De Europese privacywet (of GDPR) is één jaar: mooi in theorie, nog veel werk in de praktijk

Respecteren bedrijven en overheden de Europese privacywet?

Paniek. Zo kon je de sfeer tijdens de laatste weken bij heel wat bedrijven en overheden het best omschrijven in de aanloop naar 26 mei 2018. Jarenlang hadden bedrijven – groot en klein – onze persoonsgegevens geregistreerd en ergens opgeslagen. Zij die er kaas van gegeten hadden, gebruikten die gegevens te pas en te onpas. En als het sommige bedrijven uitkwam, verpakten ze die data opnieuw om nog eens door te verkopen.

Om burgers opnieuw zeggenschap te geven over hun persoonsgegevens, bedacht de Europese Unie de General Data Protection Regulation, meestal afgekort als GDPR. Consumenten kunnen sinds 26 mei 2018 aan bedrijven vragen waarom hun data wordt bijgehouden, hoe alles verwerkt wordt, en of het bedrijf de gegevens niet kan wissen. Hoewel de richtlijn al meer dan twee jaar eerder werd aangekondigd, schoten bedrijven pas tegen de deadline in actie. Plots leken bedrijven te beseffen: wanneer ze niet in orde zijn met de GDPR kan hen dat 4 procent van de omzet aan boetes of maximaal 20 miljoen euro kosten.

De chaos was zo groot dat oplichters de GDPR gebruikten om geld te verdienen. Voor slechts 195 euro per jaar konden bedrijven een vals keurmerk op hun website plaatsen. Ondertussen is die paniek wat gaan liggen, maar de impact van de GDPR mogen we niet onderschatten.

“Vroeger waren bedrijven helemaal niet bezig met het veilig omgaan met persoonsgegevens van klanten”, zegt Olivier Sustronck van Mr Franklin, een advocatenkantoor dat gespecialiseerd is GDPR-wetgeving. “De GDPR heeft effectief voor een mentaliteitswijziging gezorgd. Dat doen bedrijven niet per definitie uit eigen beweging. Ze worden er bijvoorbeeld toe gedwongen door klanten die expliciet vragen naar het privacybeleid.” Bedrijven breken zich het hoofd hoe ze een dataregister opbouwen dat alle datastromen in kaart brengt of wat de data protection officer nu precies moet doen.

Tegelijkertijd beseft Sustronck dat we ons geen illusies moeten maken. “Bedrijven die conform de wet wilden zijn, zijn dat, maar er zijn evengoed bedrijven die gewacht hebben tot de storm rond de nieuwe wetgeving is gaan liggen of zelfs de kat uit de boom kijken of bedrijven ook effectief gestraft zullen worden door de gegevensbeschermingsautoriteit.” In tegenstelling tot onze buurlanden, legde de Belgische gegevensbeschermingsautoriteit (GBA) wel nog geen enkele boete op.

De aanstelling van het nieuwe directiecomité van de GBA heeft net geen jaar op zich laten wachten. David Stevens, die voor drie jaar voorzitter is, laat weten dat zijn organisatie inderdaad een achterstand heeft opgelopen. “Boetes zijn geen doel op zich, maar ik ken geen enkele autoriteit met nieuwe bevoegdheden die zich niet wil laten gelden.”

Kan ik als burger mijn privacyrechten gemakkelijk uitoefenen?

Het zou niet verbazen mochten burgers de GDPR in de eerste plaats associëren met e-mails van bedrijven die poneren dat ze ‘om uw privacy geven’ of met het ellendig aantal privacyvoorwaarden die ze als internetgebruiker op zich afgevuurd krijgen. Een euvel waaraan Europa na de verkiezingen paal en perk wil stellen met de e-privacyverordening. Die zou onder andere bepalen dat privacy-instellingen in de browser ingesteld worden zodat u niet op elke website voorkeuren moet ingeven.

Maar de GDPR is veel meer dan dat, zegt privacy-expert Magali Feys van advocatenkantoor AContrario. Alleen is het vandaag nog steeds omslachtig om privacyrechten uit te oefenen. “Stel dat mijn Gmail-account gehackt is en ik met een nieuw e-mailadres toegang wil tot mijn gegevens die De Morgen over me heeft. Hoe gaat De Morgen verifiëren dat ik Magali Feys ben?” In de meeste gevallen gebeurt die identificatie via een procedure die uit de digitale prehistorie stamt: een kopie nemen van de identiteitskaart en die via mail doorsturen. “En dan zet je er als De Morgen best bij: gelieve enkel een kopie van de voorkant op te sturen en uw geboortedatum te doorstrepen met een zwarte stift”, zegt Feys. De GDPR legt namelijk op om het verzamelen van data tot het minimum te beperken.

Bedrijven vrezen dan weer dat te veel burgers tegelijkertijd hun persoonlijke data opvragen. “Het is niet omdat je een dataregister hebt opgesteld, dat je een efficiënte procedure hebt om met zulke aanvragen om te gaan”, zegt Feys. Dat een werknemer een aantal aanvragen per maand moet behandelen, is niet erg. Maar zodra een bedrijf iemand fulltime moet betalen om data-aanvragen te behandelen, ligt dat al een stuk moeilijker.

In de praktijk zorgen zulke omslachtige procedures ervoor dat enkel privacy-activisten hun gegevens opvragen om bedrijven op de rooster te leggen. En die activisten richten zich in de eerste plaats op de grootste bedreigingen van onze privacy: technologiebedrijven die van persoonsgegevens hun verdienmodel hebben gemaakt. Zo publiceerde professor webtechnologie Ruben Verborgh (UGent/Imec) deze week zijn mailconversatie met Facebook die hij de afgelopen maanden had om zijn gegevens te verwijderen. Het technologiebedrijf weigert om Verborgh zijn persoonsgegevens door te geven “omdat de gemiddelde persoon te dom is om eenvoudige dingen zoals locatiegeschiedenis te begrijpen”.

Is de Europese privacywet nu het ideale wapen tegen Google en Facebook?

Een Europees antwoord op de datahonger van technologiebedrijven zoals Facebook en Google. Het was een van de ontstaansredenen van de GDPR.

“Mark Zuckerberg mag op een podium in Silicon Valley verklaren dat hij privacy belangrijk vindt, dat is pure marketingpraat”, zegt minister van Digitale Agenda en Privacy Philippe De Backer (Open Vld). “De manier waarop Facebook – en dat niet alleen – met onze persoonsgegevens omgaat is niet onschuldig. Het schandaal rond Cambridge Analytica (Het Facebook-lek waarbij gegevens van tientallen miljoenen gebruikers gebruikt werden om politieke advertenties te targetten, FE) is daar een schrijnend voorbeeld van. De GDPR heeft het verdienmodel van databedrijven voor een deel onder druk gezet.” De afscheidnemende minister verwijst daarvoor onder andere naar de verhuis van persoonsgegevens van 1,5 miljard Facebook-profielen van Ierse naar Amerikaanse servers net voor het in werking treden van de GDPR. “Dat toont aan dat Facebook rekening houdt met die Europese wetgeving en ernaar handelt.”

“Maar”, nuanceert professor en privacy-expert Paul De Hert (VUB), “De GDPR is niet ontworpen om een einde te maken aan het datakapitalisme waar die grote techbedrijven van leven.” En om de techgiganten nog enigszins in de pas te laten lopen, zal Europa in de eerste plaats een beroep moeten doen op het mededingingsrecht. Zo legde de Europese Commissie Alphabet, het bedrijf achter Google, met drie verschillende boetes in totaal al meer dan 8 miljard euro boete op. Vorig jaar nog kreeg de techgigant een boete van 4,3 miljard euro voor het opdringen van zijn browser en zoekmachine op Android-telefoons. “Al betalen die bedrijven zulke boetes uiteindelijk probleemloos”, zegt De Hert.

Boetes zijn trouwens niet het enige pad dat Europa kan belopen om een vuist te maken tegen de macht van buitenlandse technologiebedrijven. Zo levert de GDPR voor Europa volgens minister De Backer ook een concurrentievoordeel op, maar daar zetten we nog te weinig op in. De GDPR zorgt ervoor dat Europese producten en diensten per definitie de privacy respecteren. “We moeten ambitieuzer zijn om op die manier het verschil te maken met Chinese en Amerikaanse diensten.”

Wordt onze privacy nu beter beschermd dankzij de GDPR?

Het antwoord is over het algemeen: ja. Al wijst De Hert erop dat we de GDPR niet in een vacuüm mogen zien. Hij herinnert eraan dat het wereldwijde web sowieso al voor meer individuele vrijheid en meer privacy heeft gezorgd. “We konden nog nooit met zoveel mensen, niet beperkt door afstand of tijdverschil, een privégesprek voeren.”

Hij is ervan overtuigd dat sociale media en bij uitbreiding grote technologiebedrijven, die vandaag gezien worden als een grote bedreiging voor onze privacy, niet het einde van die privacy betekenen. “De praktijken van Facebook en co, waarbij surfgedrag omgezet wordt in marketingboodschappen en advertentiegeld, zijn relatief nieuw. We zijn er nu nog niet achter hoe we daarmee moeten omgaan. Dat is in de eerste plaats een economisch vraagstuk.”

De Hert vreest vooral een dieperliggend probleem. We zitten als burgers gevangen in gebruiksvriendelijke diensten die we gratis mogen gebruiken. “Maar dat vindt onze overheid niet eens zo erg”, zegt De Hert. Meer zelfs, overheden zouden volgens hem niet liever willen beschikken over gelijkaardige data. De privacyprofessor verwijst daarvoor naar de verwezenlijkingen van minister van Binnenlandse Zaken Jan Jambon (N-VA): de ANPR-camera’s, die de nummerplaten van onze wagens kunnen lezen, en de identiteitskaart waar sinds april een vingerafdruk op staat. “Ik hoop dat de Belgische gegevensbeschermingsautoriteit minsten evenveel aandacht zal hebben voor de overheid als voor de praktijken van grote technologiebedrijven.”