Column


IT-jurist Peter van Schelven over...

Boete in privé bij datalekken?

Bedrijven en organisaties in ons land die de wettelijke meldplicht bij datalekken aan hun laars lappen, lopen onder de huidige privacywet het risico een forse bestuurlijke boete op te lopen. De Wet bescherming persoonsgegevens bepaalt, zoals bekend, dat de boete kan oplopen tot 820.000 euro per geval en, als dat hoger is, bij bedrijven tot 10 procent van de jaaromzet. Weliswaar is dat een forse boetedreiging, maar je moet er wel een flink rommeltje van maken voordat je sowieso een boete opgelegd krijgt.

Het beleidsmatige uitgangspunt van de Autoriteit Persoonsgegevens is dat alleen een boete wordt opgelegd als er sprake is van opzet of ernstig verwijtbare nalatigheid. Daar is niet snel sprake van. In alle andere gevallen legt de toezichthouder je eerst een bindende aanwijzing op, wat bijvoorbeeld zou kunnen betekenen dat je op instructie additionele beveiligingsmaatregelen moet treffen.

Verantwoordelijke
Een vraag over het nieuwe boetestelsel bij datalekken waaraan in de media tot nu toe nog weinig aandacht is gegeven, betreft de vraag aan wie precies een bestuurlijke boete kan worden opgelegd. Die kring is groter dan op het eerste gezicht wellicht wordt vermoed. De verplichting om een ernstig datalekken bij de Autoriteit Persoonsgegevens en de betrokken burgers te melden berust - volgens de letter van de wet – op de schouders van de zogeheten ‘verantwoordelijke’. Dat is de organisatie die beslist over de vraag met welk doel persoonsgegevens worden verwerkt en welke middelen daarvoor worden ingezet. Dat is bijvoorbeeld dus de gemeente die beslist over de verwerking van de gegevens van haar inwoners en ambtenaren. En het is het ziekenhuis dat beslist waarom en hoe gegevens over patiënten worden vastgelegd, bewaard, gebruikt en dergelijke.

Maar kan nou ook de directeur die leiding geeft aan een bedrijf of een afdelingsmanager in privé worden beboet als hij er willens en wetens voor kiest om een zeer ernstig datalek onder de pet te houden? In de tekst van de wet tref je daar geen woord over aan, maar in de Eerste Kamer is vorig jaar mei, bij de behandeling van het wetsvoorstel over de meldplicht voor datalekken, uitvoerig bij die vraag stilgestaan. Wie de kamerstukken er nog eens op naslaat, leest dat de regering meent dat een boete ook kan worden opgelegd tegen leidinggevenden binnen een rechtspersoon (zoals een bv, nv, stichting, en dergelijke). De gedachte is dat dit in het systeem van het recht past. Een voorwaarde voor de beboetbaarheid van deze kring van personen is wel dat zij feitelijk leiding hebben gegeven aan het schenden van de meldplicht, of zelfs opdracht hebben gegeven de meldplicht te schenden. In juridisch jargon heet het dan dat zij ‘de kans hebben aanvaard’ dat geen melding plaatsvindt. Voor ogen moet worden gehouden dat dit boeterisico niet alleen de directeur treft, maar zelfs ook lager management, bijvoorbeeld een manager van de IT-afdeling.

Eigen portemonnee
In de praktijk zal het met het boeterisico voor deze kring van personen feitelijk naar verwachting wel loslopen. Maar volledig uitgesloten is het risico zeker niet. Hoe dan ook, ook ter bescherming van de eigen portemonnee kan het geen kwaad om de wet op dit vlak serieus te nemen.


Lees meer over