10 april 2018
annelies
, , , , , , , ,
0

Privacy!

Dichtbij 2018-2, cartoon

Alles wat je moet weten over de privacy van jouw leerling, patiënt of bewoner (en over die van jezelf)

Ook gelezen? ‘Facebookschandaal veel groter dan gedacht: 87 miljoen gebruikers getroffen’. Cambridge Analytica bezit gegevens van mogelijk 61.000 gebruikers’. ‘Hey Google, Siri en Alexa: luisteren jullie ons af terwijl we niet opletten?’ ‘Argenta verbijstert privacy-experts met overschrijvingen via e-mail’. Privacy is hot! En jouw school of voorziening bezit een pak gevoelige data… Wat mag en wat mag niet? En hoe beschermen we die data? Niemand lijkt er een uitsluitend antwoord op te hebben. Maar dat is buiten Caroline De Geest, woordvoerder van de Privacycommissie, gerekend! Broeders van Liefde trok naar Brussel om er met haar over te praten en antwoorden te vinden. Want vanaf 25 mei verandert alles. Of niets?

1. Wat is dat eigenlijk: privacy?

“Er is een belangrijk verschil tussen privacy en het recht op gegevensbescherming. Gegevensbescherming gaat over het beschermen van identificatiegegevens. Denk maar aan je naam, geboortedatum, woonplaats, bankrekeningnummer of foto. Privacy is een veel ruimer begrip en persoonlijker. Het betekent voor iedereen iets anders, waardoor het ook moeilijk af te bakenen is. En we zijn er allemaal dagelijks mee bezig. Schuif je thuis bijvoorbeeld je gordijnen dicht, dan scherm je je privacy af! In het algemeen betekent het ‘de vrijheid om zelf te bepalen wat je wil laten zien aan een ander’. Iemands privacy hangt dus ook sterk af van de context. Bij een dokter deel je je privacy meer dan bij een verre kennis. Ik geef een voorbeeld. Je staat op straat te praten over een voetbalmatch met enkele vrienden. Een onbekende voegt zich bij je groepje. Het feit dat die onbekende kan meeluisteren naar je voetbalopinie is een privacyzaak. Maar de persoon kan niet te weten komen wie jij bent door het gesprek. Er zijn geen persoonlijke gegevens in het geding. Praat je echter met je vrienden over je medische toestand en neemt iemand dit gesprek op met zijn smartphone, dan heeft hij of zij wel persoonlijke gegevens over jou. In dat geval gaat het over privacy én databescherming.”

2. Waarom is de GDPR nodig?

“Tot 1992 was er in de wetgeving slechts verspreid aandacht voor privacy en gegevensbescherming van de burger. In 1992 stelde men een eerste belangrijke wet op rond dat thema (vandaag ook wel de ‘Privacywet’ genoemd). Die wet was echter niet meer afgestemd op de huidige maatschappelijk evoluties. Europa besliste daarom om met een gezamenlijk kader te komen. Vanaf 25 mei 2018 is er dus een Europese verordening van kracht, genaamd GDPR. Die houdt onder meer rekening met evoluties op vlak van digitale media, cloudopslag van data, internationalisering, het feit dat bedrijven in veel landen tegelijk actief zijn en de mogelijkheden om data te verkopen en te commercialiseren. Enerzijds zal de burger in de toekomst meer controle hebben over zijn data. Anderzijds wordt bij het verwerken van data een grote verantwoordelijkheid gelegd bij de verwerkers (bedrijven, organisaties, overheid,…). Nieuw is ook dat verwerkers administratieve sancties kunnen krijgen als ze niet correct omgaan met de data die ze bezitten. Wist je trouwens dat er in de VS helemaal anders wordt gedacht over gegevensbescherming? In Europa is gegevensbescherming een grondrecht, terwijl dit in de VS niet meer is dan een consumentenrecht, waar data verhandelbaar zijn. Dat verklaart het verschil in aanpak en regelgeving tussen beide continenten.

3. Wat verandert er voor jouw school of voorziening?

“Het management van elke organisatie, dus ook jouw school of voorziening, moet vanaf 25 mei 2018 kunnen aantonen dat de data waarover ze beschikt correct worden behandeld, conform de richtlijnen in de ‘GDPR’ (zie vraag 2). En jouw werkplek beschikt over veel data. Denk maar aan alles wat jullie bijhouden over leerlingen, patiënten of bewoners, maar ook alle data over de 15.000 medewerkers van de Broeders van Liefde. Wat is ‘correct behandelen’? 4 zaken zijn belangrijk:

  • Data kan enkel verwerkt worden indien er een gerechtvaardigde basis voor is. Dat kan zijn, de (voorafgaandelijke en geïnformeerde) toestemming van de betrokken persoon, een contract of overeenkomst, een wettelijke verplichting,… Er zijn ook uitzonderlijke omstandigheden waarin data vrijgegeven mogen worden. Denk maar aan het doorgeven van de bloedgroep van iemand die op sterven ligt.
  • Eens er een gerechtvaardigde basis is voor het verwerken van iemands data, wil dat nog niet zeggen dat je als bedrijf zomaar om het even wat met die data kan doen. Er rust op de verwerker een transparantieplicht. Personen moeten weten hoe hun data gebruikt worden en met wie ze gedeeld worden. Het is niet voldoende om te zeggen ‘We delen je gegevens met partnerorganisaties’. Je moet expliciet vermelden om welke spelers het dan gaat.
  • Je mag enkel die data inwinnen die je nodig hebt om je doel te bereiken en je moet de data verwijderen als die niet meer gebruikt worden.
  • Organisaties moeten over hun gegevensverwerking communiceren in een transparante taal, op maat van de leerling, ouder, bewoner of patiënt. Iemand met een visuele beperking kan dus met recht en rede klacht indienen als de voorziening simpelweg vermeldt: ‘lees het op de website’. Communicatie is dus cruciaal in dit verhaal.

4. Wat verandert er voor jou?

“Voor organisaties verandert er heel veel (zie vraag 3). Het kan bijvoorbeeld zijn dat er in jouw school of voorziening structurele dingen aangepast worden. Nieuwe formulieren, nieuwe instructies en afspraken, nieuwe procedures of andere manieren om data te beveiligen. Maar principieel verandert er voor jou als persoon eigenlijk niets. Jouw werkgever verwacht namelijk altijd al dat je ethisch omgaat met de data van je leerlingen, bewoners, patiënten of collega’s, maar misschien werd dat vroeger niet zo expliciet gezegd. Meld je af ‘s avonds, laat geen paswoorden rondslingeren, deel geen vertrouwelijke info met onbevoegden, hou je aan de gekende procedures en afspraken in je voorziening of school. Gegevensbescherming is niets nieuws. Wat nieuw is, is de mentaliteitswijziging!”

5. Welke sancties bestaan er bij fouten?

“Het is niet zo dat er hier vanuit de “Gegevensbeschermingsautoriteit” (nieuwe naam voor de Privacycommissie vanaf 25 mei) op 26 mei busjes met controleurs zullen vertrekken naar alle Belgische organisaties om te controleren of ze de nieuwe wetten correct toepassen. Onze bedoeling is om organisaties te begeleiden. Wat loopt goed? Waar zitten gebreken? Wat zijn realistische mogelijkheden om problemen aan te pakken en weg te werken? Organisaties kunnen bij ons aankloppen voor advies en begeleiding. Sancties zijn een laatste middel. Individuen die fouten maken (een laptop verliezen, moedwillig data delen met externen, structureel misbruik van gegevens,…) zijn niet onze primaire focus. Zij kunnen door hun werkgever aangesproken worden of in het ergste geval voor een strafrechtbank terecht komen. Zoals ik echter al zei (zie ook vraag 4): voor het individu verandert er principieel niets. Het feit dat je berecht kan worden als je bijvoorbeeld de data van al je patiënten op straat gooit, is vandaag ook al mogelijk.”

6. Kost het toepassen van deze nieuwe wetgeving ons niet ontzettend veel geld?

“Voor kleine spelers lijkt het meteen een grote hap uit hun budget, maar bedenk dan eerst en vooral dat het ook ontzettend veel geld zal kosten als je systeem gehackt wordt. En dan spreken we nog niet over de imagoschade bij een gegevenslek. Men zegt wel eens ‘Data zijn het nieuwe groen’. Waar het lange tijd hip en hot was om je als een ‘duurzaam en groen’ bedrijf te profileren, proberen organisaties nu steeds vaker de kaart te trekken van het ‘ethisch omgaan met data’. We pleiten er ook voor om het thema op grotere schaal aan te pakken en stimuleren bedrijven en koepelorganisaties om met elkaar samen te werken en good practices te delen. In die zin heeft Broeders van Liefde door zijn schaalgrootte een heel groot voordeel. Maar het klopt. Er zijn geen extra middelen voorzien vanuit de Belgische of Europese overheid. Ook wij als Privacycommissie moeten meer doen met hetzelfde budget en hetzelfde aantal mensen.”

7. Is onze organisatie een mogelijk doelwit van hackers?

“Ik vermoed dat Broeders van Liefde behoorlijk veel gevoelige informatie over mensen bijhoudt (waaronder medische gegevens)… Ach, iedereen denkt dat de data die hij bijhoudt niet zo interessant is. We moeten beseffen dat technologie steeds slimmer wordt en data vanuit verschillende bronnen steeds beter aan elkaar kan koppelen. Dan wordt het wel interessant! Hoe gevoeliger de data, hoe waardevoller. En afpersen kan altijd. De maatschappij evolueert ook heel snel. Wat vandaag niet waardevol is, is het morgen misschien wel! Data is de nieuwe olie. Wie data bezit, heeft macht en kan heel veel bereiken. Denk maar aan de door Facebook gelekte data van 80 miljoen Amerikaanse burgers die ingezet werden voor de verkiezingen in de VS. Een hogeschool of universiteit die de rapporten van alle leerlingen op jullie middelbare scholen bezit, zou hen gericht informatie kunnen sturen over de richtingen die zij aanbieden. Dat is op zich iets positiefs, maar ze zou bepaalde groepen leerlingen ook kunnen onthouden van informatie en dan wordt het al een heel ander verhaal. Waar zit dan nog de eigen keuze?”

8. Waar moet ik een klacht indienen als er data over mij gelekt wordt?

“Wie een klacht heeft over een organisatie, werkgever of bedrijf moet er in eerste instantie contact mee opnemen en zijn klacht aankaarten en bespreken. Heb je op je werk een klacht, spreek dan de informatieveiligheidsverantwoordelijke van jouw school of voorziening aan. Vang je daar bot of ben je ontevreden over de manier waarop ze je klacht aanpakken, dan kan je verdere stappen ondernemen, bijvoorbeeld via de politie, de Privacycommissie of het gerecht.”

9. Is volledige privacy vandaag nog mogelijk?

“Neen. Of je zou al in het geheim moeten geboren worden ergens in een oerwoud waar niemand je ooit ontmoet. (lacht) Kijk, vanaf het moment dat je je als burger registreert, wordt er ontzettend veel data over je bijgehouden. Denk alleen maar aan alle informatie die een ziekenhuis over je kindje verzamelt in de eerste uren na de geboorte. Maar dat  levert je ook veel voordelen op. Door je data te delen met de overheid heb je als burger bijvoorbeeld rechten en kan je genieten van allerlei dingen zoals sociale zekerheid en pensioen. Op sociale media krijg je vaker de juiste reclame op het juiste moment te zien. Je persoonlijke data delen levert ook veel sociale voordelen op. Je kan bepaalde apps downloaden of lid worden van digitale sociale netwerken. Die sociale voordelen maken het zo moeilijk om te weerstaan aan de sociale druk. Ik ben zelf niet actief op sociale media en heb nergens klantenkaarten. Ik moet mij daarvoor vaak verantwoorden.”

10. Waarom moeten we schrik hebben om onze persoonlijke data te delen?

“Kijk, heel veel mensen springen erg laks om met hun persoonlijke gegevens… tot ze zelf slachtoffer worden en bijvoorbeeld de toegang geweigerd worden op Tomorrowland omdat ze ooit een joint gerookt hebben op een openbare plaats. We worden dus verleid door de voordelen en zijn bereid om de eventuele nadelen erbij te nemen, zolang die onszelf maar niet treffen. Politici dwepen vaak met de slogan ‘Wie niets te verbergen heeft, heeft niets te vrezen’. Dat wil echter niet zeggen dat we zomaar bereid zijn om ons hele huishouden publiek te maken. We doen ’s avonds onze gordijnen niet alleen voor de gezelligheid dicht en pubers vinden het zeker niet fijn als er in de zoektocht naar hun seksuele geaardheid bepaalde feiten publiek gemaakt worden. Privacy is een basisrecht. Maar het is geen absoluut recht en dus kunnen politici er in bepaalde omstandigheden op ingrijpen, denk maar aan het opsporen van ‘mogelijke’ terroristen of mensen zonder verblijfsvergunning. Maar we moeten daar toch heel erg mee oppassen. De nazi’s gebruikten die strategie in extreme mate om een bepaalde groep te identificeren en we weten allemaal tot wat dat geleid heeft.”

Wie is Caroline De Geest? Dichtbij 2018-2, foto Caroline De Geest

  • Caroline De Geest is al 3 jaar woordvoerder van de Privacycommissie. Ze werkte daarvoor 5 jaar voor de Liga voor Mensenrechten als juridisch adviseur privacy, waar ze nog steeds actief is als vrijwilliger.
  • Ze woont in Gent. In haar vrije tijd houdt ze ervan om te reizen, te lezen, film of theater mee te pikken.
  • Ze is een product van de Broeders van Liefde: ze volgde haar middelbaar onderwijs in het Sint-Paulusinstituut.
  • Ze studeerde af als juriste aan Universiteit van Gent (2007), behaalde een manama in Internationale Criminologie in London (2008) en volgde een specialisatie in Mensenrechten in Nottingham (2010).

Auteur annelies