In de eerste week van februari werd de Tweede Kamer opeens wakker. Patiënten in een ziekenhuis werden gefilmd voor een realityshow, zonder dat zij daar toestemming voor hadden gegeven. De patiënten waren het niet eens met het opnemen en het uitzenden van die beelden. De Tweede Kamer wilde onder andere voor dit incident dat er opgetreden zou worden. Hiermee trapten zij op hun eigen tenen. Het CBP is de aangewezen instelling om inbreuken op de persoonlijke levenssfeer tegen te gaan, maar heeft in de wet slechts beperkte mogelijkheden gekregen om boetes uit te delen.
Wat mag het CBP?
Wat het uitdelen van boetes betreft, houden de bevoegdheden van het CBP eigenlijk op bij het geven van een boete voor het schenden van de verplichting om een gegevensverwerking bij het CBP te melden. Een administratieve boete mag maximaal € 4.500,00 bedragen. Wanneer een inbreuk is geconstateerd, kan ook worden gevorderd dat de inbreuk wordt beëindigd. Daarbij zouden ook dwangsommen kunnen worden opgelegd. Dit is alleen niet geschikt voor gevallen waar het kwaad al is geschied, zoals bij het filmen van patiënten in een ziekenhuis. Staatssecretaris Teeven heeft al in november 2014 een voorstel tot wetswijziging ingediend die zou moeten zorgen voor ruimere boetebevoegdheden. De boete die het CBP (straks ‘autoriteit persoonsgegevens’) dan zou mogen opleggen, zal volgens het wetsvoorstel omtrent de privacy maximaal € 810.000,00 (!) bedragen.
In de Tweede Kamer is op 10 februari 2015 een gewijzigd wetsvoorstel aangenomen. Hierin wordt bepaald dat het CBP voor een groot aantal overtredingen een boete op mag leggen. Te denken valt aan onvoldoende beveiliging van persoonsgegevens, het overschrijden van de bewaartermijn en het verzamelen van gegevens zonder gelegitimeerd doel. Ook mag er een boete op worden gelegd indien persoonsgegevens zonder geldige grondslag, zoals toestemming van de betrokkene, worden verwerkt. Dit laatste was het geval bij de realityshow.
Na aanname van het wetsvoorstel kan in de meeste gevallen de boete pas worden opgelegd nadat het CBP een zogenaamde bindende aanwijzing heeft gegeven. Het CBP moet daarin uitleggen wat de wet in het concrete geval vereist en de overtreder opdragen om de overtreding te beëindigen. Een aantal Tweede Kamerleden stelden naar aanleiding van de realityshow voor om de mogelijkheid tot het geven van een bindende aanwijzing aan de beoordeling van het CBP over te laten. Hierdoor zou de wens van de heer van Wijngaarden beter in vervulling worden gebracht. Het CBP wordt dan in plaats van een ‘blaffende hond’, een ‘bijtende hond’. Deze wijziging is niet meegenomen in het voorstel.
Wat gaat er nog meer veranderen?
Het CBP mag volgens het wetsvoorstel straks geen boete meer opleggen voor het niet melden van de gegevensverwerking. Deze algemene meldplicht wordt immers straks vervangen door een specifieke meldplicht voor datalekken. Lees hier meer over de nieuwe meldplicht.
Het wetsvoorstel is slechts een opstapje naar de wijziging die in de toekomst nog zal komen. Op hoger niveau is namelijk de Europese Privacy Verordening in de maak. Als deze verordening in werking treedt zullen nog hogere boetes uitgedeeld kunnen worden (maximaal 100 miljoen euro of 5 procent van de wereldwijde omzet).
In de praktijk
Wat betekent dat nou in de praktijk? Verschillende bedrijven en instanties hebben te maken met het opslaan en verzamelen van persoonsgegevens. Voor de verwerking van persoonsgegevens is men gebonden aan wettelijke voorschriften. Deze regels zijn niet voor iedereen goed te begrijpen en in de praktijk niet altijd gemakkelijk toe te passen. Nadat het wetsvoorstel wordt aangenomen zal er voor bedrijven een grotere stok achter de deur staan om na te gaan of persoonsgegevens wel altijd volgens de wet worden verwerkt.
Vervolg
Het wetsvoorstel ligt nu bij de Eerste Kamer. De Eerste Kamer zal op 24 februari 2015 bepalen hoe de verdere voorbereiding zal verlopen. Als de Eerste Kamer het wetsvoorstel uiteindelijk aanneemt zal nog worden bepaald wanneer de wijziging in werking treedt. De makers van de realityshow hebben dus nog niets te vrezen van het CBP.
Door: Demi Grandiek (stagiaire)
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.