Wat u moet weten over de algemene verordening gegevensbescherming van de EU (GDPR)
Met elke dag die verstrijkt, verzamelen grote organisaties die voornamelijk op internet bestaan, enorme hoeveelheden gegevens van mensen om te verkopen aan adverteerders en andere entiteiten die er gebruik van zouden kunnen maken om hun aanbiedingen aan hen aan te bieden. Of je nu denkt dat dit schandelijk, misleidend of eenvoudig een teken van de veranderende tijden is, we zijn het er allemaal over eens dat het fenomeen van gegevensverzameling hoogten heeft bereikt die we op geen enkel moment in de geschiedenis hebben meegemaakt.
Dit heeft velen het gevoel gegeven dat ze de controle over hun persoonlijke informatie verliezen, en sommige regeringen zijn begonnen te bespreken hoe ze zouden moeten ingrijpen om mensen te helpen die controle terug te krijgen. De EU heeft bijvoorbeeld de Algemene Verordening Gegevensbescherming (GDPR) vastgesteld, die op 25 mei 2018 in werking treedt.
Wat GDPR is en niet is
De Europese Commissie worstelt om al het een en ander in de afgelopen tien jaar op het gebied van gegevens en privacy op een rijtje te houden. De AVG is een poging om al deze wetten te verenigen in één enkel kader, waardoor bedrijven gemakkelijker hieraan kunnen voldoen. Het kader voegt ook een aantal nieuwe regels toe die grotendeels zijn bedoeld om de Data Protection Directive van 1995 te vervangen.
Deze upgrade resulteerde in een document van meer dan 200 pagina's.
Hoewel de missie en het doel van de AVG door de EC zijn neergelegd als een reeks wetten die tot doel hebben "burgers de controle over hun persoonlijke gegevens te geven", betekent dit niet dat dit een oplossing is voor alle ellende dat "burgers van het internet" lijden.
Aan de andere kant legt GDPR een grote nadruk op instemming. Websites die gegevens verzamelen, zijn vereist om gebruikers de mogelijkheid te geven zich aan te melden voor gegevensverzameling.
Om alles in één zin samen te vatten, legt de Algemene Verordening Gegevensbescherming verplichtingen vast voor exploitanten in de EU en nieuwe rechten voor mensen die hun diensten gebruiken.
De rechten aangeboden door GDPR
Mensen die services gebruiken die onder het bereik van de GDPR worden ingevoerd, worden "gegevenssubjecten" genoemd om redenen die duidelijk moeten zijn (u bent bijvoorbeeld het onderwerp van een website die gegevens over u verzamelt). In hoofdstuk 3 van de wetgeving kunnen we duidelijk alle rechten zien die het document verklaart:
- Een bedrijf moet de gebruiker duidelijk maken dat hun gegevens worden verzameld en op welke manier het zal worden gebruikt. Deze communicatie moet schriftelijk of op een andere passende manier elektronisch gebeuren. Dit wordt met name gehandhaafd wanneer er minder belangrijke personen bij betrokken zijn (artikel 12, 15).
- Als de gegevens worden verzameld, heeft de gebruiker het recht om te weten hoe hij contact moet opnemen met het bedrijf of zijn functionaris voor gegevensbescherming. Juridisch gezien moet de gebruiker een manier hebben om contact op te nemen met de verzamelaar. Het bedrijf dat gegevens verzamelt, moet het ook mogelijk maken om de toestemming op elk gewenst moment in te trekken (artikel 13, 21).
- Zelfs als er geen gegevensverzameling plaatsvindt, heeft de gebruiker nog steeds recht op de hierboven gespecificeerde contactgegevens (artikel 14).
- De gebruiker heeft het recht om eventuele onnauwkeurigheden in de gegevens te corrigeren (artikel 16).
- Artikel 17 brengt het "recht om te worden vergeten" naar de AVG, een oud Europees concept dat gebruikers de mogelijkheid biedt te verzoeken dat hun gegevens volledig uit een database worden gewist.
- De gebruiker heeft het recht om de website te vragen hun gegevens niet langer te verwerken als ze niet willen dat deze volledig worden gewist (artikel 18).
- Als een bedrijf de gegevens van een gebruiker met andere partijen heeft gedeeld, moeten deze allemaal op de hoogte worden gesteld van verwijderingen, correcties of beperkingen. De gebruiker moet het recht hebben om al zijn gegevensverwerking van alle partijen te stoppen (artikel 19).
- De gebruiker heeft het recht om te vragen naar zijn gegevens die zijn verzameld (artikel 20).
- Gebruikers hebben het recht om geen beslissingen te nemen over hun behandeling op basis van de gegevens die automatisch van hen worden verzameld (artikel 22).
Al deze rechten worden aangevuld met aanvullende verplichtingen die gelden voor bedrijven en ze kunnen ernstige gevolgen hebben als ze niet voldoen. De hoeveelheid details die in dit stuk wetgeving is opgenomen, maakt het misschien een van de grootste wetten ter bescherming van digitale privacy in de wereld.
Wat de GDPR zegt over gegevensdoorbraken
Er is een groeiende trend dat grote bedrijven worden geraakt door schendingen, een hoop gegevens van hun klanten kwijtraken en vervolgens het verlies niet melden aan de getroffen personen. In november 2017 was Uber het voorwerp van een schandaal nadat bekend was geworden dat het meer dan een jaar wist over een bres, het onder het tapijt veegde en de hackers die verantwoordelijk waren betaalde om hun mond te houden.
Dit soort praktijken wordt nu ook behandeld door de GDPR, waardoor bedrijven tweeënzeventig uur de tijd krijgen om inbreuken op de gegevens aan de autoriteiten te melden (overweging 85), anders bestaat de boete voor 20 miljoen euro of 4% van hun omzet.
Dit kan helpen om de trend te verwijderen dat bedrijfsleiders hun schendingen verbergen, totdat het waarschijnlijk te laat is voor hun klanten om actie te ondernemen om te voorkomen dat ze verder worden gepest.
Bedrijven moeten ook hun gegevens versleutelen om [het] onbegrijpelijk te maken voor een persoon die niet gemachtigd is om het te openen. "Toegegeven, de overgrote meerderheid van uw gegevens online is op deze manier opgeborgen, maar het is nog steeds bemoedigend voor sommigen om dit gecodeerd in de wet te zien.
Zijn er nadelen voor de GDPR?
De GDPR is misschien wel het stoutmoedigste idee dat de Europese Commissie de afgelopen jaren heeft doorstaan, waardoor de relaties tussen dienstverleners en hun gebruikers enorm zijn veranderd. De rechten die de wetgeving biedt, impliceren verschillende infrastructuurveranderingen die sommige bedrijven moeten ondergaan, hoewel de last misschien niet zo groot is als sommige critici zeggen. Om een beter inzicht te krijgen in hoe de GDPR van invloed kan zijn op bedrijven, hebben we twee bronnen: een rapport van het Britse Information Commissioners Office en een onderzoek uitgevoerd door Ovum in 2015.
In de Britse studie zien we dat "de meerderheid van de bedrijven hun huidige uitgaven met betrekking tot gegevensbeschermingsverantwoordelijkheden niet kunnen kwantificeren." Dit is erg vaag, maar het is veilig om te veronderstellen dat de effecten van de AVG voor bedrijven niet goed zijn geweest beoordeeld. Dit zal duidelijker zijn tot 2018 wanneer de wet tijd heeft om effect te hebben. De overheidsinstantie die de opdracht gaf tot de studie kwam tot de conclusie dat lokale overheden meer konden doen om bedrijven te helpen zich voor te bereiden en ondersteuning en training voor hun personeel te bieden.
Het rapport van Ovum, getiteld 'Wetten op privacy van gegevens: vermindering van de bureaucratie', gaat iets dieper in op basis van een volledige analyse van hoe bedrijven de veranderingen waarnemen. Het bedrijf interviewde 366 wereldwijde IT-bedrijven, waarvan meer dan 70% "de uitgaven zou willen verhogen om aan de soevereiniteitsvereisten van gegevens te voldoen." Het beeld is echter niet allemaal somber, aangezien 53% van de bedrijven van plan is om technologieën van derden te gebruiken om hen te helpen bij het handhaven van de transparantie van gegevens.
Kortom, hoewel GDPR beslist een impact zal hebben op Europese bedrijven, is het niet duidelijk of dit effect volledig negatief zal zijn.
Denk je na het lezen van dit alles dat de GDPR de rechten van internetgebruikers voldoende beschermt? Of moet deze wetgeving teruggaan naar de tekentafel? Vertel ons in een reactie!