Staatscourant van het Koninkrijk der Nederlanden
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Ministerie van Veiligheid en Justitie | Staatscourant 2014, 34523 | Adviezen Raad van State |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Ministerie van Veiligheid en Justitie | Staatscourant 2014, 34523 | Adviezen Raad van State |
18 november 2014
Aan de Koning
Wetsvoorstel tot wijziging van de Wet bescherming persoonsgegevens (uitbreiding boetebevoegdheid Cbp)
Blijkens de mededeling van de Directeur van Uw kabinet van 19 december 2013, nr. 2013002629, machtigde Uwe Majesteit de Afdeling advisering van de Raad van State (hierna: de Afdeling) haar advies inzake de nota van wijziging bij het voorstel tot wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken), met toelichting, rechtstreeks aan mij te doen toekomen. Dit advies, gedateerd 19 februari 2014, nr. W03.13.13.0464/II, bied ik U hierbij, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, aan.
De Afdeling merkt op dat de nota van wijziging ertoe strekt om de bestuurlijke boete voor een groot aantal bepalingen van de Wet bescherming persoonsgegevens in te voeren en voor enkele bepalingen in bijzondere wetten die strekken tot bescherming van persoonsgegevens. De constatering met betrekking tot bijzondere wetten, deel ik niet. De wijzigingen van de bijzondere wetten die in deze nota van wijziging zijn opgenomen strekken niet tot invoering van een bestuurlijke boete, maar tot verhoging van het bestaande wettelijk boetemaximum (Wet politiegegevens en Wet justitiële en strafvorderlijke gegevens).
Het verheugt mij dat de Afdeling begrip heeft voor het streven de naleving van de Wbp te versterken, in reactie op de tweede evaluatie van de Wbp waarin een breed nalevingstekort naar voren komt. De invoering van de bestuurlijke boete sluit aan bij mogelijke toekomstige Europese ontwikkelingen (ontwerp-Algemene verordening gegevensbescherming). De Afdeling plaatst echter kanttekeningen bij het gekozen middel om het doel te bereiken.
Aan de opmerkingen van de Afdeling inzake de keuze tussen strafrechtelijke en bestuursrechtelijke bestraffing is gevolg gegeven, met aanvulling van paragraaf 5.4 van de toelichting. Gelet op het primaat van de bestuursrechtelijke handhaving van de wettelijke voorschriften inzake verwerking van persoonsgegevens, met een centrale verantwoordelijkheid voor het Cbp, kies ik niet voor de (bestuurlijke) strafbeschikking. De (bestuurlijke) strafbeschikking heeft geen meerwaarde naast de bestuurlijke boete en zou het systeem onnodig compliceren.
De Afdeling wijst terecht op de samenloop met de ontwerp-verordening. Anders dan de huidige privacyrichtlijn gaat deze naar verwachting de handhaving strikter regelen: de ontwerp-verordening voorziet in hoge, door de nationale toezichthoudende autoriteiten op te leggen bestuurlijke boetes voor overtreding van een groot aantal materiële bepalingen. Met de nota van wijziging wordt beoogd toe te groeien naar het systeem van de verordening. Het is naar mijn mening, en ook naar de mening van de Tweede Kamer (o.a. motie Recourt c.s. Kamerstukken II 2011/12, 32 761, nr. 35), niet wenselijk om de verordening af te wachten. Naar huidig inzicht is de verwachting dat de verordening in 2015 tot stand zal komen en in 2017 van toepassing wordt.
Daarbij komt dat het instrument van de bestuurlijke boete niet geheel nieuw is voor het Cbp. Het Cbp heeft nu een beperkte bevoegdheid om overtreding van administratieve verplichtingen bestuurlijk te beboeten. Met de nota van wijziging wordt het voor het Cbp mogelijk om ook overtreding van de meer materiële normen met een bestuurlijke boete te bestraffen.
Overeenkomstig het advies van de Afdeling is de keuze voor handhaving door bestuurlijke boetes in het licht van hetgeen hiervoor onder a. en b. is opgemerkt nader bezien. Daarbij komt de regering niet tot een andere keuze. Wel is de toelichting aangevuld met nadere overwegingen.
In paragraaf 5.4 van de toelichting van de nota van wijziging is uiteengezet dat de regering de analyse van de Afdeling inzake de concentratie van taken van het Cbp deelt, en dat zij om die reden ervoor heeft gekozen om de betrokkenheid van de voor de wetgeving op dit terrein verantwoordelijke bewindspersonen bij de nadere normstelling door de toezichthouder, in de wet te waarborgen. Ik meen dat ministeriële goedkeuring van de door het Cbp op te stellen richtsnoeren – waarin het uitleg geeft aan de materiële (of: open) normen van de Wbp waarvan overtreding in de toekomst met een bestuurlijke boete kan worden bestraft – het meest geschikte middel hiervoor is. Als toetsingsmaatstaf is gekozen voor strijd met het recht of het algemeen belang (zie artikel I, onderdeel Da, het nieuw voorgestelde artikel 67 Wbp).
Ik voel niet voor het opnemen van een (aanvullende) delegatiebepaling om de materiële normen van de Wbp bij algemene maatregel van bestuur nader in te vullen. Artikel 26 van de Wbp bevat reeds een bevoegdheid om voor een bepaalde sector bij algemene maatregel van bestuur nadere regels te stellen inzake de in de artikelen 6 tot en met 11 en 13 geregelde onderwerpen. Deze delegatiegrondslag is tot op heden nog nooit benut. Wel kan worden vermeld dat in de sector van de gezondheidszorg, wordt gewerkt aan een Besluit elektronische gegevensverwerking door zorgaanbieders. Over het desbetreffende besluit is een advies van de Afdeling advisering uitgebracht.
Het advies van de Afdeling om in de wet te bepalen dat het Cbp bij een vermoeden van overtreding niet onmiddellijk een bestuurlijke boete kan opleggen maar eerste een bindende aanwijzing moet geven, is gevolgd. In paragraaf 6.2 van de toelichting is beschreven dat het in verband met het algemeen-abstracte karakter van het merendeel van de normen van de Wbp en het lex certa-beginsel wenselijk wordt geacht om de toezichthouder te verplichten om voordat hij een bestuurlijke boete oplegt in verband met het overtreden van een materiële norm, een bindende aanwijzing te geven. De verplichting lijdt alleen dan uitzondering indien de overtreding opzettelijk is gepleegd. Ook bij het opleggen van een bestuurlijke boete in reactie op het overtreden van de administratief-juridische verplichtingen van de Wbp, kan een bindende aanwijzing achterwege blijven. Het niet naleven van deze verplichtingen is nu reeds bestuurlijk beboetbaar; de kenbaarheid en voorzienbaarheid van deze verplichtingen is voldoende verzekerd.
In verband met de introductie van de verplichting voor het Cbp om in de regel een bindende aanwijzing te geven, alvorens een bestuurlijke boete op te leggen is de algemeen geformuleerde delegatiegrondslag van artikel 66, derde lid, zoals deze was opgenomen in het concept zoals dat aan de Afdeling advisering van de Raad van State is voorgelegd, vervallen. Er is geen reden meer om de uitoefening van de bevoegdheid van het Cbp om een bestuurlijke boete op te leggen, aan algemeen verbindende voorschriften te binden.
Met de introductie van ministeriële goedkeuring van de richtsnoeren waarin de toezichthouder uitleg geeft aan de materiële normen waarvan hij de overtreding met een bestuurlijke boete kan bestraffen en de (verplichte) bindende aanwijzing voorafgaand aan het opleggen van een bestuurlijke boete, is een evenwichtig systeem geschapen, dat zowel rekening houdt met de belangen van de normadressaten als met de belangen van een goede en slagvaardige handhaving door een onafhankelijke toezichthouder.
Overeenkomstig het advies is de toelichting aangevuld met de redenen om nu geen uitbreiding van de bestaande bestuurlijke boetebevoegdheid van het Cbp in de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens voor te stellen en om geen bestuurlijke boetebevoegdheid voor het Cbp in de Wet basisregistratie personen te introduceren.
Overeenkomstig het advies is de toelichting aangevuld met het standpunt van VNO-NCW en MKB Nederland en met de uitkomst van het overleg dat bij de voorbereiding van de nota van wijziging met deze organisaties is gevoerd.
Aan de redactionele kanttekeningen van de Afdeling is gevolg gegeven.
Van de gelegenheid is gebruik gemaakt om in de nota van wijziging een bepaling op te nemen die het voor het College bescherming persoonsgegevens mogelijk maakt om in het maatschappelijke verkeer een naam te gebruiken die meer aansluit bij Europese ontwikkelingen en die tegelijkertijd een einde maakt aan de verwarring met het Centraal Planbureau (CPB). De benaming ‘Autoriteit persoonsgegevens’ maakt aan de verwarring een einde en markeert zowel voor het Cbp als voor de verantwoordelijken waarop het toezicht houdt dat er een fase is ingetreden waarin we toegroeien naar een in Europees verband verdergaand geharmoniseerd systeem van bescherming van persoonsgegevens (zie artikel I, onderdeel Ca, waarin wordt voorgesteld een vierde lid aan artikel 51 Wbp toe te voegen). Daarnaast is de toelichting op enkele plaatsen geactualiseerd.
Ik moge U, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, verzoeken in te stemmen met toezending van de hierbij gevoegde gewijzigde nota van wijziging en de gewijzigde toelichting aan de Tweede Kamer der Staten-Generaal.
De Staatssecretaris van Veiligheid en Justitie, F. Teeven.
No. W03.13.0464/II
’s-Gravenhage, 19 februari 2014
Aan de Koning
Bij Kabinetsmissive van 19 december 2013, no.2013002629, heeft Uwe Majesteit, op voordracht van de Staatssecretaris van Veiligheid en Justitie, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt de nota van wijziging bij het voorstel van wet tot wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken), met toelichting.
In de nota van wijziging wordt de bestuurlijke boete ingevoerd voor een groot aantal bepalingen van de Wet bescherming persoonsgegevens (Wbp) en voor enkele bepalingen in bijzondere wetten die strekken tot bescherming van persoonsgegevens. Daarmee krijgt het College bescherming persoonsgegevens (Cbp) ruimere bevoegdheden om de rechtmatigheid van verwerking van persoonsgegevens af te dwingen.
De Afdeling advisering van de Raad van State maakt opmerkingen over de keuze voor punitieve bestuurlijke handhaving, de concentratie van taken bij het Cbp en de toepassing van het lex certa-beginsel. Zij is van oordeel dat de nota van wijziging in verband daarmee nader dient te worden overwogen
Handhaving van de Wbp loopt tot dusverre vooral langs de lijnen van de herstelsancties: het Cbp kan op de verplichtingen, gesteld bij of krachtens de Wbp, een last onder bestuursdwang of een last onder dwangsom opleggen.1 Een bestuurlijke boete (ten hoogste € 4.500) of een strafsanctie kan alleen worden opgelegd voor een klein aantal specifieke verplichtingen.2 Het wetsvoorstel waarop de nota van wijziging betrekking heeft voorziet in een bestuurlijke boete van maximaal € 450.000 voor twee feiten: voor het niet melden van een ‘datalek’ (een nieuwe verplichting in de Wbp)3 en voor het niet meewerken aan toezichthoudende activiteiten van het Cbp.4
In de nota van wijziging wordt de boete, zoals voorzien in het wetsvoorstel, verhoogd naar de strafrechtelijke zesde categorie (thans € 810.000).5 Deze boete wordt eveneens ingevoerd voor overtreding van een groot aantal al bestaande verplichtingen in de Wbp. In plaats van een boete van de zesde categorie kan ook een boete van ten hoogste 10% van de jaaromzet van de rechtspersoon worden opgelegd.6 De boete als percentage van de jaaropbrengst is bedoeld als een hoger maximum; daarmee kan rekening worden gehouden met het vermogen van ondernemingen, dat veelal groter is dan dat van privépersonen.7
De invoering van de bestuurlijke boete in de Wbp sluit aan bij mogelijk toekomstige Europese ontwikkelingen. Met de Wbp, tot stand gekomen in 2000, werd uitvoering gegeven aan de privacyrichtlijn van de Europese Unie uit 1995.8 De privacyrichtlijn stelde nog geen strikte eisen aan de wijze waarop de lidstaten de regels ter uitvoering van de richtlijn handhaven. Inmiddels heeft de Europese Commissie in 2012 een ontwerp-Algemene verordening gegevensbescherming opgesteld, die de privacyrichtlijn moet gaan vervangen. Met de overgang van een richtlijn naar een verordening wordt ook de handhaving strikter geregeld: de ontwerp-Algemene verordening van de Commissie voorziet in hoge boetes voor de overtreding van een groot aantal materiële bepalingen.9 De regering verwacht dat de verordening in 2014 tot stand zal komen en in 2016 in werking zal treden.10 Met de nota van wijziging wordt toegegroeid naar het handhavingssysteem van de toekomstige verordening, aldus de toelichting.11
De thans voorgestelde invoering van de bestuurlijke boete houdt verband met – zoals de toelichting het verwoordt – een breed nalevingstekort van de Wbp, zoals dat in de tweede evaluatie van de Wbp naar voren komt.12 In dat licht bezien heeft de Afdeling begrip voor het streven de naleving van de Wbp te versterken. Zij plaatst echter kanttekeningen bij het gekozen middel om dat doel te bereiken.
In de toelichting wordt de voorgestelde uitbreiding van de bevoegdheid tot het opleggen van bestuurlijke boetes getoetst aan de Kabinetsnota over de uitgangspunten bij de keuze voor een sanctiestelsel uit 2008 (Nota sanctiestelsels 2008). Het belangrijkste criterium daarin is de vraag of sprake is van een open of een besloten context. Van een besloten context is volgens de regering sprake als er een gespecialiseerd bestuursorgaan belast is met de uitvoering van zekere wetten en het uit dien hoofde te maken heeft met een afgebakende doelgroep, en als bovendien tussen dat orgaan en de doelgroep verbindingen zijn ter uitvoering van de wet of ten behoeve van het toezicht op de naleving van wettelijke bepalingen. Bij een besloten context heeft bestuursrechtelijke handhaving de voorkeur. Van een open context kan gesproken worden als burgers en bedrijven gebonden zijn aan algemene rechtsregels die – ongeacht de uitoefening van bepaalde activiteiten of de hoedanigheid van de burger of het bedrijf – voor iedereen en altijd gelden. Bij dergelijke normen is er geen met de uitvoering van wetgeving belast gespecialiseerd overheidsorgaan betrokken dat bijvoorbeeld vergunningen afgeeft, noch sprake van reguliere communicatie tussen burger of bedrijf en een overheidsdienst in het verband van de uitvoering van de geldende regels. In de open context is strafrechtelijke handhaving het uitgangspunt.13
Volgens de toelichting valt de Wbp onder wetgeving met een open context. De Nota sanctiestelsels 2008 maakt echter – zo vervolgt de toelichting – uitzonderingen op dit uitgangspunt: wanneer sprake is van een hooggespecialiseerd orgaan dat optreedt als handhavende instantie, zoals op het terrein van het mededingingsrecht of het telecommunicatierecht – de nota noemt de Autoriteit Consument en Markt als voorbeeld – kan er niettemin ruimte zijn voor de bestuurlijke boete als handhavingsinstrument.14 Het Cbp kan volgens de regering als een dergelijke gespecialiseerde handhaver worden aangemerkt. De keuze om de Wbp vooral met bestuursrechtelijke bestraffende sancties te handhaven is daarom in overeenstemming met de Nota sanctiestelsels, aldus de toelichting.
Zoals de Afdeling in eerdere adviezen heeft aangegeven acht zij het criterium ‘open en besloten context’ niet geschikt als uitgangspunt bij de keuze tussen strafrechtelijke dan wel bestuursrechtelijke bestraffing.15 Zij leidt tot onwenselijke en ongerechtvaardigde uitkomsten. Ook los daarvan echter is de Afdeling van oordeel dat, indien al in aanvulling op de bestaande reparatoire sancties moet worden besloten tot uitbreiding van het sanctie-instrumentarium,16 de motivering van de nota tekortschiet. In eerdere adviezen heeft de Raad van State voorgesteld, de aard van de overtreding en ernst van de inbreuk als criterium te hanteren.17 In 2010 is een aanvulling verschenen op de Nota sanctiestelsels 2008, met een aantal algemene afwegingen die de wetgever moet maken bij de keuze tussen sanctiestelsels. Hieruit blijkt dat de wetgever het element van de ernst van het feit dient af te wegen tegen overwegingen die pleiten voor bestuursrechtelijke handhaving (besloten context, gespecialiseerde toezichthouders).18 Een dergelijke afweging ontbreekt in de toelichting. Daarbij merkt de Afdeling op dat het bij overtreding van de Wbp in voorkomende gevallen kan gaan om ernstige inbreuken op een grondwettelijk en verdragsrechtelijk beschermd grondrecht, te weten het recht op eerbiediging van de persoonlijke levenssfeer. In dat opzicht gaat de vergelijking die in de toelichting wordt gemaakt met het mededingingsrecht en het telecommunicatierecht niet of niet geheel op.
Voorts merkt de Afdeling op dat de keuze voor het ene of andere stelsel van bestraffing tot aanmerkelijke verschillen leidt in rechtspositie en rechtsbescherming van degene jegens wie de handhaving zich richt. Zo bestaat er geen opneming van gegevens omtrent bestraffing in de justitiële documentatie bij veroordeling tot een bestuurlijke boete, terwijl die er wel is bij een strafrechtelijke veroordeling. Voorts loopt de rechtsbescherming van degene jegens wie de handhaving zich richt uiteen door de verschillen die bestaan tussen de strafrechtelijke rechtsgang en de bestuursrechtelijke. Zo moet de strafrechter het feit bewezen verklaren en legt hij de boete zelf op; de bestuursrechter toetst het proces-verbaal van de overtreding en de rechtmatigheid van de door het bestuursorgaan opgelegde boete. Een zorgvuldige afweging van de keuze voor het ene of andere stelsel dient ook deze verschillen in ogenschouw te nemen en in het licht van die verschillen te leiden tot nadere afwegingen. Ten slotte merkt de Afdeling op dat niet gemotiveerd wordt waarom, als het gaat om kleinere feiten, niet voor de (bestuurlijke) strafbeschikking is gekozen.
De ruimte voor de wetgever om met het oog op de handhaving tot een eigen afweging te komen, wordt in de nabije toekomst mogelijk beperkt door de ontwerp-Algemene verordening die thans nog in bespreking is. In dat licht bezien acht de Afdeling invoering van een volledig opgetuigd stelsel van bestuurlijke boetes prematuur. Dat geldt te meer nu er tussen het voorliggende voorstel en de Algemene verordening mogelijk aanmerkelijke verschillen zullen bestaan. Gelet op de verschillende ontwerpteksten die op dit moment openbaar of bekend zijn, zal de verordening voor bepaalde feiten mogelijk geen bestuurlijke boete mogelijk maken. Voorts is het gelet op diezelfde ontwerpteksten niet onaannemelijk dat de verordening, anders dan het voorliggende voorstel, afhankelijk van het soort overtreding verschillende boetemaxima zal bevatten. Mede gelet op deze verschillen is de kans dat het wettelijk sanctiestelsel op korte termijn opnieuw en ingrijpend moet worden gewijzigd, aanzienlijk.
De Afdeling adviseert de keuze voor handhaving door bestuurlijke boetes in het licht van hetgeen hiervoor onder a en b is opgemerkt, nader te bezien.
Onverminderd het voorgaande merkt de Afdeling het volgende op.
In de toelichting wordt onderkend dat een voorschrift dat door punitieve sancties wordt gehandhaafd voldoende duidelijk, voorzienbaar en kenbaar moet zijn (het lex certa-beginsel).19 Eveneens wordt onderkend dat de Wbp voor een belangrijk deel bestaat uit algemeen-abstract omschreven voorschriften. De regering meent dat dit het Cbp niet voor onoverkomelijke problemen stelt: verheldering van de normen vindt plaats zowel op Europees niveau (de ‘Artikel 29’-werkgroep van Europese toezichthouders en de rechtspraak van het Hof van Justitie) als op nationaal niveau (richtsnoeren van het Cbp,20 waarin ook wel wordt verwezen naar NEN- en ISO-normen, en nationale rechtspraak). De toelichting verwijst voorts naar jurisprudentie van het Europees Hof voor de Rechten van de Mens en nationale rechters, waaruit blijkt dat wetgeving die wordt gehandhaafd met een bestuurlijke boete onder omstandigheden noodzakelijkerwijs uit vage normen bestaat. Wel worden in zulke gevallen hoge eisen gesteld aan de motivering van het besluit.21
De toelichting verwijst – op zichzelf terecht – naar de mogelijkheid dat vage normen worden geconcretiseerd via de rechtspraak. Uit de evaluatie van de Wbp blijkt echter dat er betrekkelijk weinig wordt geprocedeerd over de toepassing en werking van de Wbp. Dit lijkt verband te houden met het feit dat de te verwachten winst van een procedure niet snel opweegt tegen de kosten (met name kosten voor rechtsbijstand); procedures die uitsluitend betrekking hebben op principiële belangen worden nauwelijks gevoerd.22 Ook rechtspraak van het Hof van Justitie ontbreekt tot dusverre vrijwel volledig.
Het voorgaande betekent dat de concretisering van de vage wettelijke normen in hoofdzaak geschiedt door middel van richtsnoeren en nadere beslissingen23 van het Cbp. In de huidige omstandigheden kan het onder omstandigheden nuttig zijn dat het Cbp door het uitbrengen van richtsnoeren meer duidelijkheid probeert te bieden over de wijze waarop de Wbp moet worden uitgelegd. Nu het Cbp echter ook bevoegd wordt bestuurlijke boetes op te leggen voor overtreding van een groot aantal verplichtingen in de Wbp, is sprake van een sterkere concentratie van uiteenlopende taken dan voorheen het geval is. Hoewel de richtsnoeren geen algemeen verbindende voorschriften zijn en de opstelling van richtsnoeren niet gebaseerd is op een expliciete wettelijke bevoegdheid komt het in de toekomstige situatie er feitelijk op neer dat althans een deel van de normstelling komt te liggen bij het orgaan dat vervolgens geacht wordt om dezelfde normen via punitieve sancties te handhaven. Aldus komen normstelling en bestraffing in belangrijke mate in één hand te liggen.
De Afdeling is zich er van bewust dat vergelijkbare situaties ook voorkomen bij andere toezichthouders op andere beleidsterreinen. In het onderhavige geval echter betreft het een grondrechtelijke aangelegenheid waarin de wetgever gelet op artikel 10, tweede en derde lid, Grondwet een bijzondere verantwoordelijkheid draagt. Bovendien gaat het, anders dan bij andere toezichthouders, niet om specifieke sectoren maar om de bescherming van persoonsgegevens die in beginsel van belang is voor alle maatschappelijke terreinen.
Tegen deze achtergrond is het naar het oordeel van de Afdeling gewenst om bij de totstandkoming van nadere normstelling in elk geval de betrokkenheid van de voor de wetgeving op dit terrein verantwoordelijke bewindspersoon in de wet te waarborgen. Dit kan door in de Wbp te bepalen dat de minister aan richtsnoeren van het Cbp die een invulling van de materiële wettelijke normen genoemd in artikel 66, tweede lid, behelzen, zijn goedkeuring dient te verlenen.24 Een andere, verdergaande optie zou zijn om die nadere invulling te laten plaatsvinden bij algemene maatregel van bestuur. De voorgestelde delegatiebepaling (artikel 66, derde lid) zou met het oog daarop zo nodig moeten worden uitgebreid dan wel moeten worden aangevuld met een delegatiebepaling elders in de wet.25
De Afdeling adviseert op het voorgaande in de toelichting in te gaan en het voorstel zo nodig aan te passen.
In de toelichting wordt terecht gewezen op het lex certa-beginsel. Dit beginsel houdt in dat een voorschrift dat door punitieve sancties wordt gehandhaafd, voldoende duidelijk, voorzienbaar en kenbaar moet zijn.26 Deze eis is echter niet absoluut. In de Europese en de nationale rechtspraak wordt aanvaard dat wetgeving die wordt gehandhaafd met een bestuurlijke boete onder omstandigheden uit vage normen bestaat, die in de toepassingspraktijk nader moeten worden ingevuld. In het licht van deze rechtspraak concludeert de regering dat de vage normen als vervat in de Wbp door bestuurlijke boetes kunnen worden gehandhaafd.27
De Afdeling wijst er op dat het in de Wbp over vrijwel de gehele linie gaat om zeer vage normen waarover, zoals eerder opgemerkt, relatief weinig rechtspraak bestaat.28 Onder die omstandigheden zal als gevolg van het voorstel de verantwoordelijke in niet te verwaarlozen aantallen gevallen een aanzienlijke inspanningsverplichting moeten leveren om, met inzet van professionele deskundigheid, te (laten) beoordelen in hoeverre hij in overtreding en in verband daarmee of en hoe hij een bestuurlijke boete kan ontlopen. Eventuele nadere regels, richtsnoeren van het Cbp of gedragscodes zullen dit probleem slechts deels kunnen oplossen, nu het veelal gaat om een afweging van vaag omschreven belangen die pas in het concrete geval betekenis krijgen. De Afdeling acht de mogelijkheid om onder dergelijke omstandigheden zonder meer een bestuurlijke boete op te leggen, ongewenst.
Om aan dit bezwaar tegemoet te komen zou, in lijn met hetgeen de Afdeling eerder heeft aanbevolen,29 in de wet bepaald kunnen worden dat het Cbp bij een vermoeden van een overtreding niet onmiddellijk een bestuurlijke boete kan opleggen, maar eerst een bindende aanwijzing moet geven. Daarin zou de toezichthouder ter concretisering van de wettelijke norm moeten aangeven welke gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht en hem zo mogelijk moeten opdragen om de overtreding geheel of gedeeltelijk te herstellen. Indien de aanwijzing niet binnen een bepaalde termijn wordt opgevolgd, kan vervolgens een boete worden opgelegd. Elders in de Nederlandse wetgeving worden ter uitvoering en handhaving van Europese regels vergelijkbare constructies gehanteerd.30
De Afdeling adviseert op het voorgaande in de toelichting in te gaan en de nota van wijziging zo nodig aan te passen.
Het Cbp krijgt de bevoegdheid boetes op te leggen voor overtreding van een groot aantal voorschriften in de Wbp. Die bevoegdheid krijgt het Cbp niet ten aanzien van sectorale wetgeving waarvoor het is aangewezen als toezichthouder: de Wet basisregistratie personen (die mede strekt tot uitvoering van de privacyrichtlijn), de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. In de toelichting wordt niet aangegeven waarom dit het geval is.
De Afdeling adviseert de toelichting op dit punt aan te vullen.
De toelichting vermeldt dat over de nota van wijziging overleg is gevoerd met VNO-NCW en MKB Nederland.31 Uit de toelichting blijkt niet wat het standpunt is dat VNO-NCW en MKB Nederland hebben ingenomen en wat de uitkomst van het overleg met deze organisaties is geweest.
De Afdeling adviseert de toelichting aan te vullen.
De Afdeling advisering van de Raad van State geeft U in overweging goed te vinden dat de nota van wijziging niet wordt gezonden aan de Tweede Kamer der Staten-Generaal dan nadat met het vorenstaande rekening zal zijn gehouden.
De vice-president van de Raad van State, J.P.H. Donner.
– Artikel I, onderdelen D (tweede), E en F verletteren tot E, F en G.
– In artikel I, onderdeel D (tweede), na ‘artikel 75’ invoegen: , eerste lid, .
– In artikel IVa ‘de EU-verordening algemene gegevensbescherming’ wijzigen in: de algemene verordening gegevensbescherming van de Europese Unie.
– In § 7 van de toelichting de indruk wegnemen dat met een redelijke termijn (bij overschrijding waarvan een schadevergoedingsplicht ontstaat) bedoeld wordt: de termijnbepalingen in de Algemene wet bestuursrecht.
Het opschrift wordt gewijzigd als volgt:
1. De zinsnede ‘en de Telecommunicatiewet’ wordt vervangen door: en enige andere wetten.
2. Na ‘beveiliging van persoonsgegevens’ wordt ingevoegd: alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtredingen van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen.
3. Na ‘meldplicht datalekken’ wordt ingevoegd: en uitbreiding bestuurlijke boetebevoegdheid Cbp.
In de considerans wordt na ‘in het leven te roepen’ ingevoegd: alsmede om de Wet bescherming persoonsgegevens te wijzigen om een uitbreiding te realiseren van de bevoegdheid van het College bescherming persoonsgegevens om bij overtredingen van het bij of krachtens die wet bepaalde een bestuurlijke boete op te leggen;
Artikel I, onderdeel D, komt te luiden:
Artikel 66 komt te luiden:
1. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 4, derde lid, of 78, tweede lid, aanhef en onder a.
2. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eerste en vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, alsmede van artikel 5:20 van de Algemene wet bestuursrecht.
3. Bij algemene maatregel van bestuur worden regels gesteld over de uitoefening van de bevoegdheid van het College om een bestuurlijke boete op te leggen.
Na artikel I, onderdeel E, wordt een onderdeel toegevoegd, luidende:
In artikel 75 wordt ‘hetgeen bij of krachtens artikel 4, derde lid, 27, 28, 78, tweede lid, onder a, of 79, eerste lid, is bepaald,’ vervangen door: hetgeen bij of krachtens artikel 4, derde lid, of 78, tweede lid, is bepaald.
Na artikel III worden twee artikelen toegevoegd, luidende:
In artikel 35, derde lid, van de Wet politiegegevens komt de tweede volzin te luiden: De artikelen 66, eerste en derde lid, en 71 van de Wet bescherming persoonsgegevens zijn van overeenkomstige toepassing.
In artikel 27, vierde lid, van de Wet justitiële en strafvorderlijke gegevens komt de tweede volzin te luiden: De artikelen 66, eerste en derde lid, en 71 van de Wet bescherming persoonsgegevens zijn van overeenkomstige toepassing.
Na artikel IV worden twee artikelen toegevoegd, luidende:
Onze Minister van Veiligheid en Justitie zendt binnen een jaar na het van toepassing worden van de EU-verordening algemene gegevensbescherming, aan de Staten-Generaal een verslag over de doeltreffendheid en de effecten van de artikelen 34a en 66 van de Wet bescherming persoonsgegevens in de praktijk.
Indien het bij koninklijke boodschap van 28 juni 2013 ingediende voorstel van wet tot wijziging van het Wetboek van Strafrecht, het Wetboek van Strafvordering en de Wet op de economische delicten met het oog op het vergroten van de mogelijkheden tot opsporing, vervolging, alsmede het voorkomen van financieel-economische criminaliteit (verruiming mogelijkheden bestrijding financieel-economische criminaliteit) (Kamerstukken 33 685) tot wet wordt verheven en artikel I, onderdeel D, van die wet op hetzelfde tijdstip of op een later tijdstip in werking treedt als artikel I, onderdeel D, van deze wet, wordt aan artikel 66, tweede lid, van de Wet bescherming persoonsgegevens een volzin toegevoegd: Artikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.
Met deze nota van wijziging wordt uitvoering gegeven aan het regeerakkoord van het kabinet-Rutte II ‘Bruggen slaan’ van 29 oktober 2012 om een uitbreiding te realiseren van de bevoegdheid van het College bescherming persoonsgegevens (Cbp) om bij overtreding van de normen van de Wet bescherming persoonsgegevens (Wbp) een bestuurlijke boete op te leggen. Met de versterking van de sanctiemogelijkheden van de toezicht- en handhavende autoriteit beoogt het kabinet de naleving van de Wbp, door zowel bedrijven als overheden, te bevorderen.
Onder de huidige Wbp nemen bestraffende sancties (bestuursrechtelijke boetes of strafrechtelijke sancties als gevangenisstraf of een geldboete) een bescheiden plaats in. Met deze nota van wijziging wordt voorgesteld om de bestraffende sanctionering sterk uit te breiden en daarbij het primaat te leggen bij het bestuursrecht. Het voorstel strekt ertoe om de materiële normen van de Wbp, die van meet af aan al wel met bestuursrechtelijke herstelsancties kunnen worden gehandhaafd, voortaan ook bestuurlijk beboetbaar te maken (vgl. ook motie Recourt c.s., Kamerstukken II 2011/12, 32 676, nr. 35). Het aantal bepalingen dat (mede) strafrechtelijk kan worden gehandhaafd wordt beperkt.
Het regeerakkoord beoogt de bescherming van persoonsgegevens te verbeteren. Naast de aankondiging van de versterking van de sanctiebevoegdheden van het Cbp, heeft het kabinet als leidende notie in het regeerakkoord opgenomen dat bescherming van persoonsgegevens bij de bouw van ICT-systemen en het aanleggen van (grote) databestanden uitgangspunt is. Het kabinet vermeldt ook dat een zogenaamd privacy impact assessment (PIA) daar standaard bij hoort. Zowel de overheid als het bedrijfsleven zouden bij de ontwikkeling van hun producten en diensten en de inrichting van hun organisatie een privacy impact assessment moeten doen. Het gaat er daarbij in essentie om dat bedrijven en overheden in de ontwikkelingsfase van een product of dienst en de inrichting van de organisatie een goede bescherming van persoonsgegevens van burgers of consumenten opnemen. Organisaties moeten vervolgens aan de burger of de consument duidelijk maken hoe zij hun processen inrichten, en welke waarborgen en bescherming worden ingebouwd. Daarmee kunnen zij invulling geven aan het transparantiebeginsel en de eigen verantwoordelijkheid die zij hebben bij het verwerken van persoonsgegevens.
Het instrument van een privacy impact assessment is nauw verbonden met de notie van ‘privacy by design’, een notie die ertoe wil aanzetten om de bescherming van persoonsgegevens al in het beginstadium van een nieuw project mee te nemen. Bij een nieuw project hoort ook een beschrijving van een ontwerp voor de ‘informatiearchitectuur’, rekening houdend met beginselen van dataminimalisatie, doelbinding, beveiliging tegen onrechtmatige kennisneming, transparantie en controle over de gegevens door de burger. Het kabinet zal, waar noodzakelijk samen met de verschillende overheden en het bedrijfsleven, best practices op het gebied van privacy impact assessment en privacy by design in kaart brengen en bevorderen. Voor de rijksoverheid heeft het kabinet medio 2013 een toetsmodel ontwikkeld dat kan worden gehanteerd bij het verrichten van een privacy impact assessment (Kamerstukken II 2012/13, 26 643, nr. 282). Dit toetsmodel grijpt aan bij ontwikkeling van wetgeving en beleid van de rijksoverheid, voor zover dat beleid met verwerking van persoonsgegevens van burgers gepaard gaat. Dit is op vrijwel alle terrein van overheidsbeleid het geval (onderwijs, zorg, gezondheid, belastingen, sociale zekerheid, veiligheid etc). Een privacy impact assessment is een hulpmiddel bij het ontwerpen van de informatiearchitectuur, de samenwerkingsrelaties met de betrokken (keten)partners en de rechten van burgers, bij de ontwikkeling en verbetering van producten en diensten. Het kan zowel in het publieke domein als in het private domein van waarde zijn.
De ontwikkeling van de informatiemaatschappij heeft de overheid voor een aantal vragen geplaatst, waarop antwoorden moeten worden geformuleerd. Het gebruik van ICT door particulieren, bedrijven en de overheid is de afgelopen jaren op spectaculaire schaal toegenomen als gevolg van technologische ontwikkelingen. Die technologische ontwikkelingen vertalen zich in schaalvoordelen en lagere kosten voor het gebruik van ICT. Het is duidelijk dat dit de samenleving veel voordelen oplevert in de vorm van efficiënte en betaalbare communicatiemogelijkheden, zowel voor zakelijk als voor particulier gebruik. In het openbare debat van de afgelopen jaren zijn de ontwikkeling van de informatiemaatschappij en de snelle technologische ontwikkelingen voorwerp van discussie geweest1.
Door achtereenvolgende kabinetten is gericht aandacht besteed aan de verschillende vraagstukken. Het kabinet-Balkenende IV heeft op 3 november 2009 een beleidsreactie uitgebracht op het advies van de Adviescommissie veiligheid en persoonlijke levenssfeer (commissie Brouwer-Korf) en de evaluatie van de Wbp (Kamerstukken II 2009/10, 31 051, nr. 5). Door het kabinet Rutte-I is een kabinetsreactie uitgebracht op het WRR-rapport ioverheid (25 oktober 2011) en een algemene beleidsnotitie opgesteld (notitie privacybeleid, 29 november 2011), het kabinet Rutte-II heeft begin 2013 beleidsnotities het licht doen zien over e-privacy, het gebruik van data in en door de private sector (Kamerstukken II 2012/13, 32 761, nr. 49) en over de digitale overheid (Kamerstukken II 2012/13, 26 643, nr. 280).
De snelle technologische ontwikkelingen en de toenemende globalisering hebben – binnen Europa – de vraag doen rijzen of de geldende regelgeving (Dataprotectieverdrag, EU-richtlijn 95/462, die in Nederland is omgezet in de Wbp), de samenleving nog adequaat beschermt tegen gevolgen van die ontwikkelingen. De bescherming van de persoonlijke levenssfeer en de bescherming van persoonsgegevens is een grondrecht (o.a. artikel 8 EVRM, artikel 8 van het Handvest van de grondrechten van de EU, artikel 13 Grondwet). Het antwoord op deze vraag luidt ontkennend. Daarop is in 2010 door de Europese overheden besloten dat herziening van de bestaande instrumenten noodzakelijk en gewenst is, o.a. ter versterking van de rechten van de burger, het terugdringen van administratieve lasten voor de verantwoordelijken en versterking van de mechanismen voor toezicht en handhaving. Daarna zijn zowel door de Raad van Europa als de Europese Unie voorstellen gedaan voor vervanging van de huidige rechtsinstrumenten door nieuwe. Voor een actuele stand van zaken van de Europese ontwikkelingen wordt verwezen naar de website van het kenniscentrum wetgeving; dossier bescherming persoonsgegevens: http://www.kc-wetgeving.nl/gereedschapskist/dossiers/bescherming-persoonsgegevens/).
De verwachting is dat de nieuwe algemene verordening bescherming persoonsgegevens (hierna: concept EU-verordening), die de Wbp als algemene wet zal gaan vervangen, in 2014 tot stand komt en in 2016 in werking zal treden. De concept-verordening draagt de lidstaten onder andere op om te voorzien in de instelling van onafhankelijke nationale autoriteiten en deze met nader omschreven toezichthoudende en handhavende bevoegdheden uit te rusten, waaronder de bevoegdheid om bij overtreding van de bepalingen van de verordening bestuurlijke boetes op te leggen. Bij de herziening van het Dataprotectieverdrag staat het behoud van het karakter van een minumumstandaard voor de bescherming van persoonsgegevens voorop, zodat andere landen van de Raad van Europa, alsook derde landen, tot het verdrag kunnen toetreden. Het bevat geen bepalingen over sanctionering. Wanneer de herziening van het Dataprotectieverdrag zal zijn afgerond is nog niet duidelijk; de herziening loopt tot nog toe parallel aan de herziening van de rechtsinstrumenten in EU-verband.
De Wbp is in twee fasen geëvalueerd. In 2007 is de eerste fase van de evaluatie afgerond. Dit rapport had voornamelijk een juridisch karakter3. De conclusies van dit rapport laten zich in vier thema’s samenvatten. Het eerste thema is dat het begrippenapparaat van de Wbp vaak aanleiding geeft tot interpretatievraagstukken die voortvloeien uit nieuwe technologische ontwikkelingen. Het tweede thema is nauw verwant aan het eerste. Het algemeen-abstract geformuleerde karakter van de materiële normen van de Wbp geeft in de praktijk aanleiding tot onzekerheid bij de toepassing ervan. De realiteitswaarde van deze thema’s moet worden erkend. Tegelijkertijd merk ik op dat de beide thema’s onlosmakelijk verbonden zijn met de inhoud en structuur van de EU-richtlijn. In de Wbp kan noch wat betreft het begrippenapparaat, noch wat betreft de aard van de materiële normering afstand worden genomen van hetgeen de richtlijn regelt. Daar komt bij dat de Wbp een algemene voorziening is, die geldt voor alle verwerkingen van persoonsgegevens die vallen binnen de ruime reikwijdtebepaling van de Wbp. Het gaat om zeer uiteenlopende verwerkingen in het private en publieke domein. Dat heeft onvermijdelijk tot consequentie dat de normering algemeen van aard is. Het alternatief zou zijn dat er meer sectorspecifieke regelgeving wordt vastgesteld. Dat leidt onvermijdelijk tot een grotere regeldruk. Dit acht het kabinet niet aanvaardbaar.
De vervanging, op EU-niveau, van de richtlijn door een verordening beoogt het begrippenapparaat te vernieuwen en daarbij ook te verduidelijken. In het karakter van de normstelling komt geen verandering. De concept EU-verordening kent eveneens een ‘algemeen-abstracte’ formulering van een aantal belangrijke materiële normen. Deze normen gaan bovendien rechtstreeks gelden in alle lidstaten van de EU. Ofschoon dit wel belangrijke verbeteringen zijn, zullen daarmee niet alle afbakenings- en interpretatieproblemen zijn opgelost. Met het versterkte samenwerkingsmechanisme tussen de toezichthouders en het Europees Comité voor gegevensbescherming zullen interpretatie- en toepassingsvraagstukken die in meer lidstaten leven, sneller en adequater kunnen worden opgepakt.
Het derde thema uit het eerste evaluatierapport is terugdringing van de administratieve lasten en de nalevingskosten. Het vierde thema betreft het terrein van de grensoverschrijdende gegevensdoorgiften. Beide thema’s spelen een cruciale rol bij de onderhandelingen en de standpuntbepaling van Nederland over de EU-verordening. Deze thema’s blijven hier verder buiten beschouwing.
In 2008 is de tweede fase van de evaluatie van de Wbp afgerond4. Dit rapport had vooral een sociaalwetenschappelijk karakter. De titel van dit rapport (‘Wat niet weet, wat niet deert’) geeft de centrale conclusie die eruit moet worden getrokken goed weer. Er is sprake van een breed nalevingstekort, zowel in de publieke, als in de private sector. In het eerdergenoemde kabinetsstandpunt uit 2009 is daaraan de conclusie verbonden dat versterking van de naleving van de Wbp noodzakelijk is.
Voor zover wetgeving een bijdrage kan leveren aan de versterking van de naleving van de Wbp bewandelt het kabinet met dit wetsvoorstel twee sporen. Het eerste spoor betreft vergroting van het vertrouwen van de burger in verwerking van persoonsgegevens. Meer transparantie leidt tot een beter beeld bij de betrokkenen over de verwerking van zijn gegevens en hetgeen met die gegevens gebeurt. Bij de transparantie hoort ook dat de burger in kennis wordt gesteld als zich onverhoopt een ‘datalek’ bij de verantwoordelijke voordoet. Dit brengt immers risico’s op misbruik van persoonsgegevens met zich, waar zowel de verantwoordelijke als de betrokkene zich tegen moeten wapenen. Dit wetsvoorstel bevat daartoe een algemene meldplicht voor datalekken.
Het tweede spoor, dat met deze nota van wijziging aan het wetsvoorstel wordt toegevoegd, betreft versterking van de sanctionering door het Cbp. Het Cbp steekt nu vaak energie in het opleggen van reparatoire bestuurlijke sancties als wordt geconstateerd dat de bepalingen van de Wbp worden overtreden. Deze sancties – of het dreigen daarmee – zijn vaak wel effectief, maar ontberen generaal preventieve werking. Wat node wordt gemist is de dreiging en afschrikwekkende werking van een forse bestuurlijke boete. Dit zal de effectiviteit en efficiëntie van het optreden van het Cbp ten goede komen.
Het huidige sanctie-instrumentarium van het Cbp is drieledig van aard. Op grond van artikel 65 van de Wbp kan het Cbp een last onder bestuursdwang opleggen bij overtreding van de bij of krachtens de Wbp vastgestelde bepalingen. Uit artikel 5:32 van de Awb volgt dat het Cbp in alle gevallen ook een last onder dwangsom kan vaststellen.
Op grond van artikel 66 van de Wbp kan het Cbp bij overtreding van de artikelen 27 en 28 en 79, eerste lid, van de Wbp een bestuurlijke boete opleggen van maximaal € 4.5005. De met een bestuurlijke boete gesanctioneerde bepalingen zijn administratieve verplichtingen. Het betreft het niet of niet volledig voldoen aan de meldplicht om voorafgaand aan een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens deze verwerking aan te melden bij het Cbp dan wel bij de door de verantwoordelijke zelf benoemde functionaris voor de gegevensbescherming. Dezelfde bepalingen zijn ook strafrechtelijk gesanctioneerd.
Wie handelt in strijd met genoemde bepalingen kan op grond van artikel 75 van de Wbp worden bestraft met een geldboete van de derde categorie van artikel 23, vierde lid, Wetboek van Strafrecht (Sr). Het maximumbedrag van deze categorie is thans € 7.800. Wordt het feit opzettelijk begaan, dan is oplegging van gevangenisstraf van ten hoogste zes maanden mogelijk, of oplegging van een geldboete van vierde categorie van artikel 23, vierde lid, Sr. Het maximumbedrag van deze categorie bedraagt thans € 19.500.
Dit sanctie-instrumentarium heeft twee kenmerken. Er ligt een belangrijke nadruk op herstelsancties. Het aantal bepalingen dat is gesanctioneerd met een bestraffende sanctie is verhoudingsgewijs zeer gering. Verder zijn bestraffende sancties voorzien van verhoudingsgewijs geringe boetemaxima. Daar komt bij dat het Cbp in afgelopen jaren verhoudingsgewijs weinig van zijn sanctiebevoegdheden gebruik heeft gemaakt (zie onderstaande tabel). Daarbij dient wel opgemerkt te worden dat deze cijfers geen voorspellende waarde kunnen worden toegedicht voor het opleggen van bestuurlijke boetes, na inwerkingtreding van dit wetsvoorstel. Een bestuurlijke boete kan immers ook worden opgelegd aan een burger, bedrijf of overheidsorganisatie nadat de overtreding is beëindigd; een herstelsanctie is dan niet meer mogelijk.
Sanctie |
2005 |
2006 |
2007 |
2008 |
2009 |
2010 |
2011 |
2012 |
---|---|---|---|---|---|---|---|---|
Last onder bestuursdwang en last onder dwangsom |
2 |
2 |
39 |
68 |
26 |
35 |
6 |
12 |
Bestuurlijke boete |
9 |
3 |
0 |
0 |
0 |
0 |
0 |
0 |
Bron: jaarverslagen Cbp 2005–2012 |
Het huidig sanctie-instrumentarium voldoet aan de eisen die de richtlijn stelt ten aanzien van de kwaliteit van het sanctie-instrumentarium en de overige bevoegdheden die het Cbp heeft. Artikel 24 van de richtlijn draagt de lidstaten op om passende maatregelen te nemen om de onverkorte toepassing van de bepalingen van de richtlijn te garanderen. Artikel 28, derde lid, tweede gedachtenstreepje, van de richtlijn regelt dat toezichthoudende autoriteiten moeten beschikken over effectieve bevoegdheden om in te grijpen. Laatstbedoeld voorschrift is in de memorie van toelichting bij het wetsvoorstel dat ten grondslag lag aan de Wbp zodanig uitgelegd dat het Cbp in elk geval de bevoegdheid moet hebben om met behulp van een last onder dwangsom ‘afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden’ (Kamerstukken II 1997/98, 25 892, nr. 3, blz. 29–31). Dat is een uitleg die ook nu nog overtuigend is. De herstelsancties zijn daarom minimaal noodzakelijk.
De bestuurlijke boete is bij de totstandkoming van de Wbp vooral gezien als een goed complement voor strafrechtelijke sanctionering, zodat de strafrechter en het openbaar ministerie niet nodeloos werden belast. Ook die motivering is op zichzelf genomen nog steeds overtuigend. Echter, destijds is de keuze gemaakt alleen die overtredingen bestuurlijk beboetbaar te maken die ook strafrechtelijk konden worden gesanctioneerd. Omdat het aantal bepalingen dat met behulp van het strafrecht kon worden gesanctioneerd zeer gering was, is de Wbp altijd een wet gebleven waarin de bestuurlijke boete een ondergeschikte plaats innam. Dat is ook de verklaring voor het minimale aantal bestuurlijke boetes dat het Cbp in de afgelopen jaren heeft opgelegd.
Sinds de totstandkoming van de Wbp zijn de omstandigheden echter veranderd. Het behoeft nauwelijks betoog dat het belang van gegevensverwerking in de samenleving sindsdien sterk is toegenomen. Daarmee neemt ook het belang van een adequate bescherming van persoonsgegevens toe. Het geconstateerde nalevingstekort maakt dat belang nog dringender. Het Cbp heeft ook om deze reden enige jaren geleden besloten om in zijn dagelijkse taakuitoefening een zwaarder accent te gaan leggen op handhaving en sanctionering. De effectiviteit van die sanctionering kan toenemen wanneer ook de materiële bepalingen van de Wbp kunnen worden gehandhaafd met bestraffende sancties.
Op 25 januari 2012 heeft de Europese Commissie een voorstel gedaan voor een Algemene verordening gegevensbescherming (COM (2012)11 def). Deze verordening zal richtlijn 95/46/EG vervangen en daarmee ook de Wbp. De verordening bevat nieuwe regels met betrekking tot de bescherming van de gegevens van natuurlijke personen en het vrije verkeer van persoonsgegevens binnen de Europese Unie. De snelle technologische ontwikkelingen en de toenemende globalisering maken een herziening van de richtlijn noodzakelijk. Zowel de economie als het maatschappelijk leven zijn de laatste twee decennia ingrijpend veranderd. Met de keuze voor een verordening is gekozen voor een rechtsinstrument dat in alle landen van de EU/EER rechtstreeks zal gelden. Anders dan bij een richtlijn is van omzetting in nationaal recht geen sprake. Daarmee wordt een meer eenduidige normstelling bewerkstelligd. Andere doelstellingen van de verordening zijn: versterking van de rechten van de betrokkene, vermindering van administratieve lasten voor de verantwoordelijke, een sluitende regeling voor doorgifte van persoonsgegevens aan derde landen en versterking van het toezichts- en handhavingsmechanisme, o.a. door nauwe samenwerking tussen de nationale toezichthouders, het Europees Comité voor de gegevensbescherming en de Europese Commissie.
Het voorstel voor uitbreiding van de boetebevoegdheid van het Cbp in deze nota van wijziging sluit aan bij de doelstelling van de verordening om de handhaving te versterken. Ook het voorstel voor de verordening voorziet in de bevoegdheid voor de nationale toezichthouders om bestuurlijke boetes op te leggen bij overtreding van de verordening. Het voorstel deelt de overtredingen van de verordening in drie categorieën in, en verbindt daaraan in zwaarte oplopende bestuurlijke geldboetes. De maximale boete in het voorstel is 1 miljoen en voor een onderneming 2% van de jaarlijkse wereldwijde omzet (artikel 79 concept-verordening). De onderhandelingen over de concept-verordening zijn gaande, dit geldt als voorbehoud. Gezien de tendens van het ontwerp kan echter al wel worden gesteld dat met de in deze nota van wijziging voorgestelde handhaving wordt toegegroeid naar het handhavingssysteem uit de toekomstige verordening. Als de verordening wordt aangenomen en in werking treedt, geldt er nog een implementatietermijn van twee jaar voordat de verordening van toepassing wordt.
In 2008 heeft het toenmalige kabinet een Nota sanctiestelsels vastgesteld (Kamerstukken I 2008/09, 31 700 VI, D). In die nota is een afwegingskader opgenomen dat moet worden gevolgd bij wetsvoorstellen waarin nieuwe bestuurlijke bestraffende sancties worden geregeld. Toepassing van dat afwegingskader leidt tot de volgende bevindingen.
De Wbp valt onder wetgeving met een ‘open context’ in de zin van de voornoemde nota. De normen van de Wbp zijn abstract van aard en zijn in beginsel van toepassing op alle denkbare verwerkingen van persoonsgegevens. Voor het verwerken van persoonsgegevens is geen voorafgaand verlof van de overheid nodig. Weliswaar is de verantwoordelijke onderworpen aan een voorafgaande meldplicht voor die verwerking (artikel 27 en 28), of een meldplicht bij datalekken als gevolg van een doorbreking van de beveiliging van de persoonsgegevens (artikel 34a nieuw), maar de aard van de melding is zodanig dat deze geen bijzondere rechtsbetrekking tussen overheid en betrokkene vestigt. Slechts in uitzonderingsgevallen is er sprake van bijzondere rechtsbetrekkingen tussen Cbp en verantwoordelijke. Dat is aan de orde in gevallen waarin sprake is van een voorafgaand onderzoek in de zin van artikel 31 van de Wbp, of van de goedkeuring van een gedragscode in de zin van artikel 25 van de Wbp.
Bij een open context is strafrechtelijke handhaving het uitgangspunt. Op dat uitgangspunt maakt de nota enkele uitzonderingen. Eén daarvan is hier van belang. Wanneer er sprake is van een hooggespecialiseerd orgaan dat optreedt als handhavende instantie, kan er niettemin ruimte zijn voor de bestuurlijke boete als handhavingsinstrument. De nota noemt als voorbeeld het mededingingsrecht of het telecommunicatierecht waar de ACM optreedt als gespecialiseerd handhaver. Het Cbp kan zonder meer worden aangemerkt als een dergelijke gespecialiseerde handhaver. De keuze om de Wbp vooral met bestuursrechtelijke bestraffende sancties te handhaven is in overeenstemming met de Nota sanctiestelsels.
De wetgever heeft bij totstandkoming van de Wbp in 2001 voor duale bestraffende handhaving gekozen, dat wil zeggen dat de normen zowel met een bestuurlijke boete als met een strafrechtelijke sanctie worden bedreigd. De strafrechtelijke sanctie varieert van een geldboete van de derde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht, of bij het opzettelijk begaan, een gevangenisstraf van zes maanden of de vierde categorie. Het Cbp bepleit in zijn advies om het duale systeem ook te laten gelden ten aanzien van de nieuwe bepalingen die bestuurlijk beboetbaar worden gesteld. De nota sanctiestelsels geeft de voorkeur aan een afbakening door de wetgever tussen sanctiestelsels; daarmee ontstaat ook een duidelijke verantwoordelijkheidsverdeling tussen de handhavende autoriteiten. Het strafrecht kan op de achtergrond een rol vervullen in geval de schending van een privacynorm ernstige gevolgen heeft voor personen wier persoonsgegevens worden misbruikt. Daarvoor zijn voldoende aanknopingspunten in het commune strafrecht zoals uitingsdelicten, strafbaarstelling terzake van grooming, hacking en identiteitsfraude (vgl. Kamerstukken II 2012/13, 33 352, nr. 7 (amendement-Dijkhoff c.s.). De eventuele rol van het strafrecht zal meer principieel aan de orde komen bij de implementatie van de EU-verordening algemene gegevensbescherming.
Nieuwe wetgeving inzake het opleggen van een bestuurlijke boete verdient bijzondere aandacht vanuit het perspectief van het legaliteitsbeginsel. In artikel 5:4 van de Awb zijn voor het bestuursrecht verschillende aspecten van het legaliteitsbeginsel vastgelegd. Het eerste lid bepaalt dat de bevoegdheid tot het opleggen van een bestuurlijke sanctie slechts bestaat voor zover zij bij of krachtens de wet is verleend. Het tweede lid bepaalt dat een bestuurlijke sanctie slechts wordt opgelegd indien de overtreding en de sanctie bij of krachtens een aan de gedraging voorafgaand wettelijke voorschrift zijn omschreven. Deze eisen vloeien ook voort uit artikel 7 EVRM, artikel 16 Grondwet en artikel 15 van het Internationaal Verdrag inzake burgerlijke en politieke rechten (IVBPR) (Trb. 1978, 177). Aan de hoofdregel van artikel 5:4 Awb, de eis dat de overtreding zelf en de op te leggen sanctie in een voorafgaand wettelijk voorschrift zijn omschreven, wordt voldaan, wanneer dit wetsvoorstel tot wet wordt verheven en in werking treedt. Uit deze bepaling volgt voorts ook dat een voorschrift dat door bestuurlijke sancties wordt gehandhaafd, voldoende duidelijk, voorzienbaar en kenbaar moet zijn. Dit wordt ook wel het ‘lex certa-beginsel’ genoemd. Dit beginsel is des te meer van belang nu in deze nota van wijziging een uitbreiding wordt voorgesteld van de met behulp van de bestuurlijke boete te sanctioneren voorschriften van de Wbp. Een bestuurlijke boete betreft een bestraffende sanctie, waarmee het Cbp beoogt de overtreder leed toe te voegen. De overtreder van de bepalingen van de Wbp kan zijn een particulier, een bedrijf of een bestuursorgaan. Een bestuurlijke boete kan ook in combinatie met een herstelsanctie worden opgelegd.
Ingevolge artikel 5:1, tweede lid, Awb kan de bestuurlijke boete zowel aan de overtreder als aan de medepleger worden opgelegd. In veel gevallen zal de verantwoordelijke als pleger van een overtreding van de Wbp kunnen worden aangemerkt. Niet uitgesloten is, dat bijvoorbeeld de door de verantwoordelijke ingeschakelde bewerker als medepleger valt aan te merken. Daarnaast zijn op grond van artikel 5:1, derde lid, Awb jo. artikel 51 tweede en derde lid, van het Wetboek van Strafrecht, feitelijke opdrachtgevers of feitelijk leidinggevenden van een rechtspersoon bestuurlijk te beboeten. Het Cbp geeft in zijn advies aan dat de behoefte om ook de bewerker aan te pakken zich ook in de huidige handhavingspraktijk doet gevoelen.
De Wbp bestaat voor een belangrijk deel uit algemeen-abstract omschreven voorschriften. Zoals hiervoor werd aangegeven vloeit dat onvermijdelijk voort uit de formulering van de EU-richtlijn. Voor het Cbp is de aard van de normstelling niet van dien aard, dat zij het Cbp voor onoverkomelijke problemen stelt bij het hanteren van de huidige bevoegdheden tot het opleggen van een bestuurlijke herstelsanctie. Verheldering van de normen vindt op verschillende niveaus plaats. Op Europees niveau geeft de ‘Artikel 29’-werkgroep, waarin de Europese toezichthouders zijn verenigd, gezaghebbende opinies uit over uitleg van de normen van de EU-richtlijn. Deze opinies worden o.a. op de website van het Cbp gepubliceerd. Daarnaast is er de rechtspraak van het HvJEU. Op nationaal niveau stelt het Cbp richtsnoeren vast over de interpretatie van de normen van de Wbp, die een leidraad vormen voor het nationale toezichts- en handhavingsbeleid. Voorbeelden hiervan zijn de richtsnoeren over identificatie en verificatie van persoonsgegevens in de private sector (2012) en de richtsnoeren beveiliging van persoonsgegevens (2013). De richtsnoeren over beveiliging van persoonsgegevens verwijzen overigens weer naar algemeen aanvaarde normen over informatiebeveiliging die niet van de overheid afkomstig zijn. Zo bestaat er een NEN-norm voor informatiebeveiliging (NEN-ISO/IEC 27002:2007) met sectorale uitwerkingen.
Op verzoek van belanghebbenden kan het Cbp zienswijzen geven over de toepassing van de wettelijke bepalingen betreffende de bescherming van persoonsgegevens of (sectorale) gedragscodes toetsen op conformiteit met de Wbp (artikelen 60 en 25 Wbp). Daarnaast is er rechtspraak over de Wbp op alle terreinen (civiel-, bestuurs- en strafrecht).
In de jurisprudentie van het EHRM, die vooral is gevormd naar aanleiding van strafrechtelijke wetgeving, wordt aanvaard dat de wetgever niet altijd in staat is om nauwkeurig geformuleerde normen vast te stellen, en dat aanvulling van de wetgeving door vaste jurisprudentie mogelijk is. Het gaat erom dat de betrokkene zijn handelen op het gehele recht kan afstemmen. Verder mag van de betrokkene een redelijke inspanning worden gevraagd, om, zo nodig met behulp van deskundig advies, het eigen handelen op een wettelijke norm af te stemmen (EHRM 25 mei 1993, Kokkinakis tegen Griekenland, Publ ECHR, Serie A, vol. 260, r.o. 52; EHRM 27 september 1995, G. tegen Frankrijk, NJ 1996, 49, m.n. Kn; EHRM 17 september 2009, Scoppola tegen Italië, appl. no. 10249/03), EHRM 15 november 1996, nr. 17862/91 (Cantoni/Frankrijk) en 25 juni 2009, nr. 12157/05 (Liivik/Estland). Een Nederlandse zaak waarin het ging om de oplegging van een bestuurlijke boete op grond van de Wet arbeid vreemdelingen betreft EHRM 28 juni 2011, LJN BT2901 (Financiële Dagblad B.V./Nederland). De klacht over het onbepaalde werkgeversbegrip in de Wet arbeid vreemdelingen in relatie tot artikel 7 EVRM werd kennelijk ongegrond bevonden.
Ook in de nationale bestuursrechtelijke jurisprudentie wordt aanvaard dat wetgeving die wordt gehandhaafd met een bestuurlijke boete onder omstandigheden noodzakelijkerwijs uit vage normen bestaat, welke normen in de toepassingspraktijk nader moeten worden ingevuld. Wel worden in zulke gevallen aan de motivering van het besluit hoge eisen gesteld. Aangetoond moet worden waar het gedrag van de overtreder tekortschiet en ook waarom hetgeen de overtreder daartegen inbrengt niet tot een andere conclusie leidt (CBB 24 augustus 2006, LJN AZ3770, CRvB 27 april 2000, LJN AA5669). Door de Afdeling bestuursrechtspraak van de Raad van State wordt in ieder geval aanvaard dat min of meer vage normen kunnen worden aangevuld door een zogenaamde best beschikbare techniek (ABRS 15 november 2006, LJN AZ2271) of door een concretisering van de normen in het kader van het toezicht (‘toezichtbeleidsbrief’) (ABRS 14 december 2005, LJN AU7977). Het geheel aan de belanghebbende overlaten om een vereiste inspanningsverplichting te leveren om een boete te ontgaan, zonder dat de overheid daarover in enige vorm duidelijkheid verschaft, oordeelde de Afdeling bestuursrechtspraak in strijd met art. 7 EVRM (ABRS 20 november 2002, LJN AF0842). Maar onder omstandigheden kan ook een in algemene termen vervat voorschrift toch voldoende duidelijk zijn voor belanghebbenden om hun gedrag daarop af te stemmen (ABRS 3 mei 2006, LJN AW 7337, en CBB 20 december 2007, LJN BC2232).
De conclusie die aan de geldende wetgeving en de jurisprudentie kan worden verbonden is dat ook een in algemeen-abstracte termen vervatte wet als de Wbp door bestuurlijke boetes kan worden gehandhaafd.
Onderdeel D van de nota van wijziging bevat een nieuw artikel 66 van de Wbp waarin de bepalingen zijn opgesomd die met een bestuurlijke boete gehandhaafd worden. Bij dit nieuwe artikel 66 zijn de volgende uitgangspunten gehanteerd.
Een eerste uitgangspunt is dat alle hoofdverplichtingen van de verantwoordelijke uit de Wbp met een bestuurlijke boete worden gesanctioneerd. Dat betreft allereerst de artikelen 6 tot en met 13. Die bepalingen betreffen de materiële normen die gelden voor alle verwerkingen van persoonsgegevens. Ook de overtreding van artikel 6 wordt gesanctioneerd, ondanks de zeer algemene omschrijving van deze verplichting. Het is immers denkbaar dat het Cbp stuit op gevallen waarin sprake is van evident onrechtmatige gegevensverwerkingen die zozeer in strijd met de beginselen van de Wbp zijn dat boeteoplegging wegens strijdigheid met deze regel zonder meer gerechtvaardigd is.
Datzelfde geldt voor de in algemene bewoordingen omschreven beveiligingsplicht van artikel 13.
Hier is ook een relatie met de – in dit wetsvoorstel – voorgestelde meldplicht voor datalekken. Het ligt voor de hand dat de verplichting om datalekken die het gevolg zijn van doorbrekingen van de technische en organisatorische beveiliging ingevolge artikel 13 van de Wbp, het bewustzijn en het belang van een voldoende adequate beveiliging binnen organisaties vergroot.
Artikel 16 van de Wbp bevat het belangrijke verbod op het verwerken van bijzondere persoonsgegevens. Alle uitzonderingen op dat verbod die bij en krachtens de artikelen 17 tot en met 23 gelden behoeven uit wetgevingstechnisch oogpunt geen afzonderlijke strafbaarstelling. De uitzonderingen zijn door de wetgever deels in de Wbp en deels in bijzondere wetgeving op een meer gedetailleerd niveau vastgesteld.
Overtreding van artikel 24 van de Wbp kan aan de orde zijn bij het buitenwettelijk gebruik van persoonsidentificerende nummers.
Transparantie is eveneens een hoofdverplichting van de verantwoordelijke. Bij die verplichting hoort een passende sanctionering. Dat betekent dat overtreding van de artikelen 33 tot en met 34b ook gesanctioneerd wordt met een bestuurlijke boete. Een uitzondering wordt echter gemaakt voor de bepalingen die facultatief van aard zijn. Verantwoordelijken worden op deze manier juist gestimuleerd meer inhoud te geven aan hun verplichtingen. Verder worden de verplichtingen die de verantwoordelijken hebben bij de behandeling van verzoeken van betrokkenen om inzage, correctie en verzet gesanctioneerd. Dit betreft de overtredingen van de artikelen 35 tot en met 42 van de Wbp. Deze verplichtingen zijn in belangrijke mate van juridisch-administratieve aard. Hetzelfde geldt in grote lijnen voor de verplichtingen die voortvloeien uit de regeling van het doorgeven van persoonsgegevens naar landen buiten de Europese Economische Ruimte. Dit betreft de overtredingen van de artikelen 76 tot en met 78 van de Wbp.
Een tweede uitgangspunt is dat de rechtsbetrekkingen tussen verantwoordelijke en bewerker, die primair van privaatrechtelijke aard is, niet met een bestuurlijke boete worden gesanctioneerd. Artikel 14 blijft derhalve buiten beschouwing.
Het derde uitgangspunt is dat er geen overtredingen meer zijn die wel met een strafrechtelijke boete gehandhaafd kunnen worden, maar niet met een bestuurlijke boete. Er zou anders afbreuk worden gedaan aan het primaat van de bestuursrechtelijke handhaving. Dit leidt ertoe dat overtreding van artikelen 4, derde lid, en 78, tweede lid, onder a, van de Wbp (het nalaten door een buiten Nederland gevestigde verantwoordelijke om een vertegenwoordiger in Nederland aan te wijzen, respectievelijk het zonder grondslag doorgeven van persoonsgegevens naar een derde land, waarvan is vastgesteld dat het geen passend niveau van gegevensbescherming heeft) ook bestuursrechtelijk wordt gehandhaafd.
Het vierde uitgangspunt is dat wordt voorzien in het schrappen van de bestuurlijke boete alsmede van de strafsanctie op de aanmeldverplichting ten aanzien van de voorgenomen verwerkingen van persoonsgegevens bij het Cbp of bij de functionaris gegevensbescherming. Deze aanmeldverplichting keert immers vrijwel zeker niet terug in de EU-verordening algemene gegevensbescherming. Verwezen zij naar onderdelen D en E (artikel 66, eerste lid en artikel 75 Wbp).
In het nieuwe artikel 66 is een splitsing aangebracht. Het eerste lid betreft de bepalingen die onder de huidige wet ook strafrechtelijk kunnen worden gehandhaafd. Het boetemaximum wordt gelijk gesteld aan de maximale strafrechtelijke geldboete, die volgens artikel 75 van de Wbp kan worden opgelegd (de vierde categorie van artikel 23, vierde lid, Sr) (€ 19.500).
Voor alle overige bepalingen is gekozen voor een maximale bestuurlijke boete van de zesde categorie van artikel 23, vierde lid, Sr (€ 780.000). Dit boetemaximum is proportioneel en voldoende afschrikwekkend. Hoewel eerder de gedachten uitgingen naar een maximale boetehoogte van € 450.000 die voorkomt in de wetgeving voor het economisch publiekrecht (Telecommunicatiewet, Wet handhaving consumentenbescherming), lijkt een keuze voor het hoogste strafrechtelijke boetemaximum gerechtvaardigd. Ook opzettelijke en herhaaldelijk begane ernstige overtredingen zullen passend bestraft kunnen worden. Hierbij wordt in aanmerking genomen – waarop het Cbp ook wijst in zijn advies – dat de EU-verordening een forse maximumboete kent (1 mln of voor ondernemingen jaarlijks 2% van de wereldwijde omzet). Aansluiting bij het strafrecht sluit aan bij de aanbevelingen die zijn opgenomen in de beleidsreactie van de Minister van Veiligheid en Justitie op het onderzoek “Referentiekader geldboetes” (Kamerstukken II 2012/13, 33 400 VI, nr. 80). Overeenkomstig een andere aanbeveling uit de beleidsreactie wordt de hoogste boetecategorie van artikel 23, vierde lid, Sr voor rechtspersonen geflexibiliseerd (Kamerstukken II 2012/13, 33 685, nrs. 1–3). In verband hiermee is artikel IVb aan de nota van wijziging toegevoegd.
Overwogen is om een (verdergaand) onderscheid te maken tussen de overtredingen van de Wbp en aan een dergelijk onderscheid verschillende boetemaxima te verbinden. Daarvoor is niet gekozen. De bepalingen van de Wbp zijn algemeen en abstract geformuleerd. Voor de algemene verplichtingen voor de verantwoordelijken van hoofdstuk 2 van de Wbp geldt dat ze nevengeschikt en niet ondergeschikt zijn ten opzichte van elkaar. Datzelfde geldt voor de rechten van burgers van hoofdstuk 6. Het maximum van de zesde boetecategorie van artikel 23, vierde lid, Sr biedt voldoende ruimte voor het Cbp om – binnen de grenzen van de bij algemene maatregel van bestuur te stellen regels (zie paragraaf 6.4) – een boetetoemetingsbeleid op te stellen waarmee van geval tot geval tot een passende en evenredige bestraffing kan worden gekomen. Het Cbp zal bij het vaststellen van beleidsregels terzake rekening moeten houden met factoren als de ernst van de overtreding, de mate waarin deze aan de overtreder kan worden verweten en de omstandigheden van het geval, waaronder de persoon van de dader (artikel 5:46, tweede lid, Awb). Hierbij is nog van belang om op te merken dat, anders dan in het economisch publiekrecht, de verantwoordelijke of bewerker in de zin van de Wbp niet primair ondernemer is, of iemand die op andere wijze in de uitoefening van beroep of bedrijf handelt. De verantwoordelijke in de zin van de Wbp is ook vaak een particulier of een overheid of een samenwerkingsverband van publieke en private partijen ter behartiging van algemeen-maatschappelijk belangen.
Ten aanzien van de meldplicht voor datalekken zal het Cbp zich kunnen oriënteren op de beleidsregels die door de Minister van Economische Zaken zijn vastgesteld voor het opleggen van bestuurlijke boetes door de ACM ter zake van overtreding van de meldplicht voor datalekken in de Telecommunicatiewet (art. 11.3a Telecommunicatiewet) (Stcrt. 2013, 11214).
Hiervoor is reeds ingegaan op de algemeen geformuleerde normen in relatie tot de bestraffende sancties die bij overtreding door het Cbp zullen kunnen worden opgelegd. Indien bij geconstateerde overtredingen een “lik-op-stukbeleid” zou worden gevoerd dat directe financiële consequenties voor de overtreder heeft, ook waar het normen betreft die – op onderdelen – voor verschillende interpretaties vatbaar zijn, dan zou dit tot ongewenste effecten en maatschappelijke kosten kunnen leiden (rechtsonzekerheid voor verantwoordelijken, overcompliance, juridische procedures). Hoewel wij menen dat het Cbp als gespecialiseerde toezichthouder in staat kan worden geacht om op de verschillende domeinen (privaat/publiek) op verantwoorde wijze invulling te geven aan de voorgestelde bestuurlijke boetebevoegdheid, menen wij desalniettemin dat het wenselijk is om artikel 66 Wbp te voorzien in een grondslag om nadere regels te stellen waaraan het Cbp bij uitoefening van de het Cbp om een bestuurlijke boete gebonden zal zijn. In deze regels zullen uitgangspunten worden geformuleerd voor het inzetten van de bestuurlijke boete door het Cbp. Het gaat daarbij om de afweging ten opzichte van andere (sanctie)mogelijkheden die het Cbp kan aanwenden om normnaleving te bewerkstelligen of het type overtreding. Hoge bestuurlijke boetes kunnen aangewezen zijn bij overtredingen die potentieel ernstige nadelige gevolgen voor de bescherming van de persoonlijke levenssfeer kunnen hebben, zoals de illegale grensoverschrijdende handel in persoonsgegevens. Voor overtreding van de verplichtingen die zien op de informatieverstrekking aan en rechten van burgers in hoofdstuk 5 en 6 van de Wbp, zal uiteraard een relatief geringe boete op zijn plaats zijn, tenzij bijkomende omstandigheden (bijv. recidive) aanleiding zijn om het bedrag van de boete te verhogen.
Het gaat er bij deze regels niet om dat het Cbp aan een (juridische) bewijslast wordt gebonden die inhoudt dat overtredingen pas bestuurlijk beboetbaar zijn op het moment dat aantoonbaar sprake is van ernstige gevolgen voor de persoonlijke levenssfeer van burgers. Daarmee zou bijvoorbeeld het niet naleven van verplichtingen van hoofdstuk 5 en 6 van de Wbp vrijwel nooit bestuurlijk beboet kunnen worden. De regels zullen ook rekening moeten houden met overtredingen waarbij schending van privacynormen zodanig ernstige gevolgen heeft dat strafrechtelijke handhaving in de rede ligt (zie daarover paragraaf 5.4). Anders gezegd gaat het om een kader voor een afgewogen inzet van de bestuurlijke boetebevoegdheid, ter versterking van de naleving van de privacynormen van de Wbp en van de andere wetten waarop het Cbp toezicht houdt.
Overwogen is nog of de uitbreiding van de bestuurlijke boetebevoegdheid van het Cbp zou moeten worden aangegrepen om in de Wbp te voorzien in een afzonderlijke regeling tot openbaarmaking van bestuurlijke sancties door het Cbp. Hiervan is afgezien. Artikel 8 van de Wet openbaarheid van bestuur geeft het Cbp hier de nodige beleidsruimte die het zelf kan invullen. Met name ten aanzien van bestuurlijke boetes komt een terughoudend beleid ten aanzien van ‘naming en shaming’, zoals dat in het economisch publiekrecht door de toezichthoudende en handhavende autoriteiten (Autoriteit Consument en Markt, Autoriteit Financiële Markten) wordt gehanteerd, het kabinet passend voor. De normen van de Wbp geven uitdrukking aan het grondrecht op bescherming van de persoonlijke levenssfeer en de bescherming van persoonsgegevens. Deze normen hebben een ander karakter dan de normen van de bestuursrechtelijke ordeningswetgeving in het economisch publiekrecht waar sprake is van toezicht op markten en niet op het verwezenlijken en handhaven van grondrechten van burgers. Bij gelegenheid van totstandkoming en inwerkingtreding van dit wetsvoorstel zal het Cbp bezien of er een aparte regeling voor openbaarmaking van bestuurlijke boetebesluiten wordt opgenomen in de Beleidsregels van het Cbp over actieve openbaarmaking6.
Uit artikel 6 van het EVRM en artikel 15 van het IVBPR vloeien een aantal eisen voort met betrekking tot de rechtsbescherming tegen besluiten tot het opleggen van een bestuurlijke boete en de daarbij te volgen procedure. Dergelijke besluiten moeten immers in beginsel worden aangemerkt als een vorm van vervolging in de zin van beide bepalingen.
Uit artikel 6 van het EVRM volgt dat tegen besluiten tot oplegging van een bestuurlijke boete beroep moet openstaan op de rechter, dat de rechter in staat moet zijn de evenredigheid bij het opleggen van de boete te toetsen en dat oplegging van de boete in concreto ook ‘vol’ getoetst moet kunnen worden. Aan deze eisen is voldaan. Tegen een besluit tot oplegging van een bestuurlijke boete staat op grond van de Awb beroep op de rechter open. Het Cbp is ingevolge artikel 5:46 van de Awb verplicht een evenredigheidstoets uit te voeren. Ingevolge artikel 8:72a van de Awb kan de rechter de boeteoplegging in concreto toetsen; bij vernietiging van het boetebesluit dient hij zelf in de zaak te voorzien.
Verder vloeit uit artikel 6 van het EVRM voort dat de berechting binnen een redelijke termijn moet plaatsvinden en dat de uitspraak in het openbaar moet geschieden. De Awb voorziet in de nodige termijnbepalingen. Bij overschrijding van deze termijn geldt ingevolge de jurisprudentie een schadevergoedingsplicht (o.a. ABRS 19 april 2011, LJN BQ2703). De uitspraak moet ingevolge artikel 8:78 van de Awb in het openbaar geschieden.
Uit artikel 15 IVBPR vloeit ten aanzien van de rechtsbescherming de eis van rechtspraak in twee instanties voort. Aan die eis is voldaan. Tegen een uitspraak van de rechtbank staat hoger beroep op de Afdeling bestuursrechtspraak van de Raad van State open. Ten aanzien van de procedure tot oplegging van een bestuurlijke boete vloeien uit art. 15 IVBPR verschillende eisen voort. Op de procedure tot oplegging van een bestuurlijke boete zijn de titels 5.1 en 5.4 van de Awb van toepassing. Daarmee is verzekerd dat aan die eisen is voldaan. Zo zijn het zwijgrecht en de cautie geregeld in artikel 5:10a van de Awb. De artikelen 5:5 en 5:41 van de Awb voorzien in een regeling voor het bestaan van een eventuele rechtvaardigingsgrond voor de overtreding en een regeling van de verwijtbaarheid van de overtreder. In artikel 5:43 van de Awb is de ne bis in idem-regel verankerd.
Sanctieoplegging door het Cbp wordt in de praktijk steeds voorafgegaan door een onderzoek door het Cbp op grond van artikel 60 Wbp. Dit onderzoek verloopt in twee fasen, de vaststelling van voorlopige en definitieve bevindingen. Die procedure is met de nodige waarborgen omkleed en voorziet in het horen van belanghebbende. De belanghebbende kan in die procedure zijn visie naar voren brengen. Dat kan hem aanleiding geven zijn gedrag bij te stellen. Dat kan ook het Cbp aanleiding geven tot heroverweging. Bij de uiteindelijke sanctie-oplegging wordt de belanghebbende in de gelegenheid gesteld zijn zienswijze te geven op het concept-besluit tot oplegging van de bestuurlijke boete (artikel 4:8 Awb).
Het voorstel voorziet voor het Cbp in een geringe verzwaring van de werklast. De mogelijkheid om bestuurlijke boetes op te leggen zal een plaats krijgen in het handhavingsbeleid van het Cbp. Een bestraffende sanctie kan de effectiviteit van het toezicht en de handhaving vergroten. Het Cbp voert als zelfstandig bestuursorgaan, in volledige onafhankelijkheid, de hem opgedragen taken, waaronder de toezichts- en handhavingstaak, uit (artikel 52, tweede lid Wbp).7 Het Cbp heeft zijn beleid omtrent toepassing van zijn toezichthoudende en handhavende bevoegdheden neergelegd in beleidsregels (Beleidsregels handhaving door het Cbp, Stcrt. 2011, 1916). De beleidsregels bevatten uitgangspunten en prioriteringscriteria die het Cbp bij zijn optreden in acht neemt.8 De organisatorische gevolgen voor het Cbp zullen naar verwachting beperkt blijven. Het nemen van bestuurlijke boetebesluiten is niet wezenlijk anders dan het nemen van besluiten waarbij een last onder dwangsom wordt opgelegd. Een last onder dwangsom is in veel gevallen ook een voor de betrokkene indringende sanctie. Voor de oplegging van reparatoire en bestraffende bestuurlijke sancties gelden op grond van de Wbp vergelijkbare procedurele vereisten. Met het oog op de uitvoering van de nieuwe taken die met dit wetsvoorstel en deze nota van wijziging aan het Cbp worden toebedeeld, zijn aan het Cbp extra financiële middelen toegekend (Kamerstukken II 2012/13, 33 400 VI, nrs. 100 en 71). Hiermee is, zoals de brief van de Staatssecretaris van Veiligheid en Justitie aangeeft, een houdbaar financieel kader geschapen, om nu en in de toekomst adequaat aan zijn taken uitvoering te geven.
Over de nota van wijziging is overleg gevoerd met het Cbp en met VNO-NCW MKB Nederland. Daarnaast heeft het Cbp op 14 oktober 2013 schriftelijk advies uitgebracht over een concept-nota van wijziging. Op de reactie van het Cbp is in de voorgaande paragrafen reeds zoveel mogelijk ingegaan (begrip overtreder in de zin van artikel 5:1 Awb, dualiteit handhavingssysteem, boetemaximum). Daarnaast bepleit het Cbp om ook in andere sector specifieke regelgeving, zoals de (nieuwe) Wet basisregistratie personen, de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens waarop het Cbp toezicht houdt, in aanvulling op de herstelsancties, een (verdergaande) mogelijkheid van bestuurlijke beboeting door het Cbp te creëren. Dit om rechtsongelijkheid tussen sectoren te voorkomen. Wij zullen onderzoeken of uitbreiding van de bestuurlijke boete (Wet politiegegevens, Wet justitiële en strafvordelijke gegevens) dan wel introductie ervan (Wet basisregistratie personen) een toegevoegde waarde kan hebben bij de naleving van de genoemde wetten; de overheidssectoren in kwestie worden daarbij uiteraard ook betrokken. Ten slotte heeft het Cbp aanbevolen om een evaluatiebepaling op te nemen. Het Cbp geeft aan dat de datum van inwerkingtreding van de EU-verordening gegevensbescherming een goed moment voor evaluatie zou zijn. Gelet hierop is artikel IVa aan de nota van wijziging toegevoegd. De evaluatieplicht strekt zich mede uit tot de meldplicht datalekken. Om de onderzoeksperiode niet te zeer te bekorten is gekozen voor het zenden van een verslag aan de Staten-Generaal binnen een jaar na het van toepassing worden van de verordening.
Uitgaand van het van toepassing worden van de verordening medio 2016, wordt de termijn voor het zenden van een evaluatieverslag uiterlijk medio 2017. Artikel 91 van de conceptverordening bepaalt dat de verordening op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie in werking treedt en na twee jaar van toepassing is. Binnen deze implementatietermijn moeten lidstaten nationale wetgeving tot stand brengen om aan de EU-verordening te voldoen en daarmee strijdig nationaal recht in te trekken. De resultaten van de evaluatie van de meldplicht voor datalekken en de uitbreiding van het sanctie-instrumentarium van het Cbp zullen van belang zijn voor de taakuitoefening door het Cbp onder de nieuwe EU-verordening en zullen uiteraard worden besproken in het periodieke bestuurlijke overleg tussen de Staatssecretaris van Veiligheid en Justitie en de Voorzitter van het Cbp.
In de artikelen IIIa en IIIb worden de verwijzingen naar de Wbp in de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens aangepast. In het nieuwe artikel 66 Wbp worden twee wettelijke boetemaxima onderscheiden, in lid 1 voor de bestaande administratieve verplichtingen en in lid 2 voor de overige verplichtingen. Omdat het in de Wpg en Wjsg om administratieve verplichtingen gaat, waarvoor thans het boetemaximum van € 4.500 geldt, is voor aansluiting bij lid 1 gekozen (€ 19.500). De overige artikelen van de Wet bescherming persoonsgegevens waarnaar wordt verwezen zijn ofwel vervallen (vierde tranche Awb) of komen te vervallen (Kamerstukken I, 2013/14, 33 554, B).
De Staatssecretaris van Veiligheid en Justitie,
Artikelen 4, derde lid, 27, 28 en 79, eerste lid, in verbinding met artikel 66 Wbp, en artikel 75 Wbp.
Artikel 34a in verbinding met artikel 66, tweede lid, Wbp in het voorstel van wet tot wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken), Kamerstukken II 2012/13, 33 662, nr. 2.
Artikel 5:20 Awb in verbinding met artikel 66, tweede lid, Wbp in het voorstel van wet meldplicht datalekken.
De nota van wijziging verwijst in artikel IVb naar artikel 23, zevende lid, van het Wetboek van Strafrecht zoals voorgesteld in het voorstel van wet verruiming mogelijkheden bestrijding financieel-economische criminaliteit, Kamerstukken II 2012/13, 33 685, nrs. 1–3.
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbEG 1995 L 281.
Artikel 79 van het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25 januari 2012, COM(2012) 11 final. De versie zoals geamendeerd door de Commissie Burgerlijke vrijheden, justitie en binnenlandse zaken van het Europees Parlement is van 21 november 2013, nr. A7-0402/2013.
Toelichting, § 5.4 (Toetsing aan de Nota sanctiestelsels, verhouding tussen bestuursrechtelijke en strafrechtelijke handhaving).
Een recent voorbeeld is het advies van 20 januari 2012, W12.11.0274, met betrekking tot het voorstel van Wet aanscherping handhaving sanctiebeleid SZW-wetgeving (Kamerstukken II 2011/12, 33 207, nr. 4, opmerking 2b).
In de toelichting wordt vermeld dat de bestaande reparatoire sancties – of het dreigen daarmee – vaak wel effectief is. Toelichting, § 4.2 (Relatie tussen meldplicht datalekken en uitbreiding boetebevoegdheid Cbp).
Bij voorbeeld het advies over de wijziging van de Wet op de kansspelen in verband met de instelling van de kansspelautoriteit, Kamerstukken II 2009/10, 32 264, nr. 4, blz. 1, punt 4b.
In de toelichting worden genoemd de richtsnoeren over identificatie en verificatie van persoonsgegevens in de private sector en de richtsnoeren over beveiliging van persoonsgegevens (toelichting, § 6.1 (Aard van de normering in de Wbp en lex certa-beginsel).
Gerrit-Jan Zwenne, Anne-Wil Duthler e.a., Eerste fase evaluatie Wet bescherming persoonsgegevens, Kamerstukken II 2006/07, 31 051, nr. 1, bijlage, blz. 86–87. H.B. Winter, P.O. de Jong e.a., Wat niet weet, wat niet deert, Kamerstukken II 2008/09, 31 051, nr. 4, blz. 119.
In de toelichting wordt gewezen op de bevoegdheid van het Cbp om op verzoek van belanghebbenden zienswijzen te geven over de toepassing van de wettelijke bepalingen en de toetsing van gedragscodes op conformiteit met de Wbp (artikelen 60 en 25 Wbp). Toelichting, § 6.1 (aard van de normering in de Wbp en lex certa-beginsel).
Aangenomen moet worden dat dit niet op gespannen voet staat met de door het EU-recht voorgeschreven onafhankelijkheid van het toezicht (zie Hof van Justitie EU 9 maart 2010 (Commissie tegen Duitsland), C-518/07; 16 oktober 2012 (Commissie tegen Oostenrijk), C-614/10) omdat de goedkeuringsbevoegdheid van de minister in dit geval niet de taakuitoefening van het Cbp zou betreffen (vergelijk artikel 59a Wbp waarin artikel 21 Kaderwet zelfstandige bestuursorganen op die grond is uitgezonderd) maar uitsluitend de materiële normen van de wet waarvan overtreding ingevolge de nota van wijziging beboetbaar wordt. Ook in andere gevallen die door het EU-recht worden bestreken wordt er van uitgegaan dat het EU-recht nationale overheden niet hun bevoegdheden ontnemen om het beleidskader te formuleren waarbinnen de nationale toezichthouders hun taken moeten uitoefenen. Zie Kamerstukken II 2010/11, 32 814, nr. 4, blz. 7–8.
Het voorgestelde artikel 66, derde lid, zoals het thans luidt lijkt als grondslag daarvoor te beperkt omdat de tekst van deze bepaling en de in de toelichting gegeven voorbeelden uitsluitend betrekking hebben op de wijze waarop de boetebevoegdheid wordt uitgeoefend.
Dat betreft niet alleen artikel 6 (zoals de toelichting aangeeft; § 6.2 (Met een bestuurlijke boete te sanctioneren bepalingen en wettelijk boetemaximum)) maar veel meer bepalingen uit de Wbp. Zie onder meer (maar niet uitsluitend) de zeer algemene verplichtingen van artikel 7, artikel 8 (met name onderdeel f) en artikel 9, eerste lid.
De Afdeling heeft deze aanbeveling eerder gedaan, in haar voorlichting aan de Tweede Kamer der Staten-Generaal over de ontwerp-Algemene verordening gegevensbescherming van de Europese Unie, voorlichting van 28 juni 2012, Kamerstukken II 2011/12, 32 761, nr. 32.
Onder meer artikel 60ac, tweede lid, van de Gaswet en artikel 77h, tweede lid, van de Elektriciteitswet. In beide gevallen is de bindende aanwijzing niet een voorwaarde voor het opleggen van een bestuurlijke boete, maar een tussenstap voor het opleggen van een last onder dwangsom; de toezichthouder kan deze tussenstap zetten ‘indien daarvoor naar haar oordeel aanleiding bestaat, gelet op het voorschrift waarop de overtreding betrekking heeft’, maar is daar niet toe verplicht.
Toelichting, § 9 (Voorbereiding nota van wijziging; advisering College bescherming persoonsgegevens).
O.a. WRR-rapport ioverheid (2011). Zie voor de kabinetsreactie Kamerstukken II, 26 643, nr. 211.
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281) (hierna: richtlijn).
Eerste fase evaluatie Wbp, Literatuuronderzoek en knelpuntenanalyse (eLaw, Centrum voor Recht in de Informatiemaatschappij/Afdeling Staats- en bestuursrecht Universiteit Leiden/Duthler Associates), zie Kamerstukken II 2006/07, 31 051, nr. 1.
Wat niet weet, wat niet deert, Een evaluatieonderzoek naar de werking van de Wbp in de praktijk (Pro Facto/Rijksuniversiteit Groningen), zie Kamerstukken II 2008/09, 32 051, nr. 4.
Artikel 79, eerste lid, blijft hier buiten beschouwing. De tekst van artikel 66 maakt ook bestuurlijke beboeting van dit voorschrift mogelijk, maar aangezien het een overgangsbepaling betreft die inmiddels is uitgewerkt, is deze voor de praktijk niet meer relevant.
De beleidsregels actieve openbaarmaking door het Cbp (Stcrt. 2013, 31433) zien op dit moment vooral op openbaarmaking van definitieve bevindingen van onderzoek, andere handhavingsbesluiten, overige besluiten, wetgevingsadviezen en zienswijzen.
Vgl. ook de wijzigingen van de Wbp die zijn opgenomen in de wet van 6 november 2013 tot aanpassing van enige wetten op het terrein van het Ministerie van Veiligheid en Justitie teneinde een aantal zelfstandige bestuursorganen onder de werking van de Kaderwet zelfstandige bestuursorganen te brengen (Stb. 2013, 450 (Kamerstukken 33 554).
Zo geeft het Cbp (par. 4) prioriteit aan zaken waarbij het vermoeden heeft van: a. ernstige overtredingen; b. structurele overtredingen; c. overtredingen die veel mensen treffen; d. overtredingen waarbij het Cbp door de inzet van handhavingsinstrumenten effectief verschil kan maken; e. overtredingen die vallen binnen de (jaarlijkse) aandachtspunten die door het Cbp bekend zijn gemaakt. De criteria a t/m d gelden cumulatief, tenzij zwaarwichtige gronden zich daartegen verzetten.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2014-34523.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.