22.01.20
22.01.20
De voorbije jaren werd voor privacy, de bescherming van gegevens, een opmerkelijke U-turn gemaakt. Zowat iedereen was het erover eens dat er eigenlijk niet meer zoiets als privacy bestond, en enkel wie iets te verbergen had, hechtte er belang aan. Maar ondertussen werd trop teveel, en namen de problemen en bekommernissen rond privacy een ongekende omvang aan. Er is vernieuwde aandacht voor privacy in de media en het aantal inbreuken is het voorbije decennium spectaculair toegenomen, met de onthulling van het Cambridge Analytica schandaal als droevige hoogtepunt.
Ondertussen wordt privacy meer dan ooit beschouwd als een fundamenteel mensenrecht. De groeiende aandacht voor dit maatschappelijke probleem werd daarom op Europees niveau aangepakt via de algemene verordening gegevensbescherming (AVG), beter gekend onder zijn Engelse afkorting GDPR. De GDPR-wetgeving zorgde in België voor heel wat buzz omdat bedrijven hoge boetes vreesden en heel wat consultancybureaus hier garen bij sponnen. Die vrees lijkt echter ongegrond voor België, zoals aangetoond met dit rapport. Anderhalf jaar na de implementatie van de GDPR-wetgeving werd er in totaal nog maar voor 39.000 euro aan boetes toegekend. Ter vergelijking: In Nederlands heeft de Data Protection Authority (DPA) in totaal voor meer dan een miljoen euro aan boetes opgelegd, en in Frankrijk vertegenwoordigden deze zelfs ruim 51 miljoen euro. In het Verenigd Koninkrijk lopen de boetes op tot 320.000 euro, met nog twee hangende rechtszaken voor een gecumuleerd bedrag van 329 (!) miljoen euro.
Maar hoe staan consumenten tegenover de nieuwe privacywetgeving? Uit recent onderzoek is gebleken dat de implementatie van de GDPR-wetgeving in de eerste plaats het bewustzijn van de consument rond privacykwesties heeft verhoogd en dat de bereidheid om persoonlijke gegevens vrij te geven is afgenomen, in het bijzonder bij vragen naar bijzonder gevoelige informatie, zoals medische gegevens en politieke voorkeuren. De GDPR-wetgeving heeft echter niet geleid tot een groter vertrouwen in bedrijven en de manier waarop ze omgaan met persoonsgegevens. Het omgekeerde lijkt eerder waar: door de GDPR-wetgeving werden klanten zich meer bewust van hun privacyrechten en de mogelijke keerzijde van het delen van gegevens. Dit leidde op zijn beurt tot grote uitdagingen voor marketeers die streven naar gepersonaliseerde ervaringen waarvoor hun databanken voortdurend moeten worden gevoed met nieuwe data.
En dan is er nu de ‘post-privacy consumer’. Terwijl consumenten menen dat technologie zoals gezichtsherkenning overal zal worden ingezet, zelfs in die mate dat het concept privacy niet langer bestaat, rekenen ze op privacywetgeving die het gebruik van publieke en private data zal reguleren op zo’n manier dat de problemen rond privacy eveneens verdwijnen. Dit kan paradoxaal lijken, maar de post-privacy consumer verwacht dat de privacykwesties volledig van de baan zijn zodat hij op een veilige manier kan genieten van de voordelen van een datagestuurde wereld. Ze verwachten een wereld waar het digitale zowel de economie als de productiviteit stuwt, op voorwaarde dat overheden het gebruik van data strikt reguleren en controleren.
Het omgaan met dataprivacy in een datagestuurde wereld is een gedeelde verantwoordelijkheid van bedrijven en overheden.
Voor bedrijven is transparantie inzake datagebruik een must. Om die reden moeten ze duidelijk aangeven dat er een redelijke link bestaat tussen personalisatie en het verzamelen van klantendata. In hun communicatie hierover moet duidelijk zijn hoe de klant zelf voordeel haalt uit het delen van zijn gegevens.
Daarnaast zijn regelgeving rond data en het toezicht hierop van cruciaal belang. De GDPR-regelgeving was een grote stap vooruit om problemen en bezorgdheden rond privacy (deels) weg te nemen, maar we moeten ons ook de vraag stellen of er voldoende acties worden ondernomen voor het aanpakken van de bedrijven die de GDPR-regels al dan niet bewust aan hun laars lappen. De privacywaakhond GBA was initieel een tijger zonder tanden. Een taalkwestie verhinderde de benoeming van het directiecomité. Een van de directeurs moest immers Duits kennen, maar de selectie ervan liet op zich wachten. In april 2019 werd uiteindelijk het comité gevormd en in één beweging werden bijkomende acties aangekondigd om bedrijven die de regels overtreden op het matje te roepen. Hun woorden sluiten echter niet aan bij hun daden: tot op heden blijft de rol en de slagkracht van de Gegevensbeschermingsautoriteit in België erg beperkt, en daarmee ook hun geloofwaardigheid.
Bronnen: