Het is het zover. De Europese privacywetgeving rond GDPR is eindelijk in voegen, en dit na een overgangsperiode van twee jaar. Marc Zuckerberg van Facebook vatte de regulering deze week nog in drie woorden samen: controle, transparantie en verantwoording. Wij bekijken aan de hand van een checklist wat het voor u betekent.
Over GDPR of General Data Protection Regulation (ook ‘Algemene Verordening Gegevensbescherming’ of AVG genoemd) is al veel inkt gevloeid. En vandaag gaat de Europese wetgeving, een aanscherping van de Belgische privacywetgeving uit 1992, dus in voegen. Het centrale idee erachter is dat de burger zelf moet kunnen beslissen wie zijn data voor welk doel gebruikt.
Engagement op lange termijn
Voor veel bedrijven is GDPR een engagement op lange termijn: geen sprint met 25 mei als eindmeet dus, maar een langdurige marathon. ‘Het GDPR-programma bestaat bij ons bijvoorbeeld uit vijftien verschillende initiatieven: van hoe op vragen van de klanten wordt geantwoord tot de data protection impact assessment’, haalt Jan Léonard aan, die in ons land bij telecomleverancier Orange de rol van data protection officer opneemt.
Recente schandalen over datamisbruik, zoals dat van Facebook en het databedrijf Cambridge Analytica, brengen de GDPR in een actueel perspectief. We overlopen de impact voor de eindgebruiker, en dus ook die voor de bedrijven die persoonsdata bewaren, en uiteraard: hun it-afdelingen. Wat is met GDPR voor uzelf en uw persoonlijke data van tel:
1. U mag weten wat ze met uw data doen.
Organisaties, die gegevens over u bewaren, moeten helder uitleggen hoe ze daarmee omgaan. Welke informatie verzamelen ze, hoelang houden ze die bij en wat doen ze ermee? Vaak staat die informatie in een privacyverklaring op de website.
Maar het gaat ook verder. ‘Onze website zal de klant onder meer ook een overzicht geven van de locatie van de datacenters, gebruikt voor de verwerking van de gegevens’, zo illustreerde Jan Leonard van Orange België, in de aanloop naar de wetgeving.
2. U mag uw persoonsgegevens opvragen, verbeteren en vernietigen.
U kunt ook een overzicht van uw (eigen) data opvragen. In dat geval moet u aantonen dat u wel degelijk diegene bent van wie u de data opvraagt.
Bevatten uw gegevens fouten, dan moeten bedrijven die verbeteren en ze in afwachting niet meer gebruiken. U kunt op elk moment ook eisen dat ze (een deel van) uw gegevens wissen. Al zijn er ook uitzonderingen op dit principe van het ‘recht om vergeten te worden’. Denk hierbij aan informatie die wordt bewaard in het algemeen belang, zoals voor volksgezondheid. Die kan u dus niet zomaar elimineren.
Het recht op inzage bestond overigens ook al bij de reeds bestaande privacywetgeving in ons land. Al zit er nog vaak een kloof tussen theorie en praktijk. Een team van Centre for IT & IP Law aan de KU Leuven vroeg vorig jaar bij wijze van test aan 66 Europese bedrijven formeel om alle data die ze over hen hadden mee te delen. Sommige reageerden pas na enig aandringen, een kwart reageerde zelfs nooit.
3. U kunt uw gegevens verhuizen.
Dat is een belangrijke nieuwigheid binnen GDPR. Voortaan kunt u van een bedrijf eisen dat het een bestand met uw data doorgeeft aan een ander bedrijf. Zo zou u uw telecomaanbieder kunnen verplichten uw verbruiksprofiel door te geven aan een concurrent.
Hoe deze optie precies zal worden toegepast, is nog niet duidelijk. De dataoverdracht wordt pas interessant als bedrijven dat gestandaardiseerd doen, zodat de consument zijn gegevens in een vingerknip van bedrijf A naar bedrijf B kan overhevelen.
4. U hebt zeggenschap over uw dataprofiel.
De GDPR is een stuk strenger voor de zogenaamde geautomatiseerde verwerking van persoonsdata. Daaronder valt ook het aspect van ‘profiling’, waarbij een algoritme u op basis van uw data in een bepaald hokje of profiel plaatst. Simpel voorbeeld: online reclame op basis van uw surfgedrag op internet.
Het tracken van uw surfgedrag met cookies kan nog steeds (mits toestemming, zoals vandaag al het geval is), maar als organisaties die gegevens willen gebruiken om u gerichter te benaderen, moeten ze uw toestemming vragen. Zij die al een adressenbestand gebruiken, moeten nagaan of alle mensen in dat bestand hun toestemming hebben gegeven in de lijn van de nieuwe privacyregels.
5. Het algoritme mag niet (alleen) beslissen.
Een opmerkelijk aspect, bijvoorbeeld in functie van de opmars van artificiële intelligentie, is de beslissingsgraad en -mogelijkheid bij ‘profiling’. Beslissingen die een belangrijke impact kunnen hebben op eindgebruikers, zoals het weigeren van een woonkrediet of een verzekeringspolis, mogen niet enkel door een algoritme op basis van profieldata worden genomen.
6. Opt-in strenger.
In de meeste Europese landen mochten bedrijven al een tijdje alleen mails en post sturen naar wie daarvoor zijn toestemming gaf. Alleen zijn de regels hiervoor wat aangescherpt. De zogenaamde ‘opt-in’ moet helder en specifiek zijn omschreven en mag niet standaard zijn aangekruist. En bovenal: u moet altijd de mogelijkheid hebben om die toestemming weer ongedaan te maken.
Ook hier: organisaties die al een adressenbestand gebruiken, moeten nagaan of alle mensen in dat bestand volgens de recente regels hun toestemming hebben gegeven. Indien niet moeten ze die opnieuw vragen. Wat de voorbije weken – kijk maar in uw mailbox – overigens ook massaal is gebeurd.
7. Telemarketing strenger.
Veel aandacht gaat naar digitale data en e-mails, maar ook voor telemarketing laten de GDPR-regels in principe niet toe dat bedrijven zonder toestemming contact met u opnemen.
Er zijn wel enkele uitzonderingen, zoals ‘contacten met klanten die in het verlengde liggen van een product of een dienst die eerder werden verkocht’, zoals de Privacycommissie (voortaan de ‘Gegevensbeschermingsautoriteit’ of kortweg GBA) het omschrijft. Met een simpel voorbeeld: een computerhandelaar zou dan wel contact kunnen opnemen met u, als u enkele jaren geleden al een pc bij hem had gekocht.
8. U wordt verwittigd bij inbreuken.
Inbreuken op persoonsgegevens moeten vanuit de GDPR-wetgeving gemeld worden. ‘Het gaat hierbij onder meer om inbreuken op de persoonsgegevens, de aantasting van de vertrouwelijkheid, integriteit of vernietiging van de gegevens’, somt Jan Leonard op als data protection officer.
Al deze gebeurtenissen worden, mochten ze zich voordoen, in het geval van Orange zo snel mogelijk gemeld aan de regulator en de fleetmanager (de verantwoordelijke in een bedrijf voor smartphones en sim-kaarten), en in sommige gevallen ook aan de betrokkenen zelf. ‘Hiervoor zijn de bestaande procedures, gebaseerd op de e-privacy, aangepast’, aldus Léonard.
De melding op basis van de GDPR moet binnen 72 uur na ontdekking van het datalek verstuurd worden. Er is een stok achter de deur. Bedrijven, overheden of individuen die de regels aan hun laars lappen, riskeren boetes tot twintig miljoen euro of 4 procent van hun jaarlijkse wereldwijde omzet. Ook al zou het in eerste instantie niet meteen zo’n vaart lopen met die boetes. Zeker de kleine ondernemingen lijken voorlopig nog wat ontzien te worden. ‘Er zal geen heksenjacht worden geopend’, zo laat de bevoegde staatssecretaris Philippe De Backer alvast weten.
