Achtergrond
image

Is strafrechtelijke vervolging voor het overtreden van de AVG ook in Nederland mogelijk?

woensdag 12 november 2025, 10:27 door Redactie, 6 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Laatst las ik dat privacyorganisatie noyb bij het Oostenrijkse OM een klacht heeft ingediend om Clearview AI en de managers van het bedrijf strafrechtelijk te vervolgen. Is zoiets ook in Nederland mogelijk?

Antwoord: Inderdaad heeft Oostenrijk in Artikel 63 van haar Datenschutzgesetz uitgewerkt dat de rechter, onder andere voor "onrechtmatige zelfverrijking" door middel van onrechtmatig verkregen persoonsgegevens, een gevangenisstraf tot een jaar kan opleggen.

De AVG erkent dat landen deze mogelijkheid hebben. Artikel 84 AVG eist dat lidstaten sancties invoeren voor overtredingen die niet in de AVG zelf al staan. Het strafrecht is dan een optie. Overweging 149 suggereert daarbij dat het afpakken van winst verkregen uit AVG-schendingen een optie zou kunnen zijn.

Omdat de AVG gebaseerd is op economische regels, kan zij zelf geen bepalingen van strafrecht introduceren. Lidstaten moeten dus zelf kiezen of en zo ja welke strafbaarstelling men invoert. Nederland heeft (zonder echte motivatie) geen algemene regels van strafrecht ingevoerd. Mijn vermoeden is dat de wetgever denkt dat het bestuursrecht adequaat is voor handhaving. Uiteindelijk is een boete een boete. Gevangenisstraf voor bestuurders is niet echt een Nederlandse traditie.

Wel zijn er natuurlijk allerlei artikelen van strafrecht die specifiek zien op delicten gepleegd met persoonsgegevens, zoals: - Gegevensdiefstal (art. 138c) van niet-openbare persoonsgegevens - Aftappen van persoonsgegevens (art. 139c) - Verwerven of openbaar maken niet-openbare persoonsgegevens (art. 139g) - Vervalsen van identiteitsdocumenten (art. 231) - Misbruik van biometrische persoonsgegevens (art. 231a) - Identiteitsdiefstal (art. 231b) - Wraakporno of deepfake-porno maken of verspreiden (art. 254ba) - Doxing oftewel overlast geven door misbruik persoonsgegevens (art. 285d) - Afpersing (art. 317) met bv. wissen van belangrijke gegevens - Afdreiging (art. 318) met openbare van als privé te beschouwen persoonsgegevens (Ik vergeet er vast de nodige.)

Hier is dan de gedachte dat dit zo ernstig is dat gevangenisstraf gepast zal zijn. Ook gaat het hier zelden om gebruikelijke, legitieme verwerkingen waarbij een toezichthouder af en toe binnenstapt. En vaak gaan ze samen met andere misdrijven, dus dan is het logisch dat je de politie het voortouw laat nemen.

Reacties (6)
Reageer met quote
12-11-2025, 19:51 door Anoniem
"Gevangenisstraf voor bestuurders is niet echt een Nederlandse traditie."

De hoogste tijd om daar eens mee te beginnen. We bouwen nog wel wat cellen in noord oost groningen als het nodig is.
Reageer met quote
13-11-2025, 11:15 door Anoniem
Nuchter Nederlands denken (althans tussen het zuipen door) is ook een Nederlandse traditie.

Het is geen raketwetenschap om te zien dat voor de grote vissen boetes geen zin hebben. Alsmede als je zo een boete als schadevergoeding per gebruiker zou kunnen verdelen dat je dan niet eens de prijs van een postzegel zou halen.

Die Oostenrijkers waren best slim. Want gevangenisstraf doet wél zeer bij bestuurders. Met name buitenlandse bestuurders. Want die kunnen dan ons land niet meer in, of ze moeten eerst hun straf uitzitten. Tevens hoeft er geen enkel slachtoffer meer een advocaat op te zoeken, maar enkel aangifte te doen. Een strafzaak is immers tussen OM en dader.

Volgens mij moeten we Schrems nog maar even in ons klasje houden.

Tegelijk kijk ik nu al uit naar de Telegraaf van dan: "Trump dreigt woedend met van alles omdat Zuckerberg in Nederland een week de bak in moet om te komen koekhappen, en weigert hem uit te leveren."

Dan staan er twee vliegen te gelijk voor lul.
Reageer met quote
14-11-2025, 09:51 door Anoniem
En wat te denken van al die bestuurders van publieke organisaties die hun zaakjes niet op orde hebben. Is het niet tijd dat ook zij hiervoor persoonlijk bestraft worden. De boetes worden uiteindelijk betaald uit de door de maatschappij opgehoeste middelen dus daar hebben zij geen pijn van. Blijft over het imagoverlies, maar daar zijn deze bestuurders niet echt gevoelig voor.
Reageer met quote
14-11-2025, 10:23 door Anoniem
Door Anoniem: En wat te denken van al die bestuurders van publieke organisaties die hun zaakjes niet op orde hebben. Is het niet tijd dat ook zij hiervoor persoonlijk bestraft worden. De boetes worden uiteindelijk betaald uit de door de maatschappij opgehoeste middelen dus daar hebben zij geen pijn van. Blijft over het imagoverlies, maar daar zijn deze bestuurders niet echt gevoelig voor.
Ze zijn uiterst gevoelig voor imagoverlies. Alleen hopen ze van te voren dat het niet bekend wordt waar ze mee bezig zijn. Omdat ze zichzelf heel slim vinden, denken ze dat ze het zo handig kunnen doen dat het niet bij veel mensen bekend wordt. Maar als er dan toch een klokkenluider opstaat, doen die bestuurders er werkelijk alles aan om hun imago te beschermen. Dan proberen ze zo'n klokkenluider kapot te maken om hem stil te krijgen.
Reageer met quote
14-11-2025, 18:53 door Anoniem
De Zwitserse privacy wetgeving heeft dit zelfs ingebakken. C-level is persoonlijk aansprakelijk voor het privacybeleid en vervolging kan een persoonlijke boete, strafblad of gevangenisstraf opleveren.

Hier in Nederland worden bedrijven beboet, waarmee uiteindelijk de werknemers bloeden voor het risiconemend beleid van het management.

Ben benieuwd wat de NIS2 hierin kan gaan toevoegen. (Die eu wetgeving die eind 2024 al ingevoerd had moeten zijn maar nog steeds bij de ambtelijke molens ligt!!!) Management is bij NIS2 wel aansprakelijk voor het uitvoeren van een securitybeleid wanneer zij (zeer) kritieke infrastructuren beheren.

https://www.digitaleoverheid.nl/nieuws/zelf-evaluatie-valt-jouw-organisatie-onder-de-nis2/
Reageer met quote
17-11-2025, 09:12 door Anoniem
Door Anoniem:
Het is geen raketwetenschap om te zien dat voor de grote vissen boetes geen zin hebben. Alsmede als je zo een boete als schadevergoeding per gebruiker zou kunnen verdelen dat je dan niet eens de prijs van een postzegel zou halen.
Kijk als voorbeeld naar Seats & Sofas.
https://www.acm.nl/sites/default/files/documents/2018-06/boete-meubelverkoper-seats-and-sofas-voor-misleidende-prijzen.pdf
Ze gaan gewoon verder met zaken doen op dezelfde wijze. Ze lachen die boete weg want ze verdienen toch genoeg geld.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components