Op dit moment heeft het CBP slechts zeer beperkte mogelijkheden om handhavend op te treden. Art. 66 van de Wet bescherming persoonsgegevens (Wbp) bepaalt dat alleen een boete (van maximaal € 4500) kan worden opgelegd indien gegevensverwerking niet wordt aangemeld bij het CBP (art. 27, 28 en 79 Wbp). Het CBP maakt momenteel weinig gebruik van deze bevoegdheid. Het College stelt “grote vraagtekens” te hebben bij het voorstel van Teeven en Plasterk en is van mening dat het uitdelen van boetes “niet tot een betere naleving van de Wet bescherming persoonsgegevens” leidt. In de beoogde situatie zou het CBP, dat overigens verder zou gaan onder de naam ‘Autoriteit Persoonsgegevens’, ook boetes mogen uitdelen als de verantwoordelijke gegevens niet juist verwerkt, als gegevens langer dan noodzakelijk worden bewaard, als de beveiliging niet op orde is of als persoonsgegevens worden misbruikt. De maximale boete is 20.250 euro in de laagste categorie en 810.000 euro in de hoogste categorie.
Ook de eerder op deze website besproken ‘meldplicht datalekken’ is opgenomen in de voorgestelde wetswijziging (zie hier, hier en hier). Anders dan in het eerdere voorstel, waarbij alle lekken gemeld zouden moeten worden, zouden nu alleen ‘ernstige ’lekken gemeld moeten worden. Als bedrijven geen melding maken, kunnen zij een boete van maximaal 820.000 euro krijgen. Zowel de uitbreiding van de handhavingsbevoegdheden als de meldplicht datalekken zijn overigens ook opgenomen in de nieuwe Europese Privacyverordening die naar verwachting binnen enkele jaren in werking zal treden. Het lijkt er dus op dat Nederland alvast ‘voorsorteert’ op deze ontwikkelingen. D66-Kamerlid Gerard Schouw heeft overigens voorgesteld om het jaar 2015 uit te roepen tot ‘jaar van de privacy’.
Voor meer informatie over dit onderwerp, kunt u contact opnemen met Natascha van Duuren (advocaat IT/Privacy/Cybersecurity).