Foto Thought Catalog (www.thoughtcatalog.com) / Flickr

GDPR: is uw privacy echt weer in eigen handen of niet?

auteur: 

Ivo Flachet

Op 25 mei trad een nieuwe Europese regelgeving in werking ter bescherming van de privacy. De General Data Protection Regulation, beter gekend als GDPR, is een Europese wet die meer rechten geeft aan de consument. Een goede zaak dus. Of toch niet helemaal?

Misschien heb je in Google ooit “symptomen geslachtsziekte” ingetikt, of “wat doen bij een faillissement”. Het is zeer goed mogelijk dat die zoekopdrachten ergens opgeslagen zijn, gelinkt aan jouw naam of aan het IP-adres of de unieke identificatiecode van jouw computer. Op die manier kunnen bedrijven eenvoudig een profiel opmaken van jou. Wat je doet, wat je interesseert, waar je mee bezig bent, wat je koopt, wat je intiemste problemen zijn… Alles.

Klik op de visual of hier om je (opnieuw) in te schrijven op onze nieuwsbrief.

Als burgers bij Facebook of bij Google hun gegevensdossier opvragen, stellen ze vaak tot hun ontzetting vast dat grote hoeveelheden video’s, persoonlijke gesprekken en foto’s die ze dachten gewist te hebben, toch nog bewaard zijn op de servers van die grote bedrijven.

Op telefoontoestellen die draaien op Android, blijkt Facebook discreet informatie over oproepen op te slaan. Uit grote dossiers is al gebleken dat sociale netwerken beschikken over intieme details uit het privéleven van hun gebruikers. Hoe groter de technologische ontwikkeling, hoe verder die reuzen van het web ook kunnen gaan in het verzamelen van gegevens. Tot op het punt dat ze een volledig gepersonaliseerd profiel van hun gebruikers kunnen opmaken, waarbij geen kwetsbaarheid, geen verlangen, geen zwakte en zelfs geen misdrijf nog verborgen blijft.

Al deze voorbeelden werden gebruikt in de mei-uitgave van Le Monde Diplomatique. Ze herinneren ons er nogmaals aan hoeveel macht big data aan de multinationals geeft.   

De jacht op jouw persoonsgegevens

Sinds enkele jaren, met de ontwikkeling van sociale media en allerlei nieuwe technologieën, is de jacht van de multinationals op big data geopend. Facebook, Google, Amazon, Bol.com... Ze azen allemaal op alle mogelijke informatie - ‘data’- over jou en de mensen uit je omgeving. Deze informatie is geld waard, want door haar te analyseren komen bedrijven erachter hoe ze je het best iets kunnen verkopen. Hoe meer data ze bezitten, hoe beter ze erin slagen je te doen kopen en hoe meer winst ze kunnen maken. Als je op een site van een onlinewinkel even kijkt naar nieuwe schoenen, kun je er van op aan dat je even later op andere websites reclame te zien zult krijgen van datzelfde paar schoenen.

Geen kwetsbaarheid, geen verlangen, geen zwakte en zelfs geen misdrijf blijft nog verborgen voor Google, Amazon en co

“Op basis van de geschiedenis van je kredietkaart en andere elementen van je levensstijl is er een goeie kans dat we kunnen bepalen of je al dan niet lijdt aan een ziekte die ons interesseert”, zo zei de vicevoorzitter van een groot farmaceutisch bedrijf. Big data is big money. Het is een product waar enorme winsten mee kunnen gemaakt worden en net zoals bij andere producten zoals olie geldt: degenen die de olie in handen hebben, hebben veel macht en de wereldeconomie in handen. Voor big data is dat hetzelfde. Het schandaal met Cambridge Analytica, die via een app van Facebook, de gegevens van miljoenen mensen, zonder hun medeweten, gebruikte voor het beïnvloeden van de verkiezingen, toont hoever multinationals daarin gaan.

Google, Amazon en co maken miljarden winsten die ze weer investeren in meer data vergaren om meer winsten te maken. Facebook maakte onlangs nog bekend dat het in het eerste kwartaal van dit jaar bijna 12 miljard dollar binnenhaalde, liefst 49 procent meer dan in het laatste kwartaal van 2017.

Maar heb je nog controle?

Wat doen die multinationals eigenlijk met je gegevens? Heb je er nog controle over? Mogen ze je gegevens verkopen aan andere bedrijven? Mogen ze je mails sturen met hun aanbiedingen?

Tot nu toe zetten de overheden in op zelfregulering. De internetbedrijven mochten dus zelf hun regels opstellen, uitvoeren en handhaven. Volgend de overheden zouden die bedrijven “er zelf wel voor zorgen dat de privacy van hun gebruikers gegarandeerd was". In de praktijk bleek dat natuurlijk een illusie. Dat toonde het schandaal rond Cambridge Analytica duidelijk aan.

Onder druk van de bevolking moest de Europese Unie wel echt stappen vooruit zetten in de bescherming van de privacy.

Onder druk van de bevolking, die genoeg hadden van de schandalen, kon de Europese Unie niet anders dan echte stappen vooruit te zetten in de bescherming van de privacy. Massabewegingen kwamen op gang in heel Europa. Denk maar aan het verzet tegen de dataretentierichtlijn, de richtlijn die EU-landen oplegde om een wet te maken die de telecommaatschappijen en internetproviders verplichtte om alle communicatiegegevens die via telefoon of internet passeerden, te bewaren voor een termijn van minstens zes en maximum 24 maanden. Het is dit verzet dat aan de basis ligt van de nieuwe regels vervat in de GDPR.

Maar er speelde ook nog een andere reden. In landen als de VS en China is de bescherming van de privacy veel minder streng. Door het ontbreken van éénvormige regels in de Europese Unie kon bijvoorbeeld Facebook, een Amerikaans bedrijf, quasi zonder beperking alle data van Europese consumenten verzamelen en gebruiken. De Europese bedrijven zagen met lede ogen aan dat "hun" consumenten onder hun neus weggekaapt werden door het verregaand gebruik van de big data. Europa wil met de GDPR, die ook van toepassing is op dataverwerking door buitenlandse bedrijven, die jacht op big data reglementeren en zo het "concurrentienadeel" van Europese bedrijven recht trekken.

Beschermt de GDPR je privacy echt? Drie uitzonderingen...

Met de GDPR wordt het vergaren van persoonlijke data sterk gereguleerd. Een bedrijf, organisatie of vereniging mag je gegevens niet meer verzamelen zonder toestemming of op contractuele of wettelijke basis. Je krijgt als consument meer rechten, de privacycommissie verandert van naam en  krijgt meer controlebevoegdheden en middelen.

Maar de hamvraag is: zal deze Europese verordening de privacy van de burgers echt kunnen beschermen? Want ja, de principes die staan neergeschreven in de GDPR zijn correct, maar als je de tekst leest, blijkt dat er op veel regels talrijke uitzonderingen worden voorzien. Zo mag je als bedrijf gegevens verzamelen en gebruiken als je  communicatie “een gewettigd belang” heeft. Maar is commercieel belang dan ook een gewettigd belang? De lobby van de digitale multinationals draait al op volle toeren om die notie zeer breed te mogen interpreteren. Dan brengen de nieuwe regels natuurlijk weinig zoden aan de dijk. Het gevaar bestaat dus dat de voorwaarden voor bedrijven om met je gegevens aan de slag te gaan, een lege doos worden.

Wil je je bankzaken graag privé houden? Daar wil Europa niets van weten.

Maar er is meer. Eén van de dingen die je waarschijnlijk graag echt privé wilt houden, zijn je bankzaken. Daar heeft het liberale Europa echter geen oren naar. Ongeveer in dezelfde periode als de GDPR, voerde Europa ook de PSD2 in (Payment Services Directive 2). Deze Europese richtlijn verplicht banken om betaalgegevens van klanten te delen met derden. Het doel is om derde partijen, e-commercebedrijven en FinTech-industrie (financiële technologie) dus, toegang te geven tot jouw bankgegevens. Zo kunnen zij producten en betaaldiensten aanbieden die "beter aansluiten bij de behoeften van de klanten of rekeninghouders". Bedrijven kunnen dus exact zien wat je verdient, waar je geld aan uitgeeft en waar je geld afhaalt.

Hoe is een dergelijke regeling te verzoenen met de privacybescherming van de GDPR? Dat is ze niet. De 2 Europese richtlijnen staan op dezelfde hoogte, dus vormt de PSD2 een uitzondering op de GDPR. Die PSD2-regels zijn eigenlijk de totale verloochening van de GDPR-regels, ingevoerd door diezelfde Europese Unie in het belang van een ander deel van het Europees grootbedrijf.

En natuurlijk mag uw privacy niet geschonden worden zonder uw toestemming, dus die zal wel gevraagd worden. Maar hoogst waarschijnlijk in een onleesbare juridische tekst van 100 pagina's. Bij deze bent u gewaarschuwd.

Hoopgevend is alvast dat de grote meerderheid van de Belgen huiverachtig staat tegenover het delen van financiële gegevens met niet-bancaire instellingen. Maar liefst acht op tien Belgen ziet dat niet zitten, bleek uit een rondvraag.

Een andere grote uitzondering die voorzien is in de GDPR is er voor de politiediensten in de brede zin van het woord. Voor hen geldt de GDPR niet. Nochtans is het recht op privacy toch bij uitstek belangrijk in de relatie tussen de burger en de overheid. In België kunnen de politiediensten zo goed als ongecontroleerd verder doen met het bijhouden van uw persoonlijke informatie. Op dat vlak blijft het schrijnend dat er geen enkele controle is en ook geen inzagerecht op de databanken die de federale politie bijhoudt.

Het is een teken aan de wand dat Facebook-CEO Mark Zuckerberg de GDPR toejuichte. Het hele winstmodel van Facebook is gebaseerd op big data en hoe bedrijven en organisaties Facebook betalen om reclame te maken en gebruik te maken van die gegevens. Maar toch ziet Zuckerberg in de GDPR geen bedreiging voor zijn winst. Hij zal wel een manier vinden om de gegevens van de circa 2,2 miljard Facebookprofielen te verpatsen.

Big data, nieuwe technologieën en de sociale mogelijkheden ervan

Voor de PVDA is het recht op privacy een fundamenteel recht. Het is de basis voor alle andere politieke vrijheden, je recht om een syndicale, politieke, sociale mening te hebben zonder dat je daarvoor constant wordt gemonitord of door bedrijven gebruikt.

Het recht op privacy is een fundamenteel recht, het is de basis voor alle andere politieke vrijheden.

Over de GDPR wordt terecht veel geschreven. De nieuwe regels geven ons allemaal net iets meer controle over wat er met onze persoonlijke gegevens gebeurt. En dat is goed. Maar het opent ook de vraag over wie de big data beheren en waarvoor die het best gebruikt zouden worden. Want met de nieuwe technologieën en geanonimiseerde big data zouden we ook kunnen bouwen aan een sociale digitale samenleving. Met big data kan je bijvoorbeeld het openbaar vervoer efficiënter organiseren en kan je de mobiliteit van het land beter beheren. Maar dan moeten die in handen zijn van publieke diensten die de informatie gebruiken voor het algemeen belang en niet in handen van enkele multinationals voor hun winstmaximalisatie. De digitale mogelijkheden om sociale dienstverlening te verbeteren zijn enorm. Met nieuwe technologieën kunnen we een platform inrichten waar iedereen voorstellen kan doen, erover discussiëren en erop stemmen. Met big data zouden de politiediensten, die niet gehouden zijn aan de strenge regels van de GDPR, de grote kapitalen in kaart kunnen brengen en de fiscale fraude efficiënter bestrijden. De vraag over wie big data beheert en voor wat ze gebruikt worden is dus van groot belang.

Tot 1995 was het internet in handen van een de openbare instelling, de National Science Foundation, maar in dat jaar werd die overgedragen aan een particuliere beheerder. Toen werd het internet afhankelijk van het maken van winst. Stel je voor dat het internet in handen was gebleven van de gemeenschap en onder internationale democratische controle!

Anno 2018 heb je haast geen andere keuze dan de diensten van bedrijven als Facebook en Google te gebruiken, en dus hun gebruiksvoorwaarden te aanvaarden. Ze zijn zo belangrijk geworden in onze samenleving dat we ons de vraag kunnen stellen: is het wel zo logisch dat ze in privéhanden blijven?

Is het wel zo logisch dat bedrijven als Facebook en Google, zo belangrijk in onze maatschappij, in privéhanden blijven?

De GDPR is een vooruitgang voor de consument. De PVDA, die ook aan de GDPR moet voldoen, juicht de nieuwe regels toe en is volop bezig haar privacybeleid ermee in overeenstemming te brengen. (Zie kader) Maar het is een illusie te denken dat je als consument en burger nu de volledige controle hebt terug gewonnen over je persoonlijke gegevens. Daarvoor zijn er te veel uitzonderingen voorzien. Veel is ook nog onduidelijk. De toekomst zal uitwijzen of we echt beter beschermd zullen zijn tegen inbreuken op onze privacy en of we echt zullen kunnen controleren wat er met onze data gebeurt. Gaat de nieuwe Privacy Autoriteit de nieuwe regels kunnen doen respecteren door de grote bedrijven die het meest profiteren van onze data? Zullen ze optreden tegen de overheid wanneer die het nog eens niet zo nauw neemt met onze privacy? Of zal ze zich eerder richten op kritische onderzoeksjournalisten, burgerbewegingen, vakbonden of een partij zoals de PVDA voor wie het door de GDPR ook moeilijker wordt gemaakt om hun werk te doen, mensen te bereiken en te organiseren in de strijd voor een socialere en duurzame maatschappij? Af te wachten...

De nieuwe privacywetgeving geldt ook voor de PVDA. Wil je graag dat we elkaar niet uit het oog verliezen? Schrijf je dan (opnieuw) in op onze nieuwsbrief op welkom.pvda.be

Dit artikel komt uit het magazine Solidair van juli-augustus 2018. Abonnement