Het Europees Parlement en vertegenwoordigers van de nationale overheden van lidstaten van de EU hebben op dinsdag 15 december een akkoord bereikt over de bescherming van online data van burgers. Burgers van de EU krijgen onder meer het recht om bezwaar te maken tegen de overdracht van hun gegevens tussen partijen en online dienstverleners moeten persoonlijke informatie gaan verwijderen als zij daartoe verzocht worden. De Europese Commissie diende in januari 2012 een wetsvoorstel in voor de nieuwe regels, die nu na langdurige discussie en consultatierondes hun beslag gaan krijgen. Zij zullen privacyregelgeving, die in sommige gevallen dateert uit 1995, gaan vervangen.
De concrete uitwerking van de regels laat echter nog op zich wachten. Hier kunnen veel haken en ogen aan zitten. Het in het akkoord opgenomen recht op ‘data portability’ bijvoorbeeld, waarmee het eenvoudiger moet worden om persoonlijke data van de ene naar de andere dienstverlener over te brengen, kan technische aanpassingen vergen die tot hoge kosten kunnen leiden. Ook ‘het recht om vergeten te worden’, dat in 2014 al door het Europees Hof van Justitie werd vastgesteld, wordt verankerd in de nieuwe regelgeving. Als een dienstverlener geen rechtmatige gronden heeft om persoonlijke data te bewaren, moet deze verwijderd worden. Het is echter de vraag wie de rechtmatigheid van data retentie zal gaan bepalen.
Voor bedrijven zal het niet naleven van de nieuwe regelgeving ernstiger gevolgen krijgen dan tot nu toe het geval is. Dat geldt niet alleen voor bedrijven die in de EU gevestigd zijn, maar ook voor bedrijven die buiten de EU hun hoofdkantoor hebben maar wel actief zijn op de Europese markt. In het uiterste geval zullen boetes opgelegd kunnen worden van maximaal vier procent van de jaaromzet wereldwijd. Bedrijven zullen volgens de nieuwe regelgeving een ‘privacy functionaris’ moeten aanstellen als zij op grote schaal gevoelige data verwerken of data verzamelen over grote groepen consumenten.
Het akkoord is voorlopig nog niet van kracht. Het moet nog door het Europees Parlement en alle individuele lidstaten goedgekeurd worden, waardoor het tot begin 2018 kan duren voordat de nieuwe regels van kracht zullen worden. Stichting DINL zal de voortgang hiervan op de voet volgen.
