Op 14 april 2016 heeft het Europees Parlement de nieuwe Privacy Verordening goedgekeurd. De Verordening vervangt de verouderde Privacy Richtlijn van 1995 en versterkt de rechten van individuen in de online samenleving. De Verordening moet een einde maken aan de verschillende regels in EU lidstaten met betrekking tot de bescherming van persoonsgegevens en ‘harmonisatie’ – het toverwoord van de Europese Unie – versterken.

Sinds 2012 is de Europese Commissie voornemens om de privacy en gegevensbeschermingsregels op de schop te gooien. Nu, in 2016, is het definitieve ontwerp van de Privacy Verordening eindelijk rond en goedgekeurd door het Europees Parlement. Onderdeel van de hervorming is ook de nieuwe Richtlijn gegevensbescherming voor politie en justitie. Zoals gezegd speelt de nieuwe Verordening in op digitale en technologische ontwikkelingen. Een aantal veranderingen zijn hieronder uiteengezet.

Versterking van rechten van betrokkenen

De Verordening legt een recht op dataportabiliteit en een duidelijker recht om vergeten te worden vast. Dataportabiliteit (art. 20 Verordening) houdt in dat het gemakkelijker wordt om persoonsgegevens over te dragen van de ene dienstverlener naar de andere. Op deze manier kunnen individuen meer controle uitoefenen over hun data. Op grond van dit recht kan een individu bijvoorbeeld een social media netwerk als Facebook verplichten om alle persoonsgegevens betreffende dit individu over te dragen aan een andere partij.

Daarnaast wordt het recht om vergeten te worden (het ‘recht op gegevenswissing’, art. 17 Verodening) verduidelijkt en versterkt. Dit recht vloeit voort uit de spraakmakende Google Spain zaak van het Europese Hof van Justitie en heeft tot gevolg dat zoekmachines zoals Google bepaalde zoekresultaten over individuen moeten verwijderen “in gevallen waarin de privacyrechten van de persoon zwaarder wegen dan de belangen van de weergave van die resultaten.” Google weegt de privacy rechten van de betrokkene af “tegen het publieke belang om op de hoogte te zijn van deze informatie en het recht om deze informatie te distribueren.” In de nieuwe Verordening wordt dit recht versterkt. Als burgers willen dat hun gegevens niet meer worden verwerkt en er geen legitieme reden is om die gegevens te bewaren, worden deze verwijderd.

Verplichting om datalekken te melden

Bij ernstige inbreuken op de gegevensbescherming, zoals bijvoorbeeld een datalek, dienen nationale toezichthoudende instanties en betrokkenen zo snel mogelijk op de hoogte gesteld te worden om passende maatregelen te treffen (art. 33 en 34 Verordening). In Nederlands is sinds 1 januari 2016 al een meldplicht voor datalekken van kracht, waarbij inbreuken op beveiligingsmaatregelen voor persoonsgegevens gemeld moeten worden bij de Autoriteit Persoonsgegevens.

Meer bevoegdheden van nationale toezichthouders

Ook krijgen de nationale toezichthouders zoals de Autoriteit Persoonsgegevens meer bevoegdheden. Een van de uitbreidingen is het opleggen van hoge boetes voor overtredingen. Geldboetes van maximaal  €20.000.000,- of 4% van de totale wereldwijde omzet van de onderneming kunnen door toezichthouders worden opgelegd aan overtreders (art. 83 Verordening).

‘One-stop-shop’ toezicht

Verder introduceert de Privacy Verordening een ‘one-stop-shop’ systeem voor gegevensbescherming in de gehele Europese Unie. Dit systeem houdt in dat multinationals voortaan met één leading autoriteit te maken hebben, namelijk de toezichthouder van de lidstaat waar het bedrijf zijn hoofdkantoor heeft. Deze leading autoriteit coördineert de handhaving door de overige nationale toezichthouders.

En nu verder

Binnenkort wordt de Verordening gepubliceerd in het EU publicatieblad. In 2018 treden de nieuwe bepalingen in werking. Lidstaten hebben twee jaar de tijd om de nieuwe privacy regels toe te passen en de nieuwe Richtlijn met betrekking tot politiële en justitiële samenwerking te implementeren. Een aantal nieuwe regels is in Nederland al van kracht, zoals het meldplicht datalekken. Wij zijn benieuwd hoe de andere bepalingen uit de Privacy Verordening zullen worden toegepast.