EU: veel hogere boetes voor privacyschending

Europese Unie voert nieuwe privacyregels in: de grootste hervorming sinds de opkomst van sociale media.

App-iconen van WhatsApp, Facebook en Telegram Messenger op een mobiele telefoon. Foto Lex van Lieshout/ANP

Bedrijven die privacy schenden van Europese burgers krijgen te maken met veel hogere boetes dan nu. Dat is een van de opvallendste maatregelen uit een groot pakket nieuwe privacyregels waarover de lidstaten van de Europese Unie en het Europees Parlement het dinsdagavond eens zijn geworden.

Als de definitieve goedkeuring van het parlement er komt, die wordt in januari of februari verwacht, is het de grootste verandering van privacywetten in Europa sinds 1995.

Privacytoezichthouders – waaronder het College Bescherming Persoonsgegevens (CBP) - kunnen voortaan boetes uitdelen op basis van een percentage van de totale omzet van het bedrijf dat de fout in gaat. Dat betekent dat die boetes kunnen oplopen tot vele miljoenen euro’s, enigszins vergelijkbaar met boetes voor kartelvorming. Nu kan het CBP slechts dwangsommen opleggen: dat zijn voorwaardelijke boetes die veel lager zijn.

Zeer kritisch

Internetbedrijven reageren zeer kritisch, onder meer omdat de nieuwe regels grote financiële en juridische gevolgen voor ze kunnen hebben. In Amerikaanse media wordt een verband gelegd met de groeiende weerstand in Europa tegen Amerikaanse bedrijven.

Volgens de voorstanders van de nieuwe regels zorgen die er juist voor dat het voor bedrijven overzichtelijker wordt om in Europa zaken te doen, omdat ze voor de hele EU gelden. Europarlementariër Sophie in ’t Veld (D66), die mee-onderhandelde, zegt over de deal:

“Eindelijk is er eenduidige Europese wetgeving die de lappendeken van nationale regels van 28 landen vervangt.”

‘Recht om vergeten te worden’ vastgelegd

Ook krijgt het zogeheten ‘recht om vergeten te worden’ een plek in de nieuwe richtlijnen. Als Europese burgers om goede redenen vragen om verwijdering van verouderde of irrelevante informatie over hen, moeten bedrijven daar gehoor aan geven. Ook daarover zijn technologiebedrijven zoals Google altijd erg kritisch geweest omdat dat recht volgens hen in strijd is met informatievrijheid.

Bovendien worden regels voor het melden van een eventueel datalek veel strenger. Melden bedrijven zo’n lek niet binnen drie dagen bij privacytoezichthouders, dan kunnen ze direct boetes krijgen.

De nieuwe regels moeten vanaf 2017 gaan gelden in heel Europa, maar in sommige landen worden onderdelen al eerder opgenomen in wetgeving. In Nederland kan het CBP vanaf 1 januari aanstaande al boetes uitdelen, en vanaf dan is er in Nederland ook al sprake van een meldplicht voor datalekken.