Op maandag 24 november 2014 is een wetsvoorstel gepubliceerd op grond waarvan het College Bescherming Persoonsgegevens (CBP) de bevoegdheid krijgt boetes op te leggen op overtreding van een groot aantal in de Wbp vastgelegde verplichtingen. Het CBP (binnenkort: Autoriteit Persoonsgegevens) kan een maximale boete opleggen van € 810.000,-.
De boete kan bijvoorbeeld worden opgelegd in geval van overtreding van onder andere de volgende wettelijke verplichtingen:
- gegevens op behoorlijk en zorgvuldige wijze te verwerken
- gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te verzamelen
- de gegevens binnen de kaders van een in de wet genoemde grondslag voor de verwerking te verwerken
- gegevens niet langer te bewaren dan noodzakelijk
- gegevens op passende wijze te beveiligen
- de nieuwe wet meldplicht datalekken na te leven
Tot teleurstelling van het CBP mag volgens het voorstel een boete pas worden opgelegd nadat het CBP een "bindende aanwijzing” heeft gegeven. Kortom, de overtredende partij moet eerst een herkansing krijgen. Als de instructies van het CBP niet (tijdig) worden opgevolgd kunnen dus alsnog forse sancties worden uitgedeeld. Let op: een boete mag direct (zonder mogelijkheid tot herstel) worden opgelegd als de overtreding "opzettelijk” is begaan. De wetgever denkt daarbij aan ongeoorloofde handel in persoonsgegevens met het oogmerk van winstbejag en ondernemingen die willens en wetens de wet overtreden.
Hoewel het wetsvoorstel het imago van het CBP als "tandeloze tijger” niet geheel wegneemt (zij moet immers eerst een herkansing bieden), is wel duidelijk dat privacy bescherming en handhaving van de Wbp steeds belangrijker worden. Vooruitlopend op de nieuwe privacy verordening (die nog zwaardere sancties op overtreding zal bevatten) wordt met dit wetsvoorstel een eerste stap gezet. Ondernemingen die persoonsgegevens verwerken doen er dus goed aan op korte termijn te controleren of wordt voldaan aan de strenge eisen uit de Wbp.