Op 25 mei 2018 werd het startschot gegeven voor de GDPR. 4 letters die staan voor General Data Protection Regulation, de privacywetgeving van de EU. We zijn nu twee jaar verder en overal wordt be balans opgemaakt van wat de GDPR betekend heeft.
Ik ben een privacy professional, een DPO (of Data Protection Officer) en ook nog ’s professioneel bezig met cybersecurity. Bedrijven vragen mij om dingen in orde te brengen. Zoals mij zijn er een hoop bijgekomen in de twee jaar van de GDPR. Iedereen heeft professionals nodig om bedrijven op één lijn te krijgen met de GDPR. Iedereen zoekt naar de beste oplossing om ver weg te blijven van monsterboetes.
De afgelopen 2 jaar waren het speelterrein van juristen en DPO’s. Terecht, want zij moesten zoeken naar de juiste manier om met de privacy om te gaan. Er moest een weg gezocht worden waarbij de belangen van bedrijven en de belangen van personen die gegevens hebben, dicht bij elkaar lagen. Uiteraard zijn ze daar niet in geslaagd, het motto was nog te vaak “we moeten in orde zijn voor de wet”.
Langs de andere kant, de kant van de betrokkene, was het niet veel beter. Daar hoorde je veel te vaak “ik heb niets te verbergen”. Uit zulke bewering blijkt maar één ding: we hebben het niet goed uitgelegd. De volgende twee jaar gaan we net dat moeten doen, aan de betrokkenen uitleggen wat privacy is en wat ze ermee kunnen doen. Dezelfde professionals die de bedrijven zo goed mogelijk in orde gebracht hebben met de wet, kunnen deze taak aan. Het vraagt misschien een iets andere aanpak.
Om in orde te zijn met de wetgeving moet elk bedrijf een privacy policy hebben. Je moet alles wat je doet met persoonsgegevens in een tekst zetten die makkelijk beschikbaar is voor de betrokkene. In principe moet die tekst ook eenvoudig leesbaar zijn voor iedereen. Uit onderzoek blijkt dat de meeste privacy policies alleen kunnen gelezen worden door mensen die hogere studie gedaan hebben. Sommige zijn zelfs niet te ontcijferen door privacy professionals. Hebben deze bedrijven misschien iets te verbergen?
We vegen dit even onder de tafel, want we zijn aan het werken aan de toekomst van de privacy. We spreken dus af dat we geen onleesbare teksten maken om onze ware bedoelingen te verbergen. We willen zo goed mogelijk doen voor de betrokkene. In dat geval kan het niet moeilijk zijn om in eenvoudige woorden uit te leggen wat er exact gebeurt met de gegevens van de betrokkene. Bijvoorbeeld: wanneer ik het contactformulier op deze website invul, dan wordt ik gevraagd naar mijn naam en emailadres. Perfect in orde voor mij: ik wil een vraag stellen, en om een antwoord te krijgen zijn mijn naam en emailadres handig. Hebben ze mijn telefoonnummer nodig, of mijn verjaardag? Niet echt, dus de juiste keuze werd gemaakt om zo weinig mogelijk persoonsgegevens te vragen. In de privacy policy lees ik dan nog dat mijn gegevens enkel gebruikt worden voor het doel dat vasthangt aan het formulier. Stel ik simpelweg een vraag, dan gebruiken ze mijn naam en emailadres om te antwoorden. Schrijf ik me in voor een uitstap, dan belanden mijn gegevens op een lijst die gebruikt wordt bij de uitstap.
Als iedereen zich aan zijn woord houdt, dan krijg ik volgende week geen reclame van sp.a Steenokkerzeel in mijn mailbox.
Sturen ze me wel reclame, dan kan ik naar de autoriteiten stappen en een klacht indienen voor het oneigenlijk gebruik van mijn persoonsgegevens.
Zo, dit zijn de plannen voor de volgende twee jaar: professionals leren iedereen hoe privacy in elkaar zit, bijvoorbeeld door leesbare privacy policies te maken. Betrokkenen maken zich boos als iets niet gebeurt zoals het hoort. Ik kijk alvast uit naar het positieve resultaat.
In kleine lettertjes leg ik nog snel een paar begrippen uit: privacy policy wordt vertaald als privacybeleid – GDPR is bij ons de Algemene Verordening Gegevensbescherming, het is een Europese wet – de betrokkene is de burger, de persoon wiens persoonsgegevens gebruikt worden – persoonsgegevens zijn alle gegevens waarmee een persoon rechtstreeks of onrechtstreeks kan geïdentificeerd worden, zoals de naam, emailadres, telefoonnummer, maar ook heel specifieke gegevens als een bankrekeningnummer, iemands geloof of politieke voorkeur, tot zelfs het IP-adres van de computer waarmee hij of zij werkt – laat je niet wijsmaken dat GDPR dom is of helemaal niets uitmaakt, het is integendeel heel interessant en kan het verschil maken – een bedrijf dat niks geeft om je privacy, geeft niks om jou, wil je wel samenwerken met zo’n bedrijf?
Heb je hier nog vragen over, dan kan je me bereiken via het contactformulier.