De General Data Protection Regulation (GDPR/AVG) is één jaar. Het is Europa’s antwoord op de versnippering aan nationale regelgeving en wordt door de EU als essentieel gezien om de rechten van individuen te versterken in het digitaal tijdperk. Deze rechten staan immers onder druk door het op dataverzameling gebaseerde zakenmodel dat internet domineert.
Het doel, beschreven in artikel 1 van de richtlijn, is het vrijwaren van het recht op bescherming van persoonsgegevens. Ze vormt samen met de oude ePrivacy directive, die voornamelijk over het plaatsen van cookies handelt, het speerpunt van de privacy-rechten van Europese burgers op en rond internet.
Werd het doel na één jaar bereikt, is er vooruitgang geboekt of bracht de wetgeving weinig zoden aan de dijk? Positief is zeker dat elk bedrijf even heeft moet stilstaan bij de omgang met persoonlijke gegevens. Privacy werd bespreekbaar, mailinglijsten werden opgekuist en https-versleuteling wordt meer gebruikt.
Maar er zijn ook serieuze beperkingen. Deze opgelegde oefening en de bijhorende documentenlast zijn een meerkost voor (kleine) organisaties of ondernemers terwijl die nooit de bron van het probleem waren. De GDPR, zo concludeert academisch onderzoek, leidde zelfs tot een vals gevoel van veiligheid. ‘Er is een privacybeleid, al dan niet conform de GDPR, dan zal het wel oké zijn.’
Data-graaiers
Instemming vragen aan een gebruiker lijkt een goed idee dat macht geeft aan het individu maar eigenlijk legaliseert dit het probleem. Met één verkregen toestemming is alles weer bij het oude. Consent fatigue, waarbij gebruikers bijna automatisch de voorwaarden van een website aanvaarden, is een lastig en cruciaal neveneffect waar data-graaiers wel bij varen. Klikken op een opvallende knop die u meteen toegang verschaft tot wat u zocht is nu eenmaal veel aantrekkelijker dan zoeken naar een lichtgrijze ‘meer info’ op een witte achtergrond. Je privacy beheren is een zware opgave als je driemaal moet doorklikken en vijf schuivers moet aanpassen om pakweg een weersvoorspelling voor morgen te lezen.
Heel gemakkelijk wordt het je gemaakt bij Google, waar je met één klik toestemming geeft om in het kader van hun vele diensten data over je te verzamelen: de sites die je bezoekt, de video’s die je kijkt, de zaken die je opzoekt, de e-mails die je schrijft en ontvangt, de documenten die je er bewaart, jouw locatie…
Daarnaast maakt men vlijtig gebruik van de uitzonderingen die de GDPR voorschrijft. Facebook wijzigt zijn tracking-technieken zodat hun scripts als ‘website-eigen’ beschouwd worden, en dus makkelijker aanvaard worden door browsers. Website-eigen trackers zijn immers toegelaten. Zo blijft alles bij het oude en kan u niet weigeren.
Zorgwekkend
Een impactstudie van de GDPR concludeert dat slechts enkele van de vijfhonderd meest bezochte websites in Europa echt een keuze bieden wat betreft tracking. Zorgwekkend is dat bedrijven als Mailchimp, waarmee men grote mailings kan opmaken en versturen, alle verantwoordelijkheid afschuiven op hun klanten. Zij moeten de toestemming van de abonnees verkrijgen opdat Mailchimp de gegevens die het verzamelt, kan delen met onder meer reclamebedrijven. Dit wordt vastgelegd in een gegevensverwerkingsovereenkomst en opnieuw is een ongelijke verhouding gelegaliseerd.
Bovendien doet de GDPR niets aan de gigantische dataverzameling zelf. Uit de recente schandalen (Cambridge Analytica bij Facebook, het spionagelek bij Whatsapp, het half miljoen te grabbel gegooide profielen op Google+…) leren we dat internet zelden veilig is. Is het wel verantwoord om zoveel informatie centraal te verzamelen?
Hoe zit het overigens met de veiligheid en discretie van pakweg de Belgische overheidsdiensten? De VDAB doet zijn mailings alvast met MailChimp en Google Analytics siert de websites van onze Federale overheidsdiensten. Zij zouden perfect de privacy-vriendelijke en gratis alternatieven Mosaico en Matomo kunnen gebruiken. De rijksoverheid in Nederland maakt bijvoorbeeld gebruik van Matomo.
Ongelijke strijd
Het is oneerlijk om mensen ieder voor zich te laten opboksen tegen gigantische bedrijven met de eigen privacy als inzet. Dat is een ongelijke strijd in macht, kracht en kennis. Wanneer u akkoord gaat wordt u geacht te weten waar u mee instemt. Weinigen weten hoe een website werkt, laat staan een browser of internetverkeer. Hoe kan ieder voor zich zo, in combinatie met juridisch jargon, de impact op haar privacy en dagdagelijks gedrag dan inschatten? Onze wetgevers moeten hun verantwoordelijkheid opnemen. In plaats van een akkoord van iedere gebruiker, moeten de internetreuzen een gebod vanuit de politiek krijgen.
We kunnen ervoor zorgen dat informatie op websites toegankelijk moet zijn zonder cookies; zo functioneert Wikipedia. Politieke reclame-targeting is aan banden te leggen om onze democratie te versterken. Het democratisch bestel kan een zogeheten Do Not Track-standaard definiëren, iets waar browserontwikkelaars en internetbedrijven het maar niet over eens geraken. Het volgen en verzamelen van uw digitale vingerafdruk zou een wettelijk kader moeten krijgen. U kan de uwe overigens nakijken.
De toestand na één jaar GDPR moet ons zorgen baren en dwingt ons om verder te gaan. Omdat privacy het recht is om niets te moeten verbergen.
Auteur Kaïn Verlooy is werkzaam bij Nestor.coop.