Criteria voor het vaststellen van een boete
Het Cbp hanteert drie boetecategorieën met een maximum van respectievelijk €20.250, €450.000 of €810.000 per overtreding van de Wet bescherming persoonsgegevens. Binnen die categorieën wordt de hoogte van een boete bepaald door te kijken naar:

  • de aard en de omvang van de overtreding;
  • de duur van de overtreding;
  • de schade;
  • de mate waarin sprake is van opzet of nalatigheid.

Dan zijn er nog een aantal omstandigheden die ertoe kunnen leiden dat toch in een andere categorie wordt beboet. Of er sprake is van recidive, de mate waarin een bedrijf meewerkt aan het onderzoek of de financiële situatie van een organisatie . Ook kan er sprake zijn van andere factoren waardoor een boete volgens het Cbp “geen passende bestraffing toelaat”. Te ingewikkeld, zegt DDMA. “Er zijn zoveel uitzonderingen op basis waarvan het Cbp buiten categorieën kan beboeten, dat de toegevoegde waarde van categorieën vervalt”, aldus Meijdam.

Ernstige nalatigheid
De genoemde bedragen zijn per overtreding. Bij meerdere overtredingen kan de teller dus flink oplopen. DDMA is voorstander van een slagvaardige toezichthouder. Meijdam: “We zijn niet gebaat bij een tandeloze tijger. Met deze wetswijziging krijgt het Cbp de mogelijkheid om effectief te handhaven. Met boetes tot 10% van de jaaromzet staat privacy op de agenda van de Raad van Bestuur. Daar zijn we allemaal bij gebaat. Onze industrie staat of valt met consumentenvertrouwen”. Het Cbp kan pas direct een boete opleggen als er sprake is van opzet of ernstige nalatigheid. In alle andere gevallen moet zij eerst een bindende aanwijzing doen.

Autoriteit persoonsgegevens
De boetehoogte is niet het enige dat per 1 januari verandert in privacyland. Het Cbp verandert van naam en wordt de Autoriteit persoonsgegevens. Ook treedt er een brede meldplicht datalekken in werking.

Bekijk hier DDMA reactie Cbp concept boetebeleidsregels