Wat is de nieuwe privacyverordening?
Op dit moment is het privacyrecht in de Europese Unie in de kern nog een nationale kwestie. Het zijn de nationale wetten van de lidstaten die bepalen wat er wel en niet met persoonsgegevens mag gebeuren. De Europese privacyrichtlijn geeft weliswaar kaders voor de nationale wetgeving en het Europese Hof van Justitie vult die kaders in uitspraken steeds verder in, maar bottom line is dat het privacyrecht nu nog nationaal is geregeld. Dat levert allerlei verschillen binnen de Europese Unie op.
De Europese Commissie heeft dit probleem onderkend en daarom de privacyverordening voorgesteld. Het komt er op neer dat in plaats van nationale wetten per lidstaat er voortaan één Europese wet (verordening) zou moeten komen die het privacyrecht in de gehele Europese Unie regelt. Om uniforme toepassing van het privacyrecht in Europa te borgen bevat die voorgestelde verordening ook allerlei voorzieningen over de bevoegdheden van en samenwerking tussen toezichthouders. Verder zijn er (forse) boetes in het voorstel opgenomen.
Wat is de status van de privacyverordening?
Het voorstel voor de privacyverordening heeft tot heel wat debat en gelobby geleid. Bij het Europees Parlement zijn dan ook enkele duizenden amendementen ingediend. De behandeling in het Parlement heeft uiteindelijk onlangs tot een aangenomen tekst voor de verordening geleid.
Daarmee zijn we er echter nog (lang) niet, want nu zijn de ministers van de lidstaten weer aan zet. Zij dienen zich te buigen over de door het Parlement aangenomen tekst. Het huidige tekstvoorstel kan daarbij worden goedgekeurd, of juist worden aangepast en teruggezonden naar het Parlement.
Wat de uitkomst van dat proces zal zijn is nog niet bekend. Algemeen wordt echter verwacht dat het door het Parlement aangenomen voorstel niet het finale voorstel zijn. Zo schijnt er nog stevig gediscussieerd te worden over o.m. de aspecten van de verordening die met eenduidige toepassing van het privacyrecht in de verschillende landen te maken hebben (die raken immers de autonomie van de landen). Het is afwachten hoe die politieke discussie zich verder ontwikkelt. Ook is nog afwachten welke prioriteit de nieuwe Europese Commissie aan het onderwerp privacy zal geven.
Moet ik de verordening afwachten?
Welke nieuwe privacyregels er nu precies op u afkomen vanuit Europa is op dit moment dus nog onzeker. Het heeft dus ook nog niet zo veel zin om u nu voor te bereiden op de tekst van de privacyverordening zoals die er nu ligt, want die gaat waarschijnlijk toch nog wel veranderen.
Dat betekent echter niet dat u achterover kunt leunen tot de helderheid over de toekomst van het privacyrecht er wel is. Er is immers nu ook al privacywetgeving. Deze is in Nederland voornamelijk vastgelegd in de Wet bescherming persoonsgegevens. Voor een beeld van deze wetgeving kunt u onze gratis privacycheck eens doorlopen.
Bij overtreding van deze wet kunt u door het CBP een last onder dwangsom opgelegd krijgen (periodieke boete totdat de overtreding wordt gestaakt, zie artikel 65 WBP en artikel 5:32 Awb), of door de betrokkene aansprakelijk worden gesteld (zie artikel 49 WBP). Het CBP kan op dit moment nog geen boetes opleggen (uitgezonderd voor overtreding van de meldplicht), maar het lijkt er op dat het CBP wel een boetebevoegdheid gaat krijgen. Meer dan genoeg reden om u nu al aan de wet te houden.
Toekomstige wetgeving lijkt waarschijnlijk qua beginselen sterk op huidige wetgeving
Het is bovendien niet zo dat de tijd die u nu steekt in het voldoen aan de huidige privacywetgeving, als verloren kan worden beschouwd zodra er nieuwe privacywetgeving is.
Nieuwe regels brengen uiteraard altijd veranderingen met zich mee. De kernbeginselen van het privacyrecht zijn echter relatief stabiel. In het Verdrag van Straatsburg uit 1981 zijn de belangrijkste beginselen al vastgelegd. Deze beginselen zie je terugkomen in zowel de (huidige) privacyrichtlijn als de (mogelijk toekomstige) privacyverordening. Het gaat dan om principes als doelbinding, data-minimalisatie, beperkte bewaarduur, het vereiste dat gegevens juist en relevant zijn en dat gegevens eerlijk en rechtmatig moeten worden verwerkt.
Die kernbeginselen staan in de huidige wetgeving - de Wet bescherming persoonsgegevens - en zullen naar alle waarschijnlijkheid ook terugkomen in alle toekomstige privacywetgeving. Alle tijd en moeite die u steekt in het voldoen aan die kernbeginselen is dan ook pure winst. Sterker nog, de gezamenlijke toezichthouders hebben enkele jaren terug al aangekondigd (pdf) dat ze 'accountability' een belangrijk principe vinden (dus dat u kunt uitleggen wat u heeft gedaan om aan de privacywetgeving te voldoen). Bij accountability draait het veeleer om het voldoen aan de kernbeginselen van het privacyrecht en veel minder om specifieke formele regels. Anders gezegd: met het niet voldoen aan een formeel regeltje in het privacyrecht komt u wellicht nog wel weg, maar het niet voldoen aan een kernbeginsel waarschijnlijk niet.
Die kernbeginselen raken echter het hart van uw bedrijfsvoering. Het is immers heel wat anders om bij het ontwerp van een nieuw systeem al na te denken over de privacyaspecten daarvan (een kernbeginsel), dan om achteraf even een melding bij het CBP te doen (een formele eis). Het vergt dus veel tijd en moeite om uw organisatie te laten voldoen aan deze beginselen. U kunt daar beter op tijd mee beginnen. Wanneer u daar pas mee begint wanneer er een nieuwe privacyverordening is, bent u waarschijnlijk te laat.
