Van uw buurtsupermarkt tot Amerikaanse internetreuzen als Google en Facebook: vanaf vrijdag 25 mei vallen ze allemaal onder de Algemene Verordening Gegevensbescherming, ook bekend als de GDPR (General Data Protection Regulation). Met die nieuwe privacyregels wil de Europese Unie bepalen hoe bedrijven met onze data mogen omgaan.
...

Van uw buurtsupermarkt tot Amerikaanse internetreuzen als Google en Facebook: vanaf vrijdag 25 mei vallen ze allemaal onder de Algemene Verordening Gegevensbescherming, ook bekend als de GDPR (General Data Protection Regulation). Met die nieuwe privacyregels wil de Europese Unie bepalen hoe bedrijven met onze data mogen omgaan. En er is ook aan de kinderen gedacht: Europa suggereert dat ze tot hun zestiende de toestemming van hun ouders moeten vragen om een aantal onlinediensten te gebruiken. Afzonderlijke lidstaten mogen daar wel van afwijken, en net als veel andere landen kiest België voor een lagere leeftijd: al na hun dertiende mogen Belgische jongeren zonder tussenkomst van hun moeder en vader online. 'Over die leeftijdsgrens bestaat nogal wat verwarring', zegt Eva Lievens, professor recht en technologie aan de UGent. Eva Lievens: Staatssecretaris voor Privacy Philippe De Backer (Open VLD) stelde het onlangs voor alsof je onder die grens altijd toestemming van je ouders nodig hebt om een profiel aan te maken op sociale media als Facebook. Dat hoeft helemaal niet zo te zijn. De GDPR voorziet een aantal scenario's waarin gegevens van gebruikers verwerkt mogen worden, en maar één daarvan berust op ouderlijke toestemming. Facebook heeft die nodig als het bijvoorbeeld gaat over de biometrische gegevens die het bedrijf verzamelt met een tool als gezichtsherkenning. Dat ligt gevoelig. Het zou wel eens kunnen dat socialenetwerkbedrijven daarom een lightversie van hun site zullen aanbieden. Jongeren of andere gebruikers zouden daarmee een veiliger profiel kunnen aanmaken, waarin minder data worden opgeslagen. België kiest voor een leeftijdsgrens van dertien jaar: is dat verstandig? Lievens: Het is merkwaardig dat internetbedrijven die in de hele EU actief zijn nu rekening moeten houden met verschillende grenzen. Er zit ook niet echt een lijn in hoe de lidstaten daarover hebben beslist. En dat terwijl de EU met de GDPR net meer harmonisatie beoogde. Er zijn nogal wat argumenten om de grens op dertien jaar te leggen: hij sluit het best aan bij de realiteit. Maar vooral: zo'n leeftijdsgrens is sowieso maar een miniem deel van de bescherming die kinderen nodig hebben als het over hun onlinedata gaat. In sommige situaties is het niet eens zo verstandig om met de toestemming van de ouders te werken. Wat als die niet geïnteresseerd zijn in wat hun kinderen online doen? Of niet begrijpen waar het precies om gaat? Kinderen krijgen dan geen toestemming en vallen uit de boot. Of ze zullen, zoals ze nu al vaak doen, liegen over hun leeftijd. De EU had beter duidelijkere verplichtingen kunnen opleggen over het verwerken en bijhouden van sommige data. Staan er rond minderjarigen nog meer maatregelen in de GDPR? Lievens: Bij het recht om vergeten te worden (mensen moeten de mogelijkheid hebben om hun profiel op socialenetwerksites definitief te laten verdwijnen, nvdr.) gaat het ook expliciet over minderjarigen - en om meerderjarigen die data uit hun jeugd willen verwijderen. Verder worden kinderen niet vermeld, maar er zijn wel andere delen van de GDPR die nuttig kunnen zijn voor hun bescherming. Er zijn, bijvoorbeeld, een aantal criteria die bedrijven verplichten om op voorhand goed na te denken over de vraag: 'Welke gegevens verwerken we voor welk doel?' Dat doen ze door een zogenoemde gegevensbeschermingseffectbeoordeling uit te voeren. Gaat het om kwetsbare personen, bijvoorbeeld kinderen, dan moeten ze daarmee rekening houden. Het kinderrechtenverdrag van de Verenigde Naties zorgt er overigens nu al voor dat ze voorzichtiger met de privacy van kinderen moeten omspringen. Bent u er gerust op dat de GDPR ervoor zal zorgen dat het internet een veilige omgeving voor kinderen wordt? Lievens: Absoluut niet. De GDPR heeft enorm veel implicaties, en die moeten allemaal nog worden uitgewerkt. Bij iedereen die daarmee bezig is, staan kinderen niet hoog op de prioriteitenlijst. De meeste bedrijven zijn al tevreden als ze hun privacysettings aan de basics van de GDPR kunnen aanpassen. Maar ondertussen leven we wel in een tijd waarin er, door echografieën online te zetten, nog voor hun geboorte data over kinderen worden verspreid. Heeft de uitvoering van alle nieuwe regels geen vertraging opgelopen? Lievens: Ja. Veel betrokkenen weten nog altijd niet waar ze aan toe zijn. Er is veel achterstand, zelfs paniek. Ook de wet waarin de GDPR in België moet worden omgezet, is er nog niet. Een heel aantal bepalingen stonden anders al in de privacywet van 1992. Die is niet altijd goed toegepast, en sanctioneren kon ook niet. Dat verandert nu gelukkig wel. Helaas wordt er ook veel desinformatie verspreid. Er zijn nogal wat charlatans die zich uitgeven voor GDPR-expert. Het zal nog zeker een jaar duren voor er meer klaarheid komt. Zou de Belgische overheid nog meer kunnen doen om kinderen te beschermen? Lievens: De privacycommissie kan en moet een sleutelrol spelen. Jongeren moeten goed geïnformeerd worden, en bedrijven ook: hoe moeten zij met de bescherming van jongeren omgaan?Helaas is ook de privacycommissie door de nieuwe regelgeving overweldigd. Ze wordt bovendien helemaal hervormd - de komende tijd zal ze allicht vooral daarmee bezig zijn. Hebt u, tot slot, nog advies voor ouders? Lievens: Praat zoveel mogelijk over dit onderwerp met je kinderen. Grijp elk nieuwtje in de actualiteit aan. Maar wees je, als ouder, in de eerste plaats zélf bewust van de privacysettings van de onlinediensten die je gebruikt. Als jij ze niet begrijpt, kun je ze moeilijk aan je kroost uitleggen.