Vanaf mei volgend jaar gaat de nieuwe Europese Privacyverordening in. Daarin staat dat alle bedrijven en overheden precies moeten bijhouden welke gegevens ze verzamelen, waarom en hoe lang. De Autoriteit Persoonsgegevens mag hoge boetes opleggen als dat niet gebeurt.
80 procent van Nederlandse bedrijven en overheden is nog niet klaar voor deze wet, zo blijkt uit de Nationale Privacy Benchmark. 60 procent van de bedrijven en overheden weet zelfs niet waar gegevens van burgers of klanten opgeslagen zijn.
Wat houdt die nieuwe privacywet precies in? Dat leggen we uit in de video hieronder.
Volgens advocaat Wouter Seinen van Baker McKenzie zijn de nieuwe privacyregels niet helder genoeg. "Je mag gegevens niet langer bewaren dan dat je er een goede reden voor hebt. Daarna moet je ze vernietigen, maar je mag ze niet eerder vernietigen dan noodzakelijk. Kom er maar eens achter wat nu precies het goede moment is."
Gerrit-Jan Zwenne, hoogleraar recht en informatiemaatschappij, merkt dat de druk oploopt bij overheden en bedrijven. Hij geeft privacy-cursussen op Universiteit Leiden en is al volgeboekt tot maart volgend jaar.
De vraag hoe bedrijven weten of ze gegevens niet te lang bewaren, kan hij niet met twee zinnen beantwoorden. "Het hangt af van de aard van het bedrijf, wat ze hebben gecommuniceerd met die klanten, en wat ze ermee doen."
Monnikenwerk voor een groot bedrijf
Openbaarvervoerbedrijf NS is al wel druk bezig met de nieuwe privacyregels. Veel bedrijven lopen achter, maar willen daar liever niet openlijk over praten. De NS is nu extra voorzichtig, want zes jaar geleden werd het bedrijf nog op de vingers getikt omdat er te veel reizigersgegevens werden bewaard.
Susi Zijderveld uit de Raad van Bestuur van NS: "Wij hebben de afgelopen maanden heel goed gekeken waar we persoonsgegevens hebben opgeslagen en hoe we daarmee omgaan. Dat is monnikenwerk, we zijn een groot bedrijf."
Het recht om vergeten te worden
Burgers en consumenten krijgen meer rechten met de nieuwe wet. Zo kan je elk moment inzage vragen in alle informatie die een bedrijf of overheid over je heeft. Dat is volgens advocaat Seinen ingewikkelder voor bedrijven dan het lijkt.
"Je e-mail, of alle mappen op je computer, daar heeft niemand goed over nagedacht. Wie kan erbij? Hoe controleer je dat? Daar zitten grote problemen. Ook krijgt iedereen het recht om vergeten te worden."
Als bedrijven en overheden zich niet aan de nieuwe wet gaan houden, krijgen ze met Aleid Wolfsen te maken, oud-Kamerlid van de PvdA. Hij is voorzitter van de Autoriteit Persoonsgegevens.
"Tot nu toe heb ik nooit een boete opgelegd, maar vanaf mei volgend jaar gaat dat wel gebeuren. Dan wordt het menens. De boetes zijn flink en bedragen maximaal 20 miljoen euro, of 4 procent van de jaarlijkse omzet van een bedrijf."
Ik denk dat niemand erbij gebaat is als er meteen harde meppen worden uitgedeeld.
Omdat het voor bedrijven een hele klus is om zich voor te bereiden op de nieuwe privacywet, vinden de VVD en D66 in de Tweede Kamer dat de Autoriteit Persoonsgegevens oog moet hebben voor kleinere bedrijven die nog moeite hebben met de nieuwe wet.
"Er zijn veel dingen die nog onduidelijk zijn", zegt VVD-Kamerlid Sven Koopmans. "Ik denk dat niemand erbij gebaat is als er meteen harde meppen worden uitgedeeld. Eerst moet iedereen weten waar hij aan toe is."