Europese bedrijven lopen zich warm voor een grootscheepse lobby tegen nieuwe EU-regels op het gebied van data- en privacybescherming. Ze vrezen hoge IT-kosten en verlies van zakelijke kansen als de EU hen zou verplichten klantgegevens op verzoek van klanten te wissen of systeeminbraken binnen 24 uur te melden. Ook zou de EU bedrijven willen verplichten iemand op directieniveau verantwoordelijk te maken voor databeveiliging.

Toch zijn dat wel voorstellen die naar verwachting deel uit zullen maken van een breder pakket met regels voor data-beheer waarmee de Europese Commissie naar verwachting vandaag naar buiten komt. Dit weekeinde gaf Eurocommissaris Viviane Reding op de conferentie Digtal Life Design in München al een voorproefje van wat ze voor bedrijven in petto heeft. Ze wees er onder meer op dat het voor Europese burgers, en met name jongeren, van groot belang is dat ze zelf grip hebben op hun online identiteit: "Als een individu zijn persoonlijke gegevens niet langer verwerkt of opgeslagen wil hebben door een databeheerder, en er is geen rechtmatige reden voor het behouden van die gegevens, dan moeten die gegevens uit het systeem worden verwijderd". Reding vindt verder dat Europese burgers het recht hebben binnen 24 uur te worden gewaarschuwd als hun gegevens mogelijk betrokken zijn in een data-inbraak.

Juridisch geen eenduidigheid

Volgens de Europese Commissie zal vervanging van de lappendeken aan nationale wetten door een eensluidend Europees stelsel bedrijven vooral kosten besparen; zo'n 2,3 miljard euro op jaarbasis, schat Reding. Maar als bedrijven boetes oplopen doordat ze er niet in slagen aan de regels te voldoen zal dat voordeel snel verdampen, verwachten critici. Ook zouden de nieuwe regels volgens tegenstanders bij veel bedrijven niet zijn door te voeren zonder kostbare aanpassingen aan bedrijfssoftware. Volgens deskundigen is er in juridische zin geen eenduidigheid over wat er wel en wat niet als 'persoonlijke' gegevens moet worden aangemerkt. Ook is niet duidelijk in hoeverre bedrijven verplicht kunnen worden te weten dat er sprake is geweest van een data-inbraak, die ipso facto heimelijk plaatsvindt.

De tegenstanders hebben voor hun lobby naar schatting nog twee jaar de tijd, alvorens het Europees Parlement zich over de kwestie zal beraden.