Europese Privacy Verordening in de ijskast?

24/10/2013

De roep om adequate privacywetgeving klinkt steeds luider. Op 21 oktober 2013 werden door de LIBE commissie in het Europees Parlement duidelijke stappen in die richting gezet. De commissie stemde voor nieuwe Europese regels voor de bescherming van persoonsgegevens en privacy: de Algemene Verordening Gegevensbescherming ("AVG").

Wat zou er in de privacywetgeving veranderen?

Een aantal dingen in de huidige tekst van de verordening springen in het oog.

  • Ten eerste de sanctiemogelijkheid van de toezichthouder die kan leiden tot een maximale boete van €100.000.000,- of 5% van de wereldwijde omzet. Een aanzienlijk grotere stok achter de deur dan de huidige privacy regelgeving (in Nederland geregeld in de Wet bescherming persoonsgegevens) heeft.
  • Ten tweede de toepasselijkheid van de AVG op buiten de EU gevestigde partijen die betaalde of gratis producten of diensten aanbieden aan Europese burgers of hen monitoren. Ondernemingen kunnen dus niet langer onder de werking van de privacy wetgeving uitkomen door zich niet in Europa te vestigen.
  • Een ander voordeel dat de AVG biedt, is dat multinationals hun verplichtingen eenvoudiger in kaart kunnen brengen. De AVG zal immers wet worden in alle EU lidstaten en daarmee komt een einde aan de lappendeken van verschillende nationale regels.
  • De basisprincipes van de AVG, zoals dat persoonsgegevens alleen verwerkt mogen worden voor een vooraf bepaald en vastgelegd doel, zijn niet nieuw. Die staan ook al in de Nederlandse Wet bescherming persoonsgegevens en de Europese Privacyrichtlijk waarop die gebaseerd is.
  • De AVG scherpt de voorwaarden voor gerechtvaardigde verwerking, de rechten van betrokkenen en de plichten van verantwoordelijken wel aan.
  • Toestemming van de betrokkene kan slechts als rechtvaardigingsgrond voor het verwerken van persoonsgegevens dienen, als die expliciet gegeven is.
  • De betrokkene kan zijn persoonsgegevens laten verwijderen als aan bepaalde voorwaarden is voldaan (right to erasure, eerder ook wel right to be forgotten genoemd).
  • Profiling, het geautomatiseerd verwerken van persoonsgegevens om het gedrag, de prestaties, economische positie, etc. om een persoon te analyseren of voorspellen, krijgt specifiek aandacht. Profiling wordt veel gebruikt in de (online) marketing en wordt onder de AVG aan strenge voorwaarden onderworpen.

Wanneer gaat de privacywetgeving veranderen?

Dat de AVG er komt, leek met de stemming in de LIBE commissie ineens een stuk waarschijnlijker geworden. De verwachting was vorige week dat het Europees Parlement in april 2014 over de definitieve tekst zou stemmen.

Al tijdens de EU top van 24 en 25 oktober 2013 pleitten Europese regeringsleiders echter voor uitstel. Met succes: de verwachting is nu dat de nieuwe Europese privacywetgeving pas in 2015 in werking zal treden. Het is bovendien de vraag wat er dan nog over is van het voorstel dat nu op tafel ligt. Verschillende Europese landen hebben al aangegeven dat de huidige tekst te strict is.

Dus alles bleef zoals het was?

Privacy compliance stond lange tijd niet hoog op de agenda. Het feit dat de huidige boetes in Nederland maximaal €4.500,- bedragen, draagt daaraan niet bij. De risicoafweging valt vaak in het nadeel van de privacy uit. Het bewustzijn dat een boete niet het enige risico is dat een onderneming loopt wanneer onzorgvuldig met gegevens wordt omgegaan, groeit echter. De reputatieschade en afhandelingskosten in geval van een datalek kunnen bijvoorbeeld aanzienlijk zijn. Tegelijkertijd kan een zorgvuldig privacybeleid bijdragen aan het imago van en het vertrouwen in een onderneming.

Ook zonder het risico van hoge boetes is het dus van belang dat ondernemingen de verwerkingen van (persoons)gegevens binnen hun organisatie in kaart brengen, het beveiligingsniveau opschroeven, beleid vormen en een en ander contractueel goed regelen. Bijkomend voordeel is dat wanneer de AVG er uiteindelijk komt, uw organisatie daarop allang is voorbereid. Tijd dus om in actie te komen!

Silvia van Schaik en Stephanie Dekker maken onderdeel uit van het data privacy team van CMS, een team van specialisten uit verschillende vakgebieden (zoals technologie- en arbeidsrecht). Het data privacy team van CMS adviseert u graag over privacy compliance, zoals door het uitvoeren van privacy assessments, het opstellen van bewerkersovereenkomsten en privacybeleid en het verrichten van meldingen bij het College Bescherming Persoonsgegevens.

Auteurs

De foto van Stephanie Dekker
Stephanie Dekker
Advocaat