Al een jaar leren we leven met GDPR. Zijn burgers nu beter beschermd tegen digitale reuzen als Google en Facebook? Of leven we met een vals gevoel van veiligheid?
De GDPR, de General Data Protection Regulation, wordt één jaar. Het is Europa’s antwoord op de versnippering aan nationale regelgeving en wordt door de EU als essentieel gezien om de rechten van individuen te versterken in het digitale tijdperk. (1) Deze rechten staan immers onder druk door het op dataverzameling gebaseerde zakenmodel dat het internet domineert. Het doel, beschreven in artikel 1 van de richtlijn, is het vrijwaren van het recht op bescherming van persoonsgegevens. Ze vormt samen met de oude ePrivacy-richtlijn, die voornamelijk over het plaatsen van cookies handelt, het speerpunt van de privacy-rechten van Europese burgers op en rond het internet.
Werd het doel na één jaar bereikt, is er vooruitgang geboekt of bracht de wetgeving weinig zoden aan de dijk? Positief is zeker dat ieder bedrijf of organisatie even heeft moeten stilstaan bij de omgang met persoonlijke gegevens allerlei . Privacy werd bespreekbaar, mailinglijsten werden opgekuist en HTTPS-versleuteling wordt meer gebruikt.
Een vals gevoel van veiligheid
Maar er zijn ook serieuze beperkingen. Deze opgelegde oefening en de bijbehorende documentenlast vormen een meerkost voor (kleine) organisaties of ondernemers terwijl die nooit de bron van het probleem waren. De GDPR, zo concludeert academisch onderzoek, leidde zelfs tot een vals gevoel van veiligheid – er is een privacybeleid (al dan niet conform de GDPR), dan zal het wel oké zijn.
Consent fatigue
Instemming vragen aan een gebruiker lijkt een goed idee dat macht geeft aan het individu maar eigenlijk legaliseert dit het probleem. Met één verkregen toestemming is alles weer bij het oude. Consent fatigue, waarbij gebruikers bijna automatisch de voorwaarden van een website aanvaarden, is een lastig en cruciaal neveneffect waar datagraaiers wel bij varen. Klikken op een opvallende knop die u meteen toegang verschaft tot wat u zocht is nu eenmaal veel aantrekkelijker dan zoeken naar een lichtgrijze ‘meer info’ op een witte achtergrond. Je privacy beheren is een zware opgave als je driemaal moet doorklikken en vijf schuivers moet aanpassen om pakweg een weersvoorspelling voor morgen te lezen.
Heel gemakkelijk wordt het je gemaakt bij Google, waar je met één klik toestemming geeft om in het kader van hun vele diensten data over je te verzamelen (2): de sites die je bezoekt, de video’s die je kijkt, de zaken die je opzoekt, de e-mails die je schrijft en ontvangt, de documenten die je er bewaart, jouw locatie…
Achterpoortjes
Daarnaast maakt men vlijtig gebruik van de uitzonderingen die de GDPR voorschrijft. Facebook wijzigt zijn tracking-technieken zodat hun scripts als ‘website-eigen’ beschouwd worden, en dus makkelijker aanvaard worden door browsers. Website-eigen trackers zijn immers toegelaten. Zo blijft alles bij het oude (3) en kan u niet weigeren!
Een impactstudie van de GDPR concludeert dat slechts enkele van de 500 meest bezochte websites in Europa echt een keuze bieden wat betreft tracking. (4) Zorgwekkend is dat bedrijven als Mailchimp, waarmee men grote mailings kan opmaken en versturen, alle verantwoordelijkheid afschuiven op hun klanten. (5) Zij moeten de toestemming van de abonnees verkrijgen opdat Mailchimp de gegevens die het verzamelt kan delen met onder meer reclamebedrijven. (6) Dit wordt vastgelegd in een gegevensverwerkingsovereenkomst en opnieuw is een ongelijke verhouding gelegaliseerd.
Lekken aan alle kanten
Bovendien doet de GDPR niets aan de gigantische dataverzameling zelf. Uit de vele recente schandalen (Cambridge Analytica bij Facebook, het spionagelek bij Whatsapp, het half miljoen te grabbel gegooide profielen op Google+...) leren we dat het internet zelden echt veilig is. Is het wel verantwoord om zoveel informatie centraal te verzamelen?
Waarom gebruiken overheden
MailChimp en Google Analytics als er gratis
privacyvriendelijke alternatieven bestaan?
Hoe zit het overigens met de veiligheid en discretie van pakweg de Belgische overheidsdiensten? De VDAB doet zijn mailings alvast met MailChimp en Google Analytics siert de websites van onze Federale overheidsdiensten. Zij zouden perfect de privacyvriendelijke en gratis alternatieven Mosaico en Matomo kunnen gebruiken. De rijksoverheid in Nederland maakt bv. gebruik van Matomo.
Waar blijft overheid met geboden voor datareuzen?
Het is oneerlijk om mensen ieder voor zich te laten opboksen tegen gigantische bedrijven met de eigen privacy als inzet. Dat is een ongelijke strijd in macht, kracht en kennis. Wanneer u akkoord gaat wordt u geacht te weten waar u mee instemt. Weinigen weten hoe een website werkt, laat staan een browser of internetverkeer. Hoe kan ieder voor zich zo, in combinatie met juridisch jargon, de impact op haar privacy en dagdagelijks gedrag dan inschatten? Onze wetgevers moeten hun verantwoordelijkheid opnemen. In plaats van een akkoord van iedere gebruiker, moeten de internetreuzen een gebod vanuit de politiek krijgen.
We kunnen ervoor zorgen dat informatie op websites toegankelijk moet zijn zonder cookies – zo functioneert Wikipedia. Politieke reclametargeting kan aan banden gelegd worden om onze democratie te versterken. Het democratisch bestel kan een zogeheten Do Not Track-standaard definiëren, iets waar browserontwikkelaars en internetbedrijven het maar niet over eens geraken. Het volgen en verzamelen van uw digitale vingerafdruk (7) zou een wettelijk kader moeten krijgen. U kan de uwe overigens nakijken via https://amiunique.org/fp.
De toestand na één jaar GDPR moet ons zorgen baren en dwingt ons om verder te gaan. Omdat privacy het recht is om niets te moeten verbergen.
Vincent Penesich, Stijn Vanhandsaeme, Kaïn Verlooy
Nestor coöperatie
Vind meer artikels via Pala woordenboek onder term datademocratie
Voetnoten
(1) https://ec.europa.eu/info/law/law-topic/data-protection/data-protection
(2) https://safety.google/privacy/data/
(3) https://www.facebook.com/business/help/471978536642445
(4) We Value Your Privacy ... Now Take Some Cookies: Measuring the GDPR’s Impact on Web Privacy, M. Degeling et al, Ruhr-Universität Bochum, Germany
(5) https://mailchimp.com/legal/terms/ sectie 20
(6) https://mailchimp.com/legal/privacy/#3._Privacy_for_Contacts
(7) Een verzameling van schijnbaar onschuldige gegevens over bijvoorbeeld de taalinstellingen van uw toestel, de schermgrootte, de browserinstellingen, het besturingssysteem, enz. Allemaal samen genomen identificeren deze gegevens de specifieke machine waarop u surft.
Uw doordachte reacties zijn welkom op het emailadres infoATpala.be
Overname van dit artikel toegelaten voor niet-commerciële en niet-gesubsidieerde organisaties met vermelding van auteur en bron, met weblink. Wij vernemen het graag | Commerciële en/of gesubsidieerde organisaties nemen voor publicatie contact op met info@pala.be
Tot het einde gelezen? En het artikel gewaardeerd?
Dan kan Pala misschien op uw steun rekenen: uw gift is welkom
op rekeningnummer BE66 5230 4091 1443 van Pala vzw – Leuven.
Of we verwelkomen u graag als vaste steungever - klik hier
Een goed artikel? Interessant nieuws? Neem een gratis abonnement op de Pala nieuwsbrief (maximaal 2 maal per maand), dan hoeft u geen enkel artikel te missen. Gebruik daarvoor het inschrijvingsformulier – klik hier
