We moesten even geduld hebben, maar er is op 15 december een compromis bereikt voor de tekst van de Europese Privacyverordening. Jaaa! Maar we zijn er nog niet. De LIBE Commissie moet namelijk op 17 december nog op dit voorstel stemmen. Vervolgens zal ook het voltallige Europese Parlement nog moeten stemmen op het voorstel. Dit zal naar verwachting begin 2016 gebeuren. Het heeft wel even mogen duren, op 25 januari 2012 werd namelijk het eerste tekstvoorstel voor een Europese Privacyverordening door de Europese Commissie ingediend.
En 4 jaar later is het (hopelijk) dan eindelijk zover: een privacyverordening die voor dezelfde privacyregels in de gehele Europese Unie zal zorgen! De gehele inhoud van het voorstel waarover een compromis is bereikt, is niet bekend. Wel weten we dat over de volgende punten een compromis is bereikt, dankzij een bericht van het Europees Parlement:
- Boetes kunnen oplopen tot maximaal 4% van de wereldwijze jaaromzet. In de laatste tekst (de algemene benadering van de Raad) was dit nog 2% van de wereldwijze jaaromzet. Dit is dus iets verhoogd, maar niet zo hoog als het in het allereerste voorstel van 2012 was. Dat was namelijk 5% van de wereldwijze jaaromzet.
- Organisaties moeten een privacy officer aanstellen als gevoelige persoonsgegevens op grote schaal worden verwerkt, of wanneer persoonsgegevens van veel consumenten worden verzameld. In de laatste tekst werden de voorwaarden voor het aanstellen van een privacy officer nog overgelaten aan de lidstaat zelf. Het is wat dat betreft voor de uniformiteit goed dat er nu een compromis is bereikt om deze voorwaarden toch in de verordening op te nemen. Zo is het voor organisaties duidelijk wanneer ze een privacy officer aan moeten stellen, en hoeven ze dit niet per Europese lidstaat uit te zoeken. Echter zijn de voorwaarden zoals ze nu zijn gesteld nog wel vrij breed, en is het afwachten wat de definitieve tekst wordt. Elke webshop met een aardig aantal klanten verwerkt namelijk persoonsgegevens van veel consumenten, en zou dus al een privacy officer aan moeten stellen.
- Organisaties moeten toestemming aan de ouders van kinderen vragen voor het verwerken van persoonsgegevens, indien het kind tussen de 13 en 16 jaar oud is. Lidstaten mogen zelf deze leeftijdsgrens vaststellen. Er kon geen compromis bereikt worden om één leeftijdsgrens vast te stellen. Dit is wel weer nadelig, want nu moeten organisaties alsnog per lidstaat nagaan welke leeftijdsgrens een lidstaat hanteert.
Op het moment dat het Europees Parlement heeft gestemd op de uiteindelijke tekst (waarschijnlijk begin 2016), dan geldt er nog 2 jaar overgangsrecht. Organisaties hebben vanaf dat moment dus nog 2 jaar om zich voor te bereiden op de verordening. Over 2 jaar krijgen we naar verwachting dus écht te maken met de verordening, de hoge boetes, de verplichte privacy officer en alle andere regels die de verordening met zich mee zal brengen.
Hulp nodig met, of vragen over de privacyverordening? Neem dan contact met ons op. Ondertussen zal ik jullie uiteraard op de hoogte houden over de voortgang van de verordening!
