De nieuwe richtlijnen die de Europese Unie (EU) in voorbereiding heeft, vervangen de bestaande EU Data Protection Directive 95/46 uit 1998, die een belangrijk onderdeel vormde van de regels over privacy binnen de EU.

Compliancy efficiënter
De verwachting is dat de nieuwe richtlijnen ervoor zorgen dat bedrijven efficiënter aan de normen voor een verantwoord informatiebeleid kunnen voldoen. Verder zullen de nieuwe richtlijnen meer verantwoordelijkheid bij organisaties neerleggen om informatieveiligheid te borgen en eventuele inbreuk op informatieveiligheid te onderkennen en te melden. Bovendien kan de EU met de nieuwe regelgeving zware boetes uitdelen aan organisaties die niet voldoen aan de eisen. Dienstverlener Iron Mountain adviseert de ontwikkelingen niet af te wachten, maar nu al te handelen. Dat voorkomt boetes en levert met onmiddellijke ingang voordelen op.

Drie pijlers
Het voorstel voor de nieuwe EU-richtlijnen lekte eind vorig jaar uit en heeft tot veel commotie geleid. De drie belangrijke pijlers waarop het rust, hebben namelijk verregaande consequenties voor de manier waarop Europese organisaties met informatie omgaan. Deze zijn:
• Schendingen meteen melden. Organisaties moeten schending van de vertrouwelijkheid, verlies of ongeoorloofde vernietiging van gegevens binnen 24 uur melden bij de getroffen personen en bij het College Bescherming Persoonsgegevens. Die laatste informatieveiligheidsinstantie moet ook worden geïnformeerd als er geen schade is toegebracht.
• Aanstellen functionarissen. Informatieveiligheidsfunctionarissen zullen verplicht worden voor alle overheidsorganisaties en voor bedrijven met meer dan 250 werknemers.
• Boetes. In tegenstelling tot de bestaande richtlijnen, voorziet de nieuwe regelgeving in de bevoegdheid om boetes op te leggen tot één miljoen euro of, in het geval van een internationale onderneming, tot vijf procent van de jaarlijkse wereldwijde omzet.

Het European Privacy and Data Protection Day-programma staat hier