GDPR gaat van start, maar wat betekent dat nu precies voor u?

De General Data Protection Regulation, beter gekend als GDPR, gaat vrijdag 25 mei officieel van start. Maar dat wist u natuurlijk al. Want tenzij u de voorbije maanden onder een steen leefde en daar geen toegang tot internet had, werd u overstelpt door ontelbaar veel mailtjes over de nieuwe wetten rond privacy op het net. Zowat elk bedrijf is namelijk al weken of zelfs maanden bezig met de voorbereidingen, ze moeten dan ook alles uit de kast halen om de persoonlijke gegevens van de burger voortaan beter te beschermen. Of zo lijkt het toch.

Maar wat was nu eigenlijk weer het probleem en hoe lossen die bedrijven dat nu precies op? Enkele vragen en antwoorden geven - eindelijk - meer duidelijkheid.

Waarom is er een nieuwe privacywet nodig?

De Belgische privacycommissie vat het als volgt samen: de regels moeten aangepast worden aan de nieuwe digitale realiteit, er is dringend nood aan harmonisatie van de nationale privacywetgevingen binnen Europa én de burger moet meer controle krijgen over persoonlijke gegevens.

Vooral dat laatste is interessant. Maar al te vaak weten we amper wat het écht betekent als we tijdens het surfen op ‘accepteren’ klikken, ons e-mailadres invullen of zelfs ons thuisadres doorgeven. Nog vaker verbazen we ons over de advertenties die we te pas en te onpas te zien krijgen. Wie vliegtickets opzoekt, kan plots op Google reclame zien verschijnen over de reisbestemming. Wie op het punt stond schoenen te kopen maar alsnog afhaakt, wordt ook daar nog meer dan eens aan herinnerd. Via Facebook, Instagram of een ander kanaal. Maar hoe dat nu precies komt? Daar heeft menig surfer het raden naar.

De GDPR wil daar eindelijk komaf mee maken en er vooral meer duidelijkheid over scheppen. Of liever: de GDPR eist dat bedrijven en verenigingen daar vanaf 25 mei duidelijker in zijn. Bedrijven zullen dus transparanter moeten zijn over hoe ze persoonlijke gegevens bijhouden en ook waarom ze welke data gebruiken.

Wat zal de nieuwe privacywetgeving dan precies veranderen?

In de mailtjes die de voorbije dagen in grote hoeveelheden verstuurd werden door tal van bedrijven, staat meestal hetzelfde te lezen: de vraag naar goedkeuring om uw persoonlijke gegevens te blijven gebruiken en wat uitleg over het gewijzigde privacybeleid van het bedrijf. Een korte uitleg is dat trouwens, want ook een eindeloze - dikwijls onbegrijpelijke - juridische uitleg mag niet meer. Heldere communicatie is de boodschap, zodat de burger alles begrijpt. Transparantie is hier duidelijk het sleutelwoord.

Enkele opvallende regels van de GDPR:

• Bedrijven hebben voortaan toestemming nodig om uw gegevens te bewaren.

• De burger moet (gemakkelijk) kunnen opvragen wat over hem of haar bijgehouden wordt, én dat kunnen veranderen.

• De gegevens moeten ook gewist worden, als de burger dat vraagt. Dat is het zogenaamde ‘recht om vergeten te worden’.

• De Privacycommissie zal gegronde controles doorvoeren en daarnaast sancties kunnen opleggen (vooral in de vorm van boetes), een maatregel die voorheen niet kon toegepast worden en nu heel wat bedrijven angst inboezemt. In de praktijk: als een scoutsgroep foto’s van kinderen op kamp op hun website plaatst, zonder expliciete toestemming, en die later in de verkeerde handen terechtkomen, kan de scouts daarvoor gestraft worden.

• Terwijl de meeste regels een aanpassing of update kregen, is de ‘overdraagbaarheid van data’ wel gloednieuw: wie als klant van het ene naar het andere bedrijf overstapt, mag eisen dat gegevens worden overgedragen. Zo kunt u bijvoorbeeld aan uw energieleverancier vragen om uw verbruikersprofiel vrij te geven zodat u op zoek kan gaan naar de beste aanbiedingen of prijs. Ook als dat bij de concurrentie is.

Enkele opvallende uitzonderingen van de GDPR:

Hoewel de GDPR in theorie voor elk bedrijf geldt, zijn er in de praktijk toch nog enkele uitzonderingen.

• Zo zal bijvoorbeeld Coolblue uw adresgegevens nodig hebben om een pakje af te leveren. Voor het bijhouden daarvan hebben ze geen extra toestemming nodig.

• De gezondheidszorg kan zich beroepen op de verwerking van gegevens die nodig is in het belang van de algemene volksgezondheid of de preventieve geneeskunde.

• Ook de overheid ‘glipt door de mazen van het net’: elke keer er een gerechtmatigd belang is, is geen toestemming nodig. Bijvoorbeeld bij een verhuis.

Makkelijker wordt het er niet op, met al die uitzonderingen. Al benadrukt de Privacycommissie wel dat het nieuwe beleid een ‘work in progress’ is: door continue gezamenlijk overleg wordt bedrijven aangeraden alles op de voet te blijven volgen.

LEES OOK.Mark Zuckerberg ontwijkt vakkundig netelige vragen van Europees Parlement: “Ik blijf op mijn honger zitten”

Goed of slecht voor bedrijven?

Dat big data een goudmijn zijn voor bedrijven en organisaties, hoeft niet te verbazen. De persoonlijke gegevens van surfers zijn het nieuwe goud voor adverteerders. Dat Spotify uw muzikale voorkeuren bijhoudt, is interessant voor pakweg bol.com die u een cd kan proberen verkopen. Dat al die kostbare informatie nu niet meer zomaar te grabbel ligt, maakt het moeilijker voor marketeers om aan de slag te gaan.

En hoewel heel wat bedrijven nu pas - net op tijd - de puntjes op de i gezet krijgen, waren ze wel al langer gewaarschuwd. De nieuwe Europese wetgeving werd namelijk twee jaar geleden al goedgekeurd. Dat die nu pas van kracht gaat, hoeft niet in alle opzichten nadelig te zijn voor (grote) bedrijven. Voortaan geldt er binnen de Europese Unie nog maar één privacywet, in plaats van 28 verschillende nationale wetten. Voor bedrijven en organisaties die actief zijn in meerdere EU-lidstaten betekent dat onder andere minder administratie (en zo ook minder kosten), meer rechtszekerheid en gelijke regels voor iedereen (extra handig voor bedrijven die tot voor kort met verschillende wetgevingen rekening moesten houden), gemakkelijke gegevensverwerking over de landsgrenzen heen, …

Terug naar het begin: wat te doen met al die mails?

Vervelend, al die mails? Niet noodzakelijk. De verantwoordelijkheid over uw persoonlijke gegevens ligt ook in uw eigen handen. Deze week is dan ook het ideale moment om kritisch te zijn: maak van de gelegenheid gebruik om nieuwsbrieven over boord te gooien die u toch nooit leest. Stel uzelf de vraag welke informatie bepaalde bedrijven net wel of niet nodig hebben van u, om te doen wat ze moeten doen. Als Spotify meedeelt dat ze wijzigingen hebben doorgevoerd in hun privacybeleid, kan u zich meteen afvragen of u wel nog muziek luistert via het streamingbedrijf.

Niet onbelangrijk: als je niet reageert op de mail, is het automatisch een “nee”. Een grote verandering, want vroeger (lees: vóór 25 mei) was impliciet toestemmen vaak voldoende. Zo mocht een autogarage een mailadres toevoegen aan de nieuwsbrief - en zo ook doorgeven aan derden - zodra een klant een mailtje had gestuurd met een vraag of gewoon uit interesse.

Wat verandert er bij het Nieuwsblad.be?

Ook bij Het Nieuwsblad gaat GDPR van start. En ook bij uw krant ligt de focus vanaf 25 mei nog meer op transparantie. “Data is belangrijk, maar het vertrouwen van de lezer belangrijker”, zegt Marc Cox, Data Protection Officer binnen Mediahuis (een functie die voortaan in elk groot bedrijf moet aangesteld worden). “En dat gaat gepaard met een goede privacy policy die begrijpelijk is voor de lezer.”

Bij moederbedrijf Mediahuis worden dus wel degelijk gegevens opgevraagd, bijvoorbeeld bij het registreren op Nieuwsblad.be. Maar dat heeft ook zijn nut: “Het is voor ons belangrijk om bij te houden welk soort artikels onze lezers het vaakst lezen, zo weten we ook meteen wat ze het interessantst vinden en wat hen net niet boeit. Bovendien wordt op die manier de beleving voor de lezer beter, zodra die zich inlogt op de website. Naast het nieuws van de dag kunnen dan bijvoorbeeld artikels uit de juiste regio worden aanbevolen.”