Nieuwe Europese privacywet zorgt voor paniek onder bedrijven

August 15, 2017 11:46 AM
Bedrijven hebben volgens experts grote moeite om te voldoen aan nieuwe Europese wetgeving voor bescherming van persoonsgegevens. Als ze in gebreke blijven, dreigen vanaf eind mei 2018 sancties van privacytoezichthouders.
 
'Klanten zijn in paniek', zegt Patrick Van Eecke, partner en wereldwijd aan het hoofd van de privacypraktijk bij het advocatenkantoor DLA Piper. 'Veel te veel bedrijven zijn te laat wakker geworden. Ze beseffen zich nu pas dat het niet gaat om “eventjes de privacypolicy op de website aanpassen”. Het gaat ook om aanpassing van de IT-systemen, de beveiliging. Technische maatregelen dus, bijvoorbeeld dat ze gegevens niet langer bewaren dan nodig is. En dat daarna de gegevens kunnen worden vernietigd of geanonimiseerd.'
 
Controle over data-economie
Het Europese beest dat het bedrijfsleven moet temmen, luistert naar de naam Algemene Verordening Gegevensbescherming. Het Europees Parlement nam de wetgeving in april 2016 aan, waarna bedrijven en andere instanties die data verzamelen en verwerken twee jaar de tijd kregen om aan de regels te voldoen.
 
De regelgeving moet er uiteindelijk toe leiden dat er meer controle komt over de enorme data-economie die nu ontstaat en waarin reuzen als Google, Facebook en Amazon de lakens uitdelen. Bedrijven moeten nauwgezet in kaart brengen wat zij met data doen en burgers krijgen meer rechten.
 
Zo zijn bedrijven straks verplicht om individuen beter te informeren en vaker apart toestemming te vragen voor het gebruik van hun gegevens. Het informeren moet op een eenvoudige manier gebeuren, niet meer via ellenlange gebruikersvoorwaarden vol juridische taal. Voor privépersonen ontstaan er straks ook mogelijkheden om hun data die bij een internetbedrijf zijn achtergelaten over te hevelen naar een concurrent.
 
Bedrijven worden daarnaast verplicht om datalekken binnen 72 uur aan een toezichthouder te melden. Deze verplichting bestaat reeds in Nederland, maar zal vanaf mei overal in Europa worden toegepast. De aanstelling van een zogenoemde data protection officer (DPO) moet garanderen dat bedrijven de regels naleven.
 
Batterij experts
De komst van de nieuwe wetgeving heeft de adviesindustrie sterk in beweging gezet. Wie wil weten hoe de regels uitpakken, kan terecht bij één van de vele honderden workshops van consultancybureaus, advocatenkantoren en softwaremakers. Van een korte bijpraatsessie voor een paar honderd euro per persoon, tot dagprogramma en certificering compleet met diner en hotelovernachting à € 1400. Een ondernemer kan natuurlijk ook een batterij veiligheidsexperts inhuren voor een quickscan van zijn bedrijf. Kosten: € 19.500.
 
Tom van Engers, hoogleraar juridisch kennismanagement aan de Universiteit van Amsterdam, spreekt van een ‘feest voor accountants, adviseurs en advocatenkantoren’. ‘Accountants kunnen een heel nieuw verdienmodel bouwen op de vraag wat voor verklaringen je moet afgeven. Hetzelfde geldt voor aansprakelijkheid. Iemand moet uiteindelijk de rekening betalen, en dat zullen niet de bedrijven zelf zijn. Eindconsumenten zijn de dupe.’
 
Onderschatting
Hoewel er al lang wordt gewaarschuwd voor de komst van regelgeving, zeggen meerdere experts dat er bij bedrijven nog steeds sprake is van onderschatting. Bart Willemsen, onderzoeker bij IT-onderzoeksbureau Gartner, voorspelt dat ongeveer de helft van de ondernemingen die moeten voldoen aan de verordening, niet klaar zullen zijn. ‘Iedereen weet nu wel waar ze mee te maken hebben, maar de gesprekken gaan nog altijd over de basis.’
 
Wie nu echt nog moet beginnen, is te laat, zegt de vooraanstaande privacy-advocaat Lokke Moerel, werkzaam voor het Amerikaanse kantoor Morrison & Foerster en hoogleraar in Tilburg. ‘Voor een goede implementatie heb je zeker één en misschien wel twee jaar nodig.’
Boetes
'Een probleem is dat de bescherming van de privacy te lang soft law is geweest', vervolgt Moerel, die onder meer grote technologiebedrijven in Silicon Valley adviseert. 'Forse boetes dreigden vooral voor andere overtredingen, bijvoorbeeld van mededingings- of anticorruptieregels.' Nu moeten ondernemingen bij gebrekkige bescherming van persoonsgegevens gaan vrezen voor boetes die kunnen oplopen tot 4% van de wereldwijde jaaromzet.
 
Gartner-analist Willemsen ziet dat ondernemingen te vaak het werk uit handen willen geven. 'Ze hopen dan bijvoorbeeld dat een DPO ervoor gaat zorgen dat ze aan hun verplichtingen voldoen. Maar dat is juist een neutraal persoon die de organisatie moet wijzen op de piketpaaltjes van de wetgeving.´
 
‘Ik zie ook dat ze te veel denken dat de IT-afdeling de problematiek kan gaan oplossen, bijvoorbeeld met hulp van extra beveiligingsmaatregelen. Maar daar gaat het niet om. Het gaat erom dat je continu weet welke risico's er zijn als je gegevens verzamelt.’
 
Cultuuromslag noodzakelijk
Volgens privacyadvocaat Van Eecke, die zelf de functie van DPO vervult bij de Universiteit Antwerpen, is er een omslag in het denken noodzakelijk. Dat is lastig erkent hij. 'Het grote probleem is nu dat bedrijven zo gefocust geworden zijn op data dat bescherming van gegevens niet meer in hun cultuur zit. Zo van “wij vinden het helemaal niet leuk om transparant te zijn”. Er ontstaan ook allerlei filosofische discussies, maar die zijn eigenlijk een gepasseerd station. Er is geen weg meer terug, de wetgeving ligt er.'
 
Hoogleraar Van Engers stelt dat er heel veel op bedrijven afkomt. Dat geldt bijvoorbeeld voor de grootbanken ABN Amro en ING, die voor grote uitdagingen staan bij het realiseren van een nieuwe inrichting van hun infrastructuur. Zij moeten van Brussel enerzijds data gaan delen met nieuwe financiële dienstverleners uit de technologiehoek, als gevolg van andere, nieuwe EU-regelgeving, en anderzijds de bescherming van die gegevens beter gaan garanderen. 'Deze wetgevingen staan op gespannen voet met elkaar', aldus Van Engers. 'Je krijgt als bank een steeds langere keten van transacties, en je moet dus in kunnen staan voor een steeds grotere groep derden in die keten.'
Daar komt volgens Van Engers bij dat hun backoffice dusdanig verouderd is, dat het bijzonder complex zal worden om aan alle nieuwe eisen te voldoen. ‘Op dit moment is het bijvoorbeeld heel lastig om na te gaan of de klant wel toestemming heeft gegeven voor het gebruik van zijn gegevens. Alle aandacht is de afgelopen jaren gegaan naar de front office: de geweldige interface van de apps. De achterkant is daarbij verwaarloosd.’
 
Innovatie vooral Amerikaans
Idealiter zouden bedrijven de nieuwe Brusselse verordening moeten aangrijpen om hun IT-systemen grondig te verbouwen. Maar Van Eecke denkt dat het gros van de bedrijven de komende maanden zal gebruiken om te kijken hoe ze hun verplichtingen een voor een kunnen afvinken, voordat ze toekomen aan grotere zaken. Dat geldt volgens hem vooral voor bedrijven die dataverwerking niet als kernactiviteit zien.
 
Moerel ziet dat Amerikaanse IT-giganten juist wel enorme investeringen doen om 'privacy by design' te realiseren, zodat de bescherming van data automatisch zit ingebakken bij de ontwikkeling van nieuwe producten. ‘Kijk naar Google dat nu mogelijk maakt dat je kan instellen of je wel of geen gepersonaliseerde advertenties wilt ontvangen. Dat is ook ironisch. De wetgeving komt uit Europa, maar de echte innovatie op privacygebied uit de VS.'
 
 
Voor welke bedrijven gelden de nieuwe regels?
Alle bedrijven en instanties die persoonsgegevens bezitten of verwerken, krijgen te maken met de regels die zijn vastgelegd in de Algemene Verordening Gegevensbescherming. Wel is het midden- en kleinbedrijf op bepaalde punten zo veel mogelijk ontzien.
Zo hoeven middelgrote en kleine ondernemingen (minder dan 250 werknemers) geen ‘data protection officer’ aan te stellen, tenzij hun kernactiviteiten de verwerking van gevoelige gegevens op grote schaal noodzakelijk maken. Bijvoorbeeld als zij omgaan met medische en strafrechtelijke data, of individuen in de gaten houden. Evenmin zijn zij verplicht een register bij te houden van de gegevens die zij verzamelen, tenzij deze activiteiten structureel zijn en een hoog risico voor de privacy inhouden.
Ook de verplichte uitvoering van een zogenoemd privacy impact assessment is voor deze bedrijven beperkt. Een dergelijke risicoanalyse, die eventuele interne privacyproblemen in kaart moet brengen, is noodzakelijk voor ondernemingen die op grote schaal gevoelige persoonsgegevens verwerken of individuen profileren. Hetzelfde geldt voor bedrijven die stelselmatig en op grote schaal personen in een publiek gebied met bijvoorbeeld cameratoezicht in de gaten houden.
Toch is de reikwijdte enorm. De regelgeving geldt ook voor bedrijven buiten de EU die bijvoorbeeld via websites aan EU-ingezetenen goederen of diensten aanbieden of het gedrag van Europese burgers monitoren. Wereldwijd moeten volgens een schatting van privacy-organisatie IAPP 75.000 data protection officers worden aangesteld. In Europa zou het gaan om 28.000 professionals.
De Europese Commissie benadrukt dat de wetgeving ook veel voordelen oplevert. Zo zijn de regels in de EU straks uniform, al kunnen lidstaten hier soms wel van afwijken. En bedrijven met activiteiten in verscheidene EU-landen hoeven straks nog maar zaken te doen met één, coördinerende nationale toezichthouder. De Commissie schermt ook met een jaarlijks kostenvoordeel van € 2,3 mrd voor het bedrijfsleven.
 
 
Britten doen ook mee
Brexit betekent niet dat de Britten zich niets meer aantrekken van nieuwe Europese wetgeving. De regering-May maakte begin vorige week een wetsvoorstel bekend dat voorziet in overname van de Algemene Verordening Gegevensbescherming.
Het besluit komt niet als een verrassing. Toch vond de kabinetschef van Commissievoorzitter Jean-Claude Juncker, Martin Selmayr, het nodig om er met een tweet even de aandacht op te vestigen.
 
Bescherming van de privacy wordt in de EU beschouwd als een fundamenteel recht. Uitspraken van het Europees Hof van Justitie benadrukken dat ook.
 
De Britse premier Theresa May leed vorig jaar nog een gevoelige nederlaag in Luxemburg, toen het Hof oordeelde dat een spionagewet die zij als minister van binnenlandse zaken had ingevoerd niet door de beugel kon. Het ging om een verplichting voor telecom- en internetbedrijven om alle gegevens van hun klanten te bewaren.
 
May liet in juni dit jaar weten dat zij bereid is om wetgeving die mensenrechten garanderen 'te versnipperen' als die wetten de bestrijding van terreur bemoeilijken. Maar nu is er dus wel het voornemen om EU-wetgeving te accepteren die in ieder geval de bescherming van persoonsgegevens versterkt.
 
De Nederlandse regering heeft eind vorig jaar een concept bekendgemaakt van de Uitvoeringswet Algemene verordening gegevensbescherming. Deze zal de Wet bescherming persoonsgegevens gaan vervangen.
 
Bron: Financieel Dagblad

Lawyer Roeland Zwanikken considers legal action against ABN AMRO Bank

May 08, 2021 6:14 PM
THE HAGUE--Attorney-at-law Roeland Zwanikken at St. Maarten’s BZSE law office is considering legal action against the intention of the Dutch ABN AMRO Bank to close the bank accounts of its clients in the Dutch Caribbean.

Fiscaal onderzoek bij notariskantoren vinden doorgang

May 07, 2021 8:04 AM
In het Antilliaans Dagblad: Fiscaal onderzoek bij notariskantoren
WILLEMSTAD – De fiscale onderzoeken bij de notarissen vonden en vinden, ondanks de beperkingen van Covid-19, weer doorgang en de medewerking aan de kant van notarissen en adviseurs is daarbij ‘over het algemeen goed’.

Juridische miljoenenstrijd tussen BNP Paribas en Italiaanse prinses verhardt

February 22, 2021 4:51 PM
  • Bezit van Italiaanse Crociani-familie op Curaçao mag van rechter worden verkocht
  • De Crociani's ruziën al jaren met BNP Paribas over een claim van $100 mln
  • Curaçaos trustkantoor United Trust heeft 'geen enkele relatie meer' met Camilla Crociani
Een Italiaanse prinses met zakelijke belangen in Nederland heeft het onderspit gedolven bij diverse rechtbanken in een langslepend conflict met zakenbank BNP Paribas.