Na jaren onderhandelen rondt de Europese Unie binnenkort een ingrijpende hervorming van de privacywetten in de 28 lidstaten af. Onder meer door een negatief advies van de Europese privacy-autoriteiten over het ‘Privacy Shield’-akkoord, een verwant dossier, ligt er nog genoeg werk op de plank voor bedrijven volgens Peter Van Dyck, privacyspecialist van het advocatenkantoor Allen & Overy. “De tanden van de toezichthouders zijn serieus aangescherpt.”
Is er door het negatieve advies extra juridische onzekerheid als bedrijven gegevens tussen de Verenigde Staten en de Europese Unie uitwisselen?
PETER VAN DYCK. “De Article 29 Working Party (WP29), een werkgroep met de nationale toezichthouders van de 28 lidstaten, heeft veel voorbehoud gemaakt bij het Privacy Shield-akkoord, dat afspraken vastlegt over de privacy-aspecten bij datatransfer tussen de EU en de VS (waardoor Google en andere Amerikaanse bedrijven gemakkelijk in de EU kunnen opereren, nvdr). Haar advies is niet bindend, de Europese Commissie kan het dus naast zich neerleggen. Mogelijk zit er voor de Commissie weinig anders op dan dat te doen. De Amerikaanse overheid heeft al duidelijk gemaakt dat er weinig marge is om het Privacy Shield-akkoord te heronderhandelen. En dat is des te meer zo voor de punten die de privacy-autoriteiten een doorn in het oog zijn, zoals de rol van een centrale ombudsman bij de Amerikaanse overheid voor geschillen met Europa en de uitzonderingen voor het verzamelen van persoonsgegevens in het kader van de nationale veiligheid.
“Maar voortdoen met het Privacy Shield is ook zeer riskant voor de Commissie. Het is goed mogelijk dat het Privacy Shield op korte termijn voor het Europees Hof van Justitie komt. Daar is voorganger Safe Harbour nietig verklaard en met het nieuwe akkoord kan dat ook gebeuren. Wie vroeger gebruikmaakte van Safe Harbour, dekt zich beter in met alternatieven die de WP29 overeind laat zoals de door de Europese Commissie goedgekeurde modelcontractclausules.”
Vorige week nam het Europees Parlement ook officieel de tekst aan van de nieuwe verordening die de privacy-wetten in alle lidstaten gelijkschakelt.
VAN DYCK. “Bij een verordening kunnen lidstaten geen eigen accenten meer leggen of de omzetting in een nationale wet vertragen. Daarom sleepten de onderhandelingen ook vier jaar aan. Wellicht wordt de tekst in mei gepubliceerd. Bedrijven hebben dan nog twee jaar om zich in orde te stellen. Dat lijkt lang, maar de tijd zal dringen. Er vallen regels weg, maar er komen nieuwe in de plaats, zoals een meldingsplicht na 72 uur bij een datalek van persoonsgegevens. En persoonsgegevens worden ruim geïnterpreteerd. Veel bedrijven moeten draaiboeken en nieuwe documenten maken.”
Er komen ook zwaardere boetes.
VAN DYCK. “Een privacy-autoriteit van een lidstaat kan een boete van maximaal 4 procent van de wereldwijde omzet van een bedrijf opleggen. De tanden zijn dus serieus aangescherpt. Hoewel er door de verordening één set aan regels voor privacy in de Europese Unie is, hebben de privacy-autoriteiten wel nog veel vrijheid in het bepalen van de boete. De mogelijkheid bestaat nog altijd dat bedrijven de verwerking van persoonsgegevens laten gebeuren in landen waar de regulator lichtere sancties oplegt.”
STIJN FOCKEDEY
Fout opgemerkt of meer nieuws? Meld het hier