Onlangs werd bekend dat de Autoriteit Consument en Markt (ACM) een boete van 364.000 euro heeft opgelegd aan KPN. De rechter heeft bevestigd dat deze boete terecht is opgelegd. Opvallend is dat de ACM de boete direct mocht opleggen. Zij hoefde niet eerst een waarschuwing te geven. Daarnaast hebben de maatregelen die KPN heeft genomen na de hack geen invloed op de hoogte van de boete. Kan het College bescherming persoonsgegevens (Cbp) straks ook direct een boete opleggen bij overtredingen op grond van de nieuwe wet meldplicht datalekken? En moet het Cbp bij de hoogte van de boete rekening houden met de maatregelen die zijn getroffen na de ontdekking van het lek?
ACM vs. Cbp
De ACM heeft niet dezelfde bevoegdheden als het Cbp. In de KPN-zaak is het onderzoek ingesteld door de ACM, omdat deze waakhond bevoegd is bij ‘aanbieders van een elektronisch openbaar communicatienetwerk’, zoals telecomproviders. Deze organisaties zijn op grond van de Telecommunicatiewet al langere tijd verplicht om datalekken te melden. De ACM mag bij deze partijen boetes opleggen. Het Cbp mag vanaf 1 januari 2016 bij datalekken ook boetes opleggen aan alle andere Nederlandse organisaties en overheidsinstanties die persoonsgegevens verwerken.
Boete zonder waarschuwing
Zoals gezegd zijn er twee punten uit het arrest die opvallen. Allereerst mocht de ACM direct, zonder waarschuwing een boete opleggen aan KPN. Mag het Cbp dan straks ook direct een boete opleggen bij een datalek? Opmerking verdient allereerst dat niet alle datalekken hoeven te worden gemeld bij het Cbp. Dit hoeft alleen als de datalek leidt tot ‘ernstige nadelige gevolgen voor de bescherming van persoonsgegevens’. Ten tweede geldt voor bijna alle overtredingen dat het Cbp eerst een zogenaamde ‘bindende aanwijzing’ moet geven. Met deze aanwijzing krijgen organisaties en overheidsinstanties de opdracht om aanpassingen door te voeren. Wordt deze bindende aanwijzing van het Cbp niet opgevolgd, dan mag het Cbp een boete opleggen. Is er sprake van opzet of ‘ernstige verwijtbare nalatigheid’, dan hoeft het Cbp niet eerst een bindende aanwijzing te geven, maar kan het direct een boete opleggen. Wanneer daarvan sprake is, is nu nog niet duidelijk.
Maatregelen na het lek
Een tweede punt uit het arrest dat opvalt is dat de maatregelen die KPN had genomen na de hack door de rechter niet werden meegewogen. Onduidelijk is of het Cbp dat wel zal doen. Wettelijk gezien is het Cbp daar straks in ieder geval niet toe verplicht. Het is mogelijk dat het Cbp hier straks in de praktijk wel rekening mee zal houden bij het opleggen van de boete. Overigens is er Europese wetgeving in de maak waarin het Cbp wél verplicht lijkt te zijn om te kijken naar de maatregelen die zijn getroffen na het lek. Deze wetgeving is nog niet vastgesteld of in werking getreden.
Conclusie
Het lijkt er tot nu toe op dat het Cbp alleen direct een boete zal opleggen als het heel bont wordt gemaakt. Een enkele fout in de software zal in ieder geval nog niet kunnen leiden tot een boete. Bij KPN was er wel een hele hoop mis: er was onvoldoende onderhoud, intrusion detection systemen ontbraken, er was op essentiële punten geen veiligheidsbeleid, enzovoorts. Pas bij zulke “ernstige verwijtbare nalatigheid” of “opzet” zal ook het Cbp direct een boete kunnen opleggen. In andere gevallen zal het Cbp eerst een bindende aanwijzing geven. Voor hoge boetes lijken we dus niet te hoeven vrezen.
ICTRecht Academy
