Acht EU-landen missen deadline privacywet
Acht van de 28 EU-landen zijn niet op tijd met het omzetten van de nieuwe Europese wetgeving rond privacy- en gegevensbescherming in nationale wetten. De in 2016 aangenomen Algemene Verordening Gegevensbescherming (GDPR) wordt op 25 mei van kracht.
De wetgeving verplicht overheden, bedrijven en andere organisaties aan te tonen welke persoonsgegevens ze verzamelen en hoe die worden gebruikt en beveiligd.
Nederland is net op tijd; de Eerste Kamer keurde de wetgeving dinsdag goed. België, Bulgarije, Cyprus, Griekenland, Hongarije, Litouwen, Tsjechië en Slovenië missen de deadline zeker, zei EU-commissaris Vera Jourova tegen journalisten. Zes andere landen hebben hun zaakjes eind mei of begin juni op orde.
De Tsjechische toonde zich verrast, omdat landen lang de tijd hebben gehad. Zij noemde onderschatting en nalatigheid als mogelijke oorzaken. De kans bestaat dat ze een inbreukprocedure aan hun broek krijgen als ze van de regels afwijken, zei zij.
Met de wet krijgen burgers ook het recht om te worden ‘vergeten’, waardoor ze gegevens desgewenst kunnen laten schrappen. De regels rond datalekken worden ook aangescherpt. Het toezicht ligt bij de lidstaten. In Nederland is dat de Autoriteit Persoonsgegevens. De toezichthouders zijn nog niet allemaal voldoende voorbereid. Dat geldt ook voor veel kleinere bedrijven, maar de kans dat zij uitstel krijgen is „nihil”.
De wetgeving geldt ook voor bedrijven van buiten de EU met Europese gebruikers, zoals Facebook. Op overtreding staan boetes tot 4 procent van de wereldwijde omzet, met een minimum van 20 miljoen euro. Jourova denkt dat de GDPR de kans op misbruik minimaliseert. „De sancties zijn afschrikwekkend.” Zij hoopt dat de wetgeving een wereldwijde standaard zet.
Jourova sprak opnieuw haar ongenoegen uit over het misbruik van gegevens van Facebookgebruikers in het schandaal rond Cambridge Analyica. Zij wacht „met ongeduld” op het onderzoek van de Britse toezichthouder.