Veel bedrijven halen privacydeadline niet, maar er komt geen uitstel
Veel bedrijven gaan de 'privacydeadline' van aanstaande vrijdag niet halen. Dan treedt de nieuwe Europese privacywet in werking. Maar er komt geen uitstel, waarschuwt Eurocommissaris Vêra Jourová van Justitie. "De datum van 25 mei is vastgelegd in een overeenkomst die we in december 2015 hebben gesloten", zegt Jourová.
Uit onderzoek van consultancybureau PwC blijkt dat zes op de tien bedrijven de deadline niet gaat halen, en zijn privacyzaken dus niet op orde heeft. "Ik kan me voorstellen dat het voor EU-landen en bedrijven moeilijk is om aan de wetgeving te voldoen. Maar we kunnen uitstel niet accepteren", zegt Jourová.
Als EU-landen niet genoeg maatregelen nemen tegen bedrijven die zich niet aan de wet houden, neemt de Europese Commissie zelfs juridische stappen.
Een van de zaken waar bedrijven mee worstelen, is een zogeheten verwerkingsregister. Daarin moeten bedrijven vastleggen welke gegevens ze verwerken; verplicht onder de nieuwe privacywet, maar minder dan een op de vijf bedrijven heeft dat geregeld. Bij krap een kwart van de bedrijven is zelfs niemand die zich bezighoudt met privacybeleid.
Een van de bedrijven die worstelen met invoering van de privacywet is online marketingbureau We Have A Plan uit Apeldoorn. "Ik heb vandaag nog drie nieuwe verwerkersovereenkomsten gesloten", zegt directeur Jan Wouter Offringa. Dat soort contracten moeten bedrijven sluiten met andere bedrijven die data namens hen verwerken.
Offringa vindt de nieuwe privacywet in principe een goed initiatief. "Je kwam onder de oude wet wel erg makkelijk weg met een vage disclaimer." Maar de nieuwe wet is onduidelijk, klaagt hij. "De EU heeft niet of nauwelijks gekeken wat de impact van de wet bij bedrijven is."
Te veel zorgen
Veel bedrijven maken zich wel te veel zorgen over de wet, zegt Jourová. "Ze zijn in paniek geraakt door de consultants die hen adviseren", zegt Jourová. "Ik hoor soms ongelofelijke verhalen, zoals voetbalclubs die toestemming zouden moeten vragen voor het maken van foto's tijdens wedstrijden. Dat is niet waar."
De grootste impact is er voor bedrijven die geld verdienen met het verwerken van data, aldus de Eurocommissaris. Hoewel ze geen namen noemt, doelt ze daarmee waarschijnlijk op techbedrijven als Google en Facebook. "Ze verdienen geld met onze data en in ruil daarvoor moeten ze iets teruggeven: de zekerheid dat de privacy wordt gerespecteerd."
'Goed te doen'
Volgens ict-jurist Arnoud Engelfriet is het op zich 'goed te doen' om te voldoen aan de nieuwe privacywet. "Je moet alleen even in kaart brengen wat voor data je hebt", zegt hij. "Ik denk dat veel bedrijven de dagelijkse werkzaamheden wel op orde hebben, maar de randzaken zijn lastiger." Denk aan de marketingorganisatie die een eigen nieuwsbrief blijkt te hebben of de leraar die een slim tooltje gebruikt.
Ook is er sprake van veel achterstallig onderhoud, stelt Bram van Tiel van PwC. "Het merendeel van de bedrijven had geen goed beeld van wat voor informatie ze precies verwerkten", zegt Van Tiel. Dat moet dan nu opeens allemaal gebeuren. Ook onderschatten veel bedrijven hoeveel werk het is.
Grote boetes, kleine kans
Bedrijven kunnen forse boetes krijgen als ze zich niet aan de privacywet houden: tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Tegelijkertijd is de vraag hoe groot de kans is dat dat gebeurt: de Autoriteit Persoonsgegevens vreest te weinig middelen te hebben om de wet goed te kunnen handhaven.
De privacywaakhond heeft nu 'ruim 130' mensen in dienst. Volgens een onderzoek dat de AP zelf heeft laten uitvoeren, moet de dienst over minimaal 185 mensen beschikken om de wet goed te kunnen handhaven en mogelijk zelfs nog bijna 100 mensen meer.
Hoe dan ook loopt Nederland voor op acht andere EU-landen, die het niet gaat lukken om op tijd zogenoemde uitvoeringswetten door het parlement te loodsen. Daarin wordt de Europese wetgeving verder uitgewerkt. Onder meer België, Litouwen en Tsjechië krijgen dat niet voor elkaar. Zij krijgen dus mogelijk te maken met de juridische stappen van de Europese Commissie waarvoor Eurocommissaris Jourová waarschuwt.