Vage normen en open begrippen in Wet bescherming persoonsgegevens maken nadere invulling ervan nodig.
In rechtsstaat kan alleen boete worden opgelegd als vooraf voorzienbaar is hoe wet moet worden nageleefd.
Deze week behandelt de Tweede Kamer het wetsvoorstel dat het College Bescherming Persoonsgegevens in staat moet stellen boetes tot € 810.000 op te leggen voor overtredingen van de privacywet. De voorzitter van het CBP, Jacob Kohnstamm, is blij met het wetsvoorstel, maar maakt zich boos over een belangrijk onderdeel daarvan. Een boete kan, behoudens bij opzettelijke overtredingen, alleen worden opgelegd als het CBP eerst een zogeheten ‘bindende aanwijzing’ heeft gegeven. Voordat een boete kan worden opgelegd, moet de toezichthouder uitleggen wat de wet in het concrete geval vereist en de overtreder opdragen om de overtreding te beëindigen. Als deze aanwijzing niet binnen een bepaalde termijn wordt opgevolgd, kan vervolgens een boete worden opgelegd. Aldus staat in het wetsvoorstel.
Dat betekent, aldus de toezichthouder, dat het wetsvoorstel niet leidt tot een betere naleving van de privacywet. ‘De roep in de samenleving is om een waakhond met tanden’, zegt de voorzitter, ‘nu worden we tandeloos aan banden gelegd waardoor bedrijven en organisaties niet de druk zullen voelen om de wet na te leven’. We kunnen ons iets voorstellen bij de frustratie van de voorzitter, die al jaren aandringt op deze boetebevoegdheid. En nu die er eindelijk gaat komen, wordt de privacywaakhond alsnog gemuilkorfd. Althans, zo voelt het.
Er zijn echter overtuigende argumenten om een boete vooraf te laten gaan door de bindende aanwijzing. In zijn advies over het wetsvoorstel legt de Raad van State uit waarom. In 2007 werd de privacywet, de Wbp, geëvalueerd. Een van de conclusies was dat deze wet, meer dan andere wetten, wordt gekenmerkt door zeer vage, algemeen-abstracte normen en open begrippen, die in de praktijk moeten worden ingevuld en geconcretiseerd. Een voorbeeld is de norm dat persoonsgegevens mogen worden verwerkt voor een gerechtvaardigd belang van degene die daarvoor verantwoordelijk is of een derde, tenzij het privacybelang van het desbetreffende datasubject prevaleert. Als gevolg van deze vage normen en open begrippen is er vaak onduidelijkheid over wat er in een concreet geval precies moet worden gedaan om aan de wet te voldoen.
Een en ander moet worden opgehelderd, want in een rechtsstaat kan alleen een boete worden opgelegd als vooraf voldoende voorzienbaar is op welke wijze de wet had moeten worden nageleefd. In het licht van dit voorzienbaarheidsvereiste is het dus nodig dat de toezichthouder de vage wettelijke norm concretiseert en daarmee eerst duidelijk maakt wat er wordt verwacht van degenen op wie toezicht wordt gehouden.
In dat verband is niet zonder betekenis dat de privacytoezichthouder de laatste jaren een uitgesproken activistische koers is gaan varen. De toezichthouder heeft een eigen mening over welke kant het met de privacybescherming op moet en bemoeit zich enthousiast met maatschappelijke en politieke privacydiscussies. In dat kader schrijft de toezichthouder nogal eens brieven naar de Tweede Kamer en treedt hij veelvuldig in de publiciteit.
We kunnen in het midden laten of de toezichthouder, die geacht wordt onafhankelijk, objectief en onpartijdig te zijn, er goed aan doet zich zo prominent te profileren als een privacybelangengroep. Vast staat dat deze activistische opstelling zich niet zonder meer laat verenigen met een boetebevoegdheid, zeker niet als de toezichthouder daarmee de naleving kan afdwingen van regels die door hem zelf nader worden ingevuld.
Ook daarom is het nodig dat de toezichthouder eerst duidelijk maakt hoe de regels moeten worden uitgelegd. Pas dan kan worden overgegaan tot het opleggen van boetes, zo nodig ook hoge boetes. Een goede privacybescherming is gebaat bij rechtszekerheid.
Deze opinie is eerder gepubliceerd in: Het financieele dagblad van 3 februari 2015.