Zoals wij al eerder opmerkten is de bevoegdheid van de Autoriteit Persoonsgegevens om boetes op te leggen per 1 januari van dit jaar (2016) uitgebreid (klik hier voor het artikel). Daarnaast is de boetebevoegdheid in artikel 66 Wbp wat betreft de adressant van de boete verruimd: de Autoriteit Persoonsgegevens kan nu niet alleen aan een verantwoordelijke maar ook aan een bewerker een boete op grond van de Wet bescherming persoonsgegevens (Wbp) opleggen.
Maar wie is nu een “verantwoordelijke” en wie is een “bewerker”? Werkt u bijvoorbeeld in de “cloud”, dan kwalificeert u volgens de Wbp als “verantwoordelijke” en is de door u ingeschakelde cloudprovider een “bewerker”. Nog een ander voorbeeld: indien u een payrollbedrijf inschakelt bent u een “verantwoordelijke” en het payrollbedrijf is dan een “bewerker” volgens de Wbp. Bent u dus de cloudprovider of het payrollbedrijf dan bent u een bewerker.
Aan een bewerker kan onder omstandigheden een boete worden opgelegd indien die bewerker kwalificeert als een “medepleger” in de zin van artikel 5:1 lid 2 Awb. Een medepleger van een overtreding van de Wbp is diegene:
- die een voldoende nauwe en bewuste samenwerking met een verantwoordelijke heeft; én
- waarvan zijn/haar aandeel bij die overtreding van voldoende gewicht is.
Leeft u als bewerker de Wbp niet na, dan bestaat dus het risico dat de Autoriteit Persoonsgegevens ook aan u een boete oplegt.
