Op 30 januari 2012 vond in Brussel de presentatie plaats van het boek “Data Protection & Privacy”, met een overzicht van privacyregelgeving in bijna 30 landen. Polo van der Putt en Eva de Vries van Vondst schreven het hoofdstuk over Nederland. Uitgever is Thomson Reuters.
Bij de presentatie verzorgden Peter Hustinx, de voorzitter van de Europese privacytoezichthouder, en een vertegenwoordiger van de Europese Commissie een inleiding.
Het boek besteedt ook aandacht aan de nieuwe privacyregels die de Europese Commissie op woensdag 25 januari 2012 heeft voorgesteld. De nieuwe verordening zal de huidige privacyregelgeving Europabreed vervangen, naar verwachting in 2014. Er gaat veel veranderen.
Enkele hoofdpunten uit het voorstel zijn:
- Aantoonbare compliance. De verantwoordelijke moet door middel van beleidsregels (policies) en genomen maatregelen aan kunnen tonen dat persoonsgegevens worden verwerkt conform de verordening.
- Verzwaring rol bewerker. De bewerker is direct aansprakelijk voor de naleving en krijgt uitgebreidere administratieve verplichtingen.
- Meldplicht datalekken. Datalekken moeten zo spoedig mogelijk, binnen 24 uur na bekend worden, gemeld worden aan de nationale toezichthouder (in Nederland het College bescherming persoonsgegevens). Er is ook een meldplicht jegens betrokkenen.
- Toestemming meer centraal. Uitdrukkelijke toestemming voor het verzamelen en gebruiken van gegevens is in de verordening het uitgangspunt. Voor direct marketing is echter een uitzondering gemaakt.
- Recht op verzet tegen profilering (het combineren van allerlei gegevens over iemand tot een bepaald profiel).
- Recht op dataportabiliteit. De betrokkene moet een kopie van de opgeslagen persoonsgegevens kunnen krijgen om de gegevens te kunnen overdragen aan een andere verantwoordelijke of bewerker.
- Vereenvoudiging regime voor export van persoonsgegevens. Geen exportvergunning meer nodig bij gebruik Europees modelcontract, erkenning Binding Corporate Rules.
- De functionaris voor persoonsgegevens wordt verplicht voor bedrijven met meer dan 250 werknemers.
- Introductie van het recht om vergeten te worden. Dit houdt in dat onder omstandigheden de betrokkene het recht heeft om al zijn gegevens uit de databank te laten verwijderen.
- Meer en hogere sancties mogelijk. Boetes van maximaal twee procent van de wereldwijde omzet.
Het gepubliceerde raamwerk is nu nog een concept. Uiteindelijk heeft het Europees Parlement de bevoegdheid om de verordening vast te stellen. De Europese Commissie streeft naar vaststelling dit jaar.