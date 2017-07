Alweer nieuwe regelgeving, zullen veel bedrijven wel denken. Toch zijn er goede redenen voor de nieuwe Europese algemene verordening gegevensbescherming; de EU zelf noemt er meer dan 170. Waaronder de bescherming van EU-burgers bij de verwerking van persoonlijke gegevens (onafhankelijk van nationaliteit of verblijfplaats) en de integratie van de voorschriften.

Tot nu toe was het in de verschillende EU-lidstaten een wirwar van uiteenlopende privacywetten. Dit leidde tot regelrechte negatieve concurrentie, waardoor bedrijven zich konden vestigen in landen met betrekkelijk zwakke privacyregelgeving en toch konden profiteren van de voordelen van de onbegrensde EU-handel.

De AVG moet de Europese privacywetgeving uniform maken, ook als er op veel gebieden (door allerlei ontheffingsclausules) verschillende nationale regels zijn. Daarom is er bijvoorbeeld in Duitsland tegelijkertijd een nieuwe nationale privacywet (BDSG) nodig, die al deze ontheffingsclausules verlegt.

Bovendien moeten de bevoegdheden van de privacy-instanties, met name tegenover internationaal actieve concerns, uitgebreid worden. Dat bewijzen de verhoudingsgewijs hoge boetes, die vergelijkbaar zijn met de strafmaat van overtredingen van de Mededingingswet. Een boete van 20 miljoen euro of tot vier procent van de jaaromzet is zelfs voor grote internetbedrijven die in Amerika gevestigd zijn een aanzienlijk risico.

AVG raakt alle bedrijven

Niet alleen Facebook, Google, Microsoft, Amazon etc. worden geconfronteerd met de nieuwe regelgeving. Bedrijven van alle groottes en in alle branches, die in de EU gevestigd zijn of louter gegevens van EU-ingezetenen verwerken, moeten zich eraan houden. De AVG beschrijft een volledig nieuwe gegevensbeschermingswet, die veel overeenkomsten heeft met de huidige regelingen. Ondanks deze overeenkomsten moeten bedrijven hun compliancemaatregelen toch opnieuw vastleggen.

Het is vooral belangrijk dat de rechtspositie van de betrokkenen verstevigd wordt. EU-ingezetenen hebben bijvoorbeeld het 'recht op vergetelheid', dus het verwijderen van verouderde gegevens of de inzage hiervan na ten onrechte verkregen of valse informatie. Daarvoor moet op verzoek de volledige transparantie gegarandeerd zijn. Dit betekent dat de keten van gegevensverwerking inzichtelijk is. Dus bij wie welke persoonlijke gegevens liggen, wie deze gebruikt en waaraan deze doorgespeeld worden.

Daarmee moet het bedrijf niet alleen controleren hoe zij zelf met deze gegevens omgaan, maar ook hoe alle dienstverleners en partners dergelijke gegevens verwerken of opslaan. Dit geldt ongeacht waar deze informatie zich bevindt. De plaats is namelijk niet bepalend, maar het feit dat het om gegevens van EU-burgers gaat. Ook de overdraagbaarheid van gegevens moet gewaarborgd zijn, dus de overdracht van persoonlijke informatie van de ene op de andere aanbieder. Deze richtlijnen zorgen voor een veranderde structuur van aansprakelijkheid tussen bedrijven en dienstverleners.

Duitse bedrijven anticiperen traag op komst van de AVG van de EU (In Duitsland de EU-DSGVO genoemd)

Door de hogere investeringen voor compliance- en IT-risico's is een steviger risicomanagement nodig, dat ook de kosten voor gegevensbescherming beraamt. Welke risico's treffen het bedrijf en ook de betrokken partijen, hoe kun je deze risico's beoordelen en welke maatregelen moeten ze treffen? Voorheen moesten de technische en organisatorische maatregelen redelijkerwijs getroffen worden, nu is de stand van de techniek de wettelijke richtlijn.