Een privacywet bestaat
recht. ‘Dat komt omdat België met zijn privacywet uit ’92 al een erg strikte wetgeving heeft.’
Zo moet u in België al jaren ‘expliciet, geïnformeerde en ondubbelzinnige’ bevestiging geven dat een bedrijf of organisatie uw gegevens mag verwerken. U heeft ook al jaren recht op inzage en wijziging van alle gegevens over u.
Het is dus helemaal niet zo dat u er dankzij GDPR plots een arsenaal aan rechten bijkrijgt om de bescherming van uw privacy af te dwingen – want die had u al lang.
‘De grond van die stelling is zeker waar’, zegt ook Jef Ausloos, onderzoeker aan het Centre for IT & IP Law (Citip) aan de KU Leuven. ‘De effectieve kern van de privacywetgeving blijft met GDPR grotendeels hetzelfde.’
3.
Waarom is GDPR dan toch belangrijk?
Toch wil dat niet zeggen dat GDPR onbelangrijk is. Want wat de regelgeving wél doet, is de bestaande principes rond privacybescherming afdwingbaar maken. Boetes die kunnen oplopen tot 20 miljoen euro of 4 procent van de jaarlijkse omzet – hangt ervan af welk bedrag het hoogste is – moeten daarvoor zorgen. En de Privacycommissie, die wordt hertimmerd tot Gegevensbeschermingsautoriteit, krijgt een pak meer slagkracht om inbreuken te bestraffen.
Al is het nog de vraag of de Belgische instantie daarvoor tijdig klaar zal zijn. Voorzitter Willem Debeuckelaere liet al verstaan dat de deadline van 25 mei niet zal worden gehaald.
Maar zodra alles in orde is gebracht, moet de privacywetgeving eindelijk een set tanden hebben gekregen.
‘Het ergste wat je vroeger kon overkomen als bedrijf, is dat een slechtgezinde burger je mailde dat je hem met rust moest laten’, zegt DobbelaereWelvaert. ‘En zat je met een datalek, dan zei je gewoon “sorry”.’
‘Alles wordt in GDPR ook veel gedetailleerder uitgewerkt’, zegt Ausloos. Stelde de oude privacywet dat bedrijven verantwoordelijk met data moesten omgaan, dan stipuleert GDPR exact welke stappen ze daarvoor moeten zetten. ‘Daardoor is het ook makkelijker om overtredingen vast te stellen. Omdat je er exact de vinger op zal kunnen leggen waar een organisatie in de fout gaat.’
Daarmee wordt de wettelijke privacybescherming aangepast aan de nieuwe elektronische internetwereld waarin we zijn terechtgekomen.
Misschien wel de belangrijkste verwezenlijking van GDPR is wat Ausloos ‘de PRimpact’ noemt: dat het brede publiek erdoor gaat beseffen dat het afdwingbare rechten rond privacy heeft. ‘Vroeger werd er amper wat afgedwongen, want mensen waren er vaak niet van op de hoogte.’
‘Bedrijven vragen zich nu af hoe het zit met hun data. Wat hebben we allemaal? Hoe hebben we die vergaard? En zijn we wel goed bezig? Vaak is het antwoord: neen’ MATTHIAS DOBBELAEREWELVAERT DeJuristen
Hetzelfde geldt bovendien voor bedrijven en organisaties. ‘Het leidt tot een gedragsverandering’, zegt DobbelaereWelvaert. ‘Zij gaan nu plots kijken: hoe zit dat met onze data? Wat hebben we allemaal? Hoe hebben we die vergaard? En zijn we wel goed bezig? Vaak is het antwoord op die laatste vraag: neen.’
De start van GDPR kan er dus toe leiden dat privacyregelgeving, die eigenlijk al sinds 1992 bestaat, eindelijk correct in de praktijk wordt gebracht.
4.
Brengt GDPR dan helemaal niets nieuws?
Toch wel. Naast de vele verduidelijkingen voert de regelgeving ook enkele nieuwe elementen in. Zoals ‘privacy by design & by default’. Dat wil zeggen dat wanneer een product of dienst wordt bedacht, privacy van in het begin in rekening moet worden genomen. Vandaag is dat vaak pas de laatste stap, wanneer alle andere processen, van ontwikkeling tot marketing, al de revue zijn gepasseerd.
Ook wordt het mogelijk om een soort van groepsvordering te starten bij privacyinbreuken. Daarin gaat bijvoorbeeld Max Schrems, de bekende Oostenrijkse privacyvoorvechter, zich bekwamen met zijn organisatie NOYB.
En lag vroeger de bewijslast op de schouders van de burger die zijn privacyrechten wilde afdwingen, dan komt die nu in het bakje van de organisaties terecht. Zij zullen moeten argumenteren waarom ze geen gehoor geven aan de rechtmatige vragen van de burger.
Volgens DobbelaereWelvaert is het ook nieuw dat de burger binnenkort kan eisen om zijn gegevens te laten vernietigen, ofwel het recht om vergeten te worden.
5.
Waarom krijg ik zoveel emails over GDPR in mijn mailbox?
Tal van organisaties en bedrijven bestoken hun gebruikers de jongste tijd met emails. Daarin beweren ze dat ze, in het kader van GDPR, een ‘optin’ moeten vragen voor de verwerking van uw persoonsgegevens. Ze hebben zogezegd nog een keer uw expliciete goedkeuring nodig.
Maar dat soort mails is eigenlijk vaak totaal overbodig. ‘Als je ergens al klant bent, dan moet dat bedrijf je niet opnieuw om toestemming vragen’, zegt DobbelaereWelvaert. ‘Europa had vast niet bedoeld dat de burgers zouden worden bedolven onder dat soort mails.’
Toch is er een positief kantje aan al die spam. ‘Eigenlijk is het sympathiek, want zo kom je als consument te weten in welke databases je zit. Het is een feest om te unsubscriben.’
‘Die bedrijven zullen allicht een mooi promopraatje te horen hebben gekregen van een of andere consultant die hun zei dat ze die mails moesten versturen’, zegt Ausloos. ‘Maar in veel gevallen is dat totaal overbodig.’
De reden ligt volgens beide kenners bij de groep ‘experts’ die geld hebben geroken en die zich in aanloop naar 25 mei op de bedrijfswereld hebben geworpen. Door organisaties en bedrijven de stuipen op het lijf te jagen, tenzij ze hun duurbetaald advies inkopen, uiteraard. ‘Het is onvoorstelbaar hoeveel nichebedrijven er uit de grond zijn geschoten’, zegt Ausloos.
DobbelaereWelvaert, die met zijn kantoor weliswaar zelf ook GDPRconsultancy verleent, ergert zich er blauw aan. ‘Het is een hele industrie geworden’, zegt hij. ‘Consultants groot en klein, webontwikkelaars die zich hebben omgeschoold tot GDPRexpert, securitybedrijven ...’
Het was nochtans te verwachten. Zo was het destijds ook met de millenniumbug destijds. Ook daar hebben sommige mensen veel geld aan verdiend. Hij vreest dat die overdreven aandacht, en de vele mails die de burger daardoor krijgt, kunnen leiden tot een soort van privacymoeheid.
‘GDPR is een feest voor juristen’, zegt hij. ‘Ik ben ervan overtuigd dat veel privacyspecialisten tegenwoordig heel goed hun brood verdienen.’