Op dit moment kan het College Bescherming Persoonsgegevens (CBP) op grond van artikel 66 Wet Bescherming Persoonsgegevens (Wbp) alleen een boete opleggen voor schending van de meldingsplicht.

Andere overtredingen van de wet kunnen momenteel niet met een boete worden bestraft. Het CBP kan alleen een zogenaamde last onder dwangsom opleggen (artikel 65 Wbp). Een dergelijke last is niet geschikt om overtredingen van de wet te bestrijden die op het moment van constateren al zijn beeindigd (zoals bij bijvoorbeeld datalekken vaak het geval zal zijn). Een last onder dwangsom is immers corrigerend en niet punitief bedoeld.

In de toelichting op het wetsvoorstel meldplicht datalekken staat dat de regering tijdens het wetgevingsproces van deze wet nog een wijziging van de Wbp bij de Tweede Kamer zal indienen om het CBP meer bevoegdheden te geven.

Er staat niet letterlijk dat het CBP de bevoegdheid zal krijgen boetes op te leggen (slechts “uitbreiding van de bestuurlijke bevoegdheden”), maar gelet op de context waarin deze passage staat  is heel waarschijnlijk dat het CBP inderdaad boetes op zal kunnen gaan leggen. Dat zou ook in lijn zijn met de aangenomen motie Recourt van 15 maart 2012. Wat de maximale hoogte van de boete zal zijn, en waarop allemaal een boete zal worden gesteld, is nog onbekend.

Dit wetsvoorstel staat overigens los van het Europese voorstel voor nieuwe privacyregels. In dat Europese voorstel zijn ook voorstellen voor (forse) boetebevoegdheden gedaan.

Bron: Dirkzwager