3 jaar GDPR: hoe effectief is de privacywet nu echt?

De GDPR-wet blaast vandaag drie kaarsjes uit. Is de verhoopte privacyrevolutie al aangebroken?

De General Data Protection Regulator, kortweg GDPR, bestaat eigenlijk al vijf jaar. Op 24 mei 2016 trad de GDPR-wet voor gegevensbescherming in kracht na goedkeuring door het Europese parlement. Na die goedkeuring gaf de Europese Unie de lidstaten nog twee jaar om de wet in hun eigen grondwet op te nemen, een gebruikelijke termijn bij wetgevingen op Europees niveau, en kregen bedrijven bijgevolg dus ook nog even tijd om de nodige aanpassingen door te voeren. Sinds 25 mei 2018 is de GDPR-wet ook effectief van toepassing en kunnen bedrijven sancties opgelegd krijgen. Daarom wordt 25 mei 2018 gezien als de officiële startdatum voor GDPR.

Het goedkeuren van de GDPR-wet heeft enige tijd op zich laten wachten. In 2012 stelde de toenmalige Europese Commissie voor om de richtlijnen uit 1995 te herbekijken. Een eerste ontwerp behaalt op 12 maart 2014 een overweldigende meerderheid. Het duurt dan toch nog twee jaar vooraleer de Commissie tot een finale tekst voor GDPR komt. Vandaag is het dag op dag drie jaar geleden dat GDPR van toepassing is. Hoe effectief is de wet al gebleken in Europa en België? Is onze digitale privacy er daadwerkelijk op verbeterd?  

Wat houdt GDPR in?

GDPR werd in het leven geroepen om op Europees niveau een uniforme standaard te leggen voor het bewaren van persoonlijke gegevens op digitale platformen. Zowel Europese bedrijven als niet-EU bedrijven die in Europa actief zijn (zoals Facebook, Google & co) moeten zich aan deze regels houden voor het bewaren van persoonsgegevens (naam, mailadressen, telefoonnummers, bankkaartgegevens etc.) van Europese burgers. De GDPR-wet is gestoeld op de volgende wettelijke principes:

  • Transparantie: de verantwoordelijke voor de verwerking heeft de plicht om gebruikers te informeren over de dataverwerking en hiervoor de expliciete toestemming te vragen.
  • Doelbeperking: de gegevens worden voor één duidelijke wettelijke basis verzameld. De verantwoordelijke mag de gegevens niet voor andere doeleinden gebruiken als waar de gebruiker toestemming toe heeft gegeven.
  • Gegevensbeperking: de verantwoordelijke mag zonder toestemming niet meer gegevens opvragen dan de strikt noodzakelijke voor het bepaalde doeleinde.
  • Juistheid: de bewaarde gegevens moeten correct zijn. De gebruiker heeft het recht zijn/haar gegevens te bekijken en aan te passen (of te laten aanpassen als dit niet rechtstreeks kan). De verantwoordelijke moet de gegevens verwerken zodat ze niet zonder aanvullende informatie kunnen gelinkt worden aan de gebruiker.
  • Bewaarbeperking: de gegevens mogen niet langer dan noodzakelijk bewaard worden. De verantwoordelijke mag de gebruiker geen beperkingen opleggen de gegevens te verwijderen en/of over te zetten naar een andere dienst.
  • Vertrouwelijkheid: het is de plicht van de verantwoordelijke om de gegevens veilig te bewaren tegen toegang door onbevoegdheden of verlies van de data. De verantwoordelijke dient de gebruiker bij een datalek op de hoogte stellen als het verlies van de gegevens diens integriteit in het gedrang kan brengen.
  • Verantwoording: de verantwoordelijke moet kunnen verantwoorden zich aan bovengenoemde principes te houden.

Het overtreden van de GDPR-wetgeving kan tot een maximale boete van 4% van de jaarlijkse omzet leiden. Bij een eerste overtreding zal het echter vaak bij een waarschuwing of kleinere boete blijven als het om een kleine overtreding gaat. Juridische, militaire, politieorganisatie en wetenschappelijk onderzoek vallen buiten de wetgeving,

GDPR-boetes: van 15.000 tot 21 miljoen euro

Toch is het in de eerste jaren van GDPR al vaak tot forse boetes gekomen. Heel vaak liep het mis bij het transparantieluik. Zo wisten bedrijven bijvoorbeeld niet goed hoe ze die door webbeheerders en internetsurfers al vaak verguisde cookiemenu’s moesten organiseren. Google was één van de eerste bedrijven die in Europa een GDPR-boete kreeg. Frankrijk bestrafte de techgigant omdat het privacybeleid onvoldoende transparant was en gebruikers geen optie kregen om datatracking voor advertentiedoeleinden uit te schakelen. Met een boete van 50 miljoen euro maakte de Franse privacy-autoriteit toen meteen duidelijk dat de GDPR geen lachertje is. Tot heden is dit nog steeds de zwaarste GDPR-boete in Europa (zie deze lijst van BBC News).Van mei 2018 tot januari 2021 zijn er al 160.000 privacyovertredingen geregistreerd, goed voor 272,5 miljoen euro aan boetes (bron: DLA Piper).

In België heeft het tot eind 2019 geduurd vooraleer de Gegevensbeschermingsautoriteit, een controleorgaan dat is opgericht om de GDPR in ons land te handhaven, een eerste boete oplegde. De website Jubel.be kreeg de bedenkelijke eer voor het cookiebeleid op de website. De zwaarste boete in ons land bedraagt 50.000 euro. Die ging naar Proximus door een verwarrende invulling van de DPO-functie (Data Protection Officer).

Proximus activeert eSIM
Proximus kreeg in mei 2020 een recordboete voor België.

3 jaar GDPR: privacy op het hoogste schavot

Met GDPR heeft de Europese Unie laten zien dat ze de privacy van Europese burgers niet licht opnemen. De GDPR-wet heeft tanden en heeft die ook al meermaals laten zien. Dat heeft geleid tot een toegenomen bewustzijn rond privacy op verschillende niveaus, van de individuele internetgebruiker tot de wetgevende macht. Vooral voor de Amerikaanse technologiebedrijven was de GDPR toch wel even schrikken. Niet dat privacy in de Verenigde Staten geen politiek thema is, maar de discussie verloopt daar eerder vanuit een theoretische benadering. GDPR geeft een zeer praktische invulling aan het begrip privacy en dat waren veel organisaties bij aanvang niet gewoon.

Soms is privacy wel eens een rem op innovatie. Drie jaar (of vijf jaar) na ingang van de GDPR blijken sommige bedrijven nog steeds moeilijkheden te ondervinden bij het op orde krijgen van het privacybeleid voor nieuwe diensten en producten. Iets wat we bedrijven niet zo makkelijk meer vergeven als vroeger. De hele discussie rond de corona-apps illustreert die nieuwe mentaliteit. We gaan veel bewuster om met online diensten die we elke dag gebruiken en bedrijven beseffen dat ze geen vrij spel meer krijgen met onze gegevens. Dat is misschien wel de belangrijkste bijdrage die GDPR al aan onze maatschappij geleverd heeft.

Gerelateerde artikelen

Volg ons

Ga jij apps uit alternatieve appstores installeren?

  • Nee, App Store of Play Store is goed genoeg (57%, 109 Votes)
  • Alleen als ik een app écht nodig heb (29%, 56 Votes)
  • Ja, ik wil apps van andere bronnen installeren (14%, 27 Votes)

Aantal stemmen: 194

Laden ... Laden ...
De beste elektronica-acties van het moment

De beste elektronica-acties van het moment

Bekijken bij bol.com

Business