Logo
  • Opinie
  • 13 februari 2013

Europese richtlijnen voor databescherming kunnen duur uitvallen en schreeuwen om actie

Vorig jaar heeft Viviane Reding, Eurocommissaris voor Justitie, de verregaande plannen uit de doeken gedaan voor de gegevensbescherming van particulieren. Deze betekenen dat bedrijven verregaand verantwoordelijk kunnen worden gehouden voor de manier waarop zij omgaan met gegevens van EU-ingezetenen. Wat betekenen de voorstellen concreet?

De voorgestelde Europese wetgeving weerspiegelt de toenemende bezorgdheid voor de manier waarop persoonlijke gegevens in onze complexe informatiemaatschappij worden vastgelegd, behandeld en opgeslagen, en betreft iedere organisatie die actief is of zakendoet in Europa. De plannen zijn met gemengde gevoelens ontvangen, en hebben tot bezorgdheid geleid over de kosten en de gevolgen voor de bedrijfsprocessen.

Voortdurend falen

Als we bedrijven en overheidsinstellingen uiterst persoonlijke gegevens toevertrouwen, dan mogen we verwachten dat die daar uiterst vertrouwelijk en verantwoordelijk mee omspringen. Ondanks het toenemende toezicht hierop door de autoriteiten en de nauwgezette rapportages van datalekken, gaan bedrijven, instellingen en overheidsorganisaties voortdurend in de fout. Per ongeluk verliezen en vernietigen ze gevoelige, persoonlijke en vertrouwelijke gegevens. Terecht betonen burgers zich in toenemende mate bezorgd en willen weten wie over welke informatie van hen beschikt en hoe daar mee wordt omgesprongen.

Inhaalslag

Viviane Reding, lid van de Europese Commissie, heeft Justitie in haar portefeuille, en zij heeft nu besloten dat het tijd is voor een inhaalslag wat betreft de Europese wetgeving op het gebied van gegevensbescherming. Haar vorig jaar aangekondigde wetsvoorstel voor een Europese wet tot gegevensbescherming, omvat strikte regels en wetten die zullen leiden tot betere bescherming van gegevens en van de persoonlijkheidssfeer, en betekent dat bedrijven en organisaties verregaand verantwoordelijk gehouden kunnen worden voor de manier waarop ze met onze gegevens omgaan. Doel is dat de regels consequent en duidelijk worden doorgevoerd in alle Europese lidstaten en ook van toepassing zijn op organisaties van buiten, die zaken doen met Europa.

Minder bureaucratie – hogere boetes

De wetgeving levert wel een grotere verantwoordelijkheid op om datalekken te voorkomen en te onderkennen, en er komen hogere boetes voor bedrijven die hierin tekort schieten. Het wordt tijd dat het hoger management een halt toeroept aan het lekken van informatie uit hun organisatie. Er hoort beleid op te worden gemaakt en de procedures dienen erop in te worden gericht om lekken te voorkomen. In de praktijk is het dweilen met de kraan open. Het wordt tijd dat leidinggevenden de kraan eens dichtdraaien.

Vier vereisten

Het Europese wetsvoorstel bevat vier vereisten in het bijzonder, die van verregaande invloed zijn op alle organisaties die zakendoen binnen Europa:
1. De eerste is de verplichte melding van datalekken. Voorstel is dat binnen 24 uur na een datalek, onrechtmatige gegevensvernietiging of –verlies, zowel de autoriteiten (in Nederland het CBP) en alle betreffende individuen op de hoogte dienen te worden gesteld. De meldingsplicht bij de autoriteiten geldt ook gevallen wanneer er geen kans op schade is.
2. De tweede vereiste is dat alle organisaties met meer dan 250 medewerkers een informatieveiligheidsfunctionaris benoemen. Dit kan verregaande gevolgen hebben voor de kosten, opleiding en werving. Het kan een oplossing zijn het takenpakket van iemand met de juiste vaardigheden uit te breiden.
3. Ten derde maakt het voorstel hoge boetes mogelijk. Autoriteiten mogen bij nalatigheid straks boetes opleggen tot één miljoen euro, of ter hoogte van twee procent van de omzet, in geval van bedrijven. De hoogte van de voorgestelde boetes geeft wel aan dat het de Europese Unie menens is als het gaat om de gegevensbescherming.
4. De vierde vereiste is niet de minste. Het wetsvoorstel geeft individuele burgers ´het recht vergeten te worden´. In essentie komt het erop neer dat individuen meer greep op hun gegevens moeten krijgen en mogen eisen dat hun gegevens verwijderd of vernietigd worden door iedere organisatie die erover beschikt.

Tijd voor actie

Het laat zich nog bezien welk deel van het voorstel tot wetgeving leidt, maar de aankondiging alleen is al voldoende aanleiding het informatiebeleid eens goed tegen het licht te houden. Dit is een kans om aan te grijpen. Wanneer de nieuwe Europese wetgeving van kracht is, is het te laat om de benodigde verbeteringen nog door te voeren.

Producttips

Volg F-Facts

Word gratis lid en ontvang op dinsdag en donderdag het laatste facility nieuws in uw mailbox! Én als lid krijgt u ook toegang tot exclusieve online artikelen.

Word lid van F-Facts Facility Platform