5 vragen
Europese privacyrichtlijn komt eraanEn op 25 mei ontdekt u dat er een privacywet bestaat
1. Wat is GDPR?
Privacy, daar draait GDPR om. Het zorgt voor een geharmoniseerde regelgeving over de verwerking van persoonsgegevens, van iedereen die zich binnen de Europese Unie bevindt. Daarbij gaat het om EU-burgers die zich in de Unie bevinden, maar evenzeer niet-EU-onderdanen in Europa. Zo wordt ook een Amerikaan die op reis is in de EU, beschermd. Het maakt daarbij niet uit in welk land het bedrijf of de organisatie die persoonsgegevens verwerkt, zich bevindt. Ook bedrijven buiten Europa moeten dus aan GDPR voldoen, vanaf het moment dat ze aan de slag gaan met persoonsgegevens van iemand die in de EU zit.
2. Wat verandert GDPR voor u?
De vele e-mails van consultants en advocatenkantoren liegen er niet om: 25 mei is de dag waarop alles verandert. Alleen: dat klopt hoegenaamd niet. Want ten gronde verandert er eigenlijk amper wat.‘Bedrijven vragen zich nu af hoe het zit met hun data. Wat hebben we allemaal? Hoe hebben we die vergaard? En zijn we wel goed bezig? Vaak is het antwoord: neen’ Matthias Dobbelaere-Welvaert
‘Juridisch verandert er niet zoveel’, zegt Matthias Dobbelaere-Welvaert, jurist bij deJuristen en gespecialiseerd in ICT- en privacyrecht. ‘Dat komt omdat België met zijn privacywet uit ’92 al een erg strikte wetgeving heeft.’
Zo moet u in België al jaren ‘expliciet, geïnformeerde en ondubbelzinnige’ bevestiging geven dat een bedrijf of organisatie uw gegevens mag verwerken. U heeft ook al jaren recht op inzage en wijziging van alle gegevens over u.
Het is dus helemaal niet zo dat u er dankzij GDPR plots een arsenaal aan rechten bijkrijgt om de bescherming van uw privacy af te dwingen – want die had u al lang.
‘De grond van die stelling is zeker waar’, zegt ook Jef Ausloos, onderzoeker aan het Centre for IT & IP Law (Citip) aan de KU Leuven. ‘De effectieve kern van de privacywetgeving blijft met GDPR grotendeels hetzelfde.’
3. Waarom is GDPR dan toch belangrijk?
Al is het nog de vraag of de Belgische instantie daarvoor tijdig klaar zal zijn. Voorzitter Willem Debeuckelaere liet al verstaan dat de deadline van 25 mei niet zal worden gehaald.
Maar zodra alles in orde is gebracht, moet de privacywetgeving eindelijk een set tanden hebben gekregen.
‘Het ergste wat je vroeger kon overkomen als bedrijf, is dat een slechtgezinde burger je mailde dat je hem met rust moest laten’, zegt Dobbelaere-Welvaert. ‘En zat je met een datalek, dan zei je gewoon “sorry”.’
‘Alles wordt in GDPR ook veel gedetailleerder uitgewerkt’, zegt Ausloos. Stelde de oude privacywet dat bedrijven verantwoordelijk met data moesten omgaan, dan stipuleert GDPR exact welke stappen ze daarvoor moeten zetten. ‘Daardoor is het ook makkelijker om overtredingen vast te stellen. Omdat je er exact de vinger op zal kunnen leggen waar een organisatie in de fout gaat.’
Daarmee wordt de wettelijke privacybescherming aangepast aan de nieuwe elektronische internetwereld waarin we zijn terechtgekomen.
Misschien wel de belangrijkste verwezenlijking van GDPR is wat Ausloos ‘de PR-impact’ noemt: dat het brede publiek erdoor gaat beseffen dat het afdwingbare rechten rond privacy heeft. ‘Vroeger werd er amper wat afgedwongen, want mensen waren er vaak niet van op de hoogte.’
Hetzelfde geldt bovendien voor bedrijven en organisaties. ‘Het leidt tot een gedragsverandering’, zegt Dobbelaere-Welvaert. ‘Zij gaan nu plots kijken: hoe zit dat met onze data? Wat hebben we allemaal? Hoe hebben we die vergaard? En zijn we wel goed bezig? Vaak is het antwoord op die laatste vraag: neen.’
De start van GDPR kan er dus toe leiden dat privacyregelgeving, die eigenlijk al sinds 1992 bestaat, eindelijk correct in de praktijk wordt gebracht.
4. Brengt GDPR dan helemaal niets nieuws?
Ook wordt het mogelijk om een soort van groepsvordering te starten bij privacyinbreuken. Daarin gaat bijvoorbeeld Max Schrems, de bekende Oostenrijkse privacyvoorvechter, zich bekwamen met zijn organisatie NOYB.
En lag vroeger de bewijslast op de schouders van de burger die zijn privacyrechten wilde afdwingen, dan komt die nu in het bakje van de organisaties terecht. Zij zullen moeten argumenteren waarom ze geen gehoor geven aan de rechtmatige vragen van de burger.
Volgens Dobbelaere-Welvaert is het ook nieuw dat de burger binnenkort kan eisen om zijn gegevens te laten vernietigen, ofwel het recht om vergeten te worden.
5. Waarom krijg ik zoveel e-mails over GDPR in mijn mailbox?
Maar dat soort mails is eigenlijk vaak totaal overbodig. ‘Als je ergens al klant bent, dan moet dat bedrijf je niet opnieuw om toestemming vragen’, zegt Dobbelaere-Welvaert. ‘Europa had vast niet bedoeld dat de burgers zouden worden bedolven onder dat soort mails.’
Toch is er een positief kantje aan al die spam. ‘Eigenlijk is het sympathiek, want zo kom je als consument te weten in welke databases je zit. Het is een feest om te unsubscriben.’
‘Die bedrijven zullen allicht een mooi promopraatje te horen hebben gekregen van een of andere consultant die hun zei dat ze die mails moesten versturen’, zegt Ausloos. ‘Maar in veel gevallen is dat totaal overbodig.’
De reden ligt volgens beide kenners bij de groep ‘experts’ die geld hebben geroken en die zich in aanloop naar 25 mei op de bedrijfswereld hebben geworpen. Door organisaties en bedrijven de stuipen op het lijf te jagen, tenzij ze hun duurbetaald advies inkopen, uiteraard. ‘Het is onvoorstelbaar hoeveel nichebedrijven er uit de grond zijn geschoten’, zegt Ausloos.
Dobbelaere-Welvaert, die met zijn kantoor weliswaar zelf ook GDPR-consultancy verleent, ergert zich er blauw aan. ‘Het is een hele industrie geworden’, zegt hij. ‘Consultants groot en klein, webontwikkelaars die zich hebben omgeschoold tot GDPR-expert, securitybedrijven ...’
Het was nochtans te verwachten. Zo was het destijds ook met de millenniumbug destijds. Ook daar hebben sommige mensen veel geld aan verdiend. Hij vreest dat die overdreven aandacht, en de vele mails die de burger daardoor krijgt, kunnen leiden tot een soort van privacymoeheid.
‘GDPR is een feest voor juristen’, zegt hij. ‘Ik ben ervan overtuigd dat veel privacyspecialisten tegenwoordig heel goed hun brood verdienen.’
Wat mag er allemaal niet meer?
Mag een werkgever een
verjaardagskalender ophangen met daarop de verjaardagen van alle
werknemers? Neen, niet als zij daar hun toestemming nooit voor hebben
gegeven.
Mag een chef tegen zijn medewerkers vertellen dat een collega afwezig is omdat die ziek is? Neen, tenzij de zieke nadrukkelijk heeft gemeld dat die informatie mag worden meegedeeld.
Er duiken tegenwoordig tal van voorbeelden op van wat ‘door GDPR’ niet meer zal mogen. De turnkring die een ledenlijst verdeelt met daarop de contactgegevens van alle leden? De voorzitter van de kaartclub die het adres van een jarig lid doorgeeft zodat leden een kaartje kunnen sturen? Zonder expliciete toestemming mag het officieel allemaal niet.
Maar dat heeft maar weinig met GDPR an sich te maken. ‘Vandaag doen mensen veel dingen die eigenlijk al niet mogen onder de huidige wet’, zegt Jef Ausloos. Maar dat GDPR nu de puntjes op de i zet, is volgens hem een goede zaak. ‘De risico’s zijn vandaag groter’, zegt hij. ‘Iedereen heeft een smartphone, voor je ’t weet gaat data viraal en is het hek van de dam.’
Ausloos merkt op dat het volgens de privacyrichtlijnen om ‘geautomatiseerde verwerking’ van persoonsgegevens moet gaan. ‘Is een doopregister geautomatiseerd? En staan die namen er alfabetisch in waardoor ik iemand kan opzoeken? Neen? Dan is het betwistbaar of dat onder GDPR valt of niet.’
Het hangt ervan af of je de GDPR-wetgeving letterlijk interpreteert, of naar de geest, meent Dobbelaere-Welvaert. Kijk naar een trouwfeest. Is dat gastenboek wel oké volgens de GDPR-regels? ‘Je hebt geen commerciële motieven’, klinkt het. ‘Je zal dat gastenboek niet gebruiken om mensen nadien met e-mailcampagnes te bestoken.’
‘En je moet ook kijken wat de redelijke verwachtingen zijn van mensen’, zegt Ausloos. ‘Als je naar een huwelijk gaat, kan je verwachten dat er foto’s worden genomen. Tenzij die foto’s nadien aan een tijdschrift worden verkocht. Dat is dan weer een ander verhaal.’
‘Als je echt héél zeker wil zijn’, zegt Dobbelaere-Welvaert lachend, ‘kan je op je uitnodiging altijd de privacyvoorwaarden zetten. Dat gasten gefotografeerd en gefilmd kunnen worden. En kan je daar ook een bord over bij de ingang zetten. Maar ik betwijfel sterk dat de Privacycommissie op je trouwfeest zal komen controleren.’ (kls)
http://www.standaard.be/cnt/dmf20180504_03498775
Mag een chef tegen zijn medewerkers vertellen dat een collega afwezig is omdat die ziek is? Neen, tenzij de zieke nadrukkelijk heeft gemeld dat die informatie mag worden meegedeeld.
Er duiken tegenwoordig tal van voorbeelden op van wat ‘door GDPR’ niet meer zal mogen. De turnkring die een ledenlijst verdeelt met daarop de contactgegevens van alle leden? De voorzitter van de kaartclub die het adres van een jarig lid doorgeeft zodat leden een kaartje kunnen sturen? Zonder expliciete toestemming mag het officieel allemaal niet.
Maar dat heeft maar weinig met GDPR an sich te maken. ‘Vandaag doen mensen veel dingen die eigenlijk al niet mogen onder de huidige wet’, zegt Jef Ausloos. Maar dat GDPR nu de puntjes op de i zet, is volgens hem een goede zaak. ‘De risico’s zijn vandaag groter’, zegt hij. ‘Iedereen heeft een smartphone, voor je ’t weet gaat data viraal en is het hek van de dam.’
Onduidelijk
Toch zijn er tal van situaties waarin onduidelijk is wat net mag. Mag de Kerk een publiek consulteerbaar doopregister
bijhouden, bijvoorbeeld? De experts twijfelen. Houdt je laten dopen in
dat je de ‘algemene voorwaarden’ van de Kerk accepteert – waardoor je
(kind) in dat doopregister terechtkomt, vraagt Matthias
Dobbelaere-Welvaert zich af. ‘Dat zou je als een impliciete opt-in
kunnen beschouwen. En je zou ook een expliciete toestemming kunnen
vragen.’Ausloos merkt op dat het volgens de privacyrichtlijnen om ‘geautomatiseerde verwerking’ van persoonsgegevens moet gaan. ‘Is een doopregister geautomatiseerd? En staan die namen er alfabetisch in waardoor ik iemand kan opzoeken? Neen? Dan is het betwistbaar of dat onder GDPR valt of niet.’
Het hangt ervan af of je de GDPR-wetgeving letterlijk interpreteert, of naar de geest, meent Dobbelaere-Welvaert. Kijk naar een trouwfeest. Is dat gastenboek wel oké volgens de GDPR-regels? ‘Je hebt geen commerciële motieven’, klinkt het. ‘Je zal dat gastenboek niet gebruiken om mensen nadien met e-mailcampagnes te bestoken.’
‘En je moet ook kijken wat de redelijke verwachtingen zijn van mensen’, zegt Ausloos. ‘Als je naar een huwelijk gaat, kan je verwachten dat er foto’s worden genomen. Tenzij die foto’s nadien aan een tijdschrift worden verkocht. Dat is dan weer een ander verhaal.’
‘Als je echt héél zeker wil zijn’, zegt Dobbelaere-Welvaert lachend, ‘kan je op je uitnodiging altijd de privacyvoorwaarden zetten. Dat gasten gefotografeerd en gefilmd kunnen worden. En kan je daar ook een bord over bij de ingang zetten. Maar ik betwijfel sterk dat de Privacycommissie op je trouwfeest zal komen controleren.’ (kls)
http://www.standaard.be/cnt/dmf20180504_03498775
Aucun commentaire:
Enregistrer un commentaire