Vragen van de leden Recourt en Heijnen (beiden PvdA) aan de staatssecretaris van Veiligheid en Justitie over het tekort aan capaciteit bij de College bescherming persoonsgegevens (ingezonden 8 maart 2012).

Antwoord van staatssecretaris Teeven (Veiligheid en Justitie) (ontvangen 28 maart 2012).

Vraag 1

Heeft u kennisgenomen van het bericht «Tekort voor aanpak datalek bij bedrijven»?1

Antwoord 1

Ja.

Vraag 2

Was u op de hoogte van het gegeven dat meer dan de helft van de zaken bij het College bescherming persoonsgegevens (Cbp) blijven liggen? Heeft u hierover contact gehad met het Cbp?

Antwoord 2

Mijn departement heeft geregeld contact met het CBP over de budgettaire en capacitaire kaders. In die gesprekken is van de zijde van het CBP niet een dergelijke mededeling gedaan.

Vraag 3

Acht u het mogelijk dat het Cbp de zaken waar zij nu niet aan toekomt in de toekomst wel zal kunnen afhandelen? Zo ja, hoe zou dat moeten gebeuren?

Antwoord 3

De handhaving van regels moet altijd gebeuren binnen de kaders van de beschikbare middelen. Dat geldt ook voor het CBP. Het CBP stelt, met behulp van een risicogestuurde aanpak, prioriteiten en pakt op die manier de belangrijkste zaken aan.

Vraag 4

Is het waar dat u wil dat bedrijven zichzelf melden bij het Cbp wanneer gevoelige gegevens openbaar zijn geworden? Zo ja, hoeveel zaken komen er dan naar verwachting extra binnen bij het Cbp?

Antwoord 4

Ja. Over een concept van de voorgenomen wetswijziging van de Wbp in verband met de invoering van een meldplicht voor datalekken is begin dit jaar een publieke consultatie gehouden. Zoals in het daarbij gevoegde concept van de Memorie van Toelichting wordt vermeld zal de meldplicht naar schatting leiden tot 66 duizend meldingen per jaar. Verwacht mag worden dat het overgrote deel van deze meldingen het CBP geen enkele aanleiding geeft tot een onderzoek of tot handhavingsmaatregelen. De veranderingen in de werklast voor het CBP die de meldplicht datalekken met zich meebrengt zullen werkende weg worden vastgesteld. Mocht sprake zijn van significante consequenties dan kan dat aanleiding zijn om nadere gesprekken te voeren met het CBP. Ik verwijs ook naar mijn brief aan uw Kamer van 27 oktober 2011 (Kamerstukken II, vergaderjaar 2011–2012, 32 761, nr. 4).

Vraag 5

Wat is uw antwoord op de vraag van de directeur van het Cbp waar de meldingen goed voor zijn als het niet de menskracht heeft om naar ernstige en schadeveroorzakende datalekken te kijken?

Antwoord 5

Zoals vermeld in mijn antwoord op vraag 3 is het niet mogelijk om alles te handhaven. Ik heb er vertrouwen in dat het CBP door het hanteren van een risicogestuurde aanpak, waarbij het CBP prioriteit legt bij de aanpak van overtredingen van de Wbp waarbij sprake is van een relatief groot risico voor de bescherming van persoonsgegevens, ook in de toekomst in staat zal blijven een effectief handhavingsbeleid te realiseren.

Vraag 6

Nu het Cbp de bevoegdheid heeft om boetes op te leggen aan organisaties, mag het de geïnde boetes investeren in de eigen organisatie om zo het tekort aan menskracht op te lossen? Zo nee, waarom niet?

Antwoord 6

Zoals ik eerder heb gemeld aan uw Kamer, laatstelijk tijdens het AO van 7 maart 2012 en het VAO van 15 maart 2012, ben ik samen met de Minister van Financiën aan het onderzoeken of er een brede bestuurlijke boete kan worden ingevoerd. Hierbij wordt ook de mogelijkheid van financiering van het CBP door boete-inkomsten bezien. Overigens bepalen de begrotingsregels dat uitgaven en inkomsten van de overheid gescheiden zijn. Dat houdt in dat een instantie de inkomsten uit boetes niet rechtstreeks kan gebruiken om uitgaven te dekken.

X Noot
1

Financieel Dagblad, 5 maart 2012.

Naar boven