Door: Mark Jansen
Enkele maanden geleden heeft de Europese Commissie een voorstel gelanceerd voor een Europese privacyverordening. Dit voorstel wordt op dit moment besproken in diverse geledingen, zowel op nationaal als op Europees niveau. In het wetgevingsproces dat nu gaande is, zal het voorstel ongetwijfeld nog wel de nodige wijzigingen ondergaan. Dat neemt niet weg dat het verstandig kan zijn om juist nu ervoor te zorgen dat uw organisatie aan het privacyrecht voldoet. Ik zal dat hierna toelichten.
Op dit moment is het privacyrecht in de Europese Unie nog nationaal geregeld. Er is weliswaar een Europese privacyrichtlijn, maar die richtlijn is vertaald in 27 nationale wetten die elk een eigen draai aan de richtlijn hebben gegeven. In Nederland is de privacyrichtlijn geïmplementeerd in de Wet bescherming persoonsgegevens. Om de versnippering op Europees niveau tegen te gaan, bepaalt de privacyrichtlijn dat er een werkgroep is die moet waken voor een eenduidige toepassing van het Europese privacyrecht. Deze zogenaamde artikel 29 Werkgroep heeft in de loop der jaren legio opinies en adviezen gegeven over onder meer de betekenis van diverse begrippen uit de privacyrichtlijn, hoe de abstracte beginselen zich concreet in een organisatie moeten vertalen, hoe op privacyrechtelijk correcte wijze om te gaan met moderne ontwikkelingen, et cetera.
Het aardige nu is dat de voorgestelde privacyverordening voor een belangrijk deel de ontwikkelingen op het vlak van het privacyrecht samenvoegt tot één overzichtelijk geheel. De huidige versnippering van het Europese privacyrecht – één richtlijn, 27 nationale wetten, tientallen adviezen van artikel 29 Werkgroep en andere overlegorganen, et cetera – wordt in feite tenietgedaan door alles te bundelen in één verordening. Daarnaast brengt de verordening natuurlijk ook wel de nodige veranderingen met zich mee, maar die veranderingen zijn naar mijn idee ondergeschikt aan de bundeling van het privacyrecht die de nieuwe verordening biedt.
Waarom is dit dan het moment om te onderzoeken of uw organisatie wel voldoet aan die normen van het privacyrecht? Nu is het zo dat op overtreding van het privacyrecht, behalve bij schending van de meldplicht, geen boete staat gesteld. Het College Bescherming Persoonsgegevens kan uiteraard wel handhavend optreden, maar daarbij geldt dat het College u in nagenoeg alle gevallen eerst de kans moet geven de geconstateerde tekortkomingen te verbeteren. Een overtreding van de privacywet zal dus op dit moment niet zo snel directe financiële consequenties hebben (dan laat ik reputatieschade even buiten beschouwing).*
Dat is onder het toekomstige privacyrecht wel anders. De Europese Commissie stelt voor op overtreding van het privacyrecht boetes te stellen tot maar liefst 1.000.000 euro of twee procent van de jaarlijkse wereldwijde omzet. Wie in de toekomst dus betrapt wordt op schending van het privacyrecht, loopt de kans meteen een stevige boete opgelegd te krijgen. Of die boetemaxima zo hoog blijven als nu in het voorstel staat is wat lastig in te schatten, maar dat er een boetebevoegdheid zal komen, lijkt me haast onvermijdelijk.
Aangezien het voldoen aan het privacyrecht vaak een gedragsverandering met zich meebrengt, en gedragsveranderingen nu eenmaal veel tijd kosten, in combinatie met het gegeven dat de materiële normen van het toekomstige privacyrecht grotendeels overlappen met huidige (versnipperde) privacyrecht, is het erg aantrekkelijk om nu de nodige stappen te zetten om aan het huidige privacyrecht te gaan voldoen. De overstap van het huidige privacyrecht naar de toekomstige privacyverordening is vermoedelijk veel kleiner dan wanneer u in de toekomst uit het niets ineens aan de verordening zal moeten voldoen. En zolang er geen boetes staan op overtreding van het Nederlandse privacyrecht, is er in feite veel ruimte om te experimenteren hoe u op een praktische wijze aan het huidige privacyrecht kunt voldoen. Een mooie tijd dus voor iedereen die zich met privacyrecht bezighoudt.
*Over de verwerking van persoonsgegevens in de cloud heeft het CBP onlangs een standpunt bepaald, zie tinyurl.com/9ajtswq (red.).
Mark Jansen is advocaat IT-recht en Intellectuele Eigendom bij Dirkzwager advocaten & notarissen.
Deze bijdrage komt uit IP nr. 10 / 2012. Het gehele nummer kun je hier lezen