Twee jaar GDPR - Doorbreekt Corona de privacy-paradox?

Wie herinnert zich de klantenkaarten van die 20 jaar geleden terechtkwamen in je portemonnee en de fichebak van je favoriete schoenenwinkel? Op die kaart stonden naam, adres en telefoonnummer. Naast de overheid, je dokter en je vereniging was die plaatselijke winkelier wellicht de enige die jouw persoonsgegevens bezat. Vandaag is dat anders. Via allerhande websites, apps en het internet of things laten wij elke dag opnieuw een lawine aan digitale sporen na.

Dit alles lijkt ons echter weinig zorgen te baren. We laten massaal paswoorden “rondslingeren”, we klikken zonder nadenken toestemmingen op websites aan en we appreciëren de op maat aangeboden suggesties van Netflix en Spotify. We houden de tel niet meer bij op hoeveel websites we zijn aangemeld, terwijl elke aanmelding persoonlijke data overhevelt naar de aanbieder.

Toch zijn we nu en dan verbaasd. Het verwondert ons dat een personenweegschaal als advertentie opduikt net wanneer we onze partner beloven om de eindejaarskilo’s weg te werken. Plots lijken Google of Facebook stasi-gewijs onze telefoon af te luisteren. Soms zijn we verontwaardigd, bijvoorbeeld bij het nieuws begin dit jaar dat verzekeringsartsen de medische dossiers van patiënten konden raadplegen. Ook het idee van een verplichte DNA-databank zorgde voor deining.

En de laatste weken werden beheerst door een discussie over een “corona-app”. Een app die contacten met coronapatiënten kan helpen opsporen en mensen hiervoor kan waarschuwen. De Kamer besliste afgelopen week dat deze app (als die er al komt) vrijwillig moet zijn. Ook vele burgers bleken opeens een uitgesproken mening te hebben over een eventuele app.

We leven vandaag de dag met een privacy-paradox: enerzijds zijn we verontwaardigd als er iets misloopt met onze persoonlijke gegevens, maar anderzijds zetten we argeloos de deuren van ons persoonlijke digitale huis wagenwijd open.

Wie geeft het goede voorbeeld?

Nochtans is privacy is een kostbaar goed. Onze privacy gaat over het hoogst persoonlijke en het meest intieme. Om dit optimaal te beschermen, moet de overheid een dubbele rol opnemen.

In de eerste plaats hoort een overheid het goede voorbeeld geven. Hoge en lagere overheid bezitten een schat aan persoonlijke gegevens van ons allen. Ook daar is nog héél wat werk aan de winkel. Denk maar aan gemeentediensten die slachtoffer waren van een cyberaanval. Mogen we verwachten dat onze persoonsgegevens veilig zijn bij de overheid? Daarom dat ook met de nodige voorzichtigheid moet worden omgegaan bij de eventuele ontwikkeling van een corona-app.

Meer nodig dan enkel regelgeving

Daarnaast moet een overheid ons ook beschermen. Die bescherming behelst drie aspecten.

De overheid moet allereerst een aantal basisregels opleggen. Dat is ook gebeurd in 2018 met de invoering van de GDPR of privacywetgeving. Die verplicht ondernemingen, organisaties maar ook VZW’s en feitelijke verenigingen een aantal maatregelen te nemen en bewust om te gaan met persoonsgegevens. Denk hierbij aan het bijhouden van een dataregister of het opstellen van een privacyverklaring. De GDPR-wetgeving brengt dus voor heel wat organisaties, ook voor verenigingen, heel wat nieuwe verplichtingen met zich mee. Afgelopen maanden bevroeg ik 400 bestuurders uit verenigingen. Daaruit blijkt dat 45% geen dataregister en 48% geen privacyverklaring heeft. Cijfers die aantonen dat verenigingen nog heel wat inspanningen moeten leveren. Niet verwonderlijk, want er wordt veel van hen verwacht, niet alleen op vlak van privacy.

Ten tweede, indien er regels zijn, moeten die regels ook afgedwongen worden. Hiervoor zijn controles nodig, moet adequaat en snel geageerd worden op klachten en zijn er (in laatste instanties) sancties mogelijk. De nieuwe Gegevensbeschermingsauthoriteit (GBA), de privacywaakhond in België, heeft tot nog toe nauwelijks controles uitgevoerd en sancties opgelegd bij overtredingen. Dat blijkt uit een antwoord op een parlementaire vraag.

De GBA lijkt dan ook nog niet echt uit de startblokken te zijn geschoten. Hierbij zette de Kamer al een eerste stap door een budgetverhoging van 2,5 miljoen euro goed te keuren.

Tenslotte, en dat is op dit moment misschien de belangrijkste taak,  moet een overheid sensibiliseren. Het is noodzakelijk dat controleacties gecombineerd worden met meer en uitgebreidere informatiecampagnes voor die organisaties die de privacyregels moeten toepassen. Tot nu toe werden die enkel gericht op KMO’s. De VZW’s en feitelijke verenigingen werden bijvoorbeeld niet aangesproken, terwijl ze duidelijk nood hebben aan informatie en ondersteuning. Informatiecampagnes kunnen hen helpen om zich zo snel mogelijk in orde te stellen met de privacywetgeving. Aan de andere kant moeten ook burgers zich nog meer bewust worden van de digitale sporen die ze nalaten.

Hoe doorbreken we de privacyparadox? Zowel overheid als burger moet zijn rol spelen. We moeten er met ons allen van bewust zijn dat onze persoonlijke gegevens en data net zo dierbaar zijn als onze bezittingen thuis die we beveiligen met inbraakwerende sloten en alarminstallaties. Daarnaast moet ook de overheid de handschoen opnemen: duidelijke regels, uitgebreide infocampagnes en sensibiliseringsacties en tenslotte sanctioneren indien nodig.

Misschien dat Corona (ook) hier het breekijzer is?