Column


IT-jurist Peter van Schelven over...

Privacyboetes voor Nederlandse overheden?

Sinds de komst van de Algemene Verordening Gegevensbescherming trekt vooral de nieuwe boeteregeling op privacygebied in Europa volop de aandacht. Wie vanaf 25 mei 2018 niet aan de nieuwe Europese privacywetgeving voldoet, riskeert een bestuurlijke boete die – afhankelijk van het soort overtreding – kan oplopen tot 20 miljoen euro of vier procent van de jaaromzet. Fors dus!

Deze torenhoge boeterisico’s zijn bedoeld om bedrijven en organisaties een stevige impuls te geven om de nieuwe spelregels voor de omgang met persoonsgegevens serieus te nemen.

Wie dat niet doet, kan met een forse financiële sanctie van de toezichthouder – in Nederland de Autoriteit Persoonsgegevens – worden opgezadeld. De dreiging met deze sanctie zet velen – al dan niet gevoed door opportunistische adviezen van talloze juristen die bij schending van het privacyrecht garen willen spinnen – op scherp.

Opt-in?
Maar hoever reikt die boetebevoegdheid van de toezichthouder precies? Strekt die zich ook uit tot overheidsinstanties die het niet zo nauw nemen met de bescherming van persoonsgegevens? Mogen overheden worden beboet als zij het privacyrecht met voeten treden, bijvoorbeeld door benedenmaatse security in huis te hebben?

Wie op dit punt de Algemene Verordening Gegevensbescherming er nog eens op naleest, ziet dat de Europese wetgever die vragen niet zelf heeft willen beantwoorden. De vraag of en in welke mate overheden beboet mogen worden, wordt geheel overgelaten aan de nationale wetgevers van de lidstaten van de Europese Unie. Een soort 'opt-inregeling’ dus: overheden zijn niet beboetbaar, tenzij in een lidstaat anders wordt geregeld.

Voorontwerp Uitvoeringswet AVG
De vraag is dus: wat doet de Nederlandse wetgever? Vorige maand heeft de Nederlandse regering een voorontwerp voor de Uitvoeringswet AVG ter consultatie op het internet gepubliceerd. Die moet op niet al te lange termijn gaan leiden tot een nieuwe Nederlandse privacywet waarin – specifiek voor ons land – de nieuwe Europese spelregels nader worden uitgewerkt. Iedereen die dat wenst, kan nog tot en met 20 januari aanstaande commentaar op dit consultatiedocument leveren.

Wat opvalt, is dat de regering in het voorontwerp geen regeling geeft voor de beboetbaarheid van overheden en overheidsinstanties. De conclusie is dus een tamelijk eenvoudige: als het aan de Nederlandse regering ligt, blijft de publieke sector – rijk, provincies, gemeenten, waterschappen en andere overheidsinstanties – buiten schot. Overheden kunnen zo zonder risico’s van een boete aanrommelen op het gebied van privacy en security. En dat is een insteek die – zachtjes uitgedrukt – niet getuigt van een goed gevoel voor verhoudingen. Het is immers een feit van algemene bekendheid dat juist bij menige overheidsinstantie in ons land privacy en security niet hoog in het vaandel staan.

Meten met twee maten
Bovendien leidt de aanpak die de Nederlandse regering blijkens het voorontwerp voor ogen staat tot een kwalijke ongelijke behandeling. Bedrijven die de nieuwe Europese privacyregels niet naleven kunnen forse boetes verwachten, terwijl overheden voor soortgelijke praktijken financieel vrijuit gaan. Het valt dan ook te verwachten dat deze bedenkelijke ongelijkheid tussen publieke en private sector bij de consultatie van het voorontwerp aan de kaak wordt gesteld. Ik zal er een kort briefje naar de regering aan wijden. U ook?


Lees meer over