door: Charlotte Bourguignon & Bart van Buitenen
Een tijdje geleden verscheen er een krantenkop bij de vrt “Gratis fles wijn die verborgen stond in kleine lettertjes van privacybeleid, is na 3 maanden geclaimd”. Drie volle maanden voordat iemand de gratis wijn, verstopt in de krochten van een privacy policy, ontdekte. Daarmee wilt de organisatie aantonen dat er veel geld en tijd kruipt in het maken van dit soort verplichte policies, terwijl betrokkenen eigenlijk zelden over hun privacy wakker lijken te liggen.
De GDPR, die de privacy en persoonsgegevens van mensen binnen de EU wil beschermen, viert deze week haar zesde verjaardag… Maar, zijn de mensen hier nu eigenlijkmee bezig? Zijn ze zicht bewust van de online verzamelwoede en de impact hiervan op hun persoonlijk leven? We vragen het aan Bart van Buitenen, zelf privacy afficionado, maar dankzij zijn ervaringen en privacy vzw de perfecte persoon om de vinger aan de pols te houden.
Waarom dan een privacy policy?
6 jaar geleden, op 25 mei 2018, stond de wereld even op zijn kop voor veel organisaties. Het was alle hens aan dek voor het opzetten van cookiebanners en het schrijven van privacy statements waarin meticuleus beschreven werd welke bezoekersgegevens vewerkt werden en met welk doel.
Fast forward naar 2024… Het lijkt erop dat mensen klakkeloos op “accepteer” klikken wanneer er een vervelende cookiebanner oppopt en zich niet bezighouden met het doornemen van een privacy policy tijdens het surfen. Waarom zou je als organisatie dan zoveel moeite steken in het schrijven én up-to-date houden van dergelijke pagina? “Je hebt natuurlijk mensen zoals ik die voor hun plezier eens door de privacy policy scrollen, maar dat is een minderheid. Een privacy policy zet je dan ook niet op je website omdat die iedere dag gelezen zou moeten worden… Je zet die erop voor de mensen die hun rechten willen uitoefenen… Je wilt ze informeren wanneer dat voor hen nodig is. Dus eigenlijk is het niet zo onlogisch dat het even duurt voor een verstopte wijnfles teruggevonden wordt in de tekst,” zegt Bart.
Liggen mensen wakker over hun privacy?
Oké, dat begrijpen we. De GDPR, met al haar regels, zorgt er dus voor dat mensen hun rechten kunnen uitoefenen wanneer dat voor hen van pas komt. Dat is uiteraard iets positiefs. Maar, zijn mensen zich eigenlijk wel bewust van de hoeveelheid waarin hun persoonsgegevens online verzameld, verwerkt en gebruikt worden? “Nee,” concludeert Bart kort, “Iedere awareness sessie die ik geef, of dat nu in bedrijven of op de hogeschool is, zie je dat mensen toch hun wenkbrauwen fronsen wanneer je hen confronteert met de hoeveelheid gegevens die verzameld wordt online, en wat voor impact dat heeft op hun eigen leven.” De GDPR-wetgeving is dus goed bedoeld om mensen te informeren over wat er met hun data gebeurt, maar veel mensen zijn zich toch niet echt bewust van de omvang van gegevensverzameling.
Dat zien we ook door de enorme populariteit van apps zoals Temu en Tiktok, waar het verdienmodel puur in de dataverzameling zit. Deze apps vragen toegang tot enorm veel gegevens op je smartphone (veel meer dan alleen je naam en emailadres. Wat dacht je van je fotobibliotheek, of zelf je microfoon?). Geef je die toegang? Dan kan je er zeker van zijn dat Temu en Tiktok je gegevens doorverkopen aan de hoogste bieder. Zo worden mensen zelf het product.
Het begint bij digitale geletterdheid en bewustzijn.
Dat het niet leeft bij de gemiddelde mens lijkt veel te maken te hebben met een gebrek aan communicatie. “Een campagne vanuit de overheid om te ritsen op de snelweg is geen enkel probleem, maar budget vrijkrijgen om de digitale geletterdheid, en dan vooral de kennis over fundamentele rechten rond gegevensbescherming van de bevolking aan te scherpen… Daar lijkt weinig animo voor.” Je kan je dan afvragen, is dat net zo belangrijk als pakweg verkeersveiligheid? Gezien de grote mate aan digitalisatie en het razendsnel verschijnen van nieuwe technologieën, is Bart van mening van wel.
Toch merken we, zelfs 6 jaar nadat de GDPR-wetgeving van kracht werd, dat autoriteiten chronisch ondergebudgeteerd zijn, waardoor er vaak geen middelen zijn voor dergelijke awarenesscampagnes. “Geef de autoriteiten morgen een verdubbeling van hun budget, en dan zullen ze nog handen en voeten tekort komen”, lacht Bart, “maar, je zal wel snel een gigantische verandering zien. Het is ergens zonde dat je een wet hebt, die via een autoriteit afgedwongen zou moeten worden, maar door een tekort aan middelen hier niet aan toe komt. Dit is niet enkel een probleem in België, maar we zien hetzelfde gebeuren in Nederland bijvoorbeeld.” Nog werk aan de winkel dus.
Positief toekomstbeeld.
Je zou er bijna cynisch van worden. Toch blijven privacy professionals, zoals Bart en wij zelf, positief. “Ik ben in de basis een ontzettende GDPR-fan. Ik vind dat de tekst goed en zeer begrijpbaar geschreven is. We mogen ook niet vergeten dat we pas 6 jaar onderweg zijn, een reis die zo ingrijpend is als deze, dat doe je niet zomaar eventjes in 6 jaar. Dat heeft tijd nodig,” benadrukt Bart. “GDPR heeft het ervoor gezorgd dat bedrijven bewuster zijn geworden van de privacy van hun klanten. Dit heeft geleid tot betere beveiliging van persoonsgegevens en meer transparantie over hoe deze gegevens worden gebruikt.”