Na jaren onderhandelen rondt de Europese Unie binnenkort een ingrijpende hervorming van de privacywetten in de 28 lidstaten af. Onder meer door een negatief advies van de Europese privacy-autoriteiten over het Privacy Shield-akkoord, een verwant dossier, ligt er nog genoeg werk op de plank voor bedrijven volgens Peter Van Dyck, privacyspecialist van het advocatenkantoor Allen & Overy.
...

Na jaren onderhandelen rondt de Europese Unie binnenkort een ingrijpende hervorming van de privacywetten in de 28 lidstaten af. Onder meer door een negatief advies van de Europese privacy-autoriteiten over het Privacy Shield-akkoord, een verwant dossier, ligt er nog genoeg werk op de plank voor bedrijven volgens Peter Van Dyck, privacyspecialist van het advocatenkantoor Allen & Overy.Is er door het negatieve advies extra juridische onzekerheid als bedrijven gegevens tussen de Verenigde Staten en de Europese Unie uitwisselen? Peter Van Dyck: "De Article 29 Working Party (WP29), een werkgroep met de nationale toezichthouders van de 28 lidstaten, heeft veel voorbehoud gemaakt bij het Privacy Shield-akkoord, dat afspraken vastlegt over de privacy-aspecten bij datatransfer tussen de Europese Unie en de Verenigde Staten (waardoor Google en andere Amerikaanse bedrijven gemakkelijk in de Europese Unie kunnen opereren, nvdr). Haar advies is niet bindend, de Europese Commissie kan het dus naast zich neerleggen. Mogelijk zit er voor de Commissie weinig anders op dan dat te doen. De Amerikaanse overheid heeft al duidelijk gemaakt dat er weinig marge is om opnieuw te onderhandelen over het Privacy Shield-akkoord. En dat is des te meer zo voor de punten die voor de privacy-autoriteiten een doorn in het oog zijn, zoals de rol van een centrale ombudsman bij de Amerikaanse overheid voor geschillen met Europa en de uitzonderingen voor het verzamelen van persoonsgegevens in het kader van de nationale veiligheid."Maar voortdoen met het Privacy Shield is ook zeer riskant voor de Commissie. Het is goed mogelijk dat het Privacy Shield op korte termijn voor het Europees Hof van Justitie komt. Daar is voorganger Safe Harbour nietig verklaard en met het nieuwe akkoord kan dat ook gebeuren. Wie vroeger gebruiktmaakte van Safe Harbour, dekt zich nu toch beter in met alternatieven die de WP29 overeind laten, zoals de door de Europese Commissie goedgekeurde modelcontractclausules. Ook het Privacy Shield is dus risicovol."Vorige week nam het Europees Parlement ook officieel de tekst aan van de nieuwe verordening die de bestaande privacywetten in alle lidstaten gelijkschakelt. Peter Van Dyck: "In tegenstelling tot een richtlijn kunnen lidstaten bij een verordening geen eigen accenten meer leggen of eventueel de omzetting in een nationale wet vertragen. Daarom hebben de onderhandelingen ook vier jaar aangesleept, iedereen moest zich in de verordening kunnen vinden. Wellicht wordt de tekst ergens in mei officieel gepubliceerd. Bedrijven hebben nadien nog twee jaar de tijd om zich te schikken naar de nieuwe regels. Dat lijkt lang, maar de tijd zal dringen. Er valt een aantal regels weg, maar er komen nieuwe in de plaats, zoals een meldingsplicht na 72 uur bij een datalek van persoonsgegevens. En persoonsgegevens worden zeer ruim geïnterpreteerd. In veel bedrijven zullen draaiboeken en nieuwe documenten moeten worden opgemaakt."Op overtredingen staan vanaf 2018 ook zwaardere boetes. Peter Van Dyck: "Een privacy-autoriteit van een lidstaat kan een boete van maximaal 4 procent van de wereldwijde omzet van een bedrijf opleggen. De tanden zijn dus serieus aangescherpt. Hoewel er door de verordening er nu één set aan regels voor privacy binnen de Europese Unie is, hebben de privacy-autoriteiten wel nog veel vrijheid in het bepalen van de boete. De mogelijkheid bestaat nog altijd dat bedrijven de verwerking van persoonsgegevens laten gebeuren in landen waar de regulator lichtere sancties oplegt."