1 jaar GDPR: oneerlijk dat gewone mensen moeten opboksen tegen techgiganten

De GDPR, de General Data Protection Regulation, wordt één jaar. Het is Europa’s antwoord op de versnippering aan nationale regelgeving en wordt door de EU als essentieel gezien om de rechten van individuen te versterken in het digitaal tijdperk

Deze rechten staan immers onder druk door het op dataverzameling gebaseerde zakenmodel dat het internet domineert. Het doel, beschreven in artikel 1 van de richtlijn, is het vrijwaren van het recht op bescherming van persoonsgegevens. Ze vormt samen met de oude ePrivacy-richtlijn, die voornamelijk over het plaatsen van cookies handelt, het speerpunt van de privacyrechten van Europese burgers op en rond het internet.

Werd het doel na één jaar bereikt? Is er vooruitgang geboekt of bracht de wetgeving weinig zoden aan de dijk? Positief is zeker dat ieder bedrijf of organisatie even heeft moeten stilstaan bij de omgang met persoonlijke gegevens allerlei. Privacy werd bespreekbaar, mailinglijsten werden opgekuist en HTTPS-versleuteling wordt meer gebruikt.

Maar er zijn ook serieuze beperkingen. Deze opgelegde oefening en de bijhorende documentenlast zijn een meerkost voor (kleine) organisaties of ondernemers terwijl die nooit de bron van het probleem waren. De GDPR, zo concludeert academisch onderzoek, leidde zelfs tot een vals gevoel van veiligheid – er is een privacybeleid (al dan niet conform de GDPR), dan zal het wel oké zijn.

Instemming vragen aan een gebruiker lijkt een goed idee dat macht geeft aan het individu, maar eigenlijk legaliseert dit het probleem. Met één verkregen toestemming is alles weer bij het oude. Consent fatigue, waarbij gebruikers bijna automatisch de voorwaarden van een website aanvaarden, is een lastig en cruciaal neveneffect waar datagraaiers wel bij varen. 

Klikken op een opvallende knop die u meteen toegang verschaft tot wat u zocht is nu eenmaal veel aantrekkelijker dan zoeken naar een lichtgrijze "meer info" op een witte achtergrond. Je privacy beheren is een zware opgave als je driemaal moet doorklikken en vijf schuivers moet aanpassen om pakweg een weersvoorspelling voor morgen te lezen.

Heel gemakkelijk wordt het je gemaakt bij Google, waar je met één klik toestemming geeft om in het kader van hun vele diensten data over je te verzamelen: de sites die je bezoekt, de video’s die je kijkt, de zaken die je opzoekt, de e-mails die je schrijft en ontvangt, de documenten die je er bewaart, jouw locatie…

Daarnaast maakt men vlijtig gebruik van de uitzonderingen die de GDPR voorschrijft. Facebook wijzigt zijn tracking-technieken zodat hun scripts als "website-eigen" beschouwd worden, en dus makkelijker aanvaard worden door browsers. Website-eigen trackers zijn immers toegelaten. Zo blijft alles bij het oude en kan u niet weigeren!

Een impactstudie van de GDPR concludeert dat slechts enkele van de 500 meest bezochte websites in Europa echt een keuze bieden wat betreft tracking. Zorgwekkend is dat bedrijven als Mailchimp, waarmee men grote mailings kan opmaken en versturen, alle verantwoordelijkheid afschuiven op hun klanten. Zij moeten de toestemming van de abonnees verkrijgen opdat Mailchimp de gegevens die het verzamelt, kan delen met onder meer reclamebedrijven. Dit wordt vastgelegd in een gegevensverwerkingsovereenkomst en opnieuw is een ongelijke verhouding gelegaliseerd.

Bovendien doet de GDPR niets aan de gigantische dataverzameling zelf. Uit de vele recente schandalen (Cambridge Analytica bij Facebook, het spionagelek bij Whatsapp, het half miljoen te grabbel gegooide profielen op Google+...) leren we dat het internet zelden echt veilig is. Is het wel verantwoord om zoveel informatie centraal te verzamelen?

Hoe zit het overigens met de veiligheid en discretie van pakweg de Belgische overheidsdiensten? De VDAB doet zijn mailings alvast met MailChimp en Google Analytics siert de websites van onze Federale overheidsdiensten. Zij zouden perfect de privacyvriendelijke en gratis alternatieven Mosaico en Matomo kunnen gebruiken. De rijksoverheid in Nederland maakt bv. gebruik van Matomo.

Het is oneerlijk om mensen ieder voor zich te laten opboksen tegen gigantische bedrijven met de eigen privacy als inzet. Dat is een ongelijke strijd in macht, kracht en kennis. Wanneer u akkoord gaat wordt u geacht te weten waar u mee instemt. Weinigen weten hoe een website werkt, laat staan een browser of internetverkeer.

Hoe kan ieder voor zich zo, in combinatie met juridisch jargon, de impact op haar privacy en dagdagelijks gedrag dan inschatten? Onze wetgevers moeten hun verantwoordelijkheid opnemen. In plaats van een akkoord van iedere gebruiker, moeten de internetreuzen een gebod vanuit de politiek krijgen.

We kunnen ervoor zorgen dat informatie op websites toegankelijk moet zijn zonder cookies (eenvoudige tekstbestanden die bij het gebruik van  websites op de harde schijf van jouw computer, tablet of smartphone worden opgeslagen, red.) – zo functioneert Wikipedia.

Politieke reclametargeting kan aan banden gelegd worden om onze democratie te versterken. Het democratisch bestel kan een zogeheten Do Not Track-standaard definiëren, iets waar browserontwikkelaars en internetbedrijven het maar niet over eens geraken. 

Het volgen en verzamelen van uw digitale vingerafdruk (een verzameling van schijnbaar onschuldige gegevens over bijvoorbeeld de taalinstellingen van uw toestel, de schermgrootte, de browserinstellingen, het besturingssysteem, enz. Allemaal samen genomen identificeren deze gegevens de specifieke machine waarop u surft), zou een wettelijk kader moeten krijgen – U kan de uwe overigens nakijken via https://amiunique.org/fp.

De toestand na één jaar GDPR moet ons zorgen baren en dwingt ons om verder te gaan. Omdat privacy het recht is om niets te moeten verbergen.