bijlage 2: artikel 11.3a van de Tw

In artikel 34a van de Wbp is per 1 januari 2016 een algemene meldplicht voor datalekken geïntroduceerd. Artikel 11.3a van de Tw kende al de meldplicht datalekken voor aanbieders van openbare elektronische communicatiediensten. Artikel 34a, negende lid, van de Wbp maakt duidelijk dat geen melding hoeft te worden gedaan van een datalek ingevolge artikel 34a van de Wbp indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst, in verband met de levering van openbare elektronische communicatiediensten, al een kennisgeving heeft gedaan ingevolge artikel 11.3a van de Tw. Voor andere situaties gelden de algemene bepalingen over cumulatie van sancties uit de Awb.

Het verschil in categorie-indeling tussen artikel 11.3a van de Tw en artikel 34a van de Wbp hangt samen met het grote onderscheid in wettelijk boetemaximum tussen de beide artikelen. Bij de Eerste Kamer is een wetsvoorstel (Kamerstuknummers 34190) aanhangig om het op grond van de Tw voor onder andere de Autoriteit Persoonsgegevens geldende boetemaximum van € 450.000 te verhogen naar € 900.000. Een dergelijke wijziging kan leiden tot aanpassing van de boetebandbreedtes en gelijkschakeling van de boetecategorieën.

Bijlage 3: de artikelen 4, derde lid, en 78, tweede lid, onder a, van de Wbp

Het wettelijk boetemaximum voor wat betreft de bepalingen die onder de Wbp ook strafrechtelijk kunnen worden bestraft, is gelijkgesteld aan de hoogste strafrechtelijke geldboete die volgens artikel 75 van de Wbp kan worden opgelegd (de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht, ofwel € 20.500).