Advies Raad van State nota van wijziging inzake wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken) (33 662)

Met deze nota van wijziging wordt uitvoering gegeven aan het regeerakkoord van het kabinet-Rutte II ‘Bruggen slaan’ van 29 oktober 2012 om een uitbreiding te realiseren van de bevoegdheid van het College bescherming persoonsgegevens (Cbp) om bij overtreding van de normen van de Wet bescherming persoonsgegevens (Wbp) een bestuurlijke boete op te leggen. Met de versterking van de sanctiemogelijkheden van de toezicht- en handhavende autoriteit beoogt het kabinet de naleving van de Wbp, door zowel bedrijven als overheden, te bevorderen.

Onder de huidige Wbp nemen bestraffende sancties (bestuursrechtelijke boetes of strafrechtelijke sancties als gevangenisstraf of een geldboete) een bescheiden plaats in. Met deze nota van wijziging wordt voorgesteld om de bestraffende sanctionering sterk uit te breiden en daarbij het primaat te leggen bij het bestuursrecht. Het voorstel strekt ertoe om de materiële normen van de Wbp, die van meet af aan al wel met bestuursrechtelijke herstelsancties kunnen worden gehandhaafd, voortaan ook bestuurlijk beboetbaar te maken (vgl. ook motie Recourt c.s., Kamerstukken II 2011/12, 32 676, nr. 35). Het aantal bepalingen dat (mede) strafrechtelijk kan worden gehandhaafd wordt beperkt.

De ontwikkeling van de informatiemaatschappij heeft de overheid voor een aantal vragen geplaatst, waarop antwoorden moeten worden geformuleerd. Het gebruik van ICT door particulieren, bedrijven en de overheid is de afgelopen jaren op spectaculaire schaal toegenomen als gevolg van technologische ontwikkelingen. Die technologische ontwikkelingen vertalen zich in schaalvoordelen en lagere kosten voor het gebruik van ICT. Het is duidelijk dat dit de samenleving veel voordelen oplevert in de vorm van efficiënte en betaalbare communicatiemogelijkheden, zowel voor zakelijk als voor particulier gebruik. In het openbare debat van de afgelopen jaren zijn de ontwikkeling van de informatiemaatschappij en de snelle technologische ontwikkelingen voorwerp van discussie geweest1.

Door achtereenvolgende kabinetten is gericht aandacht besteed aan de verschillende vraagstukken. Het kabinet-Balkenende IV heeft op 3 november 2009 een beleidsreactie uitgebracht op het advies van de Adviescommissie veiligheid en persoonlijke levenssfeer (commissie Brouwer-Korf) en de evaluatie van de Wbp (Kamerstukken II 2009/10, 31 051, nr. 5). Door het kabinet Rutte-I is een kabinetsreactie uitgebracht op het WRR-rapport ioverheid (25 oktober 2011) en een algemene beleidsnotitie opgesteld (notitie privacybeleid, 29 november 2011), het kabinet Rutte-II heeft begin 2013 beleidsnotities het licht doen zien over e-privacy, het gebruik van data in en door de private sector (Kamerstukken II 2012/13, 32 761, nr. 49) en over de digitale overheid (Kamerstukken II 2012/13, 26 643, nr. 280).

De snelle technologische ontwikkelingen en de toenemende globalisering hebben – binnen Europa – de vraag doen rijzen of de geldende regelgeving (Dataprotectieverdrag, EU-richtlijn 95/462, die in Nederland is omgezet in de Wbp), de samenleving nog adequaat beschermt tegen gevolgen van die ontwikkelingen. De bescherming van de persoonlijke levenssfeer en de bescherming van persoonsgegevens is een grondrecht (o.a. artikel 8 EVRM, artikel 8 van het Handvest van de grondrechten van de EU, artikel 13 Grondwet). Het antwoord op deze vraag luidt ontkennend. Daarop is in 2010 door de Europese overheden besloten dat herziening van de bestaande instrumenten noodzakelijk en gewenst is, o.a. ter versterking van de rechten van de burger, het terugdringen van administratieve lasten voor de verantwoordelijken en versterking van de mechanismen voor toezicht en handhaving. Daarna zijn zowel door de Raad van Europa als de Europese Unie voorstellen gedaan voor vervanging van de huidige rechtsinstrumenten door nieuwe. Voor een actuele stand van zaken van de Europese ontwikkelingen wordt verwezen naar de website van het kenniscentrum wetgeving; dossier bescherming persoonsgegevens: http://www.kc-wetgeving.nl/gereedschapskist/dossiers/bescherming-persoonsgegevens/).

De verwachting is dat de nieuwe algemene verordening bescherming persoonsgegevens (hierna: concept EU-verordening), die de Wbp als algemene wet zal gaan vervangen, in 2014 tot stand komt en in 2016 in werking zal treden. De concept-verordening draagt de lidstaten onder andere op om te voorzien in de instelling van onafhankelijke nationale autoriteiten en deze met nader omschreven toezichthoudende en handhavende bevoegdheden uit te rusten, waaronder de bevoegdheid om bij overtreding van de bepalingen van de verordening bestuurlijke boetes op te leggen. Bij de herziening van het Dataprotectieverdrag staat het behoud van het karakter van een minumumstandaard voor de bescherming van persoonsgegevens voorop, zodat andere landen van de Raad van Europa, alsook derde landen, tot het verdrag kunnen toetreden. Het bevat geen bepalingen over sanctionering. Wanneer de herziening van het Dataprotectieverdrag zal zijn afgerond is nog niet duidelijk; de herziening loopt tot nog toe parallel aan de herziening van de rechtsinstrumenten in EU-verband.

Het huidige sanctie-instrumentarium van het Cbp is drieledig van aard. Op grond van artikel 65 van de Wbp kan het Cbp een last onder bestuursdwang opleggen bij overtreding van de bij of krachtens de Wbp vastgestelde bepalingen. Uit artikel 5:32 van de Awb volgt dat het Cbp in alle gevallen ook een last onder dwangsom kan vaststellen.

Op grond van artikel 66 van de Wbp kan het Cbp bij overtreding van de artikelen 27 en 28 en 79, eerste lid, van de Wbp een bestuurlijke boete opleggen van maximaal € 4.5005. De met een bestuurlijke boete gesanctioneerde bepalingen zijn administratieve verplichtingen. Het betreft het niet of niet volledig voldoen aan de meldplicht om voorafgaand aan een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens deze verwerking aan te melden bij het Cbp dan wel bij de door de verantwoordelijke zelf benoemde functionaris voor de gegevensbescherming. Dezelfde bepalingen zijn ook strafrechtelijk gesanctioneerd.

Wie handelt in strijd met genoemde bepalingen kan op grond van artikel 75 van de Wbp worden bestraft met een geldboete van de derde categorie van artikel 23, vierde lid, Wetboek van Strafrecht (Sr). Het maximumbedrag van deze categorie is thans € 7.800. Wordt het feit opzettelijk begaan, dan is oplegging van gevangenisstraf van ten hoogste zes maanden mogelijk, of oplegging van een geldboete van vierde categorie van artikel 23, vierde lid, Sr. Het maximumbedrag van deze categorie bedraagt thans € 19.500.

De bestuurlijke boete is bij de totstandkoming van de Wbp vooral gezien als een goed complement voor strafrechtelijke sanctionering, zodat de strafrechter en het openbaar ministerie niet nodeloos werden belast. Ook die motivering is op zichzelf genomen nog steeds overtuigend. Echter, destijds is de keuze gemaakt alleen die overtredingen bestuurlijk beboetbaar te maken die ook strafrechtelijk konden worden gesanctioneerd. Omdat het aantal bepalingen dat met behulp van het strafrecht kon worden gesanctioneerd zeer gering was, is de Wbp altijd een wet gebleven waarin de bestuurlijke boete een ondergeschikte plaats innam. Dat is ook de verklaring voor het minimale aantal bestuurlijke boetes dat het Cbp in de afgelopen jaren heeft opgelegd.

Sinds de totstandkoming van de Wbp zijn de omstandigheden echter veranderd. Het behoeft nauwelijks betoog dat het belang van gegevensverwerking in de samenleving sindsdien sterk is toegenomen. Daarmee neemt ook het belang van een adequate bescherming van persoonsgegevens toe. Het geconstateerde nalevingstekort maakt dat belang nog dringender. Het Cbp heeft ook om deze reden enige jaren geleden besloten om in zijn dagelijkse taakuitoefening een zwaarder accent te gaan leggen op handhaving en sanctionering. De effectiviteit van die sanctionering kan toenemen wanneer ook de materiële bepalingen van de Wbp kunnen worden gehandhaafd met bestraffende sancties.

Op 25 januari 2012 heeft de Europese Commissie een voorstel gedaan voor een Algemene verordening gegevensbescherming (COM (2012)11 def). Deze verordening zal richtlijn 95/46/EG vervangen en daarmee ook de Wbp. De verordening bevat nieuwe regels met betrekking tot de bescherming van de gegevens van natuurlijke personen en het vrije verkeer van persoonsgegevens binnen de Europese Unie. De snelle technologische ontwikkelingen en de toenemende globalisering maken een herziening van de richtlijn noodzakelijk. Zowel de economie als het maatschappelijk leven zijn de laatste twee decennia ingrijpend veranderd. Met de keuze voor een verordening is gekozen voor een rechtsinstrument dat in alle landen van de EU/EER rechtstreeks zal gelden. Anders dan bij een richtlijn is van omzetting in nationaal recht geen sprake. Daarmee wordt een meer eenduidige normstelling bewerkstelligd. Andere doelstellingen van de verordening zijn: versterking van de rechten van de betrokkene, vermindering van administratieve lasten voor de verantwoordelijke, een sluitende regeling voor doorgifte van persoonsgegevens aan derde landen en versterking van het toezichts- en handhavingsmechanisme, o.a. door nauwe samenwerking tussen de nationale toezichthouders, het Europees Comité voor de gegevensbescherming en de Europese Commissie.

Het voorstel voor uitbreiding van de boetebevoegdheid van het Cbp in deze nota van wijziging sluit aan bij de doelstelling van de verordening om de handhaving te versterken. Ook het voorstel voor de verordening voorziet in de bevoegdheid voor de nationale toezichthouders om bestuurlijke boetes op te leggen bij overtreding van de verordening. Het voorstel deelt de overtredingen van de verordening in drie categorieën in, en verbindt daaraan in zwaarte oplopende bestuurlijke geldboetes. De maximale boete in het voorstel is 1 miljoen en voor een onderneming 2% van de jaarlijkse wereldwijde omzet (artikel 79 concept-verordening). De onderhandelingen over de concept-verordening zijn gaande, dit geldt als voorbehoud. Gezien de tendens van het ontwerp kan echter al wel worden gesteld dat met de in deze nota van wijziging voorgestelde handhaving wordt toegegroeid naar het handhavingssysteem uit de toekomstige verordening. Als de verordening wordt aangenomen en in werking treedt, geldt er nog een implementatietermijn van twee jaar voordat de verordening van toepassing wordt.

In 2008 heeft het toenmalige kabinet een Nota sanctiestelsels vastgesteld (Kamerstukken I 2008/09, 31 700 VI, D). In die nota is een afwegingskader opgenomen dat moet worden gevolgd bij wetsvoorstellen waarin nieuwe bestuurlijke bestraffende sancties worden geregeld. Toepassing van dat afwegingskader leidt tot de volgende bevindingen.

De Wbp valt onder wetgeving met een ‘open context’ in de zin van de voornoemde nota. De normen van de Wbp zijn abstract van aard en zijn in beginsel van toepassing op alle denkbare verwerkingen van persoonsgegevens. Voor het verwerken van persoonsgegevens is geen voorafgaand verlof van de overheid nodig. Weliswaar is de verantwoordelijke onderworpen aan een voorafgaande meldplicht voor die verwerking (artikel 27 en 28), of een meldplicht bij datalekken als gevolg van een doorbreking van de beveiliging van de persoonsgegevens (artikel 34a nieuw), maar de aard van de melding is zodanig dat deze geen bijzondere rechtsbetrekking tussen overheid en betrokkene vestigt. Slechts in uitzonderingsgevallen is er sprake van bijzondere rechtsbetrekkingen tussen Cbp en verantwoordelijke. Dat is aan de orde in gevallen waarin sprake is van een voorafgaand onderzoek in de zin van artikel 31 van de Wbp, of van de goedkeuring van een gedragscode in de zin van artikel 25 van de Wbp.

Bij een open context is strafrechtelijke handhaving het uitgangspunt. Op dat uitgangspunt maakt de nota enkele uitzonderingen. Eén daarvan is hier van belang. Wanneer er sprake is van een hooggespecialiseerd orgaan dat optreedt als handhavende instantie, kan er niettemin ruimte zijn voor de bestuurlijke boete als handhavingsinstrument. De nota noemt als voorbeeld het mededingingsrecht of het telecommunicatierecht waar de ACM optreedt als gespecialiseerd handhaver. Het Cbp kan zonder meer worden aangemerkt als een dergelijke gespecialiseerde handhaver. De keuze om de Wbp vooral met bestuursrechtelijke bestraffende sancties te handhaven is in overeenstemming met de Nota sanctiestelsels.

De wetgever heeft bij totstandkoming van de Wbp in 2001 voor duale bestraffende handhaving gekozen, dat wil zeggen dat de normen zowel met een bestuurlijke boete als met een strafrechtelijke sanctie worden bedreigd. De strafrechtelijke sanctie varieert van een geldboete van de derde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht, of bij het opzettelijk begaan, een gevangenisstraf van zes maanden of de vierde categorie. Het Cbp bepleit in zijn advies om het duale systeem ook te laten gelden ten aanzien van de nieuwe bepalingen die bestuurlijk beboetbaar worden gesteld. De nota sanctiestelsels geeft de voorkeur aan een afbakening door de wetgever tussen sanctiestelsels; daarmee ontstaat ook een duidelijke verantwoordelijkheidsverdeling tussen de handhavende autoriteiten. Het strafrecht kan op de achtergrond een rol vervullen in geval de schending van een privacynorm ernstige gevolgen heeft voor personen wier persoonsgegevens worden misbruikt. Daarvoor zijn voldoende aanknopingspunten in het commune strafrecht zoals uitingsdelicten, strafbaarstelling terzake van grooming, hacking en identiteitsfraude (vgl. Kamerstukken II 2012/13, 33 352, nr. 7 (amendement-Dijkhoff c.s.). De eventuele rol van het strafrecht zal meer principieel aan de orde komen bij de implementatie van de EU-verordening algemene gegevensbescherming.

Nieuwe wetgeving inzake het opleggen van een bestuurlijke boete verdient bijzondere aandacht vanuit het perspectief van het legaliteitsbeginsel. In artikel 5:4 van de Awb zijn voor het bestuursrecht verschillende aspecten van het legaliteitsbeginsel vastgelegd. Het eerste lid bepaalt dat de bevoegdheid tot het opleggen van een bestuurlijke sanctie slechts bestaat voor zover zij bij of krachtens de wet is verleend. Het tweede lid bepaalt dat een bestuurlijke sanctie slechts wordt opgelegd indien de overtreding en de sanctie bij of krachtens een aan de gedraging voorafgaand wettelijke voorschrift zijn omschreven. Deze eisen vloeien ook voort uit artikel 7 EVRM, artikel 16 Grondwet en artikel 15 van het Internationaal Verdrag inzake burgerlijke en politieke rechten (IVBPR) (Trb. 1978, 177). Aan de hoofdregel van artikel 5:4 Awb, de eis dat de overtreding zelf en de op te leggen sanctie in een voorafgaand wettelijk voorschrift zijn omschreven, wordt voldaan, wanneer dit wetsvoorstel tot wet wordt verheven en in werking treedt. Uit deze bepaling volgt voorts ook dat een voorschrift dat door bestuurlijke sancties wordt gehandhaafd, voldoende duidelijk, voorzienbaar en kenbaar moet zijn. Dit wordt ook wel het ‘lex certa-beginsel’ genoemd. Dit beginsel is des te meer van belang nu in deze nota van wijziging een uitbreiding wordt voorgesteld van de met behulp van de bestuurlijke boete te sanctioneren voorschriften van de Wbp. Een bestuurlijke boete betreft een bestraffende sanctie, waarmee het Cbp beoogt de overtreder leed toe te voegen. De overtreder van de bepalingen van de Wbp kan zijn een particulier, een bedrijf of een bestuursorgaan. Een bestuurlijke boete kan ook in combinatie met een herstelsanctie worden opgelegd.

Ingevolge artikel 5:1, tweede lid, Awb kan de bestuurlijke boete zowel aan de overtreder als aan de medepleger worden opgelegd. In veel gevallen zal de verantwoordelijke als pleger van een overtreding van de Wbp kunnen worden aangemerkt. Niet uitgesloten is, dat bijvoorbeeld de door de verantwoordelijke ingeschakelde bewerker als medepleger valt aan te merken. Daarnaast zijn op grond van artikel 5:1, derde lid, Awb jo. artikel 51 tweede en derde lid, van het Wetboek van Strafrecht, feitelijke opdrachtgevers of feitelijk leidinggevenden van een rechtspersoon bestuurlijk te beboeten. Het Cbp geeft in zijn advies aan dat de behoefte om ook de bewerker aan te pakken zich ook in de huidige handhavingspraktijk doet gevoelen.

De Wbp bestaat voor een belangrijk deel uit algemeen-abstract omschreven voorschriften. Zoals hiervoor werd aangegeven vloeit dat onvermijdelijk voort uit de formulering van de EU-richtlijn. Voor het Cbp is de aard van de normstelling niet van dien aard, dat zij het Cbp voor onoverkomelijke problemen stelt bij het hanteren van de huidige bevoegdheden tot het opleggen van een bestuurlijke herstelsanctie. Verheldering van de normen vindt op verschillende niveaus plaats. Op Europees niveau geeft de ‘Artikel 29’-werkgroep, waarin de Europese toezichthouders zijn verenigd, gezaghebbende opinies uit over uitleg van de normen van de EU-richtlijn. Deze opinies worden o.a. op de website van het Cbp gepubliceerd. Daarnaast is er de rechtspraak van het HvJEU. Op nationaal niveau stelt het Cbp richtsnoeren vast over de interpretatie van de normen van de Wbp, die een leidraad vormen voor het nationale toezichts- en handhavingsbeleid. Voorbeelden hiervan zijn de richtsnoeren over identificatie en verificatie van persoonsgegevens in de private sector (2012) en de richtsnoeren beveiliging van persoonsgegevens (2013). De richtsnoeren over beveiliging van persoonsgegevens verwijzen overigens weer naar algemeen aanvaarde normen over informatiebeveiliging die niet van de overheid afkomstig zijn. Zo bestaat er een NEN-norm voor informatiebeveiliging (NEN-ISO/IEC 27002:2007) met sectorale uitwerkingen.

Op verzoek van belanghebbenden kan het Cbp zienswijzen geven over de toepassing van de wettelijke bepalingen betreffende de bescherming van persoonsgegevens of (sectorale) gedragscodes toetsen op conformiteit met de Wbp (artikelen 60 en 25 Wbp). Daarnaast is er rechtspraak over de Wbp op alle terreinen (civiel-, bestuurs- en strafrecht).

Ook in de nationale bestuursrechtelijke jurisprudentie wordt aanvaard dat wetgeving die wordt gehandhaafd met een bestuurlijke boete onder omstandigheden noodzakelijkerwijs uit vage normen bestaat, welke normen in de toepassingspraktijk nader moeten worden ingevuld. Wel worden in zulke gevallen aan de motivering van het besluit hoge eisen gesteld. Aangetoond moet worden waar het gedrag van de overtreder tekortschiet en ook waarom hetgeen de overtreder daartegen inbrengt niet tot een andere conclusie leidt (CBB 24 augustus 2006, LJN AZ3770, CRvB 27 april 2000, LJN AA5669). Door de Afdeling bestuursrechtspraak van de Raad van State wordt in ieder geval aanvaard dat min of meer vage normen kunnen worden aangevuld door een zogenaamde best beschikbare techniek (ABRS 15 november 2006, LJN AZ2271) of door een concretisering van de normen in het kader van het toezicht (‘toezichtbeleidsbrief’) (ABRS 14 december 2005, LJN AU7977). Het geheel aan de belanghebbende overlaten om een vereiste inspanningsverplichting te leveren om een boete te ontgaan, zonder dat de overheid daarover in enige vorm duidelijkheid verschaft, oordeelde de Afdeling bestuursrechtspraak in strijd met art. 7 EVRM (ABRS 20 november 2002, LJN AF0842). Maar onder omstandigheden kan ook een in algemene termen vervat voorschrift toch voldoende duidelijk zijn voor belanghebbenden om hun gedrag daarop af te stemmen (ABRS 3 mei 2006, LJN AW 7337, en CBB 20 december 2007, LJN BC2232).

De conclusie die aan de geldende wetgeving en de jurisprudentie kan worden verbonden is dat ook een in algemeen-abstracte termen vervatte wet als de Wbp door bestuurlijke boetes kan worden gehandhaafd.

Een eerste uitgangspunt is dat alle hoofdverplichtingen van de verantwoordelijke uit de Wbp met een bestuurlijke boete worden gesanctioneerd. Dat betreft allereerst de artikelen 6 tot en met 13. Die bepalingen betreffen de materiële normen die gelden voor alle verwerkingen van persoonsgegevens. Ook de overtreding van artikel 6 wordt gesanctioneerd, ondanks de zeer algemene omschrijving van deze verplichting. Het is immers denkbaar dat het Cbp stuit op gevallen waarin sprake is van evident onrechtmatige gegevensverwerkingen die zozeer in strijd met de beginselen van de Wbp zijn dat boeteoplegging wegens strijdigheid met deze regel zonder meer gerechtvaardigd is.

Datzelfde geldt voor de in algemene bewoordingen omschreven beveiligingsplicht van artikel 13.

Hier is ook een relatie met de – in dit wetsvoorstel – voorgestelde meldplicht voor datalekken. Het ligt voor de hand dat de verplichting om datalekken die het gevolg zijn van doorbrekingen van de technische en organisatorische beveiliging ingevolge artikel 13 van de Wbp, het bewustzijn en het belang van een voldoende adequate beveiliging binnen organisaties vergroot.

Artikel 16 van de Wbp bevat het belangrijke verbod op het verwerken van bijzondere persoonsgegevens. Alle uitzonderingen op dat verbod die bij en krachtens de artikelen 17 tot en met 23 gelden behoeven uit wetgevingstechnisch oogpunt geen afzonderlijke strafbaarstelling. De uitzonderingen zijn door de wetgever deels in de Wbp en deels in bijzondere wetgeving op een meer gedetailleerd niveau vastgesteld.

Overtreding van artikel 24 van de Wbp kan aan de orde zijn bij het buitenwettelijk gebruik van persoonsidentificerende nummers.

Transparantie is eveneens een hoofdverplichting van de verantwoordelijke. Bij die verplichting hoort een passende sanctionering. Dat betekent dat overtreding van de artikelen 33 tot en met 34b ook gesanctioneerd wordt met een bestuurlijke boete. Een uitzondering wordt echter gemaakt voor de bepalingen die facultatief van aard zijn. Verantwoordelijken worden op deze manier juist gestimuleerd meer inhoud te geven aan hun verplichtingen. Verder worden de verplichtingen die de verantwoordelijken hebben bij de behandeling van verzoeken van betrokkenen om inzage, correctie en verzet gesanctioneerd. Dit betreft de overtredingen van de artikelen 35 tot en met 42 van de Wbp. Deze verplichtingen zijn in belangrijke mate van juridisch-administratieve aard. Hetzelfde geldt in grote lijnen voor de verplichtingen die voortvloeien uit de regeling van het doorgeven van persoonsgegevens naar landen buiten de Europese Economische Ruimte. Dit betreft de overtredingen van de artikelen 76 tot en met 78 van de Wbp.

Een tweede uitgangspunt is dat de rechtsbetrekkingen tussen verantwoordelijke en bewerker, die primair van privaatrechtelijke aard is, niet met een bestuurlijke boete worden gesanctioneerd. Artikel 14 blijft derhalve buiten beschouwing.

Het derde uitgangspunt is dat er geen overtredingen meer zijn die wel met een strafrechtelijke boete gehandhaafd kunnen worden, maar niet met een bestuurlijke boete. Er zou anders afbreuk worden gedaan aan het primaat van de bestuursrechtelijke handhaving. Dit leidt ertoe dat overtreding van artikelen 4, derde lid, en 78, tweede lid, onder a, van de Wbp (het nalaten door een buiten Nederland gevestigde verantwoordelijke om een vertegenwoordiger in Nederland aan te wijzen, respectievelijk het zonder grondslag doorgeven van persoonsgegevens naar een derde land, waarvan is vastgesteld dat het geen passend niveau van gegevensbescherming heeft) ook bestuursrechtelijk wordt gehandhaafd.

Het vierde uitgangspunt is dat wordt voorzien in het schrappen van de bestuurlijke boete alsmede van de strafsanctie op de aanmeldverplichting ten aanzien van de voorgenomen verwerkingen van persoonsgegevens bij het Cbp of bij de functionaris gegevensbescherming. Deze aanmeldverplichting keert immers vrijwel zeker niet terug in de EU-verordening algemene gegevensbescherming. Verwezen zij naar onderdelen D en E (artikel 66, eerste lid en artikel 75 Wbp).

In het nieuwe artikel 66 is een splitsing aangebracht. Het eerste lid betreft de bepalingen die onder de huidige wet ook strafrechtelijk kunnen worden gehandhaafd. Het boetemaximum wordt gelijk gesteld aan de maximale strafrechtelijke geldboete, die volgens artikel 75 van de Wbp kan worden opgelegd (de vierde categorie van artikel 23, vierde lid, Sr) (€ 19.500).

Voor alle overige bepalingen is gekozen voor een maximale bestuurlijke boete van de zesde categorie van artikel 23, vierde lid, Sr (€ 780.000). Dit boetemaximum is proportioneel en voldoende afschrikwekkend. Hoewel eerder de gedachten uitgingen naar een maximale boetehoogte van € 450.000 die voorkomt in de wetgeving voor het economisch publiekrecht (Telecommunicatiewet, Wet handhaving consumentenbescherming), lijkt een keuze voor het hoogste strafrechtelijke boetemaximum gerechtvaardigd. Ook opzettelijke en herhaaldelijk begane ernstige overtredingen zullen passend bestraft kunnen worden. Hierbij wordt in aanmerking genomen – waarop het Cbp ook wijst in zijn advies – dat de EU-verordening een forse maximumboete kent (1 mln of voor ondernemingen jaarlijks 2% van de wereldwijde omzet). Aansluiting bij het strafrecht sluit aan bij de aanbevelingen die zijn opgenomen in de beleidsreactie van de Minister van Veiligheid en Justitie op het onderzoek “Referentiekader geldboetes” (Kamerstukken II 2012/13, 33 400 VI, nr. 80). Overeenkomstig een andere aanbeveling uit de beleidsreactie wordt de hoogste boetecategorie van artikel 23, vierde lid, Sr voor rechtspersonen geflexibiliseerd (Kamerstukken II 2012/13, 33 685, nrs. 1–3). In verband hiermee is artikel IVb aan de nota van wijziging toegevoegd.

Overwogen is om een (verdergaand) onderscheid te maken tussen de overtredingen van de Wbp en aan een dergelijk onderscheid verschillende boetemaxima te verbinden. Daarvoor is niet gekozen. De bepalingen van de Wbp zijn algemeen en abstract geformuleerd. Voor de algemene verplichtingen voor de verantwoordelijken van hoofdstuk 2 van de Wbp geldt dat ze nevengeschikt en niet ondergeschikt zijn ten opzichte van elkaar. Datzelfde geldt voor de rechten van burgers van hoofdstuk 6. Het maximum van de zesde boetecategorie van artikel 23, vierde lid, Sr biedt voldoende ruimte voor het Cbp om – binnen de grenzen van de bij algemene maatregel van bestuur te stellen regels (zie paragraaf 6.4) – een boetetoemetingsbeleid op te stellen waarmee van geval tot geval tot een passende en evenredige bestraffing kan worden gekomen. Het Cbp zal bij het vaststellen van beleidsregels terzake rekening moeten houden met factoren als de ernst van de overtreding, de mate waarin deze aan de overtreder kan worden verweten en de omstandigheden van het geval, waaronder de persoon van de dader (artikel 5:46, tweede lid, Awb). Hierbij is nog van belang om op te merken dat, anders dan in het economisch publiekrecht, de verantwoordelijke of bewerker in de zin van de Wbp niet primair ondernemer is, of iemand die op andere wijze in de uitoefening van beroep of bedrijf handelt. De verantwoordelijke in de zin van de Wbp is ook vaak een particulier of een overheid of een samenwerkingsverband van publieke en private partijen ter behartiging van algemeen-maatschappelijk belangen.

Ten aanzien van de meldplicht voor datalekken zal het Cbp zich kunnen oriënteren op de beleidsregels die door de Minister van Economische Zaken zijn vastgesteld voor het opleggen van bestuurlijke boetes door de ACM ter zake van overtreding van de meldplicht voor datalekken in de Telecommunicatiewet (art. 11.3a Telecommunicatiewet) (Stcrt. 2013, 11214).

Uit artikel 6 van het EVRM en artikel 15 van het IVBPR vloeien een aantal eisen voort met betrekking tot de rechtsbescherming tegen besluiten tot het opleggen van een bestuurlijke boete en de daarbij te volgen procedure. Dergelijke besluiten moeten immers in beginsel worden aangemerkt als een vorm van vervolging in de zin van beide bepalingen.

Uit artikel 6 van het EVRM volgt dat tegen besluiten tot oplegging van een bestuurlijke boete beroep moet openstaan op de rechter, dat de rechter in staat moet zijn de evenredigheid bij het opleggen van de boete te toetsen en dat oplegging van de boete in concreto ook ‘vol’ getoetst moet kunnen worden. Aan deze eisen is voldaan. Tegen een besluit tot oplegging van een bestuurlijke boete staat op grond van de Awb beroep op de rechter open. Het Cbp is ingevolge artikel 5:46 van de Awb verplicht een evenredigheidstoets uit te voeren. Ingevolge artikel 8:72a van de Awb kan de rechter de boeteoplegging in concreto toetsen; bij vernietiging van het boetebesluit dient hij zelf in de zaak te voorzien.

Verder vloeit uit artikel 6 van het EVRM voort dat de berechting binnen een redelijke termijn moet plaatsvinden en dat de uitspraak in het openbaar moet geschieden. De Awb voorziet in de nodige termijnbepalingen. Bij overschrijding van deze termijn geldt ingevolge de jurisprudentie een schadevergoedingsplicht (o.a. ABRS 19 april 2011, LJN BQ2703). De uitspraak moet ingevolge artikel 8:78 van de Awb in het openbaar geschieden.

Uit artikel 15 IVBPR vloeit ten aanzien van de rechtsbescherming de eis van rechtspraak in twee instanties voort. Aan die eis is voldaan. Tegen een uitspraak van de rechtbank staat hoger beroep op de Afdeling bestuursrechtspraak van de Raad van State open. Ten aanzien van de procedure tot oplegging van een bestuurlijke boete vloeien uit art. 15 IVBPR verschillende eisen voort. Op de procedure tot oplegging van een bestuurlijke boete zijn de titels 5.1 en 5.4 van de Awb van toepassing. Daarmee is verzekerd dat aan die eisen is voldaan. Zo zijn het zwijgrecht en de cautie geregeld in artikel 5:10a van de Awb. De artikelen 5:5 en 5:41 van de Awb voorzien in een regeling voor het bestaan van een eventuele rechtvaardigingsgrond voor de overtreding en een regeling van de verwijtbaarheid van de overtreder. In artikel 5:43 van de Awb is de ne bis in idem-regel verankerd.