Beleidsregels van de Autoriteit Persoonsgegevens van 15 december 2015 met betrekking tot het opleggen van bestuurlijke boetes (Boetebeleidsregels Autoriteit Persoonsgegevens 2016)

Het College bescherming persoonsgegevens heeft, gelet op artikel 4:81 van de Algemene wet bestuursrecht, artikel 66 van de Wet bescherming persoonsgegevens, artikel 35, derde lid, van de Wet politiegegevens, artikel 27, vierde lid, van de Wet justitiële en strafvorderlijke gegevens en artikel 15.4, vierde lid, van de Telecommunicatiewet, besloten om de volgende beleidsregels met betrekking tot het bepalen van de hoogte van bestuurlijke boetes vast te stellen:

HOOFDSTUK 1. ALGEMENE BEPALINGEN

Artikel 1. Definities

In deze beleidsregels wordt verstaan onder:

a. Autoriteit Persoonsgegevens:

het College bescherming persoonsgegevens, genoemd in artikel 51 van de Wet bescherming persoonsgegevens;

b. basisboete:

het bedrag dat de basis vormt voor het bepalen van de hoogte van een op te leggen bestuurlijke boete, vastgesteld binnen de bandbreedte van de aan een overtreding gekoppelde boetecategorie, voordat toepassing is gegeven aan de paragrafen 2.4 en 2.5;

c. betrokkene:

degene op wie een persoonsgegeven betrekking heeft als bedoeld in artikel 1, aanhef en onder f, van de Wet bescherming persoonsgegevens.

HOOFDSTUK 2. BEPALEN VAN DE HOOGTE VAN BESTUURLIJKE BOETES

Paragraaf 2.1 Overtredingen met een wettelijk boetemaximum van € 820.000

Artikel 2. Categorie-indeling en boetebandbreedtes
  • 2.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (per 1 januari 2016: € 820.000)1 kan opleggen, zijn in bijlage 1 ingedeeld in categorie I, categorie II of categorie III.

  • 2.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum van € 820.000 geldt vast binnen de volgende boetebandbreedtes:

    Categorie I

    Boetebandbreedte tussen € 0 en € 200.000

    Categorie II

    Boetebandbreedte tussen € 120.000 en € 500.000

    Categorie III

    Boetebandbreedte tussen € 350.000 en € 820.000

Paragraaf 2.2 Overtredingen met een wettelijk boetemaximum van € 450.000

Artikel 3. Categorie-indeling en boetebandbreedtes
  • 3.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van € 450.000 kan opleggen, zijn in bijlage 2 ingedeeld in categorie I, categorie II of categorie III.

  • 3.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum van € 450.000 geldt vast binnen de volgende boetebandbreedtes:

    Categorie I

    Boetebandbreedte tussen € 0 en € 100.000

    Categorie II

    Boetebandbreedte tussen € 60.000 en € 300.000

    Categorie III

    Boetebandbreedte tussen € 200.000 en € 450.000

Paragraaf 2.3 Overtredingen met een wettelijk boetemaximum van € 20.500

Artikel 4. Categorie-indeling en boetebandbreedtes
  • 4.1 De bepalingen ter zake van overtreding waarvan de Autoriteit Persoonsgegevens een bestuurlijke boete van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (per 1 januari 2016: € 20.500)2 kan opleggen, zijn in bijlage 3 ingedeeld in categorie I of categorie II.

  • 4.2 De Autoriteit Persoonsgegevens stelt de basisboete voor overtredingen waarvoor een wettelijk boetemaximum van € 20.500 geldt vast binnen de volgende boetebandbreedtes:

    Categorie I

    Boetebandbreedte tussen € 0 en € 12.500

    Categorie II

    Boetebandbreedte tussen € 7.500 en € 20.500

Paragraaf 2.4 Bepalen van de hoogte van de boete

Artikel 5. De basisboete en mogelijke verhoging of verlaging

De Autoriteit Persoonsgegevens bepaalt de hoogte van de boete door het bedrag van de basisboete naar boven (tot ten hoogste het maximum van de bandbreedte van de aan een overtreding gekoppelde boetecategorie) of naar beneden (tot ten laagste het minimum van die bandbreedte) bij te stellen. De basisboete wordt verhoogd of verlaagd afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 6 daartoe aanleiding geven.

Artikel 6. Relevante factoren
  • 6.1 De Autoriteit Persoonsgegevens houdt rekening met de ernst van de overtreding. De Autoriteit Persoonsgegevens stemt de beoordeling van de ernst van de overtreding in het concrete geval af op:

    • a. de aard en omvang van de overtreding;

    • b. de duur van de overtreding;

    • c. de impact van de overtreding op (de bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) de betrokkenen en/of de maatschappij.

  • 6.2 De Autoriteit Persoonsgegevens houdt rekening met de mate waarin de overtreding aan de overtreder kan worden verweten. Indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid als bedoeld in artikel 66, vierde lid, van de Wet bescherming persoonsgegevens, wordt aangenomen dat sprake is van een aanzienlijke mate van verwijtbaarheid van de overtreder.

  • 6.3 De Autoriteit Persoonsgegevens houdt zo nodig rekening met de omstandigheden waaronder de overtreding is gepleegd en de (financiële) omstandigheden waarin de overtreder verkeert.

Artikel 7. Buiten de bandbreedte treden en boetemaximum van tien procent van de jaaromzet
  • 7.1 Indien de voor de overtreding bepaalde boetecategorie in het concrete geval geen passende bestraffing toelaat, kan de Autoriteit Persoonsgegevens bij het bepalen van de hoogte van de boete de boetebandbreedte van de naast hogere categorie respectievelijk de bandbreedte van de naast lagere categorie toepassen.

  • 7.2 Indien ter zake van de overtreding aan een rechtspersoon een bestuurlijke boete van € 820.000 kan worden opgelegd en dit wettelijk boetemaximum naar het oordeel van de Autoriteit Persoonsgegevens geen passende bestraffing toelaat, kan zij op grond van artikel 23, zevende lid, van het Wetboek van Strafrecht een hogere boete opleggen tot ten hoogste tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan het besluit waarbij de bestuurlijke boete wordt opgelegd. Voor de jaaromzet van de rechtspersoon wordt aangesloten bij de netto-omzet, bedoeld in artikel 377, zesde lid, van Boek 2 van het Burgerlijk Wetboek.

Paragraaf 2.5 Boeteverhogende en boeteverlagende omstandigheden

Artikel 8. Eventuele boeteverhoging of boeteverlaging

Indien naar het oordeel van de Autoriteit Persoonsgegevens sprake is van boeteverhogende of boeteverlagende omstandigheden, kan het bedrag van de boete nadat toepassing is gegeven aan paragraaf 2.4, worden verhoogd dan wel verlaagd vanwege omstandigheden als bedoeld in de artikelen 9 en 10. De Autoriteit Persoonsgegevens kan daarbij buiten de grenzen van de toegepaste boetebandbreedte treden, met inachtneming van het wettelijk boetemaximum.

Artikel 9. Boeteverhogende omstandigheden
  • 9.1 De Autoriteit Persoonsgegevens merkt als boeteverhogende omstandigheden aan:

    • a. de omstandigheid dat de Autoriteit Persoonsgegevens voorafgaand aan de dagtekening van het van de overtreding opgemaakte rapport, bedoeld in artikel 5:48, eerste lid, van de Algemene wet bestuursrecht voor een eerdere overtreding van eenzelfde of een soortgelijke door die overtreder begane overtreding een bestuurlijke boete heeft opgelegd die onherroepelijk is geworden. In geval van recidive als bedoeld in de vorige zin verhoogt de Autoriteit Persoonsgegevens de boete met 50%, tenzij dit gezien de omstandigheden van het concrete geval onredelijk zou zijn.

    • b. de omstandigheid dat de overtreder het onderzoek van de Autoriteit Persoonsgegevens heeft tegengewerkt of belemmerd.

  • 9.2 Niet-nakoming van een bindende aanwijzing, bedoeld in artikel 66, vijfde lid, van de Wet bescherming persoonsgegevens, wordt niet aangemerkt als eenzelfde of soortgelijke overtreding als de overtreding van het in artikel 66, tweede lid, van de Wet bescherming persoonsgegevens genoemde voorschrift waarvoor de Autoriteit Persoonsgegevens de bindende aanwijzing heeft gegeven.

Artikel 10. Boeteverlagende omstandigheden

Boeteverlagende omstandigheden zijn in ieder geval:

  • a. de omstandigheid dat de overtreder verdergaande medewerking aan de Autoriteit Persoonsgegevens heeft verleend dan waartoe hij wettelijk gehouden was;

  • b. de omstandigheid dat de overtreder uit eigen beweging de overtreding heeft beëindigd voor of bij de eerste bekendwording met het onderzoek van de Autoriteit Persoonsgegevens;

  • c. de omstandigheid dat de overtreder uit eigen beweging degenen aan wie door de overtreding schade is berokkend, schadeloos heeft gesteld.

HOOFDSTUK 3. SLOTBEPALINGEN

Artikel 11. Intrekking oude beleidsregels

De Regels voor de boetevaststelling (Stcrt. 2003, nr. 123) worden ingetrokken.

De Beleidsregels CBP handhaving protocolplicht Wet politiegegevens (Stcrt. 2009, nr. 15761 en Stcrt. 2009, nr. 17372) en de bij dit besluit behorende bijlage worden ingetrokken.

Artikel 12. Inwerkingtreding

Deze beleidsregels treden in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin ze worden geplaatst.

Artikel 13. Citeertitel

Deze beleidsregels worden aangehaald als: Boetebeleidsregels Autoriteit Persoonsgegevens 2016.

Artikel 14. Bekendmaking

Deze beleidsregels zullen met de toelichting in de Staatscourant worden geplaatst.

BIJLAGE 1, BEHORENDE BIJ ARTIKEL 2 VAN DE BOETEBELEIDSREGELS AUTORITEIT PERSOONSGEGEVENS 2016

Overtredingen met een wettelijk boetemaximum van € 820.000

Wetsartikel

Omschrijving

Categorie

Wet bescherming persoonsgegevens

   

artikel 6

behoorlijke en zorgvuldige gegevensverwerking

I, II of III

artikel 7

doeleindenomschrijving

II

artikel 8

grondslag gegevensverwerking

II

artikel 9, eerste lid

doelbinding

II

artikel 9, vierde lid

geen verwerking als geheimhoudingsplicht

II

artikel 10, eerste lid

maximale bewaartermijn

II

artikel 11, eerste lid

toereikende, ter zake dienende en niet bovenmatige gegevensverwerking

II

artikel 11, tweede lid

maatregelen opdat persoonsgegevens juist en nauwkeurig zijn

II

artikel 12, eerste lid

verwerking in opdracht verantwoordelijke

I: indien de overtreder een natuurlijke persoon is;

II: indien de overtreder een rechtspersoon is, of een onderdeel daarvan

artikel 12, tweede lid

geheimhoudingsplicht

I: indien de overtreder een natuurlijke persoon is;

II: indien de overtreder een rechtspersoon is, of een onderdeel daarvan

artikel 13

beveiligingsverplichting

II

artikel 16

verbod verwerking bijzondere persoonsgegevens

III

artikel 24, eerste lid

gebruik wettelijk identificatienummer

III

artikel 24, tweede lid

nadere regels gebruik wettelijk identificatienummer

II

artikel 33, eerste lid

informatieplicht persoonsgegevens verkregen bij betrokkene

II

artikel 33, tweede lid

te verstrekken informatie

II

artikel 33, derde lid

verstrekking nadere informatie

II

artikel 34, eerste lid

informatieplicht persoonsgegevens verkregen op andere wijze dan bij betrokkene

II

artikel 34, tweede lid

te verstrekken informatie

II

artikel 34, derde lid

verstrekking nadere informatie

II

artikel 34a, eerste lid

meldplicht datalekken bij Autoriteit Persoonsgegevens

II

artikel 34a, tweede lid

meldplicht aan betrokkene

II

artikel 34a, derde lid

inhoud kennisgeving

I

artikel 34a, vierde lid

inhoud kennisgeving aan Autoriteit Persoonsgegevens

I

artikel 34a, vijfde lid

wijze kennisgeving aan betrokkene

I

artikel 34a, zevende lid

alsnog verplichte kennisgeving aan betrokkene

II

artikel 34a, achtste lid

bijhouden overzicht inbreuken

II

artikel 34a, elfde lid

nadere regels kennisgeving

I

artikel 35, eerste lid, tweede volzin

inzagerecht

II

artikel 35, tweede lid

inhoud mededeling

II

artikel 35, derde lid

zienswijze vragen derde

I

artikel 35, vierde lid

mededelingen logica geautomatiseerde verwerking

I

artikel 36, tweede lid

recht op verbetering, aanvulling, verwijdering of afscherming persoonsgegevens

II

artikel 36, derde lid

uitvoering beslissing op verzoek

II

artikel 36, vierde lid

informeren over onmogelijkheid van verbetering, aanvulling, verwijdering of afscherming

I

artikel 38, eerste lid

informeren derden over toewijzing verzoek

I

artikel 38, tweede lid

informeren verzoeker

I

artikel 39, eerste lid

maximale vergoeding inzageverzoek

I

artikel 39, tweede lid

teruggave vergoeding bij verbetering, aanvulling, verwijdering of afscherming

I

artikel 39, derde lid jo. eerste lid

gewijzigde maximale vergoeding

I

artikel 40, tweede lid

recht van verzet

II

artikel 40, derde lid

maximale vergoeding en teruggave vergoeding bij gegrond verzet

I

artikel 41, tweede lid

absoluut recht van verzet tegen verwerking voor commerciële of charitatieve doelen

II

artikel 41, derde lid

maatregelen om betrokkenen bekend te maken met recht van verzet

I

artikel 42, eerste lid

regels geautomatiseerde individuele besluiten

III

artikel 42, vierde lid

mededeling logica geautomatiseerde verwerking

I

artikel 66, vijfde lid

niet-nakoming bindende aanwijzing

I, II of III, afhankelijk van de indeling van het onderliggende artikel

artikel 76, eerste lid

verbod doorgifte naar land buiten EER zonder passend beschermingsniveau

II

artikel 77, tweede lid

voorschriften doorgiftevergunning

I

artikel 78, vierde lid

opschorting doorgifte bij ministeriële regeling of besluit

I

Algemene wet bestuursrecht

   

artikel 5:20, eerste lid

medewerkingsplicht (nalevingstoezicht Wet bescherming persoonsgegevens)

III

BIJLAGE 2, BEHORENDE BIJ ARTIKEL 3 VAN DE BOETEBELEIDSREGELS AUTORITEIT PERSOONSGEGEVENS 2016

Overtredingen met een wettelijk boetemaximum van € 450.000

Wetsartikel

Omschrijving

Categorie

Telecommunicatiewet

   

artikel 11.3a, eerste lid

meldplicht datalekken aanbieder openbare elektronische communicatiedienst bij Autoriteit Persoonsgegevens

III

artikel 11.3a, tweede lid

meldplicht aan betrokkene

III

artikel 11.3a, derde lid

inhoud kennisgeving

II

artikel 11.3a, vierde lid

alsnog verplichte kennisgeving aan betrokkene

III

artikel 11.3a, zesde lid

bijhouden overzicht inbreuken

III

artikel 11.3a, zevende lid

nadere regels kennisgeving

II

Algemene wet bestuursrecht

   

artikel 5:20, eerste lid

medewerkingsplicht (nalevingstoezicht Telecommunicatiewet)

III

BIJLAGE 3, BEHORENDE BIJ ARTIKEL 4 VAN DE BOETEBELEIDSREGELS AUTORITEIT PERSOONSGEGEVENS 2016

Overtredingen met een wettelijk boetemaximum van € 20.500

Wetsartikel

Omschrijving

Categorie

Wet bescherming persoonsgegevens

   

artikel 4, derde lid

aanwijzing vertegenwoordiger door verantwoordelijke buiten EER

II

artikel 78, tweede lid, aanhef en onder a

doorgifteverbod bij ministeriële regeling of besluit

II

Wet politiegegevens

   

artikel 32, eerste lid

protocolplicht

II

artikel 32, tweede lid

melding gemeenschappelijke verwerking aan Autoriteit Persoonsgegevens

I

artikel 32, derde lid

bewaartermijn

II

artikel 32, vierde lid

nadere regels wijze vastlegging

I

Wet justitiële en strafvorderlijke gegevens

   

artikel 19, eerste lid

vastlegging en bewaarplicht verstrekking justitiële gegevens

II

artikel 39j, eerste lid

vastlegging en bewaarplicht verstrekking strafvorderlijke gegevens

II

artikel 44, eerste lid

vastlegging en bewaarplicht verstrekking afschriften rapporten uit persoonsdossiers

II

TOELICHTING OP DE BELEIDSREGELS

Algemene toelichting

Uitbreiding boetebevoegdheid Autoriteit Persoonsgegevens

Op grond van de Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp (Stb. 2015, 230) kan de Autoriteit Persoonsgegevens een bestuurlijke boete (hierna: boete) opleggen ter zake van overtreding van onder andere alle hoofdverplichtingen van de verantwoordelijke uit de Wet bescherming persoonsgegevens (Wbp). De Wet meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp treedt op 1 januari 2016 in werking (Stb. 2015, 281).

De bevoegdheid van de Autoriteit Persoonsgegevens om bij overtredingen van de Wbp een boete op te leggen, gold voorheen uitsluitend voor overtreding van artikel 27 en 28.

De keuze van de wetgever om over te gaan tot uitbreiding van de boetebevoegdheid is ingegeven door de wens de sanctiemogelijkheden van de Autoriteit Persoonsgegevens te versterken om de naleving van de Wbp, zowel door bedrijven als overheden, te bevorderen.3 Met de uitbreiding van de boetebevoegdheid van de Autoriteit Persoonsgegevens wordt toegegroeid naar het handhavingssysteem uit de toekomstige Algemene verordening gegevensbescherming, die de Wbp als algemene wet zal gaan vervangen.4 Ook het voorstel voor deze verordening voorziet in de bevoegdheid voor de nationale toezichthouders om boetes op te leggen bij overtreding van de verordening.

Bindende aanwijzing

Op grond van artikel 66, derde lid, van de Wbp moet de Autoriteit Persoonsgegevens eerst een bindende aanwijzing aan de overtreder geven, voordat zij kan overgaan tot het opleggen van een boete wegens overtreding van de in artikel 66, tweede lid, genoemde artikelen. In de bindende aanwijzing zal de Autoriteit Persoonsgegevens ter concretisering van de wettelijke norm moeten aangeven welke gedraging op grond van de Wbp van de overtreder wordt verwacht en hem zo mogelijk moeten opdragen om de overtreding geheel of gedeeltelijk te herstellen.5 De Autoriteit Persoonsgegevens kan daarbij de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Indien de aanwijzing niet wordt opgevolgd, is de Autoriteit Persoonsgegevens reeds om die reden bevoegd een boete op te leggen.6

Deze verplichting een bindende aanwijzing te geven, alvorens een boete op te leggen, geldt niet indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid (zie het vierde lid van artikel 66 van de Wbp). Deze opsomming is niet cumulatief. Zodra aan een van de beschreven omstandigheden is voldaan, kan de Autoriteit Persoonsgegevens direct een boete opleggen.

Bij de term ‘opzettelijk gepleegd’ valt volgens de wetsgeschiedenis te denken aan ongeoorloofde handel in persoonsgegevens. In dergelijke situaties gaat het bijvoorbeeld om overtreders die willens en wetens de regels overtreden om er zelf financieel beter van te worden.7 Voor de uitleg van het begrip opzet wordt aansluiting gezocht bij de strafrechtelijke jurisprudentie over voorwaardelijk opzet. Onder ‘het gevolg van ernstig verwijtbare nalatigheid’ wordt volgens de wetsgeschiedenis verstaan: indien de overtreding het gevolg is van grof of aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen. Indien meerdere malen eenzelfde type overtreding heeft plaatsgevonden, kan sneller worden aangenomen dat sprake is van nalatigheid.8

Boetebevoegdheid, wettelijk boetemaximum en boetemaximum van tien procent van de jaaromzet

De Autoriteit Persoonsgegevens is op grond van artikel 66 van de Wbp bevoegd een boete op te leggen ter zake van overtredingen van de in het eerste en tweede lid van dat artikel genoemde bepalingen van de Wbp, niet-nakoming van een bindende aanwijzing als bedoeld in het vijfde lid van voornoemd artikel en overtreding van artikel 5:20 van de Algemene wet bestuursrecht (Awb) bij nalevingstoezicht op de Wbp.

De Autoriteit Persoonsgegevens kan voorts op grond van artikel 15.4, vierde lid, van de Telecommunicatiewet (hierna: Tw) een boete opleggen ter zake van overtreding van de in artikel 15.1, tweede lid, van deze wet bedoelde regels (de meldplicht voor datalekken in artikel 11.3a van de Tw), en artikel 5:20 van de Awb bij nalevingstoezicht op de Tw.

Tot slot kan de Autoriteit Persoonsgegevens op grond van artikel 35, derde lid, van de Wet politiegegevens (Wpg) en artikel 27, vierde lid, van de Wet justitiële en strafvorderlijke gegevens (Wjsg) een boete opleggen ter zake van overtredingen van een aantal bepalingen uit die wetten.

De beboetbare bepalingen uit de hiervoor genoemde wetten kennen een wettelijk boetemaximum van € 820.000, € 450.000 of € 20.500. Deze beboetbare bepalingen zijn, gegroepeerd per wettelijk boetemaximum, opgesomd en omschreven in bijlage 1 tot en met 3 bij deze beleidsregels.

Artikel 66, tweede en vijfde lid, van de Wbp, in samenhang gelezen met artikel 23, zevende lid, van het Wetboek van Strafrecht biedt de Autoriteit Persoonsgegevens de mogelijkheid, indien het hoogste boetemaximum van € 820.000 geen passende bestraffing toelaat, aan een rechtspersoon een hogere boete op te leggen tot tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan het besluit waarbij de boete wordt opgelegd.

De bedragen van € 820.000 en € 20.500 zijn de bedragen van geldboetecategorieën, genoemd in artikel 23, vierde lid, van het Wetboek van Strafrecht. Deze worden elke twee jaar bij algemene maatregel van bestuur aangepast aan de geldontwaarding (zie artikel 23, negende lid, van het Wetboek van Strafrecht). De aanpassing aan de ontwikkeling van de consumentenprijsindex kan aanleiding geven de bedragen in deze beleidsregels te wijzigen. De laatste aanpassing van de bedragen heeft met ingang van 1 januari 2016 plaatsgevonden bij het Besluit van 10 november 2015 tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht (Stb. 2015, nr. 420). De regering heeft in het voorstel van wet houdende een verhoging van voor de Autoriteit Consument en Markt geldende boetemaxima (Kamerstuknummers 34190) dat aanhangig is bij de Eerste Kamer, voorgesteld om het op grond van de Tw voor de Autoriteit Persoonsgegevens geldende boetemaximum van € 450.000 te verhogen naar € 900.000. Ook een dergelijke aanpassing kan leiden tot wijziging van de beleidsregels.

Bepalen van de hoogte van bestuurlijke boetes

Bij de vaststelling van (de hoogte van) de boete moet de Autoriteit Persoonsgegevens onder andere het wettelijk boetemaximum, de toepasselijke bepalingen van (hoofdstuk 5 van) de Awb en de algemene beginselen van behoorlijk bestuur in acht nemen.

De Autoriteit Persoonsgegevens kan omwille van de rechtsgelijkheid en rechtszekerheid beleid vaststellen en toepassen inzake de invulling van de bevoegdheid tot het opleggen van een boete, waaronder het bepalen van de hoogte daarvan. Met deze beleidsregels (hierna: Boetebeleidsregels) beoogt de Autoriteit Persoonsgegevens enerzijds inzicht te geven in de factoren die de hoogte van de boete bepalen. Anderzijds bieden de Boetebeleidsregels de Autoriteit Persoonsgegevens de nodige flexibiliteit om in individuele gevallen maatwerk te leveren.

Artikel 4:84 van de Awb biedt de Autoriteit Persoonsgegevens de mogelijkheid van deze beleidsregels met betrekking tot het bepalen van de hoogte van boetes af te wijken vanwege bijzondere gevallen die niet in de beleidsregels zijn verdisconteerd (inherente afwijkingsbevoegdheid).

De werking van deze Boetebeleidsregels wordt twee jaar na inwerkingtreding geëvalueerd om te bezien in hoeverre de inhoud van deze beleidsregels aanpassing behoeft. Te zijner tijd zal nader worden bekeken in welke vorm die evaluatie, waarbij externen zullen worden betrokken, zal plaatsvinden.

Systematiek van de Boetebeleidsregels: categorie-indeling en boetebandbreedtes

In deze Boetebeleidsregels is gekozen voor een categorie-indeling en bandbreedte systematiek.

De beboetbare bepalingen op de naleving waarvan de Autoriteit Persoonsgegevens toezicht houdt, zijn per wettelijk boetemaximum van € 820.000, € 450.000 of € 20.500 ingedeeld in een aantal boetecategorieën, en daaraan verbonden in hoogte oplopende boetebandbreedtes.

De boetecategorieën zijn gerangschikt naar zwaarte van de overtreding van de genoemde artikelen, waarbij categorie I de minst zware overtredingen bevat en categorie II of III de zwaarste overtredingen.

Met de indeling in categorieën geeft de Autoriteit Persoonsgegevens een indicatie van de hoogte van de boete die wegens een bepaalde overtreding kan worden opgelegd.

Bij het bepalen van de categorie-indeling heeft de Autoriteit Persoonsgegevens zich georiënteerd op het voorstel voor de Algemene verordening gegevensbescherming. Het voorstel van de Commissie voor deze verordening en de algemene benadering van de Raad delen de overtredingen in drie categorieën in, en verbinden daaraan in zwaarte oplopende bestuurlijke geldboetes.9

Bij de indeling van de bepalingen in de boetecategorieën heeft de Autoriteit Persoonsgegevens de zwaarte van de geschonden norm gewogen en beoordeeld. Het gaat daarbij om de waarde van de norm en zijn plaats in de hiërarchie van normen in het stelsel van privacy wet- en regelgeving, mede gelet op de daarmee te dienen doelen en de belangen die deze bepalingen beogen te beschermen. Daarnaast is bekeken in welke categorie de betreffende normen in het voorstel voor de Algemene verordening gegevensbescherming zijn ingedeeld.

Voor de algemene verplichtingen voor de verantwoordelijken uit hoofdstuk 2 van de Wbp met een wettelijk boetemaximum van € 820.000, geldt dat ze in beginsel nevengeschikt en niet ondergeschikt zijn ten opzichte van elkaar.10 Dat betreft allereerst de hoofdverplichtingen uit de artikelen 6 tot en met 13. Die bepalingen betreffen de materiële normen die gelden voor alle verwerkingen van persoonsgegevens, waardoor, over het algemeen, de indeling in categorie II op zijn plaats is. Datzelfde geldt voor overtreding van de artikelen 33, 34 en 34a. Transparantie is eveneens een hoofdverplichting van de verantwoordelijke.11 Ten aanzien van de meldplicht voor datalekken heeft de Autoriteit Persoonsgegevens zich georiënteerd op de beleidsregel die door de Minister van Economische Zaken is vastgesteld met betrekking tot het opleggen van bestuurlijke boetes door de Autoriteit Consument en Markt ter zake van overtreding van de meldplicht voor datalekken in artikel 11.3a van de Tw (Boetebeleidsregel ACM 2014).12

Ook voor de rechten van de betrokkene in hoofdstuk 6 geldt dat ze in beginsel nevengeschikt en niet ondergeschikt zijn ten opzichte van elkaar.13 Dit betreft de overtredingen van de artikelen 35 tot en met 42 van de Wbp. Bij het bepalen van de categorie-indeling is ervan uitgegaan dat de verplichtingen die de verantwoordelijken hebben bij de behandeling van verzoeken van betrokkenen om inzage, correctie en verzet in belangrijke mate van juridisch-administratieve aard zijn.14 De materiële rechten van de betrokkene zijn ingedeeld in categorie II. De bepalingen die meer procedurele waarborgen bieden, zoals artikel 35, derde lid, van de Wbp, zijn ingedeeld in categorie I. Hetzelfde geldt in grote lijnen voor de verplichtingen die voortvloeien uit de regeling van de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte zonder een passend beschermingsniveau. Dit betreft de overtredingen van de artikelen 76 tot en met 78 van de Wbp.15

De indeling in categorie III heeft te maken met de aard van het geschonden rechtsgoed, zoals het voorkomen van misbruik van de verwerking van gevoelige informatie over personen en het daaruit voortvloeiende kennispotentieel met betrekking tot andere personen16 dan wel de bescherming van de menselijke waardigheid. Artikel 16 van de Wbp bevat het belangrijke verbod op het verwerken van bijzondere persoonsgegevens. Overtreding van artikel 24 van de Wbp kan aan de orde zijn bij het buitenwettelijk gebruik van persoonsidentificerende nummers. Artikel 42 van de Wbp beschermt tegen besluitvorming ten aanzien van enige natuurlijke persoon op grond van een profielschets of een persoonlijkheidsschets die langs geautomatiseerde weg tot stand is gebracht. Uit de wetsgeschiedenis kan worden opgemaakt dat de menselijke waardigheid vereist dat dergelijke beslissingen over iemand door een andere persoon, en niet slechts door een geautomatiseerd systeem, worden genomen.17

Elke boetecategorie is gekoppeld aan een bepaalde boetebandbreedte die de Autoriteit Persoonsgegevens passend en geboden voorkomt. Dit betekent dat de hoogte van de boetebandbreedtes evenredig moet zijn en voldoende afschrikwekkend voor zowel de overtreder (speciale preventie) als andere potentiële overtreders (generale preventie). Binnen deze bandbreedte stelt de Autoriteit Persoonsgegevens een basisboete vast. Dat is het ‘startbedrag’ om mee verder te rekenen. Als uitgangspunt geldt dat de Autoriteit Persoonsgegevens de basisboete vaststelt op 33% van de bandbreedte van de aan de overtreding gekoppelde boetecategorie.

De hoogte van de boete stemt de Autoriteit Persoonsgegevens vervolgens af op de factoren die zijn genoemd in artikel 6, door te ‘plussen en minnen’ binnen de bandbreedte van de aan die overtreding gekoppelde boetecategorie. Het gaat om de ernst van de concrete overtreding, de mate waarin de overtreding aan de overtreder kan worden verweten en, indien daar aanleiding toe bestaat, andere omstandigheden, zoals de (financiële) omstandigheden waarin de overtreder verkeert. De Autoriteit Persoonsgegevens kan daarbij, zo nodig en afhankelijk van de mate waarin de factoren die zijn genoemd in artikel 6 daartoe aanleiding geven, ‘doorschieten’ in de boetebandbreedte van de naast hogere respectievelijk de naast lagere categorie. Het treden buiten de grenzen van de boetebandbreedte van de basisboete als bedoeld in artikel 7, eerste lid, is aan de orde, indien de hoogte van de boete, gezien de omstandigheden van het concrete geval, anders niet voldoende preventieve werking heeft dan wel onevenredig hoog is. Is het hoogste boetemaximum voor een bepaalde overtreding door een rechtspersoon € 820.000, dan kan de Autoriteit Persoonsgegevens niettemin (eventueel: nog verder) ‘doorschieten’ en aan de rechtspersoon een hogere boete opleggen tot tien procent van de jaaromzet in het boekjaar voorafgaande aan het jaar waarin het boetebesluit wordt genomen. Deze omstandigheid doet zich voor indien de hoogte van de boete in het concrete geval anders als onvoldoende bestraffend wordt ervaren (zie artikel 7, tweede lid).

De Autoriteit Persoonsgegevens houdt voorts rekening met de aanwezigheid van boeteverhogende en boeteverlagende factoren als bedoeld in de artikelen 9 en 10 om bijzondere omstandigheden die zien op de gedragingen van de overtreder te kunnen meewegen. De Autoriteit Persoonsgegevens kan daarbij, zo nodig (nogmaals, als toepassing is gegeven aan artikel 7, eerste lid) en afhankelijk van de mate waarin de boeteverhogende of boeteverlagende omstandigheden daartoe aanleiding geven, buiten de grenzen van de toegepaste boetebandbreedte treden. Een boeteverhogende factor kan uiteraard niet leiden tot een boete die uitstijgt boven het wettelijk boetemaximum of, waar van toepassing, boven tien procent van de jaaromzet in het boekjaar voorafgaande aan het jaar waarin het boetebesluit wordt genomen.

Tot slot beoordeelt de Autoriteit Persoonsgegevens op grond van artikel 5:46 van de Algemene wet bestuursrecht of de toepassing van het beleid voor het bepalen van de hoogte van de boete gezien de omstandigheden van het concrete geval, niet tot een onevenredige uitkomst leidt. Als zij de boete te hoog vindt, gaat zij over tot matiging van de boete. Een dergelijke toepassing van het evenredigheidsbeginsel kan onder andere spelen bij cumulatie van sancties. Op grond van artikel 5:8 van de Awb kan bij de uit het strafrecht bekende meerdaadse samenloop voor iedere overtreding afzonderlijk een boete worden opgelegd. Van meerdaadse samenloop is sprake indien een gedraging (een fysieke handeling) twee of meer overtredingen oplevert, die ook afzonderlijk hadden kunnen worden gepleegd en die verschillende belangen schenden. Indien de Autoriteit Persoonsgegevens voor te onderscheiden, maar wel samenhangende overtredingen twee of meer boetes wil opleggen, moet het totaal van de boetes nog wel aansluiten bij de ernst van de overtredingen. Toepassing van artikel 5:46 van de Awb kan er dan toe leiden dat een boete die voor de betreffende overtreding afzonderlijk in het algemeen redelijk is, in het concrete geval, gezien het totaal van de boetes, als onevenredig moet worden beschouwd en door de Autoriteit Persoonsgegevens dus moet worden gematigd.18

Consultatie

De conceptboetebeleidsregels zijn voor een reactie voorgelegd aan de volgende partijen: de Staatssecretaris van Veiligheid en Justitie, de Minister van Binnenlandse Zaken en Koninkrijksrelaties, de Minister van Economische Zaken, VNO-NCW, de VNG en het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (hierna: NGFG). Tijdens de besloten consultatie zijn schriftelijke reacties ontvangen van de Staatssecretaris van Veiligheid en Justitie, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Economische Zaken, en van VNO-NCW en MKB Nederland.

Verder zijn de conceptboetebeleidsregels voorwerp van een internetconsultatie geweest. De internetconsultatie heeft negen reacties opgeleverd. Tijdens de internetconsultatie zijn schriftelijke reacties ontvangen van twee individuele burgers en zeven organisaties, bedrijven en adviseurs.

Hoofdpunten uit de reacties zijn opmerkingen over: het ontbreken van inzicht in hoe de Autoriteit Persoonsgegevens de basisboete vaststelt; de indeling van artikelen in meer dan een boetecategorie (al dan niet gerelateerd aan de mogelijkheden voor de Autoriteit Persoonsgegevens om buiten de boetebandbreedte te treden of het gekozen aantal boetecategorieën); hoe de Autoriteit Persoonsgegevens rekening houdt met beperkte financiële draagkracht van kleine ondernemingen; hoe de Autoriteit Persoonsgegevens omgaat met cumulatie van bestuurlijke sancties; wanneer de Autoriteit Persoonsgegevens welk handhavingsinstrument inzet en de term ‘ernstig verwijtbare nalatigheid’ in relatie tot het lex certa-beginsel.

Naar aanleiding van de reacties heeft de Autoriteit Persoonsgegevens wijzigingen in de conceptboetebeleidsregels aangebracht. De aangehaalde punten zijn grotendeels geadresseerd in de betreffende artikelen van de beleidsregels of in de desbetreffende onderdelen van deze toelichting (waar relevant). De laatste twee punten hebben niet geleid tot aanpassing van het concept.

Deze Beleidsregels gaan alleen over het bepalen van de hoogte van boetes. De Autoriteit Persoonsgegevens heeft ervoor gekozen om de Beleidsregels handhaving door het CBP (Stcrt. 2011, nr. 1916) over het prioriteringsbeleid van de Autoriteit Persoonsgegevens op dit moment niet aan te vullen of uit te breiden met bijvoorbeeld een toelichting over wanneer de Autoriteit Persoonsgegevens kiest voor formele handhavingsinstrumenten zoals de last onder dwangsom, de bindende aanwijzing en de boete en wanneer voor meer informele instrumenten zoals een waarschuwing. Het bestuursrecht kent overigens ook geen ‘voorwaardelijke boete’. Te zijner tijd zal nader worden bekeken of de Beleidsregels handhaving door het CBP aanpassing behoeven, nadat ervaring is opgedaan met handhaving door middel van het opleggen van een boete.

In de wetsgeschiedenis wordt het lex certa-beginsel steeds in verband gebracht met het algemeen-abstracte karakter van de materiële normen van de Wbp.19 In de bindende aanwijzing zal de Autoriteit Persoonsgegevens ter concretisering van de wettelijke norm moeten aangeven welke gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht en hem zo mogelijk moeten opdragen om de overtreding geheel of gedeeltelijk te herstellen. Hieruit valt geenszins op te maken dat het gebruik van de term ‘ernstig verwijtbare nalatigheid’ (zonder nadere uitwerking) in strijd zou komen met het principe van kenbaarheid en duidelijkheid van door bestuurlijke sancties te handhaven voorschriften. Artikel 66, vierde lid, van de Wbp geeft geen materiële norm die kan worden overtreden. Het betreft een uitzondering op een procedurele bepaling over de verplichting een bindende aanwijzing te geven, alvorens een boete op te leggen. Nog daargelaten hetgeen reeds in de wetsgeschiedenis is opgenomen over de uitleg van dit begrip.

Overige reacties en opmerkingen die niet (primair) zien op het beleid met betrekking tot het bepalen van de hoogte van boetes zullen op een andere wijze ter hand worden genomen.

Artikelsgewijze toelichting

Artikel 6, eerste lid

De Autoriteit Persoonsgegevens stemt de beoordeling van de aard en omvang van de overtreding in ieder geval af op: de schaal waarop de overtreding heeft plaatsgevonden, de intensiteit van de overtreding en het stelselmatige of incidentele karakter ervan.

De Autoriteit Persoonsgegevens stemt de beoordeling van de impact van de overtreding op (de bescherming van persoonsgegevens en van de persoonlijke levenssfeer voor) de betrokkenen en/of de maatschappij bijvoorbeeld af op: het (financiële) voordeel dat de overtreder heeft behaald met de overtreding en/of de schade die betrokkenen hebben geleden door de overtreding.

Artikel 6, tweede lid, tweede volzin

De tweede volzin van dit artikellid maakt duidelijk dat het criterium ‘opzettelijk of ernstig verwijtbaar nalatig handelen’ in artikel 66, vierde lid, van de Wbp een aanzienlijke mate van verwijtbaarheid veronderstelt. Dat heeft, in gevallen waarin de Autoriteit Persoonsgegevens een boete kan opleggen aan de overtreder zonder eerst een bindende aanwijzing te geven, bij het bepalen van de hoogte van de boete overeenkomstig paragraaf 2.4 gevolgen voor de beoordeling van de mate waarin de overtreding aan de overtreder kan worden verweten. Dit houdt in dat een verlaging van de basisboete vanwege verminderde verwijtbaarheid in een dergelijk geval niet in de rede ligt.

Artikel 6, derde lid

De Autoriteit Persoonsgegevens houdt, op aandragen van de overtreder, zo nodig rekening met de grootte van een onderneming in relatie tot de beperkte(re) financiële draagkracht van de overtreder.

Artikel 7, eerste lid

De Autoriteit Persoonsgegevens kan de boetebandbreedte van de naast hogere categorie respectievelijk de bandbreedte van de naast lagere categorie toepassen indien de hoogte van de boete, gezien de relevante factoren die zijn genoemd in artikel 6, anders niet voldoende preventieve werking heeft dan wel onevenredig hoog is.

Artikel 7, tweede lid

Indien in voorkomende gevallen een boete van € 820.000 geen passende bestraffing toelaat omdat deze anders bijvoorbeeld niet in verhouding staat tot het met de overtreding behaalde voordeel, kan de Autoriteit Persoonsgegevens een hogere boete opleggen tot ten hoogste tien procent van de jaaromzet van de rechtspersoon.

Artikel 8

Indien in een concreet geval sprake is van boeteverhogende of boeteverlagende omstandigheden kan, na het bepalen van de boeteverhoging of boeteverlaging, buiten de toegepaste bandbreedte worden getreden. De ‘toegepaste’ bandbreedte hoeft niet de bandbreedte van de aan de overtreding gekoppelde boetecategorie (ook wel: bandbreedte van de basisboete) te zijn.

Artikel 9, eerste lid

Een boeteverhoging vanwege de omstandigheid dat de overtreder het onderzoek, bedoeld in artikel 60 van de Wbp, van de Autoriteit Persoonsgegevens heeft tegengewerkt of belemmerd, is mogelijk voor zover dit geen afbreuk doet aan de rechten van verdediging die een overtreder toekomen. Een dergelijke boeteverhoging is niet mogelijk indien een boete aan de overtreder is of wordt opgelegd wegens niet-meewerken aan het onderzoek (artikel 5:20 van de Awb).

Artikel 9, tweede lid

Dit artikel maakt duidelijk dat de enkele niet-nakoming van een bindende aanwijzing als bedoeld in artikel 66, vijfde lid, van de Wbp nog geen recidive veronderstelt, omdat geen sprake is van eenzelfde of soortgelijke overtreding van het onderliggende artikel in de zin van dit tweede lid. Dat is ook van belang omdat de ratio van de regeling van de bindende aanwijzing is dat de Autoriteit Persoonsgegevens in de bindende aanwijzing ter concretisering van de wettelijke norm moet aangeven welke gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht. Dit houdt verband met het algemeen-abstracte karakter van de normen van de Wbp en het lex certa-beginsel.20 Onduidelijkheid over de invulling van de betreffende norm behoort dan ook geen boeteverhogende factor te zijn.

Artikel 10

Dit artikel geeft een (niet-limitatief) overzicht van boeteverlagende omstandigheden.

Bij het criterium ‘verdergaande medewerking verleend aan de Autoriteit Persoonsgegevens dan waartoe de overtreder wettelijk gehouden was’, bedoeld in artikel 10, onder a, valt te denken aan de situatie waarin de overtreder niet alleen medewerking aan het onderzoek, bedoeld in artikel 60 van de Wbp, heeft verleend (bijvoorbeeld een verklaring heeft willen afleggen), maar ook sprake is van een daadwerkelijk verdergaande medewerking aan het onderzoek dan waartoe de overtreder wettelijk was gehouden.

Het criterium dat ‘de overtreder de overtreding heeft beëindigd voor of bij de eerste bekendwording met het onderzoek van de Autoriteit Persoonsgegevens’ heeft betrekking op gevallen waarin de overtreder heeft gehandeld met het oogmerk om actief (uit eigen beweging) de overtreding te beëindigen.

Bijlage 1, artikel 6 van de Wbp

Het woord ‘wet’ in artikel 6 van de Wbp heeft mede betrekking op andere wetgeving inzake de verwerking van persoonsgegevens. Het gaat hier dus om een schakelbepaling die verzekert dat de betrokken regelingen in onderling verband van toepassing zijn.21 Artikel 6 van de Wbp is daarom ingedeeld in categorie I, II of III. De voor de concrete overtreding geldende boetecategorie is dan bijvoorbeeld afhankelijk van de zwaarte van de geschonden norm uit die andere regelingen. Niet uitgesloten is voorts dat overtreding van een specifiek gedragsvoorschrift tevens een schending van artikel 6 van de Wbp oplevert. In dat geval ligt het in de rede dat de Autoriteit Persoonsgegevens een eventuele boete primair baseert op het meer specifieke voorschrift (vergelijk artikel 55, tweede lid, van het Wetboek van Strafrecht).22

Bijlage 2: artikel 11.3a van de Tw

In artikel 34a van de Wbp is per 1 januari 2016 een algemene meldplicht voor datalekken geïntroduceerd. Artikel 11.3a van de Tw kende al de meldplicht datalekken voor aanbieders van openbare elektronische communicatiediensten. Artikel 34a, negende lid, van de Wbp maakt duidelijk dat geen melding hoeft te worden gedaan van een datalek ingevolge artikel 34a van de Wbp indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst, in verband met de levering van openbare elektronische communicatiediensten, al een kennisgeving heeft gedaan ingevolge artikel 11.3a van de Tw. Voor andere situaties gelden de algemene bepalingen over cumulatie van sancties uit de Awb.

Het verschil in categorie-indeling tussen artikel 11.3a van de Tw en artikel 34a van de Wbp hangt samen met het grote onderscheid in wettelijk boetemaximum tussen de beide artikelen. Bij de Eerste Kamer is een wetsvoorstel (Kamerstuknummers 34190) aanhangig om het op grond van de Tw voor onder andere de Autoriteit Persoonsgegevens geldende boetemaximum van € 450.000 te verhogen naar € 900.000. Een dergelijke wijziging kan leiden tot aanpassing van de boetebandbreedtes en gelijkschakeling van de boetecategorieën.

Bijlage 3: de artikelen 4, derde lid, en 78, tweede lid, onder a, van de Wbp

Het wettelijk boetemaximum voor wat betreft de bepalingen die onder de Wbp ook strafrechtelijk kunnen worden bestraft, is gelijkgesteld aan de hoogste strafrechtelijke geldboete die volgens artikel 75 van de Wbp kan worden opgelegd (de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht, ofwel € 20.500).

Op grond van artikel 75, eerste lid, van de Wbp kan de verantwoordelijke die in strijd handelt met hetgeen bij of krachtens artikel 4, derde lid, en artikel 78, tweede lid, onder a, is bepaald, worden gestraft met een geldboete van de derde categorie. De verantwoordelijke die een dergelijk feit opzettelijk begaat, kan worden gestraft met een geldboete van de vierde categorie. Als in plaats van strafvervolging een boete wordt opgelegd, legt de Autoriteit Persoonsgegevens geen hogere boete op dan de maximale geldboete die de strafrechter in het concrete geval zou hebben kunnen opleggen. Dat is afhankelijk van of de overtreding opzettelijk is gepleegd of niet een boete van ten hoogste het bedrag van de geldboete van de vierde respectievelijk de derde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (per 1 januari 2016: € 20.500 dan wel € 8.200).


X Noot
1

Zie artikel I van het Besluit van 10 november 2015 tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht (Stb. 2015, nr. 420).

X Noot
2

Zie artikel I van het Besluit van 10 november 2015 tot wijziging van de bedragen van de categorieën, bedoeld in artikel 23, vierde lid, van het Wetboek van Strafrecht.

X Noot
3

Kamerstukken II 2014/15, 33 662, nr. 9, p. 4.

X Noot
4

Kamerstukken II 2014/15, 33 662, nr. 9, p. 11.

X Noot
5

Kamerstukken II 2014/15, 33 662, nr. 9, p. 4.

X Noot
6

Kamerstukken II 2014/15, 33 662, nr. 9, p. 17.

X Noot
7

Kamerstukken II 2014/15, 33 662, nr. 9, p. 17.

X Noot
8

Kamerstukken II 2014/15, 33 662, nr. 16.

X Noot
9

De voorgestelde maximale boete is 1 miljoen euro of, voor een onderneming, 2% van de jaarlijkse wereldwijde omzet (artikel 79 van het voorstel van de Commissie en artikel 79a van de algemene benadering van de Raad).

X Noot
10

Kamerstukken II 2014/15, 33 662, nr. 9, p. 19.

X Noot
11

Zie ook Kamerstukken II 2014/15, 33 662, nr. 9, p. 17-18.

X Noot
12

Vgl. Kamerstukken II 2014/15, 33 662, nr. 9, p. 19-20.

X Noot
13

Kamerstukken II 2014/15, 33 662, nr. 9, p. 19.

X Noot
14

Zie ook Kamerstukken II 2014/15, 33 662, nr. 9, p. 18.

X Noot
15

Kamerstukken II 2014/15, 33 662, nr. 9, p. 18.

X Noot
16

Dat raakt aan het verbod op het maken van onderscheid tussen personen op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht etc. (o.a. artikel 1 van de Grondwet). Vgl. Kamerstukken II 1997/98, 25 892, nr. 3, p. 11 en Kamerstukken II 1998/99, 25 892, nr. 6, p. 10.

X Noot
17

Kamerstukken II 1997/98, 25 892, nr. 3, p. 169-170.

X Noot
18

Zie ook Kamerstukken II 2003/04, 29 702, nr. 3, p. 90-91.

X Noot
19

Zie ook Kamerstukken II 2014/15, 33 662, nr. 9, p. 4.

X Noot
20

Kamerstukken II 2014/15, 33 662, nr. 9, p. 4.

X Noot
21

Kamerstukken II 1997/98, 25 892, nr. 3, p. 78.

X Noot
22

Zie ook Kamerstukken II 2003/04, 29 702, nr. 3, p. 90-91.

Naar boven