Na drie jaar onderhandelen op Europees niveau, kwam er net voor het nieuwe jaar een voorlopig akkoord op de nieuwe Europese privacywet. Met een streng pakket aan maatregelen wil Europa ervoor zorgen dat de burger weer de controle krijgt over zijn (Big) data. Bedrijven die hier niet aan mee willen werken, riskeren torenhoge boetes en bedrijven die hier niet aan mee kunnen werken, zullen op termijn van de markt verdwijnen. ‘Goed voor de burger en goed voor het bedrijfsleven’, vindt eurocommissaris VÄ›ra Jourová. In deze blog feiten én opinie over deze nieuwe wetgeving door Marion Bout-Tapper, Head Legal bij Graydon.   

De maatregelen leiden tot een toename aan regeldruk en voor veel bedrijven wordt het een grote uitdaging om op tijd daaraan te voldoen. Maar de eurocommissaris heeft een punt; de nieuwe privacyregels kunnen de concurrentiepositie van Europese bedrijven op de wereldmarkt versterken.

Alle ogen waren meteen op Facebook, Whatsapp en Instagram gericht. Kunnen pubers onder de 16 jaar straks nog wel een profiel aanmaken als ze daarvoor geen toestemming hebben van hun ouders? Maar de impact van de nieuwe privacywet gaat veel verder. Zo worden alle Europese bedrijven verplicht om veel meer inzicht te geven in hun processen en data. Als er gegevens op straat komen te liggen, moet het bedrijf dat binnen drie dagen melden. Grotere ondernemingen moeten op zoek naar een Data Protection Officer (DPO), die hierop moet gaan toezien. Als ze hier niet aan voldoen, kunnen ze boetes krijgen die kunnen oplopen tot 4% van de wereldwijde jaaromzet met een maximum van 20 miljoen euro.

Fraude tegengaan
De wereld ontwikkelt zich steeds sneller digitaal. Of het nu gaat om winkelen of bankzaken, we regelen alles zelf en online. De waardevolle informatie die we bedrijven toevertrouwen groeit exponentieel en ook het aantal spelers in de markt dat gebruik maakt van deze data neemt alsmaar toe. Dat betekent helaas ook dat de kans dat er iets mis gaat met die data meer dan exponentieel toeneemt. Te meer omdat het steeds duidelijker wordt dat kwaadwillende partijen hier ook economisch gewin bij kunnen hebben. Daar kun je als bedrijf niet meer om heen. Met deze nieuwe privacywetgeving is het negeren van dit risico ook niet meer mogelijk. Wetgeving heeft de neiging om achter te lopen op maatschappelijke ontwikkelingen. Het is meer dan aannemelijk dat de huidige situatie eigenlijk al tot aanscherping van de wetgeving noopt.

Wet geldt voor elk bedrijf dat persoonsgegevens verwerkt
De nieuwe Europese wet is van toepassing op elk Europees bedrijf dat persoonsgegevens van klanten verwerkt. Daarnaast ook op bedrijven buiten Europa die gegevens opslaan van EU-burgers. De nieuwe Europese regels gelden als de strengste in de wereld en zetten daarmee wereldwijd dé nieuwe maatstaf op het gebied van dataprotectie. Nederlandse bedrijven moeten straks per definitie aan de hoogst gestelde regels voldoen en winnen daarmee aan geloofwaardigheid op de wereldmarkt. En dat biedt kansen in de concurrentiestrijd met bijvoorbeeld Amerikaanse spelers.

Op nationaal niveau gaan we zien dat voldoen aan deze regelgeving een absolute must have wordt en de basis voor een markt waarin de regels voor alle spelers gelijk zijn. De verwachting is echter dat bedrijven die zich willen onderscheiden, verdere stappen nemen. Deze bedrijven gaan gebruik maken van labels en certificaten, waarmee een zorgvuldige en veilige gegevensverwerking wordt gegarandeerd. Dit al dan niet vooruitlopend op de verwachte verdere aanscherping van de regelgeving.
Kiezen met wie je zaken wil doen, wordt op deze manier ook makkelijker. Om vast te stellen dat aan de regels wordt voldaan, liggen pre-audits voor de hand. Daarmee staan (media)bedrijven sterker bij tenders en requests for proposals. De bedrijven die hieraan niet willen of kunnen voldoen, komen buitenspel te staan. Er zal daardoor een schifting plaatsvinden tussen bedrijven die hun data-huishouding op orde hebben en de achterblijvers. 

Strengere regels geven burger weer vertrouwen
Een belangrijk doel van de nieuwe wet is het herstel van vertrouwen van burgers. Dit vertrouwen staat onder druk. Bijvoorbeeld door het schandaal van eind vorig jaar bij een speelgoedfabrikant, waarbij door een hack de gegevens van miljoenen kinderen op straat kwamen te liggen. De schade is gigantisch. Het gaat niet alleen om het dichten van het lek en andere herstelwerkzaamheden. De grootste schade is de reputatie van de fabrikant. Hoe goed alles ook is afgedicht, welke consument zal met een veilig gevoel zijn kind nog digitaal laten spelen bij deze fabrikant? Dit raakt niet alleen de fabrikant, maar ook het soort product.
Echter, wanneer consumenten ervaren dat hun gegevens goed beschermd zijn, zal dat er toe leiden dat vertrouwen en veiligheid in de beleving van de consument toeneemt. Daarmee is duidelijk dat de investeringen om te voldoen aan de regels op termijn dubbel en dwars worden terugverdiend.

Nederland het braafste jongetje van de Europese klas
De verwachting is dat binnen nu en twee maanden, de nieuwe Europese wet wordt aangenomen door het Europees parlement en de Europese Raad. Vervolgens is er een transitieperiode van twee jaar voordat de wetgeving in werking treedt. Maar… voor u nu achterover gaat leunen, let op: de Nederlandse wetgeving loopt voorop. Sinds 1 januari 2016 hebt u al te maken met de nationale meldplicht voor datalekken. In tegenstelling tot de Europese boete, kan de Nederlandse boete via het College Bescherming Persoonsgegevens (CBP) zelfs oplopen tot tien procent van uw jaaromzet. Met andere woorden, u hoort uw zaken al op orde te hebben. En waarom zou u wachten op het ingaan van de nieuwe Europese regelgeving? De markt vraagt erom.