Akkoord over nieuwe Europese privacyregels

Donderdag 17 december heeft de LIBE (burgerlijke vrijheden) Commissie van het Europees Parlement ingestemd met het voorstel tot een nieuwe privacywet. Hierover werd eerder deze week een akkoord bereikt tussen de onderhandelaars. Er waren 44 stemmen voor, 4 tegen en 4 onthoudingen. Morgen stemmen de afzonderlijke lidstaten in Coreper over het voorstel. Ondanks dat een aantal lidstaten bezwaren heeft geuit, is Luxemburg als voorzitter van dit overleg overtuigd dat ook hier instemming volgt.
“Een historisch akkoord”, aldus het Luxemburgse voorzitterschap. Jan Philippe Albrecht, onderhandelaar namens het Europees Parlement spreekt van “een belangrijke stap voorwaarts in de bescherming van de consument en het bestendigen van een interne Europese markt”. De regels zijn volgens Albrecht “geschikt voor het digitale tijdperk”.

DDMA is positief over het pakket regels dat er nu ligt. Komend jaar grijpen we aan om onze leden, bekend te maken met de nieuwe regels en te helpen met de implementatie hiervan. Op onze website zetten wij de belangrijkste bepalingen van het 200-pagina’s tellende document voor je op een rij.

• De regels zijn van toepassing op iedere organisatie die persoonsgegevens van Europese burgers verwerkt, ongeacht of zij in Europa gevestigd zijn.
• Privacytoezichthouders krijgen meer boetebevoegdheid en kunnen organisaties een maximale boete opleggen van 4% van de wereldwijde jaarlijkse omzet.
• Organisaties moeten een datalek binnen 72 uur moeten melden bij de toezichthouder. In Nederland treedt de meldplicht al op 1 januari 2016 in werking.
• Organisaties moeten verplicht een Data Protection Officer (DPO) aanstellen als het verwerken van persoonsgegevens een “kernactiviteit” is of als de organisatie bijzondere persoonsgegevens verwerkt.
• De definitie van persoonsgegevens wordt uitgebreid. Een persoonsgegeven is niet meer enkel een gegeven dat gebruikt wordt om iemand te identificeren, maar ook een gegeven dat gebruikt wordt om mensen of groepen mensen in een groep te individualiseren. Hiermee vallen tracking cookies en andere unique identifiers ook onder de definitie.
• Accountability is een belangrijk gegeven. De verantwoordelijke (eigenaar van de database) moet kunnen aantonen dat hij (en zijn keten) de privacywetgeving naleven. De verantwoordelijke en de bewerker kunnen aansprakelijk worden gesteld voor niet naleving.
• Er wordt een Recht om vergeten te worden geïntroduceerd, wat organisaties verplicht om in bepaalde gevallen (openbaar gemaakte) gegevens van consumenten te wissen. Bijvoorbeeld gegevens die verzameld zijn toen iemand kind was.
• Het verwerken van persoonsgegevens voor marketingdoeleinden en profileren mag, tenzij het privacybelang van de consument prevaleert. Dit gebruik is begrensd door de verplichting uit de E-Privacyrichtlijn om voorafgaande toestemming te vragen voor het gebruik van deze gegevens voor alle vormen van online marketing (e-mail en cookies).
• Indien voor een verwerking van persoonsgegevens toestemming nodig is, moet die ondubbelzinnig (unambiguous) zijn. De tekst wijkt daarmee af van het voorstel van het Parlement dat voor expliciete toestemming pleitte.
• Organisaties moeten toestemming voor iedere consument in hun database kunnen aantonen. En de consument moet deze eenvoudig kunnen intrekken.
• Voor kinderen onder de 16 jaar moeten de ouders toestemming geven voor het verwerken van persoonsgegevens. Maar landen mogen deze leeftijdsgrens aanpassen. Hierbij geldt een minimumleeftijd van 13 jaar.
• Consumenten hebben altijd het Recht zich kosteloos te verzetten tegen het gebruik van hun gegevens voor marketingdoeleinden (met inbegrip van profileren). Zij moeten hier in iedere marketinguiting expliciet op wijzen.