icon

Hoe staat het met de EU Privacy Verordening?

Zoals u weet wordt er binnen de EU gewerkt aan een Privacy Verordening (“Algemene Verordening Gegevensbescherming”). Deze moet in de plaats komen van de bestaande EU Richtlijn bescherming persoonsgegevens. Anders dan een richtlijn, die eerst in nationale wetgeving moet worden geïmplementeerd, heeft een verordening rechtstreekse werking. Burgers en bedrijven in de EU moeten zich er dus al meteen aan houden en kunnen er, omgekeerd, jegens elkaar en hun overheid ook meteen een beroep op doen.

De aankomende Privacy Verordening heeft al veel stof doen opwaaien, vooral vanwege de boetes die straks kunnen worden opgelegd bij overtreding. Deze kunnen oplopen tot 1 miljoen euro, of 2% van de wereldomzet van een concern. Ook inhoudelijk verandert er het nodige. Bedrijven dienen zich veel meer actief bewust te zijn van hun omgang met persoonsgegevens. Ze zullen op dat gebied daadwerkelijk beleid moeten gaan maken, uitvoeren en toetsen. Dat laatste door interne of externe controleurs en alles ter uiteindelijke mogelijke toetsing van het CBP.

Althans… Als de Verordening uiteindelijk wordt vastgesteld zoals deze er nu, na acceptatie door het Europese Parlement, uitziet. In Europa heeft dat parlement immers niet het laatste woord. Op dit moment buigt de Raad van Ministers, in het bijzonder de JBZ Raad (samengesteld uit de ministers van juridische en binnenlandse zaken van de lidstaten) zich over de tekst. In feite is dat gewoon een onderhandelingssituatie waarin de lidstaten proberen zoveel mogelijk hun eigen visie door te drukken.

Zo is Nederland bijvoorbeeld erg actief om ervoor te zorgen dat het “gerechtvaardigd belang van de verantwoordelijke” als grond voor verwerking zoveel mogelijk inhoud blijft krijgen. Het gaat hier om de enige verwerkingsgrond waarin het belang van het bedrijf dat gegevens verwerkt zelf de rechtvaardiging vormt voor de verwerking. Als dat teveel wordt uitgehold beperkt dat, in de woorden van staatssecretaris Dijkhoff “innovatief gebruik van gegevens door de private sector”. Dat zou zonde zijn want de bedoeling van de verordening is mede een bijdrage te leveren aan de ontwikkeling van de digitale economie.

De staatssecretaris, ik citeerde hem al even, zet het beleid van zijn voorganger Teeven voort de beide kamers der Staten Generaal niet alleen over concrete onderwerpen, maar zo eenmaal per kwartaal ook van de algemene ontwikkelingen op de hoogte te houden. Dat heeft hij net gedaan en de goede lezer kan daaruit afleiden dat eensgezindheid over een aantal kernhoofdstukken nog ver weg is. Het zou mij verbazen als invoering nog dit kalenderjaar gaat plaatsvinden.

Overigens heeft iedereen daarna nog twee jaar om aan de nieuwe Verordening en de bijbehorende boetes te wennen. Echte toepassing van de Verordening volgt namelijk pas twee jaar na invoering. Tenminste… als ook op dat vlak in de tussentijd niets wordt gewijzigd. Vóór die tijd zullen we in ieder geval in Nederland al meemaken dat het Cbp onder een gewijzigde Wbp boetes zal kunnen gaan opleggen tot 810.000 euro. Wie daar meer over wil weten verwijs ik naar mijn bijdrage van eind november.

Hoe staat het met de EU Privacy Verordening?