Het College Bescherming Persoonsgegevens, het CBP. Dat klonk altijd wel sympathiek. Een soort panel van wijze mannen en vrouwen dat erop toeziet dat er in Nederland netjes en conform de wet met onze persoonsgegevens wordt omgegaan. Maar per 1 januari 2016 heeft een metamorfose plaatsgevonden. De schaapskleren zijn afgelegd en de wolf is verschenen.
Het College Bescherming Persoonsgegevens (CBP) is omgedoopt tot Autoriteit Persoonsgegevens (AP) en heeft eindelijk de tanden gekregen waarnaar het zolang heeft verlangd: de AP kan nu bij overtreding van de Wet bescherming persoonsgegevens (Wbp) boetes opleggen tot maximaal 820.000 euro of 10% van de jaaromzet van het voorgaande boekjaar. Lange tijd was het de frustratie van Jacob Kohnstamm, de voorzitter van -toen nog- het CBP dat het CBP niet echt werk kon maken van de handhaving van de Wbp.
Overtreding van de Wbp kon meestal niet worden bestraft met een boete en als er al een boete kon worden opgelegd dan was die heel laag. Menig bedrijf of overheidsinstelling was daar niet van onder de indruk en nam het risico om niet of niet volledig ‘compliant’ te zijn met de Wbp. Maar dat is dus sinds 1 januari een stuk riskanter geworden. Hoe de AP met haar boetebevoegdheden zal omgaan, is vastgelegd in de Boetebeleidsregels van de AP die op 15 januari 2016 in de Staatscourant zijn gepubliceerd.
En in de nabije toekomst worden boetes nog hoger
Bovendien is dit nog maar het begin. In de nieuwe Privacyverordening die naar verwachting begin 2016 door het Europees Parlement wordt goedgekeurd en na een overgangstermijn van 2 jaar van toepassing zal zijn, staan nog forsere boetes. Afhankelijk van de aard van de overtreding kunnen dan boetes van maximaal 10 of 20 miljoen euro (!) danwel 2% of 4% van de wereldwijde omzet worden opgelegd. Alle reden om als onderneming of overheid weer eens goed te kijken of het wel snor zit met de verwerking van persoonsgegevens binnen de eigen organisatie. Het speelkwartier is voorbij.