22 mei 2019

De GDPR, de General Data Protection Regulation, wordt één jaar. Het is Europa’s antwoord op de versnippering aan nationale regelgeving en wordt door de EU als essentieel gezien om de rechten van individuen te versterken in het digitaal tijdperk1. Deze rechten staan immers onder druk door het op dataverzameling gebaseerde zakenmodel dat het internet domineert. Het doel, beschreven in artikel 1 van de richtlijn, is het vrijwaren van het recht op bescherming van persoonsgegevens. Ze vormt samen met de oude ePrivacy directive, die voornamelijk over het plaatsen van cookies handelt, het speerpunt van de privacy-rechten van Europese burgers op en rond het internet.

 

Werd het doel na één jaar bereikt, is er vooruitgang geboekt of bracht de wetgeving weinig zoden aan de dijk? Positief is zeker dat ieder bedrijf of organisatie even heeft moeten stilstaan bij de omgang met persoonlijke gegevens allerlei . Privacy werd bespreekbaar, mailinglijsten werden opgekuist en HTTPS-versleuteling wordt meer gebruikt.

 

Maar er zijn ook serieuze beperkingen. Deze opgelegde oefening en de bijhorende documentenlast zijn een meerkost voor (kleine) organisaties of ondernemers terwijl die nooit de bron van het probleem waren. De GDPR, zo concludeert academisch onderzoek, leidde zelfs tot een vals gevoel van veiligheid – er is een privacybeleid (al dan niet conform de GDPR), dan zal het wel oké zijn.

 

Instemming vragen aan een gebruiker lijkt een goed idee dat macht geeft aan het individu maar eigenlijk legaliseert dit het probleem. Met één verkregen toestemming is alles weer bij het oude. Consent fatigue, waarbij gebruikers bijna automatisch de voorwaarden van een website aanvaarden, is een lastig en cruciaal neveneffect waar datagraaiers wel bij varen. Klikken op een opvallende knop die u meteen toegang verschaft tot wat u zocht is nu eenmaal veel aantrekkelijker dan zoeken naar een lichtgrijze ‘meer info’ op een witte achtergrond. Je privacy beheren is een zware opgave als je driemaal moet doorklikken en vijf schuivers moet aanpassen om pakweg een weersvoorspelling voor morgen te lezen.

 

Heel gemakkelijk wordt het je gemaakt bij Google, waar je met één klik toestemming geeft om in het kader van hun vele diensten data over je te verzamelen2: de sites die je bezoekt, de video’s die je kijkt, de zaken die je opzoekt, de e-mails die je schrijft en ontvangt, de documenten die je er bewaart, jouw locatie…

 

Daarnaast maakt men vlijtig gebruik van de uitzonderingen die de GDPR voorschrijft. Facebook wijzigt zijn tracking-technieken zodat hun scripts als ‘website-eigen’ beschouwd worden, en dus makkelijker aanvaard worden door browsers. Website-eigen trackers zijn immers toegelaten. Zo blijft alles bij het oude3 en kan u niet weigeren!

 

Een impactstudie van de GDPR concludeert dat slechts enkele van de 500 meest bezochte websites in Europa echt een keuze bieden wat betreft tracking4. Zorgwekkend is dat bedrijven als Mailchimp, waarmee men grote mailings kan opmaken en versturen, alle verantwoordelijkheid afschuiven op hun klanten5. Zij moeten de toestemming van de abonnees verkrijgen opdat Mailchimp de gegevens die het verzamelt kan delen met onder meer reclamebedrijven6. Dit wordt vastgelegd in een gegevensverwerkingsovereenkomst en opnieuw is een ongelijke verhouding gelegaliseerd.

 

Bovendien doet de GDPR niets aan de gigantische dataverzameling zelf. Uit de vele recente schandalen (Cambridge Analytica bij Facebook, het spionagelek bij Whatsapp, het half miljoen te grabbel gegooide profielen op Google+...) leren we dat het internet zelden echt veilig is. Is het wel verantwoord om zoveel informatie centraal te verzamelen?

 

Hoe zit het overigens met de veiligheid en discretie van pakweg de Belgische overheidsdiensten? De VDAB doet zijn mailings alvast met MailChimp en Google Analytics siert de websites van onze Federale overheidsdiensten. Zij zouden perfect de privacyvriendelijke en gratis alternatieven Mosaico en Matomo kunnen gebruiken. De rijksoverheid in Nederland maakt bv. gebruik van Matomo.

 

Het is oneerlijk om mensen ieder voor zich te laten opboksen tegen gigantische bedrijven met de eigen privacy als inzet. Dat is een ongelijke strijd in macht, kracht en kennis. Wanneer u akkoord gaat wordt u geacht te weten waar u mee instemt. Weinigen weten hoe een website werkt, laat staan een browser of internetverkeer. Hoe kan ieder voor zich zo, in combinatie met juridisch jargon, de impact op haar privacy en dagdagelijks gedrag dan inschatten? Onze wetgevers moeten hun verantwoordelijkheid opnemen. In plaats van een akkoord van iedere gebruiker, moeten de internetreuzen een gebod vanuit de politiek krijgen.

 

We kunnen ervoor zorgen dat informatie op websites toegankelijk moet zijn zonder cookies – zo functioneert Wikipedia. Politieke reclametargeting kan aan banden gelegd worden om onze democratie te versterken. Het democratisch bestel kan een zogeheten Do Not Track-standaard definiëren, iets waar browserontwikkelaars en internetbedrijven het maar niet over eens geraken. Het volgen en verzamelen van uw digitale vingerafdruk7 zou een wettelijk kader moeten krijgen – U kan de uwe overigens nakijken via https://amiunique.org/fp.

 

De toestand na één jaar GDPR moet ons zorgen baren en dwingt ons om verder te gaan. Omdat privacy het recht is om niets te moeten verbergen.

 

1https://ec.europa.eu/info/law/law-topic/data-protection/data-protection…

2https://safety.google/privacy/data/

3https://www.facebook.com/business/help/471978536642445

4We Value Your Privacy ... Now Take Some Cookies: Measuring the GDPR’s Impact on Web Privacy, M. Degeling et al, Ruhr-Universität Bochum, Germany.

5https://mailchimp.com/legal/terms/ sectie 20

6https://mailchimp.com/legal/privacy/#3._Privacy_for_Contacts

7Een verzameling van schijnbaar onschuldige gegevens over bijvoorbeeld de taalinstellingen van uw toestel, de schermgrootte, de browserinstellingen, het besturingssysteem, enz. Allemaal samen genomen identificeren deze gegevens de specifieke machine waarop u surft.

Andere blogs

Don’t be evil

Browsen met cookies en beacons, hoe zit dat nu eigenlijk?

“Een cookie is een klein tekstbestand dat bij een bezoek aan een website wordt opgeslagen in de browser van je computer, tablet of smartphone”. Een gelijkaardige definitie van cookies is te vinden in menig privacyverklaring op het internet. Er wordt dan uitgelegd dat zo'n cookie bijvoorbeeld gebruikt wordt om je taalvoorkeuren op een website te onthouden. Maar niet elk gebruik van cookies is zo onschuldig. Zo worden ze ook gebruikt door bedrijven om kennis over u te vergaren. En kennis is macht. Dat geldt voor de datareuzen op het internet, maar evengoed voor u. Lees verder om te weten te komen hoe adverteerders uw surfgedrag gedetailleerd in kaart kunnen brengen ahv cookies.

Israelisch softwarebedrijf misbruikt achterpoort bij whatsapp

telefoon in een tekstballon (het whatsapp logo)

Door via de app te telefoneren, wist een Israëlisch bedrijf dat spyware ontwikkelt toegang te krijgen tot de telefoons van gebruikers, ook wanneer de oproep niet werd beantwoord. De achterpoort zou nu gedicht zijn in een recente upgrade bij Whatsapp.

Lees er meer over op The Guardian (Engels) of op VRTNWS.

Uw website in uw/goede handen

Video's zonder reclame met Peertube

Uw bestanden in eigen beheer met Nextcloud

Beheer uw achterban met CiviCRM

Wil u een privacyvriendelijke werking voor uw organisatie?

Een mailbox waar niemand meeleest

Meer cijfers dan u aankan met Matomo