Op 15 december 2015 berichtte de Europese Commissie dat er overeenstemming was bereikt over de hervorming van de EU-gegevensbescherming. Dankzij de hervorming kunnen mensen weer de controle over hun persoonsgegevens krijgen. Deze hervorming geeft volgens de commissie stimulans aan digitale markt. De hervorming bestaat uit twee instrumenten:
- Met de algemene verordening inzake gegevensbescherming hebben de burgers meer controle over hun persoonsgegevens.
- Met de richtlijn inzake gegevensbescherming voor de sector politie en justitie wordt ervoor gezorgd dat de gegevens van slachtoffers, getuigen en verdachten van misdrijven naar behoren worden beschermd bij strafrechtelijk onderzoek of een rechtshandhaving.
Door de hervorming wordt het recht op gegevensbescherming, een grondrecht in de EU, versterkt, en kunnen de Europeanen met vertrouwen hun persoonsgegevens verstrekken. Met de nieuwe regels worden zorgen van burgers weggenomen: bestaande rechten worden versterkt en de burgers krijgen meer controle over hun persoonsgegevens. Het gaat voornamelijk om:
- gemakkelijkere toegang tot eigen gegevens: de burgers krijgen meer informatie over de manier waarop hun gegevens worden verwerkt, en deze informatie is duidelijk en begrijpelijk;
- het recht op de portabiliteit van gegevens: het wordt gemakkelijker om eigen persoonsgegevens over te dragen van de ene dienstverlener naar de andere;
- een duidelijker “recht om te worden vergeten”: als burgers willen dat hun gegevens niet meer worden verwerkt en er geen legitieme reden is om die gegevens te bewaren, worden deze verwijderd;
- het recht te worden ingelicht als je persoonsgegevens zijn gehackt: bedrijven en organisaties moeten bijvoorbeeld de nationale toezichthoudende instantie zo snel mogelijk op de hoogte stellen van ernstige inbreuken op de gegevensbescherming, zodat de gebruikers passende maatregelen kunnen treffen.
Duidelijke, moderne regels voor het bedrijfsleven
In de huidige digitale economie zijn persoonsgegevens in economisch opzicht van enorm belang, met name met betrekking tot “big data”. Door de regels inzake gegevensbescherming in Europa uniform te maken, zorgen de wetgevers voor zakelijke mogelijkheden en wordt de innovatie bevorderd.
- Eén aanpak voor de gehele EU: dankzij de verordening wordt er één reeks regels vastgesteld, waardoor het voor bedrijven eenvoudiger en goedkoper wordt om in de EU zaken te doen.
- Eén centraal loket: bedrijven hebben te maken met slechts één toezichthoudende instantie. Dat levert naar schatting een besparing op van 2,3 miljard euro per jaar.
- In Europa gelden Europese regels: buiten Europa gevestigde bedrijven moeten dezelfde regels toepassen als zij in de EU hun diensten aanbieden.
- Risicogebaseerde aanpak: dankzij de regels wordt een omslachtige, universele verplichting voorkomen en wordt uitgegaan van de respectievelijke risico’s.
- Regels die innovatie bevorderen: de verordening zorgt ervoor dat garanties voor gegevensbescherming al in het vroegste ontwikkelingsstadium in producten en diensten worden geïntegreerd (gegevensbescherming “by design”). Privacyvriendelijke technieken, zoals pseudonimiseren, worden aangemoedigd, zodat zoveel mogelijk kan worden geprofiteerd van innovatie met betrekking tot “big data” en tegelijkertijd de privacy wordt beschermd.
Voordelen van EU-gegevensbescherming voor zowel grote als kleine bedrijven
Door de hervorming van de gegevensbescherming zal de economische groei worden bevorderd: er wordt gesnoeid in de bureaucratie en de kosten vallen lager uit voor Europese bedrijven, en met name voor het midden- en kleinbedrijf (mkb). De hervorming van de gegevensbescherming in de EU helpt het mkb nieuwe markten aan te boren. Voor het mkb wordt de bureaucratie door de nieuwe regels op vier gebieden aangepakt:
- Kennisgevingen zijn niet meer nodig: kennisgevingen aan toezichthoudende instanties zijn formaliteiten die het bedrijfsleven elk jaar 130 miljoen euro kosten. Door de hervorming vallen deze kosten volledig weg.
- Elke cent telt: wanneer verzoeken om toegang tot gegevens duidelijk ongegrond of buitensporig zijn, mogen middelgrote en kleine bedrijven daarvoor een vergoeding vragen.
- Functionarissen voor gegevensbescherming: middelgrote en kleine bedrijven worden vrijgesteld van de verplichting om een functionaris voor gegevensbescherming aan te wijzen, voor zover de verwerking van gegevens niet tot hun zakelijke kernactiviteiten behoort.
- Effectbeoordelingen: middelgrote en kleine bedrijven zijn niet verplicht een effectbeoordeling uit te voeren, tenzij er sprake is van een hoog risico.
Nadelen van EU-gegevensbescherming
Over de nadelen is de Europese Commissie niet zo duidelijk. Niet zorgt deze aanscherping van de regelgeving ervoor dat bedrijven in 2016 en 2017 opnieuw aan aan de slag moeten met hun bewerkersovereenkomsten en moeten nadenken over preventieve, curatieve en mitigerende maatregelen. Het is voor veel bedrijven al lastig om op tijd klaar te zijn voor de aangescherpte wet Bescherming Persoonsgegevens en de daarin opgenomen meldplicht.
Daarnaast kun je je afvragen voor hoeveel bedrijven de vrijstelling voor een functionaris voor gegevensbescherming zal gelden. Bij de formulering “voor zover de verwerking van gegevens niet tot hun zakelijke kernactiviteiten behoort” kun je de vraag stellen of het verwerken van gegevens niet tot de kernactiviteiten van het gros van de bedrijven behoort.
Hoe kan Guardian360 u helpen?
Ook de komende maanden zullen wij de wijzigingen in regelgeving rondom het verwerken van persoonsgegevens nauwgezet volgen. Daarnaast helpen wij organisaties om de kans op hacks en datalekken te verkleinen. Wilt u hier meer over weten? Neem dan contact met ons op, of download een van onze whitepapers.
Voor meer informatie over de veranderende regelgeving kunt u terecht op de website van de Europese Commissie.