Grootste hervorming databescherming in 20 jaar

Lidstaten en Europarlement zijn na 4 jaar akkoord over strengere privacyregels, waaraan bedrijven zich moeten houden op straffe van boetes.

Bedrijven die privacy schenden van Europese burgers krijgen te maken met veel hogere boetes dan nu. Dat is een van de opvallendste maatregelen uit een groot pakket nieuwe privacyregels waarover de lidstaten van de Europese Unie en het Europees Parlement het dinsdagavond eens zijn geworden, na vier jaar onderhandelen. Als de definitieve goedkeuring van het Parlement er komt, in januari of februari, is het de grootste verandering van privacywetten in Europa sinds 1995.

Privacytoezichthouders – waaronder het College Bescherming Persoonsgegevens (CBP) – kunnen voortaan boetes uitdelen op basis van een percentage van de totale omzet van het bedrijf dat de fout in gaat: maximaal vier procent. Dat betekent dat die boetes kunnen oplopen tot vele miljoenen euro’s, enigszins vergelijkbaar met boetes voor kartelvorming. Nu kan het CBP slechts dwangsommen opleggen: dat zijn voorwaardelijke boetes die veel lager zijn.

In de nieuwe regels staan ook afspraken over hoe politie en overheden met data moeten omgaan. Overheidsdiensten en grote bedrijven die veel data verwerken worden bijvoorbeeld verplicht een privacy officer aan te stellen.

Ook krijgt het zogeheten ‘recht om vergeten te worden’ een plek in de nieuwe regels. Als Europese burgers om goede redenen vragen om verwijdering van verouderde of irrelevante informatie over hen, moeten bedrijven daar gehoor aan geven.

Bovendien worden wetten voor het melden van een eventueel datalek veel strenger. Melden bedrijven zo'n lek niet binnen drie dagen bij privacytoezichthouders, krijgen ze boetes.

Internetbedrijven reageren kritisch, vanwege de grote financiële en juridische gevolgen. In Amerikaanse media wordt een verband gelegd met groeiend ‘anti-Amerikanisme’ in Europa. Bedrijven als Google, Facebook en Uber zijn het afgelopen jaar om diverse redenen in aanvaring gekomen met Europese overheden.

Volgens de voorstanders van de nieuwe regels zorgen die er juist voor dat het voor bedrijven overzichtelijker wordt, omdat de regels voor heel Europa gelden. „Eindelijk is er eenduidige Europese wetgeving die de lappendeken van nationale regels van 28 landen vervangt”, zegt Europarlementariër Sophie in 't Veld (D66), die mee-onderhandelde.

Tot op het laatste moment werd er nog onderhandeld over een algemene Europese leeftijdsgrens voor gebruik van sociale media zonder ouderlijke toestemming. Maar de onderhandelaars konden het daar uiteindelijk niet over eens worden.

De nieuwe regels moeten vanaf 2017 gaan gelden in heel Europa, maar in sommige landen worden onderdelen al eerder opgenomen in wetgeving. In Nederland kan het CBP vanaf 1 januari aanstaande al boetes uitdelen, en vanaf dan is er in Nederland ook al sprake van een meldplicht voor datalekken.