Ontvangen 25 november 2014
Het voorstel van wet wordt gewijzigd als volgt:
A
Het opschrift wordt gewijzigd als volgt:
1. De zinsnede «en de Telecommunicatiewet» wordt vervangen door: en enige andere wetten.
2. Na «beveiliging van persoonsgegevens» wordt ingevoegd: alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen.
3. Na «meldplicht datalekken» wordt ingevoegd: en uitbreiding bestuurlijke boetebevoegdheid Cbp.
B
In de considerans wordt na «in het leven te roepen» ingevoegd: alsmede om de Wet bescherming persoonsgegevens te wijzigen om een uitbreiding te realiseren van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bij of krachtens die wet bepaalde een bestuurlijke boete op te leggen;
C
In artikel I wordt voor onderdeel A een onderdeel ingevoegd, luidende:
0A
In artikel 1 wordt, onder vervanging van de punt aan het slot van onderdeel p door een puntkomma, twee onderdelen toegevoegd, luidende:
q. bindende aanwijzing: de zelfstandige last die wegens een overtreding wordt opgelegd;
r. zelfstandige last: de enkele last tot het verrichten van bepaalde handelingen, bedoeld in artikel 5:2, tweede lid, van de Algemene wet bestuursrecht, ter bevordering van de naleving van wettelijke voorschriften.
D
In artikel I wordt na onderdeel C een onderdeel ingevoegd, luidende:
Ca
Aan artikel 51 wordt een lid toegevoegd, luidende:
4. Het College wordt in het maatschappelijk verkeer aangeduid als: Autoriteit persoonsgegevens.
E
Artikel I, onderdeel D, komt te luiden:
D
Artikel 66 komt te luiden:
Artikel 66
1. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 4, derde lid, of 78, tweede lid, aanhef en onder a.
2. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eerste en vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, alsmede van artikel 5:20 van de Algemene wet bestuursrecht.
3. Het College legt geen bestuurlijke boete op wegens overtreding van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen, dan nadat het een bindende aanwijzing heeft gegeven. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd.
4. Het derde lid is niet van toepassing indien de overtreding opzettelijk is gepleegd.
F
Na artikel I, onderdeel D, wordt een onderdeel toegevoegd, luidende:
Da
Na artikel 66 wordt een artikel ingevoegd, luidende:
Artikel 67
1. Een door het College vastgestelde beleidsregel omtrent de uitleg van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen, behoeft de goedkeuring van Onze Minister en Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties.
2. De goedkeuring kan slechts worden onthouden wegens strijd met het recht of het algemeen belang.
G
Na artikel I, onderdeel E, wordt een onderdeel toegevoegd, luidende:
Ea
In artikel 75, eerste lid, wordt «hetgeen bij of krachtens artikel 4, derde lid, 27, 28, 78, tweede lid, onder a, of 79, eerste lid, is bepaald,» vervangen door: hetgeen bij of krachtens artikel 4, derde lid, of 78, tweede lid, is bepaald.
H
Na artikel III worden twee artikelen toegevoegd, luidende:
Artikel IIIa
In artikel 35, derde lid, van de Wet politiegegevens komt de tweede volzin te luiden: De artikelen 66, eerste lid, en 71 van de Wet bescherming persoonsgegevens zijn van overeenkomstige toepassing.
Artikel IIIb
In artikel 27, vierde lid, van de Wet justitiële en strafvorderlijke gegevens komt de tweede volzin te luiden: De artikelen 66, eerste lid, en 71 van de Wet bescherming persoonsgegevens zijn van overeenkomstige toepassing.
I
Na artikel IV worden twee artikelen toegevoegd, luidende:
Artikel IVa
Onze Minister van Veiligheid en Justitie zendt binnen een jaar na het van toepassing worden van de algemene verordening gegevensbescherming van de Europese Unie, aan de Staten-Generaal een verslag over de doeltreffendheid en de effecten van deze wet in de praktijk.
Artikel IVb
Indien het bij koninklijke boodschap van 28 juni 2013 ingediende voorstel van wet tot wijziging van het Wetboek van Strafrecht, het Wetboek van Strafvordering en de Wet op de economische delicten met het oog op het vergroten van de mogelijkheden tot opsporing, vervolging, alsmede het voorkomen van financieel-economische criminaliteit (verruiming mogelijkheden bestrijding financieel-economische criminaliteit) (Kamerstukken 33 685) tot wet wordt verheven en artikel I, onderdeel D, van die wet eerder in werking is getreden of treedt dan artikel I, onderdeel D, van deze wet, wordt in artikel I, onderdeel D, aan artikel 66, tweede lid, van de Wet bescherming persoonsgegevens een volzin toegevoegd: Artikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.
Met deze tweede nota van wijziging wordt uitvoering gegeven aan het regeerakkoord van het kabinet-Rutte II «Bruggen slaan» van 29 oktober 2012 om een uitbreiding te realiseren van de bevoegdheid van het College bescherming persoonsgegevens (hierna ook: Cbp) om bij overtreding van de normen van de Wet bescherming persoonsgegevens (Wbp) een bestuurlijke boete op te leggen. Met de versterking van de sanctiemogelijkheden van de toezicht- en handhavende autoriteit beoogt het kabinet de naleving van de Wbp, door zowel bedrijven als overheden, te bevorderen. Deze nota van wijziging wordt mede namens de Minister van Binnenlandse Zaken uitgebracht.
Onder de huidige Wbp nemen bestraffende sancties (bestuursrechtelijke boetes of strafrechtelijke sancties als gevangenisstraf of een geldboete) een bescheiden plaats in. Met deze nota van wijziging wordt voorgesteld om de bestraffende sanctionering sterk uit te breiden en daarbij het primaat te leggen bij het bestuursrecht. Het voorstel strekt ertoe om de materiële normen van de Wbp, die vanaf de inwerkingtreding van de wet (1 september 2001) al wel met bestuursrechtelijke herstelsancties kunnen worden gehandhaafd, voortaan ook bestuurlijk beboetbaar te maken (vgl. ook motie Recourt c.s., Kamerstukken II 2011/12, 32 761, nr. 35). Het aantal bepalingen dat (mede) strafrechtelijk kan worden gehandhaafd wordt beperkt.
Gevolg gevend aan het advies van de Afdeling advisering van de Raad van State bevat de nota van wijziging een tweetal voorzieningen die tegemoet komen aan de behoefte om meer checks and balances in het systeem in te bouwen en om de waarborgen van de normadressaten in verband met het lex certa-beginsel te versterken. De behoefte aan meer checks and balances hangt samen met het feit dat in de toekomstige situatie een sterkere concentratie van uiteenlopende taken bij het Cbp ontstaat. Feitelijk komt een deel van de normstelling te liggen bij het orgaan dat vervolgens geacht wordt om dezelfde normen via punitieve sancties te handhaven. Aldus komen normstelling en handhaving in belangrijke mate in één hand te liggen. Het advies van de Afdeling om bij de totstandkoming van nadere normstelling de betrokkenheid van de voor de wetgeving verantwoordelijke bewindspersoon in de wet te waarborgen is overgenomen. In artikel I, onderdeel Da, van de nota van wijziging wordt een nieuw artikel 67 voorgesteld dat inhoudt dat beleidsregels van het Cbp die uitleg geven aan de materiële normen van de Wbp waarvan overtreding door het Cbp met een bestuurlijke boete kan worden bestraft, aan ministeriële goedkeuring zijn onderworpen.
Verder wordt, in de verband met het algemeen-abstracte karakter van de normen van de Wbp en het lex certa-beginsel, in de nota van wijziging een bepaling opgenomen die inhoudt dat het Cbp bij een vermoeden van overtreding van deze open normen in de regel niet zonder meer een bestuurlijke boete kan opleggen, maar dat het eerst een bindende aanwijzing moet geven. In de bindende aanwijzing zal de toezichthouder ter concretisering van de wettelijke norm moeten aangeven welke gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht en hem zo mogelijk moeten opdragen om de overtreding geheel of gedeeltelijk te herstellen (zie artikel I, onderdelen 0A en Da, de nieuw voorgestelde artikelen 1, onderdelen q en r, en 66, derde en vierde lid, Wbp).
Tot slot is in de nota van wijziging een bepaling opgenomen die het voor het College bescherming persoonsgegevens mogelijk maakt om in het maatschappelijke verkeer een naam te gebruiken die meer aansluit bij Europese ontwikkelingen en die tegelijkertijd een einde maakt aan de verwarring met het Centraal Planbureau (CPB). De benaming «Autoriteit persoonsgegevens» maakt aan de verwarring een einde en markeert zowel voor het Cbp als voor de verantwoordelijken waarop het toezicht houdt dat er een fase is ingetreden waarin we toegroeien naar een in Europees verband verdergaand geharmoniseerd systeem van bescherming van persoonsgegevens (zie artikel I, onderdeel Ca, waarin wordt voorgesteld een vierde lid aan artikel 51 Wbp toe te voegen).
Het regeerakkoord beoogt de bescherming van persoonsgegevens te verbeteren. Naast de aankondiging van de versterking van de sanctiebevoegdheden van het Cbp, heeft het kabinet als leidende notie in het regeerakkoord opgenomen dat bescherming van persoonsgegevens bij de bouw van ICT-systemen en het aanleggen van (grote) databestanden uitgangspunt is. Het kabinet vermeldt ook dat een zogenaamd privacy impact assessment (PIA) daar standaard bij hoort. Zowel de overheid als het bedrijfsleven zouden bij de ontwikkeling van hun producten en diensten en de inrichting van hun organisatie een privacy impact assessment moeten doen. Het gaat er daarbij in essentie om dat bedrijven en overheden in de ontwikkelingsfase van een product of dienst en de inrichting van de organisatie een goede bescherming van persoonsgegevens van burgers of consumenten opnemen. Organisaties moeten vervolgens aan de burger of de consument duidelijk maken hoe zij hun processen inrichten, en welke waarborgen en bescherming worden ingebouwd. Daarmee kunnen zij invulling geven aan het transparantiebeginsel en de eigen verantwoordelijkheid die zij hebben bij het verwerken van persoonsgegevens.
Het instrument van een privacy impact assessment is nauw verbonden met de notie van «privacy by design», een notie die ertoe wil aanzetten om de bescherming van persoonsgegevens al in het beginstadium van een nieuw project mee te nemen. Bij een nieuw project hoort ook een beschrijving van een ontwerp voor de «informatiearchitectuur», rekening houdend met beginselen van dataminimalisatie, doelbinding, beveiliging tegen onrechtmatige kennisneming, transparantie en controle over zijn/haar persoonsgegevens door de burger. In opdracht van het Ministerie van Economische Zaken is uitvoering gegeven aan het actieplan Privacy, door het Privacy & Identity Lab (PI.lab) en TNO. Het actieplan Privacy beoogt privacy-vriendelijke innovatie te stimuleren door het verzamelen van de beste technologieën en praktijken en het beschikbaar maken van voorbeelden. Voor de rijksoverheid heeft het kabinet een toetsmodel ontwikkeld dat met ingang van 1 september 2013 standaard wordt gehanteerd bij het verrichten van een privacy impact assessment (Kamerstukken II 2012/13, 26 643, nr. 282). Dit toetsmodel grijpt aan bij ontwikkeling van wetgeving en beleid door de rijksoverheid, voor zover dat beleid met verwerking van persoonsgegevens van burgers gepaard gaat. Dit is op vrijwel alle terrein van overheidsbeleid het geval (onderwijs, zorg, gezondheid, belastingen, sociale zekerheid, veiligheid etc). Een privacy impact assessment is een hulpmiddel bij het ontwerpen van de informatiearchitectuur, de samenwerkingsrelaties met de betrokken (keten)partners en de rechten van burgers, bij de ontwikkeling en verbetering van producten en diensten. Het kan zowel in het publieke domein als in het private domein van waarde zijn, met name bij risicovolle verwerkingen.
De ontwikkeling van de informatiemaatschappij heeft de overheid voor een aantal vragen geplaatst, waarop antwoorden moeten worden geformuleerd. Het gebruik van ICT door particulieren, bedrijven en de overheid is de afgelopen jaren op spectaculaire schaal toegenomen als gevolg van technologische ontwikkelingen. Die technologische ontwikkelingen vertalen zich in schaalvoordelen en lagere kosten voor het gebruik van ICT. Het is duidelijk dat dit de samenleving veel voordelen oplevert in de vorm van efficiënte en betaalbare communicatiemogelijkheden, zowel voor zakelijk als voor particulier gebruik. In het openbare debat van de afgelopen jaren zijn de ontwikkeling van de informatiemaatschappij en de snelle technologische ontwikkelingen voorwerp van discussie geweest1.
Door achtereenvolgende kabinetten is gericht aandacht besteed aan de verschillende vraagstukken. Het kabinet Balkenende- IV heeft op 3 november 2009 een beleidsreactie uitgebracht op het advies van de Adviescommissie veiligheid en persoonlijke levenssfeer (commissie Brouwer-Korf) en de evaluatie van de Wbp (Kamerstukken II 2009/10, 31 051, nr. 5). Door het kabinet Rutte-I is een kabinetsreactie uitgebracht op het WRR-rapport ioverheid (25 oktober 2011) en een algemene beleidsnotitie opgesteld (notitie privacybeleid, 29 april 2011), het kabinet Rutte-II heeft begin 2013 beleidsnotities het licht doen zien over e-privacy, het gebruik van data in en door de private sector (Kamerstukken II 2012/13, 32 761, nr. 49) over de digitale overheid 2017 (Kamerstukken II 2012/13, 26 643, nr. 280), over vrijheid en veiligheid in de digitale samenleving; een agenda voor de toekomst (Kamerstukken II 2013/14, 26 643, nr. 298, en over de aanpak van identiteitsfraude – «Slim voorkomen, vlot herstellen» (Kamerstukken II 2013/14, 26 643, nr. 301).
De snelle technologische ontwikkelingen en de toenemende globalisering hebben -binnen Europa- de vraag doen rijzen of de geldende regelgeving (Dataprotectieverdrag, EU-richtlijn 95/462, die in Nederland is omgezet in de Wbp), de samenleving nog adequaat beschermt tegen gevolgen van die ontwikkelingen. De bescherming van de persoonlijke levenssfeer en de bescherming van persoonsgegevens is een grondrecht (o.a. artikelen 10 en 13 Grondwet, artikel 8 EVRM en artikel 8 van het Handvest van de grondrechten van de EU). Het antwoord op deze vraag luidt ontkennend. Daarop is in 2010 door de Europese overheden besloten dat herziening van de bestaande instrumenten noodzakelijk en gewenst is, o.a. ter versterking van de rechten van de burger, het terugdringen van administratieve lasten voor de verantwoordelijken en versterking van de mechanismen voor toezicht en handhaving. Daarna zijn zowel door de Raad van Europa als de Europese Unie voorstellen gedaan voor vervanging van de huidige rechtsinstrumenten door nieuwe. Voor een actuele stand van zaken van de Europese ontwikkelingen wordt verwezen naar de website van het kenniscentrum wetgeving; dossier bescherming persoonsgegevens: http://www.kc-wetgeving.nl/gereedschapskist/dossiers/bescherming-persoonsgegevens/).
De verwachting is dat de nieuwe algemene verordening bescherming persoonsgegevens (hierna: concept EU-verordening), die de Wbp als algemene wet zal gaan vervangen, in 2015 tot stand komt en in 2017 van toepassing wordt in de lidstaten. De concept-verordening draagt de lidstaten onder andere op om te voorzien in de instelling van onafhankelijke nationale autoriteiten en deze met nader omschreven toezichthoudende en handhavende bevoegdheden uit te rusten, waaronder de bevoegdheid om bij overtreding van de bepalingen van de verordening bestuurlijke boetes op te leggen. Bij de herziening van het Dataprotectieverdrag staat het behoud van het karakter van een minumumstandaard voor de bescherming van persoonsgegevens voorop, opdat landen van de Raad van Europa die nog geen partij bij het verdrag zijn, alsook derde landen, tot het verdrag kunnen toetreden. Het Dataprotectieverdrag bevat geen bepalingen over sanctionering. Wanneer de herziening van het Dataprotectieverdrag zal zijn afgerond is nog niet duidelijk; de herziening loopt tot nog toe parallel aan de herziening van de rechtsinstrumenten in EU-verband3.
De Wbp is in twee fasen geëvalueerd. In 2007 is de eerste fase van de evaluatie afgerond. Dit rapport had voornamelijk een juridisch karakter4. De conclusies van dit rapport laten zich in vier thema's samenvatten. Het eerste thema is dat het begrippenapparaat van de Wbp vaak aanleiding geeft tot interpretatievraagstukken die voortvloeien uit nieuwe technologische ontwikkelingen. Het tweede thema is nauw verwant aan het eerste. Het algemeen-abstract geformuleerde karakter van de materiële normen van de Wbp geeft in de praktijk aanleiding tot onzekerheid bij de toepassing ervan. De realiteitswaarde van deze thema's moet worden erkend. Tegelijkertijd merken wij op dat de beide thema's onlosmakelijk verbonden zijn met de inhoud en structuur van de EU-richtlijn. In de Wbp kan noch wat betreft het begrippenapparaat, noch wat betreft de aard van de materiële normering afstand worden genomen van hetgeen de richtlijn regelt. Daar komt bij dat de Wbp een algemene voorziening is, die geldt voor alle verwerkingen van persoonsgegevens die vallen binnen de ruime reikwijdtebepaling van de Wbp. Het gaat om zeer uiteenlopende verwerkingen in het private en publieke domein. Dat heeft onvermijdelijk tot consequentie dat de normering algemeen van aard is. Het alternatief zou zijn dat er meer sectorspecifieke regelgeving wordt vastgesteld. Dat leidt onvermijdelijk tot een grotere regeldruk. Dit acht het kabinet niet aanvaardbaar.
De vervanging, op EU-niveau, van de richtlijn door een verordening beoogt het begrippenapparaat te vernieuwen en daarbij ook te verduidelijken. In het karakter van de normstelling komt geen verandering. De concept EU-verordening kent eveneens een «algemeen-abstracte» formulering van een aantal belangrijke materiële normen. Deze normen gaan bovendien rechtstreeks gelden in alle lidstaten van de EU. Ofschoon dit wel belangrijke verbeteringen zijn, zullen daarmee niet alle afbakenings- en interpretatieproblemen zijn opgelost. Met het versterkte samenwerkingsmechanisme tussen de toezichthouders en het Europees Comité voor gegevensbescherming zullen interpretatie- en toepassingsvraagstukken die in meer lidstaten leven, sneller en adequater kunnen worden opgepakt.
Het derde thema uit het eerste evaluatierapport is terugdringing van de administratieve lasten en de nalevingskosten. Het vierde thema betreft het terrein van de grensoverschrijdende gegevensdoorgiften. Beide thema’s spelen een cruciale rol bij de onderhandelingen en de standpuntbepaling van Nederland over de EU-verordening. Deze thema’s blijven hier verder buiten beschouwing.
In 2008 is de tweede fase van de evaluatie van de Wbp afgerond5. Dit rapport had vooral een sociaalwetenschappelijk karakter. De titel van dit rapport («Wat niet weet, wat niet deert») geeft de centrale conclusie die eruit moet worden getrokken goed weer. Er is sprake van een breed nalevingstekort, zowel in de publieke, als in de private sector. In het eerdergenoemde kabinetsstandpunt uit 2009 is daaraan de conclusie verbonden dat versterking van de naleving van de Wbp noodzakelijk is.
Voor zover wetgeving een bijdrage kan leveren aan de versterking van de naleving van de Wbp bewandelt het kabinet met dit wetsvoorstel twee sporen. Het eerste spoor betreft vergroting van het vertrouwen van de burger in verwerking van persoonsgegevens. Meer transparantie leidt tot een beter beeld bij de betrokkenen over de verwerking van zijn gegevens en hetgeen met die gegevens gebeurt. Bij de transparantie hoort ook dat de burger in kennis wordt gesteld als zich onverhoopt een «datalek» bij de verantwoordelijke voordoet. Dit brengt immers risico’s op misbruik van persoonsgegevens met zich, waar zowel de verantwoordelijke als de betrokkene zich tegen moeten wapenen. Dit wetsvoorstel bevat daartoe een algemene meldplicht voor datalekken.
Het tweede spoor, dat met deze tweede nota van wijziging aan het wetsvoorstel wordt toegevoegd, betreft versterking van de sanctionering door het Cbp. Het Cbp steekt nu vaak energie in het opleggen van reparatoire bestuurlijke sancties als wordt geconstateerd dat de bepalingen van de Wbp worden overtreden. Deze sancties -of het dreigen daarmee- zijn vaak wel effectief, maar ontberen generaal preventieve werking. Wat node wordt gemist is de dreiging en afschrikwekkende werking van een forse bestuurlijke boete. Dit zal de effectiviteit en efficiëntie van het optreden van het Cbp ten goede komen.
Het huidige sanctie-instrumentarium van het Cbp is drieledig van aard. Op grond van artikel 65 van de Wbp kan het Cbp een last onder bestuursdwang opleggen bij overtreding van de bij of krachtens de Wbp vastgestelde bepalingen. Uit artikel 5:32 van de Awb volgt dat het Cbp in alle gevallen ook een last onder dwangsom kan vaststellen.
Op grond van artikel 66 van de Wbp kan het Cbp bij overtreding van de artikelen 27 en 28 en 79, eerste lid, van de Wbp een bestuurlijke boete opleggen van maximaal € 4.5006. De met een bestuurlijke boete gesanctioneerde bepalingen zijn administratieve verplichtingen. Het betreft het niet of niet volledig voldoen aan de meldplicht om voorafgaand aan een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens deze verwerking aan te melden bij het Cbp dan wel bij de door de verantwoordelijke zelf benoemde functionaris voor de gegevensbescherming. Dezelfde bepalingen zijn ook strafrechtelijk gesanctioneerd.
Wie handelt in strijd met genoemde bepalingen kan op grond van artikel 75 van de Wbp worden bestraft met een geldboete van de derde categorie van artikel 23, vierde lid, Wetboek van Strafrecht (Sr). Het maximumbedrag van deze categorie is thans € 8.1007. Wordt het feit opzettelijk begaan, dan is oplegging van gevangenisstraf van ten hoogste zes maanden mogelijk, of oplegging van een geldboete van vierde categorie van artikel 23, vierde lid, Sr. Het maximumbedrag van deze categorie bedraagt thans € 20.250.
Dit sanctie-instrumentarium heeft twee kenmerken. Er ligt een belangrijke nadruk op herstelsancties. Het aantal bepalingen dat is gesanctioneerd met een bestraffende sanctie is verhoudingsgewijs zeer gering. Verder zijn bestraffende sancties voorzien van verhoudingsgewijs geringe boetemaxima. Daar komt bij dat het Cbp in afgelopen jaren verhoudingsgewijs weinig van zijn sanctiebevoegdheden gebruik heeft gemaakt (zie onderstaande tabel). Daarbij dient wel opgemerkt te worden dat deze cijfers geen voorspellende waarde kunnen worden toegedicht voor het opleggen van bestuurlijke boetes, na inwerkingtreding van dit wetsvoorstel. Een bestuurlijke boete kan immers ook worden opgelegd aan een burger, bedrijf of overheidsorganisatie nadat de overtreding is beëindigd; een herstelsanctie is dan niet meer mogelijk.
Sanctie |
2005 |
2006 |
2007 |
2008 |
2009 |
2010 |
2011 |
2012 |
2013 |
---|---|---|---|---|---|---|---|---|---|
Last onder bestuursdwang en last onder dwangsom |
2 |
2 |
39 |
68 |
26 |
35 |
6 |
12 |
19 |
Bestuurlijke boete |
9 |
3 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
Bron: jaarverslagen Cbp 2005–2013
Het huidig sanctie-instrumentarium voldoet aan de eisen die de richtlijn stelt ten aanzien van de kwaliteit van het sanctie-instrumentarium en de overige bevoegdheden die het Cbp heeft. Artikel 24 van de richtlijn draagt de lidstaten op om passende maatregelen te nemen om de onverkorte toepassing van de bepalingen van de richtlijn te garanderen en met name om de sancties vast te stellen die gelden bij inbreuk op de ter uitvoering van de richtlijn vastgestelde bepalingen. Artikel 28 eerste lid, draagt elke lidstaat op dat een of meer autoriteiten worden belast met het toezicht op de toepassing op zijn grondgebied van de ter uitvoering van de richtlijn vastgestelde bepalingen. Deze autoriteiten vervullen de hun opgedragen taken in volledige onafhankelijkheid. Artikel 28, derde lid, tweede gedachtestreepje, van de richtlijn regelt dat toezichthoudende autoriteiten moeten beschikken over effectieve bevoegdheden om in te grijpen. Laatstbedoeld voorschrift is in de memorie van toelichting bij het wetsvoorstel dat ten grondslag lag aan de Wbp zodanig uitgelegd dat het Cbp in elk geval de bevoegdheid moet hebben om met behulp van een last onder dwangsom «afscherming, uitwissing of vernietiging van gegevens te gelasten, dan wel een verwerking voorlopig of definitief te verbieden» (Kamerstukken II 1997/98, 25 892, nr. 3, blz. 29 -31). Dat is een uitleg die ook nu nog overtuigend is. De herstelsancties zijn daarom minimaal noodzakelijk.
De bestuurlijke boete is bij de totstandkoming van de Wbp vooral gezien als een goed complement voor strafrechtelijke sanctionering, zodat de strafrechter en het openbaar ministerie niet nodeloos werden belast. Ook die motivering is op zichzelf genomen nog steeds overtuigend. Echter, destijds is de keuze gemaakt alleen die overtredingen bestuurlijk beboetbaar te maken die ook strafrechtelijk konden worden gesanctioneerd. Omdat het aantal bepalingen dat met behulp van het strafrecht kan worden gesanctioneerd zeer gering is, is de Wbp altijd een wet gebleven waarin de bestuurlijke boete een ondergeschikte plaats inneemt. Dat is ook de verklaring voor het minimale aantal bestuurlijke boetes dat het Cbp in de afgelopen jaren heeft opgelegd.
Sinds de totstandkoming van de Wbp zijn de omstandigheden echter veranderd. Het behoeft nauwelijks betoog dat het belang van gegevensverwerking in de samenleving sindsdien sterk is toegenomen. Daarmee neemt ook het belang van een adequate bescherming van persoonsgegevens toe. Het geconstateerde nalevingstekort maakt dat belang nog dringender. Het Cbp heeft ook om deze reden enige jaren geleden besloten om in zijn dagelijkse taakuitoefening een zwaarder accent te gaan leggen op handhaving en sanctionering. De effectiviteit van die sanctionering kan toenemen wanneer ook de materiële bepalingen van de Wbp kunnen worden gehandhaafd met bestraffende sancties.
Op 25 januari 2012 heeft de Europese Commissie een voorstel gedaan voor een Algemene verordening gegevensbescherming (COM (2012)11 def). Deze verordening zal richtlijn 95/46/EG vervangen en daarmee ook de Wbp. De verordening bevat nieuwe regels met betrekking tot de bescherming van de gegevens van natuurlijke personen en het vrije verkeer van persoonsgegevens binnen de Europese Unie. De snelle technologische ontwikkelingen en de toenemende globalisering maken een herziening van de richtlijn noodzakelijk. Zowel de economie als het maatschappelijk leven zijn de laatste twee decennia ingrijpend veranderd. Met de keuze voor een verordening is gekozen voor een rechtsinstrument dat in alle landen van de Europese Unie/Europese Economische Ruimte rechtstreeks zal gelden. Anders dan bij een richtlijn is van omzetting in nationaal recht geen sprake. Daarmee wordt een meer eenduidige normstelling bewerkstelligd. Andere doelstellingen van de verordening zijn: versterking van de rechten van de betrokkene, vermindering van administratieve lasten voor de verantwoordelijke, een sluitende regeling voor doorgifte van persoonsgegevens aan derde landen en versterking van het toezichts- en handhavingsmechanisme, o.a. door nauwe samenwerking tussen de nationale toezichthouders, het nieuw in te stellen Europees Comité voor de gegevensbescherming en de Europese Commissie.
Het voorstel voor uitbreiding van de boetebevoegdheid van het Cbp in deze nota van wijziging sluit aan bij de doelstelling van de verordening om de handhaving te versterken. Ook het voorstel voor de verordening voorziet in de bevoegdheid voor de nationale toezichthouders om bestuurlijke boetes op te leggen bij overtreding van de verordening. Het voorstel deelt de overtredingen van de verordening in drie categorieën in, en verbindt daaraan in zwaarte oplopende bestuurlijke geldboetes. De maximale boete in het voorstel is € 1 miljoen en voor een onderneming 2% van de jaarlijkse wereldwijde omzet (artikel 79 concept-verordening). De onderhandelingen over de concept-verordening zijn gaande, de beide Kamers der Staten-Generaal worden hierover elk kwartaal geïnformeerd door de Staatssecretaris van Veiligheid en Justitie8. Gezien de tendens van het ontwerp kan echter wel worden gesteld dat met de in deze nota van wijziging voorgestelde uitbreiding van de bestuurlijke boetebevoegdheid van het Cbp wordt toegegroeid naar het handhavingssysteem uit de toekomstige verordening. Als de verordening wordt aangenomen en in werking treedt, geldt er overigens nog een implementatietermijn van twee jaar voordat de verordening van toepassing wordt.
De Afdeling advisering van de Raad van State signaleert in haar advies dat er door uitbreiding van de bevoegdheid van het Cbp om bestuurlijke boetes op te leggen bij overtreding van de Wbp, een sterkere mate van concentratie van taken bij het Cbp ontstaat, dan nu het geval is. In de huidige situatie geschiedt de concretisering van algemeen-abstracte normen van de Wbp in hoofdzaak door middel van richtsnoeren en nadere beslissingen van het Cbp.9 Hoewel de richtsnoeren geen algemeen verbindende voorschriften zijn en de opstelling van richtsnoeren niet gebaseerd is op een expliciete wettelijke bevoegdheid komt het in de toekomstige situatie er feitelijk op neer dat althans een deel van de normstelling komt te liggen bij het orgaan dat vervolgens geacht wordt om dezelfde normen via punitieve sancties te handhaven. Op deze wijze komen normstelling en bestraffing in belangrijke mate in één hand te liggen. Hoewel de Afdeling opmerkt dat vergelijkbare situaties ook voorkomen bij andere toezichthouders op andere beleidsterreinen, acht zij in het onderhavige geval echter van belang dat het een grondrechtelijke aangelegenheid betreft waarin de wetgever gelet op artikel 10, tweede en derde lid, Grondwet een bijzondere verantwoordelijkheid draagt. Bovendien gaat het, anders dan bij andere toezichthouders, niet om specifieke sectoren maar om de bescherming van persoonsgegevens die in beginsel van belang is voor alle maatschappelijke terreinen. Tegen deze achtergrond acht de Afdeling het gewenst om bij de totstandkoming van nadere normstelling in elk geval de betrokkenheid van de voor de wetgeving op dit terrein verantwoordelijke bewindspersonen in de wet te waarborgen.
De regering deelt deze analyse, en is het ook met de Afdeling eens, dat het, gelet op de ontwikkelingen (voortschrijdende technologische mogelijkheden, toenemende Europeanisering) gewenst is om de betrokkenheid van de voor de wetgeving op dit terrein verantwoordelijke bewindspersonen bij de nadere normstelling door de toezichthouder, in de wet te waarborgen. Ik meen dat ministeriële goedkeuring van de door het Cbp op te stellen richtsnoeren – waarin het uitleg geeft aan de materiële (of: open) normen van de Wbp – het meest geschikte middel hiervoor is. Hiertoe is in artikel I, onderdeel Da, van de nota van wijziging een nieuw artikel 67 opgenomen dat inhoudt dat beleidsregels van het Cbp die uitleg geven aan de materiële normen van de Wbp waarvan overtreding door het Cbp met een bestuurlijke boete kan worden bestraft, aan door Onze Minister van Veiligheid en Justitie en Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties te verlenen goedkeuring zijn onderworpen. Met de term beleidsregels sluit ik aan bij de terminologie van de Algemene wet bestuursrecht (artikel 1:3, vierde lid, Awb). De goedkeuring kan worden onthouden wegens strijd met het recht of het algemeen belang.
De regering meent dat dit goedkeuringsvereiste niet op gespannen voet staat met de door het EU-recht voorgeschreven onafhankelijkheid van het toezicht (zie Hof van Justitie EU 9 maart 2010 (Commissie tegen Duitsland), C-518/07; 16 oktober 2012 (Commissie tegen Oostenrijk), C-614/10; 8 april 2014, Commissie tegen Hongarije, C-288/12). De goedkeuringsbevoegdheid van de Minister betreft in dit geval niet de taakuitoefening van het Cbp (vergelijk artikel 59a Wbp waarin artikel 21 Kaderwet zelfstandige bestuursorganen op die grond is uitgezonderd) maar uitsluitend de materiële normen van de wet waarvan overtreding ingevolge de nota van wijziging bestuurlijk beboetbaar wordt. Ook in andere gevallen die door het EU-recht worden bestreken wordt er van uitgegaan dat het EU-recht nationale overheden niet hun bevoegdheden ontneemt om het beleidskader te formuleren waarbinnen de nationale toezichthouders hun taken moeten uitoefenen (zie o.a. Kamerstukken II 2010/11, 32 814, nr. 4, blz. 7–8; wijziging van de Elektriciteitswet 1998 en van de Gaswet (implementatie van richtlijnen en verordeningen op het gebied van elektriciteit en gas).
Ik ben nog in overleg met de Europese Commissie over de Europeesrechtelijke implicaties van de betrokkenheid van de voor de wetgeving verantwoordelijke Ministers bij de nadere normstelling door de nationale toezichthouder op het gebied van het gegevensbeschermingsrecht.
In 2008 heeft het toenmalige kabinet een Nota sanctiestelsels vastgesteld (Kamerstukken I 2008/09, 31 700 VI, D). In die nota is een afwegingskader opgenomen dat moet worden gevolgd bij wetsvoorstellen waarin nieuwe bestuurlijke bestraffende sancties worden geregeld. Toepassing van dat afwegingskader leidt tot de volgende bevindingen.
De Wbp valt onder wetgeving met een «open context» in de zin van de voornoemde nota. De normen van de Wbp zijn abstract van aard en zijn in beginsel van toepassing op alle denkbare verwerkingen van persoonsgegevens. Voor het verwerken van persoonsgegevens is geen voorafgaand verlof van de overheid nodig. Weliswaar is de verantwoordelijke onderworpen aan een voorafgaande meldplicht voor die verwerking (artikel 27 en 28), of een meldplicht bij datalekken als gevolg van een doorbreking van de beveiliging van de persoonsgegevens (artikel 34a nieuw), maar de aard van de melding is zodanig dat deze geen bijzondere rechtsbetrekking tussen overheid en betrokkene vestigt. Slechts in uitzonderingsgevallen is er sprake van bijzondere rechtsbetrekkingen tussen Cbp en verantwoordelijke. Dat is aan de orde in gevallen waarin sprake is van een voorafgaand onderzoek in de zin van artikel 31 van de Wbp, of van de goedkeuring van een gedragscode in de zin van artikel 25 van de Wbp.
Bij een open context is strafrechtelijke handhaving het uitgangspunt. Op dat uitgangspunt maakt de nota enkele uitzonderingen. Eén daarvan is hier van belang. Wanneer er sprake is van een hooggespecialiseerd orgaan dat optreedt als handhavende instantie, kan er niettemin ruimte zijn voor de bestuurlijke boete als handhavingsinstrument. De nota noemt als voorbeeld het mededingingsrecht of het telecommunicatierecht waar de Autoriteit Consument en Markt optreedt als gespecialiseerd handhaver. Het Cbp kan zonder meer worden aangemerkt als een dergelijke gespecialiseerde handhaver. Zoals in paragraaf 5.1 aan de orde kwam, beschikt het Cbp reeds over (bestraffende) bestuurlijke handhavingsbevoegdheden. Uitbreiding van de bestuurlijke boetebevoegdheid vormt een complement op het bestaande instrumentarium. De conclusie is dat de keuze om de Wbp vooral met bestuursrechtelijke bestraffende sancties te handhaven in het belang is van een effectieve handhaving van de regelgeving omtrent verwerking van persoonsgegevens en aansluit bij de uitgangspunten in de Nota sanctiestelsels.
Naar aanleiding van het debat over de Nota sanctiestelsels in de Eerste Kamer is in 2010 een aanvullende nota verschenen, met aan aantal afwegingen die de wetgever moet maken bij de keuze tussen sanctiestelsels (Brief van de Minister van Justitie van 17 maart 2010 aan de Voorzitter van de Eerste Kamer der Staten-Generaal, Kamerstukken I 2009/10, 32 123 VI, I, blz. 4). Hieruit blijkt dat de wetgever het element van de ernst van het feit dient af te wegen tegen overwegingen die pleiten voor bestuursrechtelijke handhaving (besloten context, gespecialiseerde toezichthouders). Wat de ernst van het feit betreft verdient opmerking dat het bij overtreding van de Wbp in voorkomende gevallen kan gaan om ernstige inbreuken op een grondwettelijk en verdragsrechtelijk beschermd grondrecht, te weten het recht op eerbieding van de persoonlijke levenssfeer en bescherming van de hem betreffende persoonsgegevens. Ook volgens de Nota sanctiestelsels (p. 7) is er een grens aan bestuursrechtelijke handhaving waar de overtreding «een zodanig aanzienlijke inbreuk maakt op de belangen van burgers en bedrijven, of een forse bedreiging vormt voor het integere functioneren van (sectoren binnen) de samenleving, (dat) morele afkeuring met strafrechtelijke handhaving niet achterwege kan blijven». Het is voor elk beleidsterrein de vraag waar de grens tussen de sanctiestelsels in concreto ligt. De aanvullende nota illustreert dit met behulp van enkele voorbeelden (pensioenwetgeving, gezondheidszorgwetgeving). Voor de Wbp geldt dat de overtredingen die in de huidige wet met een bestraffende sanctie (bestuursrechtelijk of strafrechtelijk) worden bedreigd, van juridisch-administratieve aard zijn (bijvoorbeeld het ten onrechte niet aanmelden van een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens bij het Cbp), en dat de materiële normen alleen met een bestuurlijke herstelsanctie kunnen worden gehandhaafd. Inmiddels heeft het Cbp, als gespecialiseerde toezichthouder, zijn sporen ruimschoots verdiend met de bestuursrechtelijke handhaving van de Wbp. Tegelijkertijd kan geconstateerd worden dat strafrechtelijke handhaving van de Wbp de afgelopen jaren niet aan de orde is geweest. Daarmee is echter niet gezegd dat strafrechtelijke handhaving van schending van privacynormen niet wenselijk of mogelijk zou zijn. We zien dat daaraan juist wel behoefte is, gelet op het gewicht van het te beschermen belang (grondrecht op eerbiediging van de persoonlijke levenssfeer) en de technologische ontwikkelingen als gevolg waarvan onze samenleving meer en meer digitaliseert. In dat verband is van belang om te constateren dat het grondrecht op eerbieding van de persoonlijke levenssfeer als zodanig ook door het commune strafrecht wordt beschermd. Het commune strafrecht bevat voldoende aanknopingspunten voor de met opsporing en vervolging belaste instanties om tegen een ernstige schending van privacynormen op te treden, zoals smaad en laster (artikelen 261 en 262 Wetboek van Strafrecht), grooming (artikel 248e WvSr), hacking (artikel 138ab WvSr), heimelijk vervaardigen van beeldopnamen (artikelen 139f en 441b WvSr) en verschillende vormen van fraude, waaronder identiteitsfraude (artikelen 231, 231a, 231b en 236b WvSr).
Bij de keuze voor het ene of het andere stelsel van bestraffing moet bovendien in aanmerking worden genomen dat de rechtspositie en de rechtsbescherming van degene jegens wie de handhaving zicht richt, verschilt. Bij de bestuurlijke boete wordt de straf door het bestuursorgaan opgelegd en staat tegen het daartoe strekkende besluit bezwaar en beroep bij de bestuursrechter open. Tegen een door het openbaar ministerie of bestuursorgaan opgelegde (bestuurlijke) strafbeschikking kan in verzet worden gegaan, waarna de strafrechter de zaak als een gewone strafzaak behandelt. Een gevangenisstraf kan uitsluitend door de strafrechter worden opgelegd. Naar het oordeel van de regering is de rechtsbescherming in beide stelsels gewaarborgd (zie o.a. p. 7 van de beleidsreactie van de Minister van Veiligheid en Justitie op het onderzoek «Referentiekader geldboetes» (Kamerstukken II 2012/13, 33 400 VI, nr. 80).
Zoals in paragraaf 5.2 al aan de orde kwam, heeft de wetgever bij totstandkoming van de Wbp in 2000 voor een «duale» bestraffende handhaving gekozen. Dat wil -in dit geval- zeggen dat de normen waarvan overtreding met een bestuurlijke boete wordt bedreigd, ook met een strafrechtelijke sanctie worden bedreigd. De strafrechtelijke sanctie varieert van een geldboete van de derde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht, of bij het opzettelijk begaan, een gevangenisstraf van zes maanden of de vierde categorie.
Het Cbp bepleit in zijn advies om het duale systeem ook te laten gelden ten aanzien van de nieuwe bepalingen die bestuurlijk beboetbaar worden gesteld. Dit advies is niet opgevolgd. De Nota sanctiestelsels (p. 12) geeft de voorkeur aan een afbakening door de wetgever tussen sanctiestelsels. Daarmee ontstaat een duidelijke verantwoordelijkheidsverdeling tussen de handhavende autoriteiten en worden onduidelijkheden in de taakverdeling uit de weg gegaan. Zoals hierboven is geschetst kan het commune strafrecht op de achtergrond een rol vervullen in geval schending van privacynormen ernstige gevolgen heeft voor personen wier persoonsgegevens worden misbruikt. Daarvoor zijn voldoende aanknopingspunten in het commune strafrecht. De eventuele rol van het strafrecht zal meer principieel aan de orde kunnen komen bij de implementatie van de EU-verordening algemene gegevensbescherming.
Nieuwe wetgeving inzake het opleggen van een bestuurlijke boete verdient bijzondere aandacht vanuit het perspectief van het legaliteitsbeginsel. In artikel 5:4 van de Awb zijn voor het bestuursrecht verschillende aspecten van het legaliteitsbeginsel vastgelegd. Het eerste lid bepaalt dat de bevoegdheid tot het opleggen van een bestuurlijke sanctie slechts bestaat voor zover zij bij of krachtens de wet is verleend. Het tweede lid bepaalt dat een bestuurlijke sanctie slechts wordt opgelegd indien de overtreding en de sanctie bij of krachtens een aan de gedraging voorafgaand wettelijke voorschrift zijn omschreven. Deze eisen vloeien ook voort uit artikel 7 EVRM, artikel 16 Grondwet en artikel 15 van het Internationaal Verdrag inzake burgerlijke en politieke rechten (IVBPR) (Trb. 1978, 177). Aan de hoofdregel van artikel 5:4 Awb, de eis dat de overtreding zelf en de op te leggen sanctie in een voorafgaand wettelijk voorschrift zijn omschreven, wordt voldaan, wanneer dit wetsvoorstel tot wet wordt verheven en in werking treedt. Uit deze bepaling volgt voorts ook dat een voorschrift dat door bestuurlijke sancties wordt gehandhaafd, voldoende duidelijk, voorzienbaar en kenbaar moet zijn. Dit wordt ook wel het «lex certa-beginsel» genoemd. Dit beginsel is des te meer van belang nu in deze nota van wijziging een uitbreiding wordt voorgesteld van de met behulp van de bestuurlijke boete te sanctioneren voorschriften van de Wbp. Een bestuurlijke boete betreft een bestraffende sanctie, waarmee het Cbp beoogt de overtreder leed toe te voegen. De overtreder van de bepalingen van de Wbp kan zijn een particulier, een bedrijf of een bestuursorgaan. Een bestuurlijke boete kan ook in combinatie met een herstelsanctie worden opgelegd.
Ingevolge artikel 5:1, tweede lid, Awb kan de bestuurlijke boete zowel aan de overtreder als aan de medepleger worden opgelegd. In veel gevallen zal de verantwoordelijke als pleger van een overtreding van de Wbp kunnen worden aangemerkt. Niet uitgesloten is, dat bijvoorbeeld de door de verantwoordelijke ingeschakelde bewerker als medepleger valt aan te merken. Daarnaast zijn op grond van artikel 5:1, derde lid, Awb jo. artikel 51 tweede en derde lid, van het Wetboek van Strafrecht, feitelijke opdrachtgevers of feitelijk leidinggevenden van een rechtspersoon bestuurlijk te beboeten. Het Cbp geeft in zijn advies aan dat de behoefte om ook de bewerker aan te pakken zich ook in de huidige handhavingspraktijk doet gevoelen.
De Wbp bestaat voor een belangrijk deel uit algemeen-abstract omschreven voorschriften. Zoals hiervoor werd aangegeven vloeit dat onvermijdelijk voort uit de formulering van de EU-richtlijn. Voor het Cbp is de aard van de normstelling niet van dien aard, dat zij het Cbp voor onoverkomelijke problemen stelt bij het hanteren van de huidige bevoegdheden tot het opleggen van een bestuurlijke herstelsanctie. Verheldering van de normen vindt op verschillende niveaus plaats. Op Europees niveau geeft de «Artikel 29»-werkgroep, waarin de Europese toezichthouders zijn verenigd, gezaghebbende opinies uit over uitleg van de normen van de EU-richtlijn. Deze opinies worden o.a. op de website van het Cbp gepubliceerd. Daarnaast is er de rechtspraak van het Hof van Justitie van de Europese Unie10. Op nationaal niveau stelt het Cbp richtsnoeren vast over de interpretatie van de normen van de Wbp, die een leidraad vormen voor het nationale toezichts- en handhavingsbeleid. Voorbeelden hiervan zijn de richtsnoeren over identificatie en verificatie van persoonsgegevens in de private sector (2012) en de richtsnoeren beveiliging van persoonsgegevens (2013). De richtsnoeren over beveiliging van persoonsgegevens verwijzen overigens weer naar algemeen aanvaarde normen over informatiebeveiliging die niet van de overheid afkomstig zijn. Zo bestaat er een NEN-norm voor informatiebeveiliging (NEN-ISO/IEC 27002:2007) met sectorale uitwerkingen.
Op verzoek van belanghebbenden kan het Cbp zienswijzen geven over de toepassing van de wettelijke bepalingen betreffende de bescherming van persoonsgegevens of (sectorale) gedragscodes toetsen op conformiteit met de Wbp (artikelen 60 en 25 Wbp). Daarnaast is er rechtspraak over de Wbp op alle terreinen (civiel-, bestuurs- en strafrecht), al is deze relatief schaars.
In de jurisprudentie van het EHRM, die vooral is gevormd naar aanleiding van strafrechtelijke wetgeving, wordt aanvaard dat de wetgever niet altijd in staat is om nauwkeurig geformuleerde normen vast te stellen, en dat aanvulling van de wetgeving door vaste jurisprudentie mogelijk is. Het gaat erom dat de betrokkene zijn handelen op het gehele recht kan afstemmen. Verder mag van de betrokkene een redelijke inspanning worden gevraagd, om, zo nodig met behulp van deskundig advies, het eigen handelen op een wettelijke norm af te stemmen (EHRM 25 mei 1993, Kokkinakis tegen Griekenland, Publ ECHR, Serie A, vol. 260, r.o. 52; EHRM 27 september 1995, G. tegen Frankrijk, NJ 1996, 49, m.n. Kn; EHRM 17 september 2009, Scoppola tegen Italië, appl. no. 10249/03), EHRM 15 november 1996, nr. 17862/91 (Cantoni/Frankrijk) en 25 juni 2009, nr. 12157/05 (Liivik/Estland). Een Nederlandse zaak waarin het ging om de oplegging van een bestuurlijke boete op grond van de Wet arbeid vreemdelingen betreft EHRM 28 juni 2011, LJN BT2901 (Financiële Dagblad B.V./Nederland). De klacht over het onbepaalde werkgeversbegrip in de Wet arbeid vreemdelingen in relatie tot artikel 7 EVRM werd kennelijk ongegrond bevonden.
Ook in de nationale bestuursrechtelijke jurisprudentie wordt aanvaard dat wetgeving die wordt gehandhaafd met een bestuurlijke boete onder omstandigheden noodzakelijkerwijs uit vage normen bestaat, welke normen in de toepassingspraktijk nader moeten worden ingevuld. Wel worden in zulke gevallen aan de motivering van het besluit hoge eisen gesteld. Aangetoond moet worden waar het gedrag van de overtreder tekortschiet en ook waarom hetgeen de overtreder daartegen inbrengt niet tot een andere conclusie leidt (CBB 24 augustus 2006, LJN AZ3770, CRvB 27 april 2000, LJN AA5669). Door de Afdeling bestuursrechtspraak van de Raad van State wordt in ieder geval aanvaard dat min of meer vage normen kunnen worden aangevuld door een zogenaamde best beschikbare techniek (ABRS 15 november 2006, LJN AZ2271) of door een concretisering van de normen in het kader van het toezicht («toezichtbeleidsbrief») (ABRS 14 december 2005, LJN AU7977). Het geheel aan de belanghebbende overlaten om een vereiste inspanningsverplichting te leveren om een boete te ontgaan, zonder dat de overheid daarover in enige vorm duidelijkheid verschaft, oordeelde de Afdeling bestuursrechtspraak in strijd met art. 7 EVRM (ABRS 20 november 2002, LJN AF0842). Maar onder omstandigheden kan ook een in algemene termen vervat voorschrift toch voldoende duidelijk zijn voor belanghebbenden om hun gedrag daarop af te stemmen (ABRS 3 mei 2006, LJN AW 7337, en CBB 20 december 2007, LJN BC2232).
De conclusie die aan de geldende wetgeving en de jurisprudentie kan worden verbonden is dat ook een in algemeen-abstracte termen vervatte wet als de Wbp door bestuurlijke boetes kan worden gehandhaafd.
De Afdeling advisering van de Raad van State is van mening dat, nu het in de Wbp over vrijwel de gehele linie om algemeen-abstracte («vage») normen gaat, onder omstandigheden ongewenst is, dat de verantwoordelijke zonder meer een bestuurlijke boete opgelegd kan krijgen. Zoals in paragraaf 6.1 is beschreven zal de verantwoordelijke in niet te verwaarlozen aantallen gevallen een aanzienlijke inspanningsverplichting moeten leveren om, met inzet van professionele deskundigheid, te (laten) beoordelen in hoeverre hij in overtreding is en in verband daarmee of en hoe hij een bestuurlijke boete kan ontlopen. Eventuele nadere regels, richtsnoeren van het Cbp of gedragscodes kunnen dit probleem volgens de Afdeling slechts deels oplossen. Het gaat veelal om een afweging van vaag omschreven belangen die pas in het concrete geval betekenis krijgen.
De Afdeling stelt voor om aan dit bezwaar tegemoet te komen door in de wet te bepalen dat het Cbp bij een vermoeden van overtreding niet onmiddellijk een bestuurlijke boete kan opleggen maar eerst een bindende aanwijzing moet geven. De Afdeling opperde deze mogelijkheid eerder in de voorlichting die zij, op verzoek van de Tweede Kamer, uitbracht over de concept-verordening Algemene gegevensbescherming (Kamerstukken II 2011/12, 32 761, nr. 32, par. 7.4 sanctionering). Zij wijst er op dat elders in de Nederlandse wetgeving ter uitvoering en handhaving van Europese regels vergelijkbare constructies worden gehanteerd.11
Ik onderschrijf deze analyse. Kort geleden formuleerde de Minister van Binnenlandse Zaken en Koninkrijksrelaties het in zijn beleidsvisie voor het zorgvuldig omgaan met persoonsgegevens in de gemeentelijke praktijk van decentralisaties als volgt: «De bepalingen van de Wbp geven geen gedragsvoorschriften, maar schrijven afwegingen voor op grond van bepaalde criteria met inachtneming van bepaalde belangen. (...) Daarom is enkel op grond van de Wbp vaak lastig vast te stellen of bepaalde gegevensverwerkingen al dan niet zijn toegestaan.»12
De bindende aanwijzing is een geschikt middel om in concrete gevallen nadere invulling te geven aan de normen van de Wbp. De bindende aanwijzing is geen bestuurlijke sanctie, maar een op herstel gerichte, corrigerende maatregel. De bindende aanwijzing is een zelfstandige last in de zin van artikel 5:2, tweede lid, Awb, die wordt opgelegd bij besluit van de toezichthouder. De toezichthouder zal in de aanwijzing ter concretisering van de wettelijke norm moeten aangeven welke gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht en hem zo mogelijk moeten opdragen om de overtreding geheel of gedeeltelijk te herstellen. De overtreder kan zich tegen in het besluit vervatte wetsuitleg verweren (zienswijze, bezwaar/beroep), ofwel zijn gedrag aanpassen. Indien de aanwijzing niet wordt opgevolgd, kan het Cbp een bestuurlijke boete opleggen.
In de nota van wijziging is in artikel I, onderdeel D (artikel 66, derde en vierde lid, Wbp), de verplichting opgenomen voor het Cbp, om voordat het een bestuurlijke boete oplegt in verband met het overtreden van een materiële (of: open) norm, een bindende aanwijzing te geven. Het Cbp kan daarbij ook een termijn stellen waarbinnen de aanwijzing moet zijn opgevolgd, hiervoor kan aanleiding zijn bij een voortdurende overtreding. De verplichting om eerst een bindende aanwijzing te geven, lijdt alleen dan uitzondering indien de overtreding opzettelijk is gepleegd. Te denken valt aan ongeoorloofde handel in persoonsgegevens met het oogmerk van winstbejag. In dergelijke situaties gaat het om overtreders die willens en wetens de regels overtreden om er zelf financieel beter van te worden. Het belang van de bescherming van persoonsgegevens vergt in deze situaties dat het Cbp niet gebonden is aan de verplichting om eerst een bestuurlijke aanwijzing te geven. Zonder deze uitzondering zou de slagvaardigheid van de handhaving in het gedrang komen. Voor het invoeren van een bindende aanwijzing als verplichte tussenstap bij het overtreden van de administratief-juridische verplichtingen zien wij evenmin aanleiding.
Artikel I, onderdeel E, van de nota van wijziging bevat een nieuw artikel 66, eerste en tweede lid, van de Wbp waarin de bepalingen zijn opgesomd die met een bestuurlijke boete gehandhaafd worden. Bij dit nieuwe artikel 66 zijn de volgende uitgangspunten gehanteerd.
Een eerste uitgangspunt is dat alle hoofdverplichtingen van de verantwoordelijke uit de Wbp met een bestuurlijke boete worden gesanctioneerd. Dat betreft allereerst de artikelen 6 tot en met 13. Die bepalingen betreffen de materiële normen die gelden voor alle verwerkingen van persoonsgegevens. Overtreding van de artikelen 6 tot en met 12 wordt gesanctioneerd, ondanks de zeer algemene omschrijving van deze verplichtingen. Het is immers denkbaar dat het Cbp stuit op gevallen waarin sprake is van evident onrechtmatige gegevensverwerkingen die zozeer in strijd met de beginselen van de Wbp zijn dat boeteoplegging wegens strijdigheid met deze regel zonder meer gerechtvaardigd is.
Datzelfde geldt voor de in algemene bewoordingen omschreven beveiligingsplicht van artikel 13.
Hier is ook een relatie met de – in dit wetsvoorstel – voorgestelde meldplicht voor datalekken. Het ligt voor de hand dat de verplichting om datalekken die het gevolg zijn van doorbrekingen van de technische en organisatorische beveiliging ingevolge artikel 13 van de Wbp, het bewustzijn en het belang van een voldoende adequate beveiliging binnen organisaties vergroot.
Artikel 16 van de Wbp bevat het belangrijke verbod op het verwerken van bijzondere persoonsgegevens. Alle uitzonderingen op dat verbod die bij en krachtens de artikelen 17 tot en met 23 gelden behoeven uit wetgevingstechnisch oogpunt geen afzonderlijke strafbaarstelling. De uitzonderingen zijn door de wetgever deels in de Wbp en deels in bijzondere wetgeving op een meer gedetailleerd niveau vastgesteld.
Overtreding van artikel 24 van de Wbp kan aan de orde zijn bij het buitenwettelijk gebruik van persoonsidentificerende nummers.
Transparantie is eveneens een hoofdverplichting van de verantwoordelijke. Bij die verplichting hoort een passende sanctionering. Dat betekent dat overtreding van de artikelen 33, 34 en 34a ook gesanctioneerd wordt met een bestuurlijke boete. Verder worden de verplichtingen die de verantwoordelijken hebben bij de behandeling van verzoeken van betrokkenen om kennisneming, correctie en verzet gesanctioneerd. Dit betreft de overtredingen van de artikelen 35 tot en met 42 van de Wbp. Deze verplichtingen zijn in belangrijke mate van juridisch-administratieve aard. Hetzelfde geldt in grote lijnen voor de verplichtingen die voortvloeien uit de regeling van het doorgeven van persoonsgegevens naar landen buiten de Europese Economische Ruimte. Dit betreft de overtredingen van de artikelen 76 tot en met 78 van de Wbp.
Een tweede uitgangspunt is dat de rechtsbetrekkingen tussen verantwoordelijke en bewerker, die primair van privaatrechtelijke aard is, niet met een bestuurlijke boete worden gesanctioneerd. Artikel 14 blijft derhalve buiten beschouwing.
Het derde uitgangspunt is dat er geen overtredingen meer zijn die wel strafrechtelijk gehandhaafd kunnen worden, maar niet met een bestuurlijke boete. Er zou anders afbreuk worden gedaan aan het primaat van de bestuursrechtelijke handhaving. Dit leidt ertoe dat overtreding van artikelen 4, derde lid, en 78, tweede lid, onder a, van de Wbp (het nalaten door een buiten Nederland gevestigde verantwoordelijke om een vertegenwoordiger in Nederland aan te wijzen, respectievelijk het zonder grondslag doorgeven van persoonsgegevens naar een derde land, waarvan is vastgesteld dat het geen passend niveau van gegevensbescherming heeft) ook met een bestuurlijke boete kan worden bestraft (waar nu uitsluitend strafrechtelijke handhaving mogelijk is).
Het vierde uitgangspunt is dat wordt voorzien in het schrappen van de bestuurlijke boete alsmede van de strafsanctie op de aanmeldverplichting ten aanzien van de voorgenomen verwerkingen van persoonsgegevens bij het Cbp of bij de functionaris gegevensbescherming. Deze aanmeldverplichting keert immers vrijwel zeker niet terug in de EU-verordening algemene gegevensbescherming. Verwezen zij naar onderdelen D en E (artikel 66, eerste lid en artikel 75 Wbp).
In het nieuwe artikel 66 is een splitsing aangebracht. Het eerste lid betreft de bepalingen die onder de huidige wet ook strafrechtelijk kunnen worden gehandhaafd. Het boetemaximum wordt gelijk gesteld aan de maximale strafrechtelijke geldboete, die volgens artikel 75 van de Wbp kan worden opgelegd (de vierde categorie van artikel 23, vierde lid, Sr) (€ 20.250).
Voor alle overige bepalingen is gekozen voor een maximale bestuurlijke boete van de zesde categorie van artikel 23, vierde lid, Sr (€ 810.000). Dit boetemaximum is proportioneel en voldoende afschrikwekkend. Hoewel eerder de gedachten uitgingen naar een maximale boetehoogte van € 450.000 die voorkomt in de wetgeving voor het economisch publiekrecht (Telecommunicatiewet, Wet handhaving consumentenbescherming), lijkt een keuze voor het hoogste strafrechtelijke boetemaximum gerechtvaardigd. Ook opzettelijke en herhaaldelijk begane ernstige overtredingen zullen passend bestraft kunnen worden. Hierbij wordt in aanmerking genomen – waarop het Cbp ook wijst in zijn advies – dat de EU-verordening een forse maximumboete kent (€ 1 mln of voor ondernemingen jaarlijks 2% van de wereldwijde omzet). Aansluiting bij het strafrecht sluit aan bij de aanbevelingen die zijn opgenomen in de beleidsreactie van de Minister van Veiligheid en Justitie van 17 december 2012 op het onderzoek «Referentiekader geldboetes» (Kamerstukken II 2012/13, 33 400 VI, nr. 80).
Overeenkomstig een andere aanbeveling uit deze beleidsreactie wordt de hoogste boetecategorie van artikel 23, vierde lid, Sr voor rechtspersonen geflexibiliseerd (Kamerstukken II 2012/13, 33 685, nrs. 1–3). In verband hiermee is artikel IVb aan de nota van wijziging toegevoegd. Onder flexibilisering wordt verstaan dat indien de hoogste (zesde) boetecategorie geen passende bestraffing toelaat, het Cbp een bestuurlijke boete kan opleggen tot ten hoogste tien procent van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan het besluit waarbij de boete wordt opgelegd.
Overwogen is om een (verdergaand) onderscheid te maken tussen de overtredingen van de Wbp en aan een dergelijk onderscheid verschillende boetemaxima te verbinden. Daarvoor is niet gekozen. De bepalingen van de Wbp zijn algemeen en abstract geformuleerd. Voor de algemene verplichtingen voor de verantwoordelijken van hoofdstuk 2 van de Wbp geldt dat ze nevengeschikt en niet ondergeschikt zijn ten opzichte van elkaar. Datzelfde geldt voor de rechten van burgers van hoofdstuk 6. Het maximum van de zesde boetecategorie van artikel 23, vierde lid, Sr biedt voldoende ruimte voor het Cbp om een boetetoemetingsbeleid op te stellen waarmee van geval tot geval tot een passende en evenredige bestraffing kan worden gekomen. Het Cbp zal bij het vaststellen van beleidsregels terzake rekening moeten houden met factoren als de ernst van de overtreding, de mate waarin deze aan de overtreder kan worden verweten en de omstandigheden van het geval, waaronder de persoon van de dader (artikel 5:46, tweede lid, Awb). Hierbij is nog van belang om op te merken dat, anders dan in het economisch publiekrecht, de verantwoordelijke of bewerker in de zin van de Wbp niet primair ondernemer is, of iemand die op andere wijze in de uitoefening van beroep of bedrijf handelt. De verantwoordelijke in de zin van de Wbp is ook vaak een particulier of een overheid of een samenwerkingsverband van publieke en private partijen ter behartiging van algemeen-maatschappelijk belangen.
Ten aanzien van de meldplicht voor datalekken zal het Cbp zich kunnen oriënteren op de beleidsregel die door de Minister van Economische Zaken is vastgesteld voor het opleggen van bestuurlijke boetes door de Autoriteit Consument en Markt ter zake van overtreding van de meldplicht voor datalekken in de Telecommunicatiewet (art. 11.3a Telecommunicatiewet) (Boetebeleidsregel ACM 2014).
Overwogen is voorts, of de uitbreiding van de bestuurlijke boetebevoegdheid van het Cbp zou moeten worden aangegrepen om in de Wbp te voorzien in een afzonderlijke regeling tot openbaarmaking van bestuurlijke sancties door het Cbp. Hiervan is afgezien. Artikel 8 van de Wet openbaarheid van bestuur geeft het Cbp hier de nodige beleidsruimte die het zelf kan invullen. Met name ten aanzien van bestuurlijke boetes komt een terughoudend beleid ten aanzien van «naming en shaming», zoals dat in het economisch publiekrecht door de toezichthoudende en handhavende autoriteiten wordt gehanteerd (o.a. door de Autoriteit Consument en Markt, Autoriteit Financiële Markten), het kabinet passend voor. De normen van de Wbp geven uitdrukking aan het grondrecht op bescherming van de persoonlijke levenssfeer en de bescherming van persoonsgegevens. Deze normen hebben een ander karakter dan de normen van de bestuursrechtelijke ordeningswetgeving in het economisch publiekrecht waar sprake is van toezicht op markten en niet op het verwezenlijken en handhaven van grondrechten van burgers. Bij gelegenheid van totstandkoming en inwerkingtreding van dit wetsvoorstel zal het Cbp kunnen bezien of er een aparte regeling voor openbaarmaking van bestuurlijke boetebesluiten wordt opgenomen in de Beleidsregels van het Cbp over actieve openbaarmaking13.
Uit artikel 6 van het EVRM en artikel 15 van het IVBPR vloeien een aantal eisen voort met betrekking tot de rechtsbescherming tegen besluiten tot het opleggen van een bestuurlijke boete en de daarbij te volgen procedure. Dergelijke besluiten moeten immers in beginsel worden aangemerkt als een vorm van vervolging in de zin van beide bepalingen.
Uit artikel 6 van het EVRM volgt dat tegen besluiten tot oplegging van een bestuurlijke boete beroep moet openstaan op de rechter, dat de rechter in staat moet zijn de evenredigheid bij het opleggen van de boete te toetsen en dat oplegging van de boete in concreto ook «vol» getoetst moet kunnen worden. Aan deze eisen is voldaan. Tegen een besluit tot oplegging van een bestuurlijke boete staat op grond van de Awb beroep op de rechter open. Het Cbp is ingevolge artikel 5:46 van de Awb verplicht een evenredigheidstoets uit te voeren. Ingevolge artikel 8:72a van de Awb kan de rechter de boeteoplegging in concreto toetsen; bij vernietiging van het boetebesluit dient hij zelf in de zaak te voorzien.
Verder vloeit uit artikel 6 van het EVRM voort dat de berechting binnen een redelijke termijn moet plaatsvinden en dat de uitspraak in het openbaar moet geschieden. De redelijke termijn is in de jurisprudentie uniform bepaald op vier jaar (ECLI: NL: RVS:2014:188). Bij overschrijding van deze termijn geldt ingevolge de jurisprudentie een schadevergoedingsplicht (o.a. ABRS 19 april 2011, LJN BQ2703). De uitspraak moet ingevolge artikel 8:78 van de Awb in het openbaar geschieden.
Uit artikel 15 IVBPR vloeit ten aanzien van de rechtsbescherming de eis van rechtspraak in twee instanties voort. Aan die eis is voldaan. Tegen een uitspraak van de rechtbank staat hoger beroep op de Afdeling bestuursrechtspraak van de Raad van State open. Ten aanzien van de procedure tot oplegging van een bestuurlijke boete vloeien uit art. 15 IVBPR verschillende eisen voort. Op de procedure tot oplegging van een bestuurlijke boete zijn de titels 5.1 en 5.4 van de Awb van toepassing. Daarmee is verzekerd dat aan die eisen is voldaan. Zo zijn het zwijgrecht en de cautie geregeld in artikel 5:10a van de Awb. De artikelen 5:5 en 5:41 van de Awb voorzien in een regeling voor het bestaan van een eventuele rechtvaardigingsgrond voor de overtreding en een regeling van de verwijtbaarheid van de overtreder. In artikel 5:43 van de Awb is de ne bis in idem-regel verankerd.
Sanctieoplegging door het Cbp wordt in de praktijk steeds voorafgegaan door een onderzoek door het Cbp op grond van artikel 60 Wbp. Dit onderzoek verloopt in twee fasen, de vaststelling van voorlopige en definitieve bevindingen. Die procedure is met de nodige waarborgen omkleed en voorziet in het horen van belanghebbende. De belanghebbende kan in die procedure zijn visie naar voren brengen. Dat kan hem aanleiding geven zijn gedrag bij te stellen. Dat kan ook het Cbp aanleiding geven tot heroverweging. Bij de uiteindelijke sanctie-oplegging wordt de belanghebbende in de gelegenheid gesteld zijn zienswijze te geven op het concept-besluit tot oplegging van de bestuurlijke boete (artikel 4:8 Awb).
Het voorstel voorziet voor het Cbp in een geringe verzwaring van de werklast. De mogelijkheid om bestuurlijke boetes op te leggen zal een plaats krijgen in het handhavingsbeleid van het Cbp. Een bestraffende sanctie kan de effectiviteit van het toezicht en de handhaving vergroten. Het Cbp voert als zelfstandig bestuursorgaan, in volledige onafhankelijkheid, de hem opgedragen taken, waaronder de toezichts- en handhavingstaak, uit (artikel 52, tweede lid Wbp).14 Het Cbp heeft zijn beleid omtrent toepassing van zijn toezichthoudende en handhavende bevoegdheden neergelegd in beleidsregels (Beleidsregels handhaving door het Cbp, Stcrt. 2011, 1916). De beleidsregels bevatten uitgangspunten en prioriteringscriteria die het Cbp bij zijn optreden in acht neemt.15 De organisatorische gevolgen voor het Cbp zullen naar verwachting beperkt blijven. Het nemen van bestuurlijke boetebesluiten is niet wezenlijk anders dan het nemen van besluiten waarbij een last onder dwangsom wordt opgelegd. Een last onder dwangsom is in veel gevallen ook een voor de betrokkene indringende sanctie. Voor het opleggen van reparatoire en bestraffende bestuurlijke sancties gelden op grond van de Wbp vergelijkbare procedurele vereisten. Met het oog op de uitvoering van de nieuwe taken die met dit wetsvoorstel en deze nota van wijziging aan het Cbp worden toebedeeld, zijn aan het Cbp extra financiële middelen toegekend (Kamerstukken II 2012/13, 33 400 VI, nrs. 100 en 71). Hiermee is, zoals de brief van de Staatssecretaris van Veiligheid en Justitie aangeeft, een houdbaar financieel kader geschapen, om nu en in de toekomst adequaat aan zijn taken uitvoering te geven.
Zoals in de paragrafen 8.2 en 8.4 van de memorie van toelichting bij het oorspronkelijke wetsvoorstel is aangegeven (Kamerstukken II 2012/13, 30 662, nr. 3), heeft dit wetsvoorstel geen gevolgen voor de rijksbegroting. Wat de rechtspraak betreft is eerder uitgegaan van tien boetebesluiten in het kader van de handhaving van de meldplicht datalekken en daarmee een belasting van de rechtspraak met tien zaken per jaar. Nu de mogelijkheden van het Cbp om een bestuurlijke boete te kunnen opleggen, worden uitgebreid, zal dit aantal hoger kunnen zijn, maar zal dit naar verwachting niet leiden tot substantiële gevolgen voor de rechtspraak.
Over de nota van wijziging is overleg gevoerd met het Cbp en met VNO-NCW en MKB Nederland. Daarnaast heeft het Cbp op 14 oktober 2013 schriftelijk advies uitgebracht over een concept-nota van wijziging. Op de reactie van het Cbp is in de voorgaande paragrafen reeds zoveel mogelijk ingegaan (begrip overtreder in de zin van artikel 5:1 Awb, dualiteit handhavingssysteem, boetemaximum). Daarnaast bepleit het Cbp om ook in andere sectorspecifieke regelgeving, zoals de (nieuwe) Wet basisregistratie personen (Wbrp), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) waarop het Cbp toezicht houdt, in aanvulling op de herstelsancties, een (verdergaande) mogelijkheid van bestuurlijke beboeting door het Cbp te creëren. Dit om rechtsongelijkheid tussen sectoren te voorkomen. De regering meent dat vooral gewicht moet worden toegekend aan de effectiviteit van de handhaving. Begin van dit jaar zijn de evaluatie-onderzoeken van de Wpg en Wjsg afgerond. In de door de Minister van Veiligheid en Justitie op 23 juni 2014 aan uw Kamer toegezonden beleidsreactie (Kamerstukken II 2013/14, 33 842, nr. 2) worden tal van initiatieven en maatregelen aangekondigd om de naleving van deze wetten te versterken (o.a. versterking van het proactieve en interne toezicht). Uitbreiding van de bestuurlijke boetebevoegdheid van het Cbp, als externe toezichthouder, wordt vooralsnog niet voorzien. Ten aanzien van de Wbrp geldt eveneens dat de regering zich laat leiden door de effectiviteit van de handhaving. Zij neemt daarbij in aanmerking dat bij de recente totstandkoming van deze wet, als vervanger van de Wet gemeentelijke basisadministratie, niet van een behoefte is gebleken om het sanctie-instrumentarium van het Cbp (artikel 4.1, tweede lid, Wbrp) uit te breiden met bestraffende sancties.
VNO-NCW en MKB Nederland hebben in het overleg aangegeven grote moeite te hebben met het sanctioneren van de «vage» normen van de Wbp door middel van bestuurlijke boetes. Naar aanleiding hiervan was in het wetsvoorstel zoals dat aan de Raad van State is voorgelegd een delegatiebepaling opgenomen die de regering opdroeg om bij algemene maatregel van bestuur regels vast te stellen over de uitoefening van de bevoegdheid van het College om een bestuurlijke boete op te leggen. Deze bevoegdheid is geschrapt aangezien op een andere manier is gepoogd om aan deze bezwaren tegemoet te komen. Gewezen wordt op de verplichte tussenstap van de bindende aanwijzing, met mogelijkheid van uitzondering in gevallen waarin opzettelijk is gehandeld (artikel I, onderdeel D, artikel 66, derde en vierde lid, Wbp).
Ten slotte heeft het Cbp aanbevolen om een evaluatiebepaling op te nemen. Het Cbp geeft aan dat de datum van inwerkingtreding van de EU-verordening gegevensbescherming een goed moment voor evaluatie zou zijn. Gelet hierop is artikel IVa aan de nota van wijziging toegevoegd. De evaluatieplicht strekt zich mede uit tot de meldplicht datalekken. Om de onderzoeksperiode niet te zeer te bekorten is gekozen voor het zenden van een verslag aan de Staten-Generaal binnen een jaar na het van toepassing worden van de verordening. Artikel 91 van de conceptverordening bepaalt dat de verordening op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie in werking treedt en na twee jaar van toepassing is. Binnen deze implementatietermijn moeten lidstaten nationale wetgeving tot stand brengen om aan de EU-verordening te voldoen en daarmee strijdig nationaal recht in te trekken. Uitgaand van het van toepassing worden van de verordening in 2017, zal een evaluatieverslag in 2018 de Staten-Generaal bereiken. De resultaten van de evaluatie van de meldplicht voor datalekken en de uitbreiding van het sanctie-instrumentarium van het Cbp zullen van belang zijn voor toezicht en handhaving door het Cbp onder de nieuwe EU-verordening. De resultaten zullen uiteraard worden besproken in het periodieke bestuurlijke overleg tussen de Staatssecretaris van Veiligheid en Justitie en de Voorzitter van het Cbp.
In de artikelen IIIa en IIIb worden de verwijzingen naar de Wbp in de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens aangepast. In het nieuwe artikel 66 Wbp worden twee wettelijke boetemaxima onderscheiden, in lid 1 voor de bestaande administratieve verplichtingen en in lid 2 voor de overige verplichtingen. Omdat het in de Wpg en Wjsg om administratieve verplichtingen gaat, waarvoor thans het boetemaximum van € 4.500 geldt, is voor aansluiting bij lid 1 gekozen (€ 20.250).
De Staatssecretaris van Veiligheid en Justitie, F. Teeven