Bijlage A — GDPR

De General Data Protection Regulation (2018), of in het Nederlands de Algemene Verordening Gegevensbescherming is een Europese richtlijn om de privacy van Europese burgers, eender waar in de wereld, te beschermen. Of zoals de EU zelf op haar website beschrijft: “the thoughest privacy and security law in the world” (wat ook effectief zo is: het is de enige wet momenteel die erin slaagt om wereldwijd de regels ervan af te dwingen).

De wet zelf bestaat uit 99 verschillende artikels waarin de rechten, personen en verplichtingen van bedrijven die onder de verordening vallen, worden uitgelegd. Ieder bedrijf, eender waar in de wereld, die data bijhoudt van EU-burgers dient zich aan deze wet te houden op risico van een boete als ze dit niet doet. GDPR gaat dus niet over de verplichtingen van de personen, wel om die van de bedrijven, namelijk ter bescherming van personen.

Tip

We gaan in dit hoofdstuk enkel een high-level overzicht geven van GDPR opdat we niet verzanden in de taal der rechters en advocaten, het legalese.

A.1 Wat omvat GDPR?

Het recht om persoonlijke gegevens te wissen of het recht om vergeten te worden. GDPR laat je toe, als EU-burger om eender welke site die ‘jou kent’ te verplichten alle, of specifieke, informatie over je te verwijderen. Als je dus vindt dat Google niet moet weten waar je huisadres is, dan heb je het recht Google te verplichten deze informatie te verwijderen.

Opmerking

Google kreeg een tijd terug een zeer stevige boete omdat het niet inging op de vraag van een EU-burger om vergeten te worden. Sindsdien zijn ze een pak behulpzamer in het naleven van de GDPR-wetgeving.

Een ander belangrijk aspect van GDPR is het zogenaamde recht op overdraagbaarheid van gegevens. Voor GDPR bestond was het soms een helse opdracht om bijvoorbeeld van Internetprovider te veranderen. Iedere provider werkte met eigen dataformaten waarin de klantengegevens werden bewaard. Bij een overdracht moest dit dan altijd omgezet worden naar het formaat van de nieuwe provider. GDPR verplicht dat dit soort data overdrachten van persoonsgegevens nu volgens een vast formaat moeten gebeuren. En belangrijker: deze overdracht moet zo transparant én zo geautomatiseerd mogelijk gebeuren. Hierdoor kan de data quasi ogenblikkelijk in de database van de ontvanger geïntegreerd worden en zal jij als klant dus veel sneller de overstap kunnen maken zonder alle bijhorende administratieve rompslomp en vertragingen.

Opmerking

De voorganger van de GDPR was de DPD (Data Protection Directive). Dit was geen Europese wet (verordening) maar een aanbeveling en was een stap in de goede richting maar ging nog niet ver genoeg. GDPR heeft ervoor gezorgd dat individuele burgers geen speelbal meer zijn van de grote bedrijven die de data van burgers als het nieuwe goud verzamelen en ermee doen wat ze zelf willen.

Als derde belangrijke aspect voorziet GDPR de plicht om niet noodzakelijke gegevens te laten wissen.

A.2 Hoe beschermt GDPR mij als burger?

Zoals je uit voorgaande 3 aspecten al merkt staat de (Europese) burger voorop, niet het bedrijf. GDPR is er om de burger te beschermen tegen de bedrijven die data van hen verzamelen. Het stopt echter niet bij deze 3 aspecten. Volgende rechten worden door GDPR beschermd en zijn minstens even belangrijk:

  • Recht op inzage (transparantie): je hebt het recht om te weten welke data een bedrijf over jou heeft.
  • Recht op rectificatie: je hebt het recht om foute data te laten corrigeren.
  • Recht op beperking van verwerking: je hebt het recht om te eisen dat een bedrijf stopt met het verwerken van jouw data. Ook mogen bedrijven je persoonsgegevens niet oneindig lang bewaren. En moeten er duidelijke richtlijnen zijn over hoe lang ze de data mogen bewaren.
  • Recht op verzet: je hebt het recht om je te verzetten tegen het verwerken van je data. Uiteraard is een bedrijf niet verplicht om jou dan gebruik te laten maken van hun diensten.
  • Recht op geautomatiseerde besluitvorming: je hebt het recht om te weten wanneer een bedrijf beslissingen neemt op basis van geautomatiseerde processen.
  • Recht op gegevensportabiliteit: je hebt het recht om je data in een leesbaar formaat te ontvangen.
  • Recht op gegevensminimalisatie: bedrijven mogen enkel de data bewaren die ze nodig hebben voor hun dienstverlening.

A.3 Wat beschermt GDPR?

De GDPR wet zorgt ervoor dat bedrijven veel bewuster met gebruikersdata omgaan. Ze kunnen namelijk verantwoordelijk gehouden worden indien gebruikersdata gestolen of gelekt wordt. De GDPR is een privacy-wetgeving in de eerste plaats: het wil de privacy van het individu beschermen. Volgende data valt dan ook onder de GDPR-wetgeving:

  • Persoonlijke identificeerbare informatie: namen, adressen, geboortedatums en rijksregisternummers.
  • Op Internet gebaseerde gegevens: zoals gebruikerslocatie, IP-adres en cookies.
  • Gezondheids- en genetische gegevens.
  • Biometrische gegevens (denk maar aan je irisscan of vingerafdruk).
  • Raciale en/of etnische gegevens.
  • Politieke meningen.
  • Seksuele geaardheid.

A.4 Persoonlijke data buiten EU

Volgende flowchart toont wat bedrijven, binnen en buiten de EU, met gebruikersdata mogen doen.

Bron: privacy.ucsd.edu/gdpr/

Bron: privacy.ucsd.edu/gdpr/

A.5 Meldplicht datalekken

Bedrijven die onder de GDPR-wetgeving vallen (alle bedrijven die data van Europese burgers bewaren vallen hier onder, ongeacht hun locatie in de wereld) hebben een meldplicht indien zij een datalek hebben.

Opmerking

Onder een datalek verstaan we “Een inbreuk op de beveiliging die per ongeluk, of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”

Van zodra het bedrijf weet heeft van een (mogelijk) datalek dienen zij dit ogenblikkelijk te melden:

  • Aan de toezichthoudende autoriteit: ieder land heeft z’n eigen autoriteit en in België is dat de CBPL, de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Deze commissie zal iedere datalek case-by-case beoordelen om te zien of het bedrijf een GDPR-overtreding heeft begaan of niet.
  • Aan ieder individu waar de data betrekking op had: als de gelekte data ook maar op één manier kan gelinkt worden aan een individu, dan dient deze van de lek op de hoogte gebracht te worden.
  • Dit dient binnen de 72 uur na ontdekking van het datalek te gebeuren.

Merk op dat tegenwoordig een datalek zelden zo snel wordt ontdekt, dat beseft de GDPR ook. Daarom is de regel dat 72 uur ingaan vanaf het moment dat het bedrijf weet heeft van het datalek. Het is dus perfect mogelijk dat het datalek reeds maanden eerder plaatsvond maar dat het bedrijf het nu pas ontdekt.

A.5.1 Uitzonderingen meldplicht individu

Bij een datalek zijn er enkele mogelijke uitzonderingen waarom het bedrijf niet noodzakelijk het individu op de hoogte moet stellen van het datalek:

  • Indien het bedrijf kan aantonen dat de gestolen data zodanig beveiligd is dat deze onbruikbaar is. Als dus de data bijvoorbeeld geëncrypteerd is dan zou het bedrijf dit als argument kunnen gebruiken om de meldplicht te verzaken. Een kanttekening is hier natuurlijk op z’n plaats: er bestaat altijd nog de mogelijkheid dat de data finaal nog kan gedecrypteerd zal worden en er dus alsnog private gegevens in verkeerde handen komen.
  • Stel dat het bedrijf de persoonlijke voorkeuren van de gebruikers in een database heeft staan en de identificeerbare persoonsgegevens in een andere. Als nu blijkt dat enkel de database met persoonlijke voorkeuren werd gehackt, dan kan deze data nooit gelinkt worden aan personen en is er dus ook geen sprake van een privacy schending.
Tip

Het is sowieso altijd een goede gewoonte om het adagio “don’t put all your eggs in one basket” te hanteren. Het is wijzer om de data over verschillende databases te bewaren. Zo voorkom je dat bij een datalek automatisch steeds alle data wordt gestolen.

Waarschuwing

Indien er een erg grote hoeveelheid mensen moeten ingelicht worden na een datalek, dan mag het bedrijf ook beslissen om in de plaats daarvan een publieke aankondiging te doen. Uiteraard zijn de bedrijven hier minder happig op omdat dit sowieso een PR-nachtmerrie is (iedere aankondiging van een datalek is dat trouwens).

A.6 Boetes

Als er uiteindelijk toch een inbreuk op de GDPR-wetgeving wordt vastgesteld dan zal er dus een boete opgelegd worden afhankelijk van de ernst van de inbreuk:

  • Minder ernstige inbreuken: boete tot € 10 miljoen, of 2% van de wereldwijde jaaromzet van het bedrijf uit het voorgaande boekjaar, afhankelijk van welk bedrag hoger is.
  • Meer ernstige inbreuken (inbreuken die ingaan tegen de principes van het recht op privacy en het recht om te worden vergeten, die de kern vormen van GDPR): boete van maximaal € 20 miljoen, of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Of er een boete zal zijn en hoe groot deze dan is, is gebaseerd op een aantal criteria:

  • Ernst en aard van de overtreding.
  • Intentie: is het datalek het gevolg van een slordigheid of opzettelijk gebrek aan beveiliging?
  • Schadebeperkende omstandigheden.
  • Genomen voorzorgen.
  • Geschiedenis van overtredingen.
  • Medewerking: in hoeverre werkt het bedrijf mee met de toezichthoudende autoriteiten?
  • Gegevenscategorie.
  • Kennisgeving: heeft men zich aan de meldplicht gehouden?
  • Certificering: heeft het bedrijf in het verleden reeds via een externe audit aangetoond aan de GDPR wetgeving te voldoen?
  • Verzwarende of verzachtende factoren.
Tip

Merk dus op dat het schenden van de GDPR wetgeving niet automatisch in een boete resulteert. Als het bedrijf kan aantonen dat ze echt alles in het werk hebben gesteld om de data te bewaren zoals een goede huisvader betaamt, dan kan het zijn dat er geen boete zal volgen.

Opmerking

De voorbije jaren (mei 2018 tot eind 2020) werden reeds 272 miljoen euro aan boetes geïnd ten gevolge van GDPR overtredingen. De wet is zo effectief, dat ze ook ondertussen dient als inspiratie wereldwijd wanneer landen of groeperingen nieuwe privacy-wetgevingen willen construeren.

Tip

In de lente van 2025 kreeg TikTok een boete van 530 miljoen opgelegd voor het overtreden van de GDPR-wetgeving. Het bedrijf kon bijvoorbeeld niet aantonen dat de data van de Europese gebruikers adequaat beveiligd werd op de servers in China. We moeten er wel bij vertellen dat de boete gebaseerd is op de situatie voor 2023. Vermoedelijk én hopelijk heeft TikTok ondertussen zijn beveiliging op orde.

A.7 Conclusie

We kunnen dus stellen dat GDPR een zeer mooi waardevol initiatief is, dat ook verder gaat dan “niet toegepaste wetten”. De manier waarop Europese burgers hun data momenteel wordt beschermd is een voorbeeld voor de rest van de wereld. Het is een wet die de privacy van de burger voorop stelt en bedrijven verplicht om hiermee rekening te houden.

Het is nu vooral uitkijken of Europa een soortgelijk voorbeeld kan stellen met de Digital Services Act (DSA) en de Digital Markets Act (DMA) die momenteel in de maak zijn. Deze wetten zullen de macht van de grote techbedrijven zoals Google, Facebook en Amazon moeten inperken en de privacy van de Europese burger nog verder moeten beschermen. Ook de wereld van artificiële intelligentie zal hierdoor grondig veranderen: de AI Act die sinds augustus 2024 gefaseerd wordt ingevoerd zal de manier waarop AI wordt gebruikt in Europa grondig veranderen. Uiteraard, en dat geldt voor alle wetgevingen, is het de uitvoering en de handhaving van de wetten die het verschil zullen maken én wat de impact ervan zal zijn in de concurrentie met de rest van de wereld.