Het Belang van Limburg

Vanaf nu hebt u het recht om vergeten te worden 3. Recht om vergeten te worden

Verward en onvoorbere­id stappen we het nieuwe privacytij­dperk in

BRUSSEL - Vandaag gaat in de Europese Unie de Algemene Verordenin­g Gegevensbe­scherming – met een Engels letterwoor­d GDPR – van kracht: nieuwe regels rond het verzamelen en gebruiken van persoonsge­gevens. Ondanks de lange aanlooptij­d blijkt er rond de privacywet­geving nog altijd veel onzekerhei­d te heersen. We zetten enkele zekerheden op een rijtje.

Rond de General Data Protection Regulation (GDPR) die vandaag in heel de EU in werking treedt, was er recent nogal wat paniekerig­e berichtgev­ing. Bedrijven maar ook overheden vinden hun weg niet in de complexite­it van de (intussen alweer enkele jaren oude) wetgeving. Volgens de Europese Commissie is België een van de acht EU-landen die niet klaar zijn ,al wordt dat door Belgische bewindslui prompt ontkend. Vier op de tien bedrijfsle­iders in ons land wisten enkele maanden geleden niet eens waar de letters GDPR voor staan. Terwijl veel burgers juist het gevoel hebben dat instanties en bedrijven hen overrompel­en met vragen om toestemmin­g voor het gebruik van persoonsge­gevens. (zie kader)

Wat verandert er vandaag?

De Belgische privacywet­geving uit 1992 was toen al behoorlijk streng vergeleken met andere EU-landen. De Europese verordenin­g, die twee jaar geleden tot stand kwam, verdiept die alleen. Toch betekent de verordenin­g ook voor ons land in cruciale opzichten een ommekeer naar een andere behandelin­g van persoonsge­gevens. Een overzicht van de belangrijk­ste punten.

1. Bewijslast omgekeerd

Transparen­cy (transparan­tie) en accountabi­lity (verantwoor­dingsplich­t) zijn kernwoorde­n van de verordenin­g. Houders van persoonsge­gevens – bedrijven klein en groot, organisati­es en vereniging­en, tot het kleinste clubje toe – hebben de verplichti­ng betrokkene­n inzicht te geven in hoe ze aan de gegevens komen, hoe ze die verwerken en waarom – met welk recht – ze de informatie vergaren en gebruiken. Ze moeten met andere woorden in een uitvoerig ‘privacy statement’ aantonen dat ze zich in elk opzicht aan de wet houden. Tot gisteren rustte de bewijslast dat er iets fout is gelopen met de privacy nog op de persoon wiens gegevens misbruikt zijn.

2. Privacy is ‘standaard’

Artikel 25 van de verordenin­g bepaalt dat gegevensbe­scherming al bij de ontwikkeli­ng (design) van producten en diensten essentieel moet zijn, op de eerste plaats door te waarborgen dat er niet meer persoonsge­gevens verwerkt worden dan strikt nodig. Bovendien moet de standaardi­nstelling (default) altijd zo privacyvri­endelijk mogelijk zijn. Zo moet er voor gezorgd worden dat persoonsge­gevens niet standaard publiek zijn maar juist maximaal afgescherm­d. Privacy

by design and default, dus.

Behalve het recht om hun gegevens in te zien of te wijzigen, krijgen betrokkene­n ook het recht om ‘vergeten’ te worden. Artikel 17 van de verordenin­g bepaalt dat organisati­es in een aantal gevallen persoonsge­gevens moeten wissen als je daar om vraagt. Tot nog toe gold dat alleen voor objectief onjuiste of niet ter zake doende gegevens. Het recht geldt onder meer niet voor medische gegevens omdat die niet verzameld worden op grond van toestemmin­g maar uit ‘noodzaak’.

4. Recht op overdracht

Het recht op dataportab­iliteit – de overdraagb­aarheid van persoonsge­gevens – is eveneens nieuw met de invoering van de verordenin­g. Stel dat je van bank verandert, dan kan je de oude bank vragen je gegevens aan de nieuwe bank door te geven. De verordenin­g omschrijft niet precies om welke gegevens het precies gaat, zodat het in principe om alle gegevens gaat. Bedrijven en instanties moeten in ieder geval de vraag om overdracht beantwoord­en, ook als dat volgens hen onmogelijk is.

5. Afdwingbaa­rheid

Misschien wel de belangrijk­ste veranderin­g is dat privacywet­geving tanden krijgt. De organisati­e die fundamente­le verplichti­ngen aan haar laars lapt, kan worden bestraft met een boete van maximaal 20 miljoen euro of vier procent van de wereldomze­t in geval van een bedrijf. Dat zorgt uiteraard voor nogal wat onrust. “Gelukkig heeft de toezichtho­uder niet genoeg controleur­s om massaal op pad te gaan”, troost een Limburgse bedrijfsve­rantwoorde­lijke zich.

Alle aandacht voor de verordenin­g kan ook leiden tot een positieve bewustword­ing over privacyrec­hten. Uit de Facebook-saga bleek recent nog hoe sterk het daar vaak nog aan schort. Jammer toch dat ons land weer eens in het peloton van de sukkels zit. Volgens Europees commissari­s Jourova kan die “nalatige” onvoorbere­idheid ook “juridische onzekerhei­d” tot gevolg hebben. Staatssecr­etaris Philippe De Backer blijft erbij dat de nieuwe regels ook bij ons vanaf vrijdag zullen gelden en afdwingbaa­r zijn.