WAT MAG ER ALLEMAAL NIET MEER?
Mag een werkgever een verjaardagskalender ophangen met daarop de verjaardagen van alle werknemers? Neen, niet als zij daar hun toestemming nooit voor hebben gegeven.
Mag een chef tegen zijn medewerkers vertellen dat een collega afwezig is omdat die ziek is? Neen, tenzij de zieke nadrukkelijk heeft gemeld dat die informatie mag worden meegedeeld. Er duiken tegenwoordig tal van voorbeelden op van wat ‘door GDPR’ niet meer zal mogen. De turnkring die een ledenlijst verdeelt met daarop de contactgegevens van alle leden? De voorzitter van de kaartclub die het adres van een jarig lid doorgeeft zodat leden een kaartje kunnen sturen? Zonder expliciete toestemming mag het officieel allemaal niet.
Maar dat heeft maar weinig met GDPR an sich te maken. ‘Vandaag doen mensen veel dingen die eigenlijk al niet mogen onder de huidige wet’, zegt Jef Ausloos. Maar dat GDPR nu de puntjes op de i zet, is volgens hem een goede zaak. ‘De risico’s zijn vandaag groter’, zegt hij. ‘Iedereen heeft een smartphone, voor je ’t weet gaat data viraal en is het hek van de dam.’
Onduidelijk
Toch zijn er tal van situaties waarin onduidelijk is wat net mag. Mag de Kerk een publiek consulteerbaar doopregister bijhouden, bijvoorbeeld? De experts twijfelen. Houdt je laten dopen in dat je de ‘algemene voorwaarden’ van de Kerk accepteert – waardoor je (kind) in dat doopregister terecht komt, vraagt Matthias DobbelaereWelvaert zich af. ‘Dat zou je als een impliciete optin kunnen beschouwen. En je zou ook een expliciete toestemming kunnen vragen.’
Ausloos merkt op dat het volgens de privacyrichtlijnen om ‘geautomatiseerde verwerking’ van persoonsgegevens moet gaan. ‘Is een doopregister geautomatiseerd? En staan die namen er alfabetisch in waardoor ik iemand kan opzoeken? Neen? Dan is het betwistbaar of dat onder GDPR valt of niet.’
Het hangt ervan af of je de GDPRwetgeving letterlijk interpreteert, of naar de geest, meent DobbelaereWelvaert. Kijk naar een trouwfeest. Is dat gastenboek wel oké volgens de GDPRregels? ‘Je hebt geen commerciële motieven’, klinkt het. ‘Je zal dat gastenboek niet gebruiken om mensen nadien met emailcampagnes te bestoken.’
‘En je moet ook kijken wat de redelijke verwachtingen zijn van mensen’, zegt Ausloos. ‘Als je naar een huwelijk gaat, kan je verwachten dat er foto’s worden genomen. Tenzij die foto’s nadien aan een tijdschrift worden verkocht. Dat is dan weer een ander verhaal.’
‘Als je echt héél zeker wil zijn’, zegt DobbelaereWelvaert lachend, ‘kan je op je uitnodiging altijd de privacyvoorwaarden zetten. Dat gasten gefotografeerd en gefilmd kunnen worden. En kan je daar ook een bord over bij de ingang zetten. Maar ik betwijfel sterk dat de Privacycommissie op je trouwfeest zal komen controleren.’ (kls)