De Europese Commissie (EC) komt tegemoet aan multinationals en cloudaanbieders met een voorstel voor radicale verandering voor databescherming en privacykwesties in Europa. Bedrijven die actief zijn in meerdere landen binnen en buiten de EU kunnen in de toekomst bij één toezichthoudend loket terecht.

1 loket in 1 land

Dat wordt geen internationale pan-Europese toezichthouder, maar simpelweg de toezichthouder in de lidstaat waar het bedrijf zijn Europese hoofdvestiging heeft. De regels die deze lokale waakhond stelt, zijn dan voor het bedrijf in kwestie geldig in de gehele EU. Dat maakte eurocommissaris Viviane Reding van Justitie maandag bekend.

Op dit moment moeten deze bedrijven in alle lidstaten aan de nationale wetten apart voldoen. Die wetten zijn weliswaar gebaseerd op één Europese richtlijn uit 1995, maar de lidstaten hebben dat flink verschillend uitgewerkt. Zo zijn de regels rond databescherming en privacy in bijvoorbeeld in Duitsland veel strenger dan in Groot-Brittannië en Ierland.

Multinationals moeten nu aan 27 verschillende wetten en waakhonden in even zoveel lidstaten voldoen. De administratieve rompslomp die deze juridische lappendeken met zich meebrengt kost bedrijven circa 2,3 miljard euro aan omzet per jaar, constateert Reding.

Ierland voor hele EU

Het creëren van één loket levert bedrijven flinke besparingen op en geeft ze duidelijkheid en rechtszekerheid. Bedrijven als Google, Microsoft en Amazon hoeven dan voor al hun Europese activiteiten alleen maar te voldoen aan de Ierse databeschermingswet en te luisteren naar de Ierse privacywaakhond.

Er komt ook een nieuwe methode voor bedrijven om het transporteren, verwerken en opslaan van data buiten de EU te regelen. “Data vliegt van Barcelona naar Bangalore. Het wordt verwerkt in Dublin, opgeslagen in Californië en opgevraagd in Milaan. […] In deze “brave new digital world" hebben we een efficiënte en effectieve manier nodig om er zeker van te zijn de persoonsgegevens online goed beschermd zijn", aldus Reding in een vervolgspeech dinsdagochtend in Parijs.

Bindende bedrijfsregels

Tot nog toe zijn daar bilaterale overeenkomsten voor, zoals de omstreden Safe Harbor principes tussen de EU en de VS. De Europese Commissie stelt nu voor dat multinationals “bindende bedrijfsregels" opstellen en die voorleggen aan de toezichthouder in de lidstaat van de Europese hoofdvestiging. Gaat die privacywaakhond akkoord, dan moet het concern zich wereldwijd aan deze regels houden, dus binnen én buiten de EU.

De EC wil ook meer zelfregulering. Momenteel zijn organisaties verplicht om bij elke nationale toezichthouder zoals het College Bescherming Persoonsgegevens (CBP) te melden wat voor soort data met welk doel op welke manier verwerkt wordt. Die meldingsplicht komt te vervallen, als het aan Reding ligt.

Meldingsplicht bij datalek

Wel komt er een algemene meldingsplicht bij datalekken. Bedrijven die data lekken moeten dit melden bij zowel de toezichthouders als aan de personen wiens data op straat ligt.

De voorstellen van Reding komen grotendeels overeen met de eisen uit de branche, zo blijkt uit een verklaring van de Industry Coalition for Data Protection (ICDP), onderdeel van de industriegroep DigitalEurope.

Het CBP was voor publicatie niet beschikbaar voor commentaar. Eind januari 2012 zal de Europese Commissie de concrete voorstellen openbaar maken.