Zo doen wij dat in Europa!
Verwarring, chaos, irritatie en paniek. Spam, popups en gerechtelijke klachten. Amerikaanse websites die plots ontoeganke lijk zijn voor Europeanen. Apps die niet meer werken. Jawel: le nouveau GDPR est arrivé.
Dit alles was dus níét de bedoeling. De GDPR is er voor ons: om ons meer keuze, meer informatie en meer controle te geven in verband met onze persoonlijke gegevens. Niet om onze inbox te vullen met nutteloze en vaak onbeschofte mails, niet om ons à la Facebook en Google ultimatums te sturen: ‘keur onze nieuwe gebruiksvoorwaarden goed, of u vliegt er vrijdag uit’. En dus moeten we onszelf twee simpele vragen stellen. Wat is er misgelopen? En: komt het nog goed?
Iets als de GDPR moest er absoluut komen. Die overrompeling in uw inbox toont dat eigenlijk nog maar eens aan. Ook u kreeg ongetwijfeld emails van organisaties die u van haar noch pluim kent, om te ‘bevestigen’ dat u wel degelijk verder hun berichten wilt ontvangen. Dat betekent dat u in de database van die bedrijven zat, maar dat die bedrijven zelf niet meer weten hoe u daarin bent terechtgekomen – ze kunnen niet aantonen dat u daar zelf om hebt gevraagd en dus zouden ze uw adres eigenlijk moeten vernietigen. Dáárom kreeg u die mail.
Onze persoonlijke gegevens zijn de voorbije tien jaar op onvoorstelbare schaal geregistreerd, bewaard, bewerkt, doorverkocht, gecombineerd en nog eens doorverkocht. Men besefte de potentiële waarde van persoonsgegevens, en wilde er dus gewoon zo veel mogelijk verzamelen. Daar moest iets aan gebeuren. Wel, er is iets gebeurd. Op zijn Europees hebben we het probleem aangepakt met regels en regeltjes. Het schrijven van de GDPR is begonnen met de allerbeste intenties, en met slimme, hier en daar zelfs visionaire ideeën rond privacy. Maar de precieze uitwerking daarvan is zo ingewikkeld en – na politiek gepalaver en tussenkomst van lobbyisten – op cruciale punten toch zo vaag, dat hele onderdelen op twee of meer verschillende manieren kunnen worden gelezen. Daardoor is het wachten op de eerste rechtbanken die zich erover uitspreken, om te weten waar we eigenlijk staan. Zo doen wij dat in Europa!
Hoewel, lang zal dat wachten niet duren. De Oostenrijkse advocaat en activist Max Schrems heeft op dag één van de GDPR al meteen klacht ingediend tegen Facebook en Google. Hij zegt dat die twee Amerikaanse reuzen op onterechte manier de ‘instemming’ van hun gebruikers hebben afgedwongen.
En zo komen we bij de tweede vraag: komt het goed? Het antwoord is vrijwel zeker ‘ja’. De afgelopen maanden zijn duizenden organisaties met de luizenkam door hun databases gegaan. Daarbij hebben ze, in heel veel gevallen, massa’s gegevens aangetroffen die ze eigenlijk nergens voor nodig hadden en waarvan ze dus het bewaren niet kunnen rechtvaardigen. Die gegevens gaan er nu uit. Of minstens wordt er een redelijke bewaartermijn op geplakt. Er is een echte omslag gebeurd. Ja, persoonsgegevens zijn geld waard. Maar de persoonsgegevens waarvan je niet kunt aantonen dat ze nodig zijn, toch opvragen en bewaren, kan je duur te staan komen.
Onze persoonlijke gegevens zijn de voorbije tien jaar op onvoorstelbare schaal geregistreerd, bewaard, bewerkt, doorverkocht, gecombineerd en nog eens doorverkocht
Dit kostbare goed wordt dus voortaan niet meer met blinde begeerte, maar met gepaste voorzichtigheid behandeld. Dat Europa daar het voortouw in neemt, daar mogen we zelfs trots op zijn.
Een cruciale vraag is wel degene die Max Schrems vrijdag stelde: mag een dominant bedrijf als Google of Facebook nog steeds, zoals in het verleden, een allesomvattend akkoord eisen van zijn gebruikers in ruil voor een gratis dienstverlening? Met ‘keuze’ heeft dat niets te maken, want voor de diensten van die twee bedrijven bestaan amper alternatieven. Als de gegevensbeschermingsautoriteiten en rechtbanken beslissen dat het mag, dan hebben de Amerikaanse internetreuzen hun machtspositie versterkt ten koste van onze eigen bedrijven. Dat was niet de bedoeling van de GDPR, maar het kan dus wel het gevolg zijn.