Vanaf nu moet iedereen de nieuwe privacyregels respecteren. Maar wat als u dat toch niet doet?

Wat er vanaf vandaag allemaal verandert door de GDPR, kon u de voorbije week uitgebreid lezen in deze reeks. We begonnen maandag bij de scouts in Antwerpen, want ook daar moeten ze de nieuwe privacyregels respecteren. Iedereen die gegevens van anderen verzamelt, bijhoudt en gebruikt, valt onder de GDPR. Dus niet alleen de multinationals, maar ook de buurtcomités, toneelverenigingen en kaartersclubs.

Veel kleine verenigingen klagen dan ook over de hoop extra administratie die de GDPR met zich meebrengt. Er moet bijvoorbeeld voortdurend een dataregister worden geüpdatet waar alle gegevensverwerkingen worden bijgehouden. We vragen aan Philippe De Backer, staatssecretaris voor Privacy (Open VLD), waarom dit echt nodig is. “Mensen moeten er te allen tijde in gerust kunnen zijn dat hun gegevens correct worden bewaard en niet zomaar ergens op het internet publiek worden gemaakt. Het is dus echt belangrijk dat de regels gelden voor iedereen.”

Volgens De Backer moet de GDPR een mentaliteitswijziging teweeg brengen. “Iedere organisatie moet zich eens goed de vraag stellen welke gegevens er worden verzameld, of dat wel nodig is, hoe ze gebruikt worden en of ze goed beschermd worden.” De staatssecretaris benadrukt ook dat de GDPR eigenlijk niet nieuw is. “Het is geen revolutie, maar een evolutie. Veel mensen weten het misschien niet, maar we hebben al sinds 1992 een privacywet.

Het grote verschil is dat er vandaag, met de GDPR, gecontroleerd en gesanctioneerd kan worden als u niet in orde bent. Maar bedrijven die al een tijdje volgens de regels werken, zullen maar enkele kleine aanpassingen moeten doen.”

Riskeert uw kaartersclub vanaf vandaag dan zware boetes als ze niet in orde is met de regels? De staatssecretaris is duidelijk: “We starten vandaag geen heksenjacht op de kleinere organisaties en zetten eerst in op sensibilisering. We weten dat er vandaag nog heel wat onzekerheid is over de GDPR en die willen we eerst wegnemen. Iedereen kan vanaf vandaag de nieuwe Gegevensbeschermingsautoriteit contacteren met alle GDPR-vragen.”

Voor de grotere bedrijven zal die Gegevensbeschermingsautoriteit wel streng zijn. Vanaf vandaag kunnen ze inspecties doen en vragen om bepaalde zaken te veranderen. Als het bedrijf in kwestie dat niet wil doen, kunnen er inderdaad boetes worden opgelegd.  “En die zijn hoog”, benadrukt de staatssecretaris. “Tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.”

U zal ongetwijfeld al vele mails en brieven hebben gekregen waarin uw toestemming gevraagd wordt om uw gegevens bij te houden. Dat komt omdat de GDPR zegt dat organisaties niet zomaar uw gegevens mogen verzamelen, dat ze dat enkel mogen als de wet dat toelaat of als u er "specifiek, ondubbelzinnig en geïnformeerd" toestemming voor hebt gegeven. Omdat u in het verleden misschien niet zo geïnformeerd was toen u toestemming gaf en om op zeker te spelen, vragen veel bedrijven die toestemming opnieuw. Als u geen toestemming geeft of niet reageert, mogen die bedrijven uw gegevens niet langer gebruiken, tenminste, als ze geen andere wettelijke reden hebben om dat toch te doen.

U zal tijdens het surfen vandaag ongetwijfeld ook heel wat venstertjes zien openspringen waar u uitleg krijgt over het privacybeleid en over cookies. 

De GDPR draait eigenlijk rond transparantie. U krijgt het recht om te weten wie uw gegevens heeft en wat ze er mee doen. Wat als u dat niet langer wil? Dan kan u vragen om uw gegevens aan te passen of te verwijderen. En wat als dat wordt geweigerd? Als u vindt dat uw gegevens niet goed worden gebruikt? Als u bijvoorbeeld vraagt aan Facebook om een foto te verwijderen, maar dat geweigerd wordt?

Dan kan u in eerste instantie het bedrijf zelf contacteren met de vraag om die foto offline te halen of de gegevens te wissen. Doet het dat niet, dan kan u een klacht indienen bij de Gegevensbeschermingsautoriteit die dan zal onderzoeken wat er fout loopt bij het bedrijf. En als dat bedrijf niet meewerkt, riskeert het inderdaad zware boetes.