Meldplicht datalekken en hoge boetes moeten privacy beter beschermen
DEN HAAG. Privacywaakhonden moeten bedrijven die slordig omgaan met persoonsgegevens vanaf volgend jaar een veel hogere boete, tot 4 procent van de jaaromzet, op kunnen leggen. „Dat moet de meeste bedrijven wel afschrikken”, meent het College bescherming persoonsgegevens (CBP).
Het Europees Parlement stemt begin volgend jaar over het voorstel van de Europese Commissie, de grootste verandering in de Europese privacywetgeving sinds 1995.
Alle bedrijven en overheden die persoonsgegevens verwerken, zijn vanaf volgend jaar verplicht om een datalek binnen drie dagen te melden. Het CBP kan het verzwijgen van een kwijtgeraakte usb-stick of een gestolen laptop met persoonsgegevens bestraffen met een boete tot 820.000 euro.
„De verwachting is dat het beveiligen van persoonsgegevens een hogere prioriteit krijgt bij de ontwikkeling van producten en diensten. De meldplicht datalekken is geen doel op zich, maar een middel om zo’n lek te voorkomen”, zei CBP-voorzitter Jacob Kohnstamm eerder deze maand.
Een CBP-woordvoerder wil pas een eindoordeel over de nieuwe regelgeving geven als de instantie alle tekst heeft bestudeerd. „Maar het is mooi dat er na vier jaar een akkoord tussen de lidstaten is bereikt. Alle Europeanen krijgen nu dezelfde rechten.”
Het CBP is van mening dat Nederland al vooruitliep op de Europese wetgeving.
Vanaf 1 januari mag de privacywaakhond bedrijven bij een overtreding van de Wet bescherming persoonsgegevens al een boete van maximaal 820.000 euro opleggen. „Dat is minder dan 4 procent van de jaaromzet van de meeste bedrijven, maar wel genoeg om veel van hen af te schrikken.”
Er ligt volgens de woordvoerder geen lijst met bedrijven en overheden die het CBP vanaf 1 januari gaat aanpakken. „Maar wij hebben een verhoogde interesse voor instellingen die omgaan met medische gegevens, arbeidsrelatiegegevens en bedrijven die mensen indelen in bepaalde categorieën, ”profiling” genoemd.”
En juist profiling, waarbij het bedrijfsleven grote hoeveelheden data verzamelt, is niet goed geregeld in de nieuwe verordening van de Europese Commissie, meent Bits of Freedom (BoF), een belangenorganisatie voor digitale burgerrechten.
Woordvoerder Daphne van der Kroft: „Deze dataverzamelpraktijk is te weinig ingekaderd. Daardoor zal heel lang onduidelijk blijven wat bedrijven nu wel en niet mogen. In de samenleving zal veel onrust en wantrouwen blijven bestaan.”
Speciale werknemer
Toch is de BoF „gematigd positief” over het voorstel. Hoge boetes hebben voor bedrijven die de randen van de wet opzoeken een afschrikwekkende werking, verwacht de privacyvoorvechter. Ook zullen grotere bedrijven intern een speciale werknemer aanstellen die bij het uitwerken van nieuwe plannen de privacy van gebruikers in het achterhoofd houdt.