Column


IT-jurist Peter van Schelven over...

Privacywetgeving: meten met twee maten

Afgelopen december is er na zo’n vier jaar onderhandelen in Brussel een akkoord bereikt over een nieuwe privacywet die ergens in de loop van 2018 binnen de gehele Europese Unie moet gaan gelden: de Algemene Verordening Gegevensverwerking (AVG). Deze Europese regelgeving, waarover in 2016 een finaal besluit wordt genomen, maakt in één klap de nationale privacywetten in alle 28 lidstaten van de Europese Unie overbodig, zoals in ons land de Wet bescherming persoonsgegevens.

Wie de compromistekst van de AVG uit december leest, wordt al snel duidelijk dat veel bij het oude blijft, maar dat ook enkele nieuwe regelingen worden ingevoerd. Een belangrijk winstpunt voor bedrijven die in meerdere landen van de Europese Unie opereren, is dat zij na invoering van de AVG met nog maar één nationale toezichthouder te maken krijgen. Het bedrijfsleven klaagt er al jaren over dat de nationale toezichthouders van de diverse lidstaten - wat in ons land de Autoriteit Persoonsgegevens is - vaak niet op één lijn zitten. Dat zorgt ervoor dat bedrijven die binnen Europa grensoverschrijdend persoonsgegevens verwerken in ieder land een ander privacybeleid moeten voeren. De toezichthouder in het ene land, bijvoorbeeld Duitsland, is soms strenger in de leer dan zijn tegenhanger in andere Europese landen. Het Europese bedrijfsleven wordt daarmee voor onnodig hoge implementatiekosten geplaatst.

De AVG maakt aan dit knelpunt een einde door te bepalen dat een bedrijf dat in meerdere Europese landen werkzaam is, alleen maar met de toezichthouder te maken heeft van het land waar de hoofdvestiging van het bedrijf in Europa zit. Dit wordt wel aangeduid als het ‘one-stop-shop’-principe. Een goede stap vooruit dus.

Bestuurlijke boetes
Een andere majeure verandering is de introductie van torenhoge bestuurlijke boetes voor bedrijven en andere private organisaties. Op overtreding van diverse bepalingen uit de Wet bescherming persoonsgegevens, zoals de schending van het securityvoorschrift en het nalaten datalekken te melden, staat momenteel per geval een boete van maximaal € 820.000 of - als dat bij rechtspersonen (bv’s e.d.) hoger is – 10 procent van de jaaromzet. De boetebevoegdheid van de toezichthouders wordt onder AVG echter aanzienlijk vergroot. Voor een groot aantal in de AVG genoemde inbreuken kan een boete oplopen tot €20 miljoen of 4 procent van de wereldwijde jaaromzet. Daarbij geldt dat bij overtreding de hoogste van deze twee plafonds van toepassing is, wat tot gevolg heeft dat bedrijven die in de wereld een jaaromzet van een half miljard Euro of meer realiseren boven de boetegrens van €20 miljoen kunnen uitkomen.

Hoewel dit al met al geen kattenpis is, is er voor bedrijven zeker geen reden tot onrust. Er moet immers heel wat water door de Rijn, eer een maximale boete wordt opgelegd. Dat neemt niet weg dat de boetedreiging vooral ook bedoeld is een stevige prikkel te zijn voor het versterken van de informatiebeveiliging rondom de verwerking van persoonsgegevens. De AVG heeft daarbij in het bijzonder het oog op toepassing van ‘privacy enhancing technlogies’. Bedrijven doen er daarom verstandig aan reeds nu op de komende regels te anticiperen.

De overheid als wetsovertreder?
Het is algemeen bekend dat menige overheidsinstantie het niet altijd zo nauw neemt met de naleving van privacywetgeving. De vele, soms schrijnende voorbeelden van overtredingen vanuit de publieke sector in ons land liggen voor het oprapen. Media maken er regelmatig melding van. Maar als gevolg van een stevige lobby in Brussel die erop gericht is geweest om de publieke sector te ontzien, is in de AVG geen enkele bestuurlijke boete voor overheidsinstanties opgenomen. Een boete voor een overheidsinstantie van wie de informatiebeveiliging van bordkarton is? Onder de AVG is die dus niks-nada-noppes. Vergeleken met de positie van het bedrijfsleven komt dat neer op meten met twee maten en dat is, zacht uitgedrukt, bedenkelijk. Zo wordt het vertrouwen in de informatiserende overheid, zo lijkt mij, niet vergroot.

Om de pijn te verlichten zegt de AVG nog wel dat de nationale wetgevers van de lidstaten zelf met een eigen wet mogen komen waarin ze de boetes regelen voor overtreders uit de publieke sector. Het is maar de vraag of we in ons land zo’n wet tegemoet kunnen zien. Den Haag is dus weer aan zet, maar daar lijkt nog weinig beweging in te zitten. Bent u ook benieuwd waar zij mee gaat komen?


Lees meer over