Vanaf nu hebt u het recht om vergeten te worden 3. Recht om vergeten te worden
Verward en onvoorbereid stappen we het nieuwe privacytijdperk in
BRUSSEL - Vandaag gaat in de Europese Unie de Algemene Verordening Gegevensbescherming – met een Engels letterwoord GDPR – van kracht: nieuwe regels rond het verzamelen en gebruiken van persoonsgegevens. Ondanks de lange aanlooptijd blijkt er rond de privacywetgeving nog altijd veel onzekerheid te heersen. We zetten enkele zekerheden op een rijtje.
Rond de General Data Protection Regulation (GDPR) die vandaag in heel de EU in werking treedt, was er recent nogal wat paniekerige berichtgeving. Bedrijven maar ook overheden vinden hun weg niet in de complexiteit van de (intussen alweer enkele jaren oude) wetgeving. Volgens de Europese Commissie is België een van de acht EU-landen die niet klaar zijn ,al wordt dat door Belgische bewindslui prompt ontkend. Vier op de tien bedrijfsleiders in ons land wisten enkele maanden geleden niet eens waar de letters GDPR voor staan. Terwijl veel burgers juist het gevoel hebben dat instanties en bedrijven hen overrompelen met vragen om toestemming voor het gebruik van persoonsgegevens. (zie kader)
Wat verandert er vandaag?
De Belgische privacywetgeving uit 1992 was toen al behoorlijk streng vergeleken met andere EU-landen. De Europese verordening, die twee jaar geleden tot stand kwam, verdiept die alleen. Toch betekent de verordening ook voor ons land in cruciale opzichten een ommekeer naar een andere behandeling van persoonsgegevens. Een overzicht van de belangrijkste punten.
1. Bewijslast omgekeerd
Transparency (transparantie) en accountability (verantwoordingsplicht) zijn kernwoorden van de verordening. Houders van persoonsgegevens – bedrijven klein en groot, organisaties en verenigingen, tot het kleinste clubje toe – hebben de verplichting betrokkenen inzicht te geven in hoe ze aan de gegevens komen, hoe ze die verwerken en waarom – met welk recht – ze de informatie vergaren en gebruiken. Ze moeten met andere woorden in een uitvoerig ‘privacy statement’ aantonen dat ze zich in elk opzicht aan de wet houden. Tot gisteren rustte de bewijslast dat er iets fout is gelopen met de privacy nog op de persoon wiens gegevens misbruikt zijn.
2. Privacy is ‘standaard’
Artikel 25 van de verordening bepaalt dat gegevensbescherming al bij de ontwikkeling (design) van producten en diensten essentieel moet zijn, op de eerste plaats door te waarborgen dat er niet meer persoonsgegevens verwerkt worden dan strikt nodig. Bovendien moet de standaardinstelling (default) altijd zo privacyvriendelijk mogelijk zijn. Zo moet er voor gezorgd worden dat persoonsgegevens niet standaard publiek zijn maar juist maximaal afgeschermd. Privacy
by design and default, dus.
Behalve het recht om hun gegevens in te zien of te wijzigen, krijgen betrokkenen ook het recht om ‘vergeten’ te worden. Artikel 17 van de verordening bepaalt dat organisaties in een aantal gevallen persoonsgegevens moeten wissen als je daar om vraagt. Tot nog toe gold dat alleen voor objectief onjuiste of niet ter zake doende gegevens. Het recht geldt onder meer niet voor medische gegevens omdat die niet verzameld worden op grond van toestemming maar uit ‘noodzaak’.
4. Recht op overdracht
Het recht op dataportabiliteit – de overdraagbaarheid van persoonsgegevens – is eveneens nieuw met de invoering van de verordening. Stel dat je van bank verandert, dan kan je de oude bank vragen je gegevens aan de nieuwe bank door te geven. De verordening omschrijft niet precies om welke gegevens het precies gaat, zodat het in principe om alle gegevens gaat. Bedrijven en instanties moeten in ieder geval de vraag om overdracht beantwoorden, ook als dat volgens hen onmogelijk is.
5. Afdwingbaarheid
Misschien wel de belangrijkste verandering is dat privacywetgeving tanden krijgt. De organisatie die fundamentele verplichtingen aan haar laars lapt, kan worden bestraft met een boete van maximaal 20 miljoen euro of vier procent van de wereldomzet in geval van een bedrijf. Dat zorgt uiteraard voor nogal wat onrust. “Gelukkig heeft de toezichthouder niet genoeg controleurs om massaal op pad te gaan”, troost een Limburgse bedrijfsverantwoordelijke zich.
Alle aandacht voor de verordening kan ook leiden tot een positieve bewustwording over privacyrechten. Uit de Facebook-saga bleek recent nog hoe sterk het daar vaak nog aan schort. Jammer toch dat ons land weer eens in het peloton van de sukkels zit. Volgens Europees commissaris Jourova kan die “nalatige” onvoorbereidheid ook “juridische onzekerheid” tot gevolg hebben. Staatssecretaris Philippe De Backer blijft erbij dat de nieuwe regels ook bij ons vanaf vrijdag zullen gelden en afdwingbaar zijn.