De GDPR komt eraan: wat is dat en wat verandert er voor u?

Wat gebeurt er vrijdag?

Dan gaat de GDPR in, de General Data Protection Regulation. In het Nederlands is dat de Algemene Verordening Gegevensberscherming (AVG), maar niemand gebruikt deze afkorting. Het gaat om een set van zo’n honderdtal regels voor een betere bescherming van de persoonlijke gegevens van de Europese burger. Nergens ter wereld gaat de wetgever zo ver.

Waar gaat het in essentie over?

Bedrijven, verenigingen en overheden beschikken over massa’s persoonlijke gegevens van ons allemaal. Vaak weten we amper wie wat weet over ons en wat met die gegevens gedaan wordt. Denk aan Google, dat data van u gebruikt om u advertenties op maat te kunnen tonen. Adverteerders betalen daar meer voor. De kern van GDPR is dat de burger de controle moet behouden over zijn gegevens. Hij moet zijn toestemming geven voor het bewaren ervan, hij moet kunnen opvragen wat bedrijven of overheden over hem bewaren, én dat veranderen. Hij mag ook vragen om alles te wissen. Het recht om te worden vergeten, dus.

Zijn er uitzonderingen?

Jazeker. Als Coolblue een pakje aflevert bij u thuis, hebben ze uw naam en adres nodig. Voor de opslag daarvan hoeven ze geen toestemming te vragen. De overheid mag gegevens van u noteren als u verhuist. Elke keer als er zo’n ‘gerechtmatigd belang is’, is geen toestemming nodig. Er zijn heel wat uitzonderingen. Voor bedrijven breken dan ook lastige tijden aan en soms is de vraag nog hangende. Zoals voor direct marketeers: als die geen aanbiedingen meer mogen sturen naar potentiële klanten zonder eerst toestemming te vragen, wordt het lastig werken.

Wat mag u persoonlijk verwachten?

Algemeen gesteld: weinig. U krijgt deze dagen mails die toestemming vragen om met uw gegevens te mogen blijven werken en met wat uitleg over het privacybeleid van een bedrijf. Spotify is bijvoorbeeld al met zo’n massamailing bezig. Als u dat wil, kunt u weigeren of selectief zijn, maar dan wordt het toch snel weer ingewikkeld en de ervaring leert dat de overgrote meerderheid van klanten het allemaal best vindt wat Facebook, Google, media en kleinere bedrijven doen met hun gegevens. “Toch is dit een kans voor mensen om kritisch te zijn, om bijvoorbeeld van overbodige nieuwsbrieven af te geraken. De afzenders gaan altijd toestemming moeten vragen”, zegt Caroline De Geest van de Privacycommissie. “Er is wel een risico dat mensen een zekere privacyvermoeidheid krijgen. Ze zijn zo al niet happig op dergelijke mails, meldingen, vragen, cookies, ... Nu komt dat allemaal nog eens samen. Dat vergroot het risico dat we het allemaal maar snel wegklikken.”

Verandert er dan niets wezenlijks?

“De meeste regels hadden we al”, zegt Caroline De Geest. “Zoals het recht om vergeten te worden. Of het recht om uw ‘dossier’ op te vragen. Wat houden bedrijven zoals Proximus of Telenet van iemand bij? Een groot verschil is dat nu sancties mogelijk zijn als bedrijven de regels niet naleven. Zware boetes zelfs, tot 4% van de omzet.”

Uit onderzoek is gebleken dat heel wat ondernemingen tot vandaag gewoon niet ingingen op vragen voor dergelijke informatie. “Eén echte nieuwe regel is die van de overdraagbaarheid van data. Als je als klant van het ene bedrijf naar het andere overstapt, kun je eisen dat al je gegevens worden overgedragen.”

U kunt bijvoorbeeld vragen aan uw energieleverancier om uw verbruiksprofiel door te geven aan een prijsvergelijkingssite als u op zoek bent naar betere voorwaarden bij een concurrent. Of dat Spotify uw muzikale voorkeuren doorstuurt.

Wat u vast ook al is opgevallen in mails en op sites: bedrijven moeten helder zijn in hun communicatie. Eindeloze juridische prietpraat telt niet meer.

Hoe afdwingbaar wordt het allemaal?

Dat valt nog af te wachten. In elk geval zijn er nu sancties mogelijk en is duidelijk dat veel bedrijven al naarstig bezig zijn met een transparanter databeheer. Al zal dat een lastige evenwichtsoefening blijven met de zuiver commerciële belangen.