Whatsapp-oprichter Brian Acton roept mensen op om massaal hun Facebookaccount te verwijderen. Sinds gegevens van Facebookgebruikers zijn gelekt naar data-analysebedrijf Cambridge Analytica, is privacybescherming in de hele wereld een veelbesproken probleem. Maar vanaf mei kan een Europese wet dit veranderen.
De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse versie van de Europese privacywet General Data Protection Regulation (GDPR) en gaat in op 25 mei 2018. Met deze wet wil de Europese Commissie de veiligheid van datagebruik bevorderen en Europese burgers de controle over hun persoonlijke data teruggeven. De AVG is van toepassing op alle bedrijven die persoonlijke gegevens verwerken van EU-burgers.
Persoonsgegevens zijn bijvoorbeeld namen, foto’s, e-mailadressen, bankgegevens en berichten op sociale media, maar ook zeer persoonlijke onderwerpen zoals seksuele geaardheid en gegevens over gezondheid, religie of politieke voorkeur. Denk hierbij aan de informatie die je geeft aan apps zoals Tinder en Facebook. Onder ‘verwerken’ valt het inzien, verzamelen, opslaan, doorsturen, opvragen, afschermen, beschikbaar stellen en bewerken van gegevens. Organisaties krijgen weinig ruimte om fouten te maken met onze persoonlijke data: als ze de wet niet naleven, kan de boete oplopen tot zo’n 20 miljoen euro of 4% van de wereldwijde omzet.
Waar heb je recht op?
De wet legt de nadruk op de verantwoordingsplicht van bedrijven, maar introduceert ook een aantal nieuwe rechten voor burgers, bijvoorbeeld het recht om vergeten te worden. Het laten verwijderen van persoonsgegevens is al mogelijk, maar door de AVG kan je ook eisen dat de organisatie de verwijdering doorgeeft aan alle andere organisaties die jouw gegevens hebben gekregen. Een bedrijf dat bijvoorbeeld persoonsgegevens op een website publiceert, moet dan zoekmachines informeren over het wissen van data.
Het recht op dataportabiliteit is je recht om je persoonsgegevens in een standaardformaat te ontvangen. Er zijn geen specifieke richtlijnen, maar het moet een gestructureerd, veelgebruikt en machineleesbaar formaat zijn. Ook mogen er geen gegevens worden verzameld van kinderen onder de 16 jaar zonder toestemming van de ouders.
Sociale media veranderen
Bedrijven moeten hun beleid aanpassen aan de nieuwe wetgeving, en deze veranderingen worden ook doorgevoerd op sociale media. Het is je misschien al opgevallen dat Facebook de afgelopen dagen nieuwe privacyinstellingen heeft toegepast in de app. Deze zouden het makkelijker maken om je gegevens te beschermen, op te vragen en te beheren. Maar dit komt niet alleen door het Cambridge Analytica-schandaal, want de socialmediagigant is hierdoor een stap dichterbij AVG-naleving.
Ook Instagram is bezig met veranderingen. De photo-sharing app zal bijvoorbeeld een downloadfunctie ontwikkelen die het mogelijk maakt om alle informatie die Instagram over je heeft, te exporteren. WhatsApp maakte deze week bekend dat de minimumleeftijd voor gebruikers van de app 16 jaar wordt. Voorheen was dit 13 jaar. Door deze wijziging voldoet de chatdienst ook deels aan de AVG.
Toch lijkt dit niet genoeg. Samenwerkingsverband van Europese databeschermingautoriteiten WP29 ontwikkelt een strategie om sociale media die persoonlijke gegevens gebruiken aan te pakken. WP29 geeft aan datamisbruik op sociale media te onderzoeken en te bestraffen. Volgens KPMG is slechts 20% van de Nederlanders op de hoogte van de nieuwe privacywetgeving. Dat kan goed nieuws zijn voor bedrijven, omdat gebruikers dan weinig data opvragen.
We zijn een product
Ik vroeg Rob van Straten, Executive Vice President bij SAI Global, een toonaangevende leverancier van online training en softwaresystemen voor GDPR compliance, naar zijn visie op de effecten van de nieuwe wetgeving op de online wereld.
Hij stelt: “Veel mensen realiseren zich niet dat als zij ‘iets’ gratis krijgen online, zij zelf het product zijn. Je bent een ‘product’ omdat je persoonlijke gegevens invoert die gebruikt kunnen worden voor commerciële of politieke doeleinden. Bedrijven kunnen aan de hand van die gegevens specifieke online informatie richten aan personen, en op die manier relevante commerciële boodschappen sturen of politieke en andere beïnvloeding bewerkstelligen. Dit is wat de wetgevers beogen aan banden te leggen, want als je dit aan de vrije markt overlaat, begeven we ons op een hellend vlak.”
Van Straten vervolgt: “Deze wetgeving en toenemende bewustwording bij het bredere publiek zullen tot gevolg hebben dat bedrijven, waaronder sociale media, een tandje terug zullen moeten nemen met hun commerciële tactieken, en dat het misbruiken van persoonlijke gegevens voor politieke beïnvloeding aan banden wordt gelegd.”
We zullen op sociale media dus merken dat organisaties minder invloed hebben. En wat betreft #DeleteFacebook: technologiecriticus en privacyontwerper Tijmen Schep zegt dat het beter is om te wachten. Als je nu je profiel verwijdert, word je slechts buitengesloten. Want Facebook moet je data pas daadwerkelijk volledig verwijderen nadat de AVG van kracht is.