Organisaties worstelen met de nieuwe, strengere privacyregels die vanaf eind mei ingaan. Niet alleen voor zorgbureaus en archieven geldt dat. Ook grote multinationals zitten ermee in hun maag, merkt Elisabeth Thole, partner privacyrecht bij Van Doorne Advocaten. "Ik vraag me af of er een bedrijf is dat er honderd procent klaar voor is op 25 mei."

Thole, die bedrijven en overheidsinstanties adviseert, krijgt vragen als: welke privacygevoelige data moet ik opruimen? Wie is er verantwoordelijk voor wat binnen de organisatie? En waar haal ik een Functionaris voor Gegevensbescherming vandaan? Die laatste functie houdt in dat er iemand moet worden aangesteld om intern toezicht te houden op de juiste omgang met persoonsgegevens. Voor veel organisaties een verplichting.

Hoewel de nieuwe regels rond datagebruik, die voortkomen uit de Europese privacyverordening, op sommige punten strenger zijn dan de huidige privacywet, gaat het bij veel bedrijven en overheidsinstanties om achterstallig onderhoud.

Boetes

Thole: "Zaken als welke gegevens er allemaal in huis zijn en of die wel goed beveiligd zijn, golden ook al onder de oude privacywet. Maar pas nu mei dichterbij komt, lijken veel organisaties er echt mee bezig te zijn. De privacyverordening maakt het voor de Autoriteit Persoonsgegevens mogelijk hoge boetes uit te delen als niet aan de regels is voldaan. Dat kan oplopen tot 20 miljoen euro of vier procent van de wereldwijde omzet."

Het probleem is dat in de meeste landen nog niet vaststaat hoe ze de regels verder lokaal gaan invullen. Ook in Nederland niet.

Dat er nog veel onduidelijkheid is over wat organisaties moeten regelen, komt ook doordat de Europese verordening ruimte laat voor lidstaten om deels een eigen invulling te geven aan de regels. Zo stelt Duitsland dat een bedrijf waar tenminste tien medewerkers met een computer werken al een Functionaris voor Gegevensbescherming moet aanstellen - dat is strenger dan de verordening zelf.

Het probleem is dat in de meeste landen nog niet vaststaat hoe ze de regels verder lokaal gaan invullen. Ook in Nederland niet. De zogenoemde Uitvoeringswet moet nog door de Eerste Kamer worden aangenomen. Thole: "Dat maakt het voor organisaties lastig om zich voor te bereiden op de nieuwe regels. Helemaal als ze in meerdere landen actief zijn."

Ook de Autoriteit Persoonsgegevens geeft aan nog niet op alle vragen antwoorden te kunnen geven zolang de Uitvoeringswet nog niet definitief is. Dat moet voor 25 mei geregeld zijn.