De Afdeling advisering van de Raad van State heeft advies uitgebracht over de nota van wijziging bij het wetsvoorstel meldplicht datalekken. De nota van wijziging is op 24 november 2014 bij de Tweede Kamer ingediend. Daarmee is ook het advies van de Afdeling advisering openbaar geworden.

Inhoud nota van wijziging

Met de nota van wijziging wil de regering bestuurlijke boetes invoeren voor overtreding van de Wet bescherming persoonsgegevens. Het College bescherming persoonsgegevens zal de boetes gaan opleggen. De boete kan maximaal € 810.000 bedragen, of – als dat hoger is – 10% van de jaaromzet van de onderneming. De introductie van een bestuurlijke boete houdt verband met het feit dat de Wet bescherming persoonsgegevens niet goed wordt nageleefd. De Afdeling advisering heeft dan ook begrip voor het streven de naleving te verbeteren. Zij plaatst echter kanttekeningen bij het gekozen middel om dat doel te bereiken.

Bestuurlijke boete of strafrecht

De Afdeling advisering werpt de vraag op waarom niet wordt gekozen voor strafrechtelijke handhaving. De overtredingen zijn daarvoor ernstig genoeg en betreffen bovendien het grondrecht van bescherming van de persoonlijke levenssfeer. Als voor het strafrecht wordt gekozen, wordt de overtreding vastgelegd in de justitiële documentatie. Een overtreding werkt dan door bij het al dan niet verstrekken van een verklaring omtrent het gedrag. Bovendien krijgt de verdachte in het strafrecht een sterkere procespositie: het is dan de rechter zelf die het bewijs beoordeelt en de straf oplegt.

Te vroeg

In de Europese Unie wordt gewerkt aan een Algemene verordening gegevensbescherming die de plaats zal innemen van de Nederlandse Wet bescherming persoonsgegevens. Die verordening lijkt ook te voorzien in een volledig opgetuigd stelsel van bestuurlijke boetes. In dat licht lijkt het voorstel van de regering prematuur, zeker omdat er mogelijk aanzienlijke verschillen zullen bestaan tussen de nota van wijziging en de ontwerpverordening.

Vage normen

De Afdeling advisering constateert verder dat het College bescherming persoonsgegevens bestuurlijke boetes kan opleggen voor overtreding van vage normen. Het is een beginsel in de rechtsstaat dat regels die door straffen worden gehandhaafd voldoende duidelijk, voorzienbaar en kenbaar moeten zijn. Het College bescherming persoonsgegevens stelt nu al richtsnoeren op waarin vage normen nader worden uitgewerkt. Dat is op zichzelf waardevol. Maar die uitwerking is afkomstig van het orgaan dat ook de boetes zal gaan opleggen. Dat betekent dat normstelling en bestraffing in één hand komen.

De Afdeling advisering stelt voor de betrokkenheid van de minister van Veiligheid en Justitie te waarborgen door te bepalen dat hij de richtsnoeren van het College bescherming persoonsgegevens moet goedkeuren, of dat de – vage – wettelijke normen nader worden ingevuld bij algemene maatregel van bestuur.

Verder zou bepaald kunnen worden dat het college niet meteen een boete kan opleggen, maar eerst in een bindende aanwijzing concreet aangeeft hoe de overtreding kan worden hersteld.

Politie en justitie

Het College bescherming persoonsgegevens is ook toezichthouder voor gegevensverwerking door politie en justitie en door de gemeente (basisregistratie personen). De Afdeling advisering vraagt de regering waarom voor overtredingen door deze overheidsorganen geen bestuurlijke boete kan worden opgelegd.

Lees hier de volledige tekst van het advies van de Afdeling advisering en het nader rapport van de staatssecretaris.