Print:

De Europese Privacy Verordening is een feit: en wat nu?

Peter van Schelven , Adviseur ICT & Recht

LinkedIn profiel

Na ruim vier jaar van intensieve voorbereidingen en onderhandelingen is onlangs – op 14 april – de Europese wetgever akkoord gegaan met een omvangrijke set van nieuwe spelregels voor de bescherming van persoonsgegevens. De Europese Privacy Verordening (EPV) is daarmee een feit. Met de komst van deze Europese wet worden de meeste nationale spelregels, zoals in ons land de Wet Bescherming Persoonsgegevens, overbodig.

Over pakweg twee jaar moeten alle bedrijven en organisaties in de Europese Unie aan deze verordening voldoen. Deze spelregels gelden ook voor bedrijven die buiten de Europese Unie gevestigd zijn, maar die zich met hun online-diensten op de Europese burger richten. Of bedrijven uit bijvoorbeeld de VS of Rusland zich ook maar iets van de verordening gaan aantrekken, valt nog maar te bezien. Ik heb zo mijn twijfels.

Oude wijn in nieuwe zakken?

Brengt de nieuwe verordening nou veel nieuws of is er vooral sprake van ‘oude wijn in nieuwe zakken’? Dat laatste is zeker niet het geval. De Europese wetgever heeft tal van tot op heden nog onbekende verplichtingen voor bedrijven en organisaties in het leven geroepen. Dit uiteraard vooral met het oog op het versterken van de bescherming van gegevens van de Europese burgers. Zo is er in sommige gevallen de verplichting voor bedrijven om – al dan niet in overleg met belangenorganisaties – de risico’s van een nieuwe gegevensverwerking door middel van een zogeheten PIA (Privacy Impact Assessment) vooraf goed in beeld te brengen. En ook geeft de verordening precies aan wanneer een Data Protection Officer moet worden aangesteld. Met de bedoeling de privacybescherming binnen organisaties op een hoger plan te krijgen. Nieuw op het vlak van de security van IT-systemen is de verplichte toepassing van zogeheten privacy-by-design en privacy-by-default. Een ander voorbeeld ten slotte is het feit dat de Europese wetgever veel zwaardere eisen stelt aan de inschakeling van een externe verwerker, zoals een hosting- of een cloudprovider. Dat vraagt om een ‘doorvertaling’ van de nieuwe privacy-spelregels naar de selectie van externe partijen. Het zijn slechts enkele voorbeelden uit een breed pallet van nieuwe spelregels.

Niet zelden is het vraagstuk van de privacy door tal van organisaties met een korreltje zout genomen. Maar meer dan ooit is het nu wel van belang de regels over de bescherming van persoonsgegevens serieus te nemen. Niet in de laatste plaats omdat op overtreding van de nieuwe spelregels sancties van vele miljoenen euro’s kunnen staan. De bestaande maatregelen en voorzieningen van menige organisatie zullen niet meer voldoende zijn. Deze varieren van bijvoorbeeld enkele obligate opmerkingen in een personeelshandboek tot een simpel privacy-statement op een website.

GAP analyse

Iedereen die binnen een organisatie praktisch met de bescherming van persoonsgegevens aan de slag wenst te gaan, doet er verstandig aan om met een eenvoudige ‘gap-analyse’ te starten. Dat is dus een eerste stap op weg naar de implementatie van de nieuwe vereisten. Maak een lijstje van wat je in eigen huis op het gebied van dataprotectie technisch, juridisch en organisatorisch al geregeld hebt en bepaal tevens wat de Europese privacy-verordening precies verlangt. Pas als die analyse is gemaakt, kan worden nagedacht over de vraag in welke nieuwe maatregelen en voorzieningen geïnvesteerd moet worden.

Zet de eerste stap

Het zetten van die eerste stap hoeft niet moeilijk te zijn. Dat is geen ‘hogere wiskunde’. Gewapend met draagvlak bij het management, voldoende tijd, middelen en budget en met kennis op hoofdlijnen over de nieuwe wetgeving kunnen veel organisaties die eerste stap zelf probleemloos uitvoeren. Wie EPV-proof de wereld in wilt gaan, moet een eerste stap willen zetten. De tijd is er rijp voor.