Dat blijkt uit een brief van staatssecretaris Fred Teeven (Veiligheid en Justitie) en minister Ronald Plasterk (Binnenlandse Zaken) aan de Tweede Kamer. De Kamer moet de voorgestelde wetswijziging nog wel goedkeuren.
Als het aan het kabinet ligt krijgt het CBP, dat verder zal gaan als Autoriteit Persoonsgegevens, bredere bevoegdheden voor het uitdelen van boetes.
Nu kan het CBP bedrijven en overheidsinstanties alleen boetes opleggen als bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden wordt genegeerd.
Boetes
In de nieuwe wet kan de organisatie ook boetes uitdelen als deze gegevens niet goed worden verwerkt, als ze langer worden bewaard dan noodzakelijk is, als de beveiliging niet deugt of als persoonsgegevens worden misbruikt.
“Hierdoor kan het CBP effectiever optreden tegen overheidsinstanties en bedrijven die onzorgvuldig omgaan met gegevens van burgers”, aldus het ministerie van Veiligheid en Justitie in een verklaring.
De maximale boete is 20.250 euro in de laagste categorie en 810.000 euro in de hoogste categorie. De hoogste boete is volgens het ministerie bedoeld om ook overtredingen aan te kunnen pakken die “opzettelijk en herhaaldelijk worden gepleegd”.
In het wetsvoorstel staat dat niet onmiddellijk boetes worden opgelegd, maar dat eerst een waarschuwing volgt. Die wordt in officiële termen een “bindende aanwijzing” genoemd.
Meldplicht datalekken
In het wetsvoorstel is ook de meldplicht voor datalekken opgenomen die eerder al bekend werd gemaakt. Bedrijven hoeven een datalek alleen te melden als het om een “ernstig” lek gaat. Als bedrijven hiervan geen melding maken, kunnen zij ook een boete van maximaal 810.000 euro krijgen.
Eerst was het idee dat alle datalekken gemeld moesten worden, maar daar heeft Teeven van afgezien om de administratieve lasten en kosten te drukken.
Reactie CBP
In een reactie op het wetsvoorstel laat het CBP weten “grote vraagtekens” te zetten bij de beoogde veranderingen. Deze zouden “niet tot een betere naleving van de Wet bescherming persoonsgegevens” leiden.
Tegenover NU.nl legt een woordvoerder uit dat de “bindende aanwijzing” door het CBP bedrijven alsnog in staat stelt om reactief om te gaan met privacyschending, in plaats van pro-actief.
Bovendien moet de instantie volgens het wetsvoorstel eerst met “richtsnoeren” komen die in kaart brengen aan welke normen bedrijven en overheidsinstanties moeten voldoen.
Die moeten vervolgens ook nog ter ministeriële goedkeuring voorgelegd worden, wat de daadkracht van het CBP in de weg zou staan.