Wat is GDPR?

GDPRGDPR is hot! De laatste dagen krijgen we voortdurend e-mails en berichten van allerhande bedrijven, organisaties en sociale media die bekennen dat ze gegevens van ons bijhouden en daar nederig toestemming voor vragen. Hebben bedrijven in nasleep van het Facebook-datalek (zie ook deze bijdrage) plots het licht gezien of zit er meer achter?

Er zit dus meer achter, met name GDPR. Een nieuwe, Europese privacywetgeving die ingaat op vrijdag 25 mei 2018. De eindsprint richting GDPR is dus ingezet, vandaar plotseling de overvloed aan e-mails én media-aandacht.

Wat is GDPR?

GDPR is een afkorting voor General Data Protection Regulation, vertaling: de Algemene Verordening voor Gegevensbescherming (AVG). Het is een Europese richtlijn die alle nationale richtlijnen vervangt.

GDPR (General Data Protection Regulation) is een Europese richtlijn met als doel de privacy van Europese burgers maximaal te beschermen. De GDPR-richtlijn schrijft voor dat bedrijven en overheden moeten aantonen welke persoonsgegevens ze verzamelen, waarvoor deze gebruikt worden en hoe ze beschermd worden.

De nieuwe regelgeving komt toevallig in de nadagen van het Facebook-datalek, maar werd reeds in 2015 (!) beslist door de Europese Unie. In dezen kunnen we moeilijk beweren dat Europa niet vooruitziend was. De wet is in feite een herziening van de wet op privacy uit 1995. Omwille van de digitale ontwikkelingen die er sinds 1995 geweest zijn (sociale media, cloud, data mining, enzovoort), drong een herziening zich op. Bovendien was de wet uit 1995 nogal vatbaar voor interpretatie, zodat de toepassing ervan verschilde van land tot land.

Toepassing

De wetgeving is van toepassing voor bedrijven en overheden. Zij moeten – in essentie samengevat – met volgende zaken rekening houden met betrekking tot het verzamelen van gegevens:

  1. Toestemming vragen aan klanten, leveranciers, etc. om gegevens op te slaan en eventueel door te geven aan derden. Indien geen toestemming of op vraag van de betrokkene moeten de gegevens verwijderd worden.
  2. Transparantie over wat met deze gegevens gedaan wordt. Onder het luikje transparantie hoort ook het recht op inzage in de gegevens die bijgehouden worden.
  3. Maximale bescherming van de gegevens in de database tegen hacking en ontvreemding. Bovendien de meldplicht om bij een datalek binnen de 72 uur dit te melden aan de officiële instanties.

De bovenstaande maatregelen toepassen is allesbehalve vrijblijvend. Bij nalatigheid of inbreuk worden immers zware boeten opgelegd tot 20 miljoen euro of 4 procent van de wereldwijde omzet. Vandaar ook de niet-intrinsieke motivatie van bedrijven de laatste weken om uw toestemming te krijgen voor het het inzamelen en gebruik van uw persoonlijke gegevens.

Als we even het Facebook-datalek bekijken in het kader van GDPR is er wel één en ander op te merken. Dat Facebook onze gegevens gebruikt voor advertentiedoeleinden is geen nieuws. Het staat trouwens in de algemene voorwaarden. Het gaat ‘m echter voornamelijk over punt 3. Het lijkt dat het voor Cambridge Analytica misschien net iets te gemakkelijk was om gegevens te ontvreemden en misbruiken. Bijster snel werd dat trouwens ook niet gemeld, laat staan binnen de 72 uur. Dus Facebook heeft op dit vlak nog werk aan de winkel.

GDPR in praktijk

Als bedrijf of organisatie

In casu noopt GDPR elk bedrijf, organisatie of zelfstandige om eens goed na te denken welke gegevens het wil bijhouden en wat ermee gebeurt. Iedereen is geïmpacteerd, want iedereen houdt wel ergens een lijst bij van klanten, leveranciers of prospecten. Op zich is daar ook niets verkeerd mee; je hebt die nu eenmaal nodig om commerce te doen. Hoe je ermee omgaat is wel belangrijk: gegevens moeten veilig bewaard worden en er moet expliciete toestemming zijn om gegevens bij te houden en ze eventueel door te geven. Dat is niet onoverkomelijk voor een gemiddelde eenmanszaak of KMO. Een databeleid op papier zetten (en dan toepassen) kan al veel verhelpen. Unizo geeft hier zeer veel infosessies over en heeft er zelfs een tool voor.

Te vermijden: bv. zomaar mensen inschrijven voor je nieuwsbrief. We zouden het sowieso niet als tip meegeven omwille van irritatie, maar je kunt er dus ook voor beboet worden.

Als particulier / klant

Het is logisch dat als je ergens klant bent dat er gegevens van je bijgehouden worden. Telenet kan je bv. geen diensten aanbieden als ze niet weten waar je woont alsook je contactgegevens hebben. Hier volstaat het even aandachtig te zijn waar gestipuleerd wordt of je je gegevens ook wilt laten doorgeven aan derden. Wil je dit niet, vink deze optie dan uit. Helemaal van de aardbol verdwijnen inzake gegevens lijkt wat ons betreft zeer moeilijk.

Bij sociale media ligt het wat complexer: daar gaat het niet om je adres- en contactgegevens, maar ook over zeer veel persoonlijke informatie (je familie, vrienden, foto’s, hobby’s, enz.). Ook hier zal GDPR je gegevens helpen beschermen. Anderzijds: het gebruik van sociale media impliceert dat je je gegevens deelt met het betrokken platform, bv. Facebook. Facebook is gratis omdat ze op basis van jouw gegevens advertenties tonen, waarvoor adverteerders willen betalen. Wil je dit niet?Moeilijk! Dan wordt Facebook misschien betalend … of moet je misschien je Facebook-account toch maar verwijderen.

Conclusie

GDPR is op verschillende vlakken een zeer goede zaak en pluim voor de Europese Unie voor haar vooruitziendheid:

  • Er is nu een wettelijk kader over de landsgrenzen heen. Geen overbodige luxe, want alle grote dataverzamelaars à la Google en Facebook zijn multinationals, waar je als klein land machteloos tegenover staat.
  • Het zorgt voor een bewustwording bij bedrijven over het omgaan met persoonsgegevens. Ook nu was er natuurlijk al een wet op privacy, maar met GDPR en ook dankzij het Facebook-datalek is de aandacht ervoor nooit groter geweest. Gezien data en het gebruik ervan in sneltempo impact krijgen op ons leven, geen overbodige luxe.
  • Tot slot wordt ook de gewone consument hierdoor op een transparantere manier ingelicht en gaat hij hopelijk ook wat bewuster om met het delen van zijn persoonlijke gegevens.

Aldus: GDPR = goede zaak.

Officiële website van GDPR (in het Engels): via deze link.

Tags:

Reageer

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *