"Nieuwe EU-wetgeving betekent betere gegevensbescherming voor jou." Klopt dat?

1. Welk probleem moet de nieuwe Europese privacywetgeving (GDPR: General Data Protection Regulation of Algemene Verordering Gegevensbescherming) oplossen?

Hoeveel keer vult u op een online formulier u uw e-mailadres in? Of maakt u een nieuw account bij een nieuw sociaal netwerk en wordt er naar uw telefoonnummer gevraagd? Weet u waarom u die gegevens deelt? Of wat er met die gegevens gebeurt? In de meeste gevallen niet echt. 

De nieuwe Europese privacywetgeving (GDPR), die op 25 mei in werking treedt, moet ervoor zorgen dat u opnieuw zeggenschap krijgt over uw persoonsgegevens. Ook al geeft u die data door aan websites of bedrijven of overheidsinstellingen, u blijft de rechten behouden over uw gegevens. Het is de bedoeling dat u niet meer voor verrassingen komt te staan zoals: "Hoe komt De Morgen nu aan mijn e-mailadres?"

"Het algemene niveau waarop bedrijven met persoongegevens omgaan moet omhoog met de GDPR", zegt Danielle Jacobs van Beltug, de Belgische vereniging die de belangen van CIO's en andere ICT-managers behartigt.

2. Wat verandert er?

"Tachtig procent van de bepalingen uit de GDPR stond eigenlijk al in de bestaande wetgeving", zegt Geert Somers, advocaat-vennoot bij time.lex. "De GDPR zorgt wel voor nog meer uniformiteit binnen Europa. Wie zich niet aan de voorschriften houdt, riskeert stevige boetes."

Somers vergelijkt de GDPR met fiscale regels. "Het komt erop neer dat bedrijven een nauwgezette gegevensboekhouding moeten bijhouden. Net zoals de fiscus zal de gegevensbeschermingsautoriteit bedrijven kunnen controleren of ze de verzamelde data verwerken en gebruiken zoals ze dat aan consumenten hebben voorgesteld."

Zo zit het privacybeleid vandaag meestal verstopt op de website van bedrijven. "Bovendien vindt een kat haar jongen niet terug in die teksten", zegt Magali Feys, advocaat bij AContrario. 

Daar komt u vanaf 25 mei niet meer mee weg. U zal bijvoorbeeld in video of in tekst heel duidelijk moeten uitleggen waarvoor u bepaalde gegevens opvraagt en waarvoor u die wil gebruiken. Iedereen moet geïnformeerd worden over wat er precies met je gegevens gebeurt. 

Geen moment te vroeg, volgens Feys. "Vandaag worden gegevens achteloos op USB-sticks gezet, naar elkaar doorgemaild of zitten ze in softwareprogramma's waar niemand echt op let." 

De GDPR verlangt bovendien meer transparantie en een sterkere opt-in wanneer men de toestemming van de gebruiker vraagt om bepaalde data te gebruiken.

"Het gemakkelijkste voorbeeld is een app. Het zal niet meer volstaan dat u bij het downloaden snel meegeeft welke functies en gegevens de app precies wil gebruiken en zo snel een algemene toestemming voor alle mogelijke functies inwint. Wanneer iemand in de app een foto wil importeren, zal die expliciet moeten vragen 'Wilt u deze app toegang geven tot al uw foto's?'", zegt Somers. "Indien je dat niet wil, zal je die functie van de app niet kunnen gebruiken, maar andere functies wel."

3. Hebt u vanaf 25 mei extra rechten?

Bestaande rechten zoals het recht op verzet, denk aan het uitschrijven op nieuwsbrieven, of het recht om vergeten te worden, wanneer u wilt dat uw gegevens verwijderd worden uit een database, worden beter afdwingbaar. 

Dankzij de GDPR krijgt u er ook rechten bij, zoals de zogenaamde data portability. 

Stel dat er een sociaal netwerk komt dat u boven Facebook zou verkiezen, dan moet u uw gegevens van Facebook kunnen downloaden in een leesbare vorm zodat u die makkelijk kunt opladen op het nieuwe platform. Vergelijk het met een gsm-nummer dat u kunt behouden wanneer u van telecomprovider verandert. De overstap moet zonder veel administratie kunnen gebeuren.

De GDPR spreekt verder van een inzagerecht, dat al bestond in de Belgische privacywet. Dat wil niet zeggen dat bedrijven al hun systemen moeten opengooien. "Wanneer er een inzagevraag komt, moeten bedrijven wel nauwgezet kunnen antwoorden wat het allemaal over een consument weet. Het is dus belangrijk dat bedrijven een stappenplan uitwerken hoe het zulke vragen efficiënt kan beantwoorden", zegt Feys. 

Op dit moment is het heel moeilijk om in te schatten hoeveel van die vragen er zullen komen. "Als het er tien zijn, is dat manueel te doen, maar als een groep activisten zich op een bedrijf richt, dan kun je maar beter een geautomatiseerd proces hebben", waarschuwt Danielle Jacobs van Beltug.

4. Zullen bedrijven klaar zijn met de voorbereidingen van de GDPR?

"De GDPR is geschreven met bedrijven zoals Facebook en Google in het achterhoofd, maar geldt natuurlijk voor iedereen", zegt Jacobs. Zij denkt niet dat bedrijven – klein of groot – honderd procent in orde zullen zijn. 

"Wetteksten omzetten in ICT-processen is niet eenvoudig. In elke vergadering stoten we op vragen die we moeten voorleggen aan de Privacycommissie. Het maakt het er niet makkelijker op dat de Belgische kaderwet er nog niet is. Die zal er wel zijn op 25 mei."

Vorige week riep Unizo de regering op om in die vertaling specifiek rekening te houden met de specifieke behoeften van KMO's. 

Zo blijkt uit de online GDPR-zelfscan van Unizo dat nog maar 15 procent van de KMO's klaar is voor de nieuwe wetgeving. 44 procent moet nog een hele reeks maatregelen treffen om op tijd in orde te zijn. 40 procent bevindt zich echt in de gevarenzone en moet nog beginnen aan grote hervormingen, of weet niet waar en hoe te beginnen.