Na vier jaar onderhandelen is het zover: Europa krijgt een nieuwe databeschermingswet. In Straatsburg gaven de lidstaten hun goedkeuring aan wetgeving voor de verwerking van privégegevens en richtlijnen voor de handhaving van die wet op justitieel niveau. De overige Europese lidstaten krijgen nu nog twee jaar de tijd om hun wet- en regelgeving in lijn te brengen met de Europese wetteksten. Nederland, die sinds 1 januari de meldplicht datalekken invoerde, loopt tamelijk voorop in Europa.
In de nieuwe wet geldt voor consumenten bijvoorbeeld het recht om vergeten te worden, het recht om je gegevens naar een andere dienstverlener over te zetten en het recht te weten of je gegevens gehackt zijn.
Voor organisaties geldt voornamelijk de plicht om nadrukkelijk toestemming te vragen van betrokken personen voor het verwerken van privégegevens, de plicht om privacybeleid helder en begrijpelijk uit te leggen en strenge handhaving en boetes tot 4% van de totale internationale jaaromzet bij overtreding.
Met name dat laatste is een verschil met de regelgeving die Nederland inmiddels zelf al heeft opgesteld (in Nederland kun je vanaf 1 januari een boete van maximaal € 820.000,- tegemoet zien voor iedere keer dat je in gebreke blijft bij de bescherming van privacygevoelige gegevens in je organisatie). Maar de grootste winst zit in het feit dat er nu eindelijk zicht is op een uniform Europees databeschermingsbeleid.
“Door de General Data Protection Regulation (databeschermingswet) wordt goede uniforme databescherming nu een realiteit in de hele EU”, zegt Jan Philipp Albrecht van de Deense Groenen, die deze wetgeving door het Europees Parlement wist te loodsen. “Burgers kunnen nu zelf beslissen welke persoonlijke informatie ze willen delen en voor bedrijven komt er nu ook eindelijk duidelijkheid. Deze nieuwe wet zorgt voor vertrouwen, juridische eenduidigheid en eerlijke concurrentie.”
Volgens Pieter Lacroix, Managing Director Sophos Nederland, betekent de Europese databeschermingswet opnieuw werk aan de winkel voor veel organisaties. Voor zover dat nog niet gebeurd is onder druk van de meldplicht datalekken, zullen bedrijven nu snel moeten nagaan wat de impact van deze regels zal zijn voor hun Europese business. Zijn advies: “Wacht niet tot alle lidstaten hun wetgeving hebben aangepast, maar maak van databescherming een bestuurstaak. Laat je adviseren waar nodig, en zorg dat alle data die in je bedrijf omgaat proactief beschermd wordt, door encryptie toe te passen en alle beveiligingsoplossingen in de organisatie voortdurend up-to-date te houden. En houd er rekening mee dat deze wetgeving geldt voor alle bedrijven die gegevens bewaren over Europese burgers, ongeacht of zo’n bedrijf zelf een Europese basis heeft of niet.”
Lacroix maakt zich al langer sterk voor betere bescherming van privacygevoelige gegevens. In de aanloop naar de Nederlandse meldplicht datalekken heeft hij herhaaldelijk bij de Nederlandse regering aangedrongen meer te doen, om de noodzaak te benadrukken van de bescherming van privégegevens. “De meldplicht datalekken is natuurlijk een belangrijke stap en de GDPR doet daar in Europees verband nog een forse schep bovenop. Maar alles staat of valt met de handhaving. We zien in Nederland dat de meldplicht nog nauwelijks tot merkbaar grotere urgentie heeft geleid bij de organisaties die met privégegevens omgaan. Wellicht dat de kracht van Europa en de dreiging van de hoge Europese boetes, er voor kan zorgen dat bedrijven de privacy van hun klanten, werknemers en partners nu echt serieus gaan nemen.”
