Controle in eigen handen
Om je privacy beter te beschermen en ervoor te zorgen dat je zelf meer controle hebt over je persoonlijke gegevens, voert Europa op 25 mei 2018 de GDPR in, General Data Protection Regulation, of AVG in het Nederlands, Algemene Verordening Gegevensbescherming. De wet geeft consumenten uitdrukkelijke rechten, waardoor bedrijven in vele gevallen maatregelen moeten nemen om die te respecteren.
Alle bedrijven die actief zijn in de EU moeten rekening houden met de GDPR-wetgeving. Het gaat dus niet enkel om degene die er gevestigd zijn, maar ook om niet-Europese bedrijven die gegevens verwerken van mensen uit de EU. Amerikaanse giganten zoals Google en Facebook dus ook. Ondertussen lijkt het erop dat Amerika het voorbeeld van de EU (deels) gaat volgen door ook de eigen wetten rond privacy te verscherpen.
Over welke gegevens gaat het nu eigenlijk?
- Persoonlijke gegevens zoals naam, geslacht, geboortedatum, adres …
- Online gegevens zoals zoekgeschiedenis, cookies, e-mail …
- Financiële gegevens zoals bankrekening, inkomen, belastingen …
- Juridische informatie zoals veroordelingen, boetes …
- Sociale media zoals Facebook, LinkedIn, Twitter …
- Gps-gegevens zoals reisinformatie, gps …
- Medische gegevens zoals vaccinaties, ziekenhuisinfo …
- Etnische gegevens zoals culturele voorkeuren, religies …
- Winkelgedrag zoals winkelaankopen, direct marketing …
Hoe moeten bedrijven met die gegevens omspringen?
De kernpunten van de GDPR:
- Transparantie: Elk bedrijf moet op een begrijpelijke manier uitleggen hoe het data verzamelt en verwerkt. Iedereen heeft het recht om te weten welke gegevens precies bijgehouden worden, waarvoor, voor hoe lang …
- Recht om vergeten te worden: Als je aan een bedrijf vraagt om je persoonsgegevens te wissen, dan is men daartoe verplicht. Ook als de data al gedeeld werden met derde partijen.
- Meldplicht: Bij een datalek is een bedrijf verplicht om dat binnen de 72 uur te melden, tenzij men kan aantonen dat het geen gevaar vormt voor de persoonsgegevens.
- Data-overdracht: Je kan je gegevens opvragen bij een bedrijf en laten doorsturen naar een ander bedrijf. Bijvoorbeeld van de ene internetprovider naar de andere.
In een artikel op de website van De Standaard worden 5 vragen beantwoord over deze nieuwe wetgeving. Dit kaderstukje verduidelijkt wat officieel niet meer zal mogen.
‘Wat mag er allemaal niet meer?
Mag een werkgever een verjaardagskalender ophangen met daarop de verjaardagen van alle werknemers? Neen, niet als zij daar hun toestemming nooit voor hebben gegeven.
Mag een chef tegen zijn medewerkers vertellen dat een collega afwezig is omdat die ziek is? Neen, tenzij de zieke nadrukkelijk heeft gemeld dat die informatie mag worden meegedeeld.
Er duiken tegenwoordig tal van voorbeelden op van wat ‘door GDPR’ niet meer zal mogen. De turnkring die een ledenlijst verdeelt met daarop de contactgegevens van alle leden? De voorzitter van de kaartclub die het adres van een jarig lid doorgeeft zodat leden een kaartje kunnen sturen? Zonder expliciete toestemming mag het officieel allemaal niet.
Maar dat heeft maar weinig met GDPR an sich te maken. ‘Vandaag doen mensen veel dingen die eigenlijk al niet mogen onder de huidige wet’, zegt Jef Ausloos (onderzoeker aan het Centre for IT & IP Law (Citip) aan de KU Leuven). Maar dat GDPR nu de puntjes op de i zet, is volgens hem een goede zaak. ‘De risico’s zijn vandaag groter’, zegt hij. ‘Iedereen heeft een smartphone, voor je ’t weet gaat data viraal en is het hek van de dam.’
Onduidelijk
Toch zijn er tal van situaties waarin onduidelijk is wat net mag. Mag de Kerk een publiek consulteerbaar doopregister bijhouden, bijvoorbeeld? De experts twijfelen. Houdt je laten dopen in dat je de ‘algemene voorwaarden’ van de Kerk accepteert – waardoor je (kind) in dat doopregister terechtkomt, vraagt Matthias Dobbelaere-Welvaert (jurist bij deJuristen en gespecialiseerd in ICT- en privacyrecht) zich af. ‘Dat zou je als een impliciete opt-in kunnen beschouwen. En je zou ook een expliciete toestemming kunnen vragen.’
Ausloos merkt op dat het volgens de privacyrichtlijnen om ‘geautomatiseerde verwerking’ van persoonsgegevens moet gaan. ‘Is een doopregister geautomatiseerd? En staan die namen er alfabetisch in waardoor ik iemand kan opzoeken? Neen? Dan is het betwistbaar of dat onder GDPR valt of niet.’
Het hangt ervan af of je de GDPR-wetgeving letterlijk interpreteert, of naar de geest, meent Dobbelaere-Welvaert. Kijk naar een trouwfeest. Is dat gastenboek wel oké volgens de GDPR-regels? ‘Je hebt geen commerciële motieven’, klinkt het. ‘Je zal dat gastenboek niet gebruiken om mensen nadien met e-mailcampagnes te bestoken.’
‘En je moet ook kijken wat de redelijke verwachtingen zijn van mensen’, zegt Ausloos. ‘Als je naar een huwelijk gaat, kan je verwachten dat er foto’s worden genomen. Tenzij die foto’s nadien aan een tijdschrift worden verkocht. Dat is dan weer een ander verhaal.’
‘Als je echt héél zeker wil zijn’, zegt Dobbelaere-Welvaert lachend, ‘kan je op je uitnodiging altijd de privacyvoorwaarden zetten. Dat gasten gefotografeerd en gefilmd kunnen worden. En kan je daar ook een bord over bij de ingang zetten. Maar ik betwijfel sterk dat de Privacycommissie op je trouwfeest zal komen controleren.’ (kls)’
Bron: De Standaard 5/5/18
Een vogelkooi voor Marc, een ladyshave voor Els
Sta jij er soms ook versteld van hoe persoonlijk sommige advertenties zijn die je te zien krijgt op het internet? Zo zie je maar dat je gegevens inderdaad verzameld en verwerkt worden. Veel mensen zijn zich hier echter niet van bewust en zijn niet zo voorzichtig. Google weet bijvoorbeeld heel veel over je. Het bedrijf gebruikt je gegevens om een gepersonaliseerde gebruikerservaring aan te bieden, maar ook om doelgerichter te kunnen adverteren.
Ben je benieuwd welke gegevens Google allemaal over je bijhoudt? Als je met een Google-account bent ingelogd op je computer of smartphone, kan je op deze ‘my activity’-pagina al je activiteiten raadplegen. Je kan exact zien welke websites je bezocht hebt en zelfs waar je geweest bent als je locatie aanstaat op je smartphone.
Als je nu bijna van je stoel valt door de hoeveelheid gegevens, dan kan je ze selectief of allemaal verwijderen op dezelfde pagina. Je kan je gegevens eventueel archiveren voordat je ze verwijdert via deze pagina.
Frederick van BEEGO
Heb je hulp nodig?
Heb je hulp nodig bij deze tip? Onze studenten komen je graag helpen, vanaf een half uur komen ze al naar je thuis. Probeer het gerust een keer!