Privacytoezichthouders zoals het College bescherming persoonsgegevens (CBP) kunnen in de toekomst 'afschrikwekkende' megaboetes uitdelen. Bij grove privacyschending kan dat oplopen tot 5 procent van de wereldwijde jaaromzet van het overtredende bedrijf.

Dat stelt de Europese Commissie voor in het plan tot vernieuwing van de databescherming. Webwereld beschikt over een nog vertrouwelijke conceptversie van het plan.

Waakhonden die kunnen bijten

Het voorstel betekent een aanzienlijke versterking van de bevoegdheden van privacytoezichthouders. Alleen bij kartel- en monopoliezaken kunnen nog hogere boetes worden opgelegd: maximaal 10 procent van de wereldwijde jaaromzet.

Vorige week werd al bekend dat multinationals en cloudaanbieders in het vervolg voor heel Europa terecht kunnen bij één nationale toezichthouder in het land waar ze hun Europese hoofdvestiging hebben. Dat riep het gevaar op dat multinationals zouden gaan 'rondshoppen' naar een lidstaat met de slapste privacywet en de meest tandeloze toezichthouder.

Verordening voor heel Europa

De Europese Commissie onderkent dit gevaar en komt daarom met een verordening in plaats van een richtlijn, blijkt uit de geheime documenten.

Het verschil tussen die twee is cruciaal: een richtlijn wordt eerst door de lidstaten zelf omgezet in nationale wetgeving, waarbij er in zekere mate kan worden afgeweken van de richtlijn. Vandaar dat er nu ook 27 verschillende wetten zijn, die allemaal zijn gebaseerd op één richtlijn uit 1995.

Een verordening is de methode om verschillen tussen lidstaten geheel te elimineren. Als een verordening eenmaal is goedgekeurd, geldt de wet meteen en wordt 1 op 1 overgenomen door alle lidstaten.

Schandpaal bij datalekken

Als het aan de Europese Commissie ligt komt er ook een algemene meldplicht bij datalekken. Bedrijven die data lekken moeten dit melden bij zowel de toezichthouders als aan de personen wiens data op straat ligt. Dat laatste betekent dat de naam van het lekkende bedrijf waarschijnlijk publiek wordt. De hierdoor veroorzaakte pr-schade moet bedrijven aansporen om hun security te verbeteren.

Consumenten en burgers krijgen ook het recht om individueel of collectief via de rechter schadevergoeding te claimen na privacyschending.

Databescherming bij politie en justitie wordt ook aangescherpt, maar deze plannen zijn veel minder streng en worden vastgelegd in een richtlijn en niet in een verordening.

Overheid zwakste schakel

D66-Europarlementariër en privacyvoorvechtster Sophie in 't Veld toont zich in een eerste reactie positief over het voorstel. “Dat toezichthouders meer bevoegdheden krijgen, onder meer tot het opleggen van afschrikwekkende boetes, vind ik volstrekt terecht."

In 't Veld is minder positief over het voorstel voor databescherming bij politie en justitie. “Nu zijn overheden vaak de zwakste schakel in het geheel. Terwijl ze wel data verwerken die is aangeleverd door bedrijven. Dus eigenlijk moet de databescherming bij overheden nog hoger zijn dan bij bedrijven. Want de gevolgen van overheidsfalen zijn namelijk vaak veel ernstiger."

De voorstellen van de Europese Commissie worden eind januari 2012 officieel openbaar. Daarna wordt het behandeld door de Raad van Europa en het Europees parlement.

Het CBP was voor publicatie niet bereikbaar voor commentaar.

UPDATE 10.00 uur: Inmiddels is de concept-verordening online gezet door Statewatch.org.