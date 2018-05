Data beheersen ons leven, maar we zijn de controle kwijt. Met het gevreesde vierletterwoord GDPR wil Europa vanaf vrijdag 25 mei het datamonster intomen. Wat mogen we verwachten?

Zaterdagochtend 21 april. Ik wil van mijn appartement in het centrum van Antwerpen naar Linkeroever fietsen. Een dag later vindt daar de loopwedstrijd Antwerp Ten Miles plaats en ik moet mijn wedstrijdnummer nog ophalen. Omdat ik zelf geen fiets heb, ga ik met een Velo, de rood-witte deelfiets.

11.32 uur: De stappenteller op mijn iPhone detecteert voor het eerst beweging, 150 stappen naar de Velo-halte in de Mercatorstraat.

11.49 uur: Iets loopt fout. De automaat weigert mijn Velo-jaarkaart. Ik veranderde van bank en heb de jaarbetaling gemist. Gelukkig kan ik de gegevens van mijn nieuwe kredietkaart snel in het online portaal van Velo Antwerpen ingeven. Om 11.51 uur krijg ik een bevestigingsmail. Een minuut en 31 seconden later hijs ik alsnog een fietsje uit het slot.

12.03 uur: Ik zet de Velo even in de halte aan het Rubenshuis voor een lunch. Prijskaartje 12 euro, lees ik later in mijn KBC-app.

13.01 uur: Aankomst op Linkeroever. Ik toon de bevestigingsmail die ik op 5 maart om 16.38 uur kreeg. Golazo geeft me een enveloppe waarop mijn startnummer, naam en adres netjes voorgedrukt staan.

13.30 uur: Ik stop even aan de Melkmarkt voor wat inkopen. Ik geef 17,90 euro uit en zet 431 stappen.

GDPR dossier GDPR Komende vrijdag wordt de nieuwe Europese datawet GDPR van kracht. Wat dat voor u betekent, als consument of ondernemer, leest u in ons dossier.

Dit overzicht hield ik niet bij met pen, papier en chronometer. Het is ook niet volledig. Ik bekeek meerdere keren Instagram of Twitter, streamde onderweg muziek via Apple Music en werd door bewakingscamera’s gefilmd. Toch is het een volle maand later niet moeilijk een groot deel van mijn datastroom op te roepen. Via het online portaal van Velo, mijn iPhone, mijn Outlook-adres en de KBC-app. Het confronteert me met wat ik onbewust al langer weet: om dagelijks te doen wat we willen, strooien we continu data rond.

Die laksheid over onze persoonsgegevens is niet nieuw. Privacy is de afgelopen jaren meermaals dood verklaard. Maar voor de Europese autoriteiten is het welletjes geweest. Volgende week vrijdag lanceren ze ’s werelds meest verregaande regels voor de bescherming van onze persoonlijke gegevens: de General Data Protection Regulation (GDPR). Steve Wozniak, de medeoprichter van Apple, zei in een gesprek met lezers van De Tijd Europa te bewonderen voor de invoering van de GDPR. Volgens de Amerikaanse technologiejournalist Robert Levine is de GDPR het enige vierletterwoord dat bedrijven als Facebook vrezen.

De regels zijn een doolhof. Soms moet een bedrijf toestemming vragen, soms niet. Soms mag het data gebruiken, soms niet.

Het brede pakket privacyregels staat sinds 2011 in de steigers en wordt vrijdag na een overgangsperiode van twee jaar eindelijk van kracht. Dat alles anders wordt, klinkt voor een keertje niet hol. Europa weet ditmaal waar het privacyzondaars moet treffen: in hun portefeuille. Bedrijven, overheden of individuen die de regels aan hun laars lappen, riskeren boetes tot 20 miljoen euro of 4 procent van hun jaarlijkse wereldwijde omzet. Recente schandalen over datamisbruik, zoals dat van Facebook en het bigdatabedrijf Cambridge Analytica, zetten de komst van de GDPR extra op scherp. In de hoorzittingen in het Amerikaanse Congres met Facebook-topman Mark Zuckerberg vroegen senatoren of er geen Amerikaanse versie van de GDPR nodig is.

Maar wat mogen wij van de GDPR verwachten? Kunnen we ermee onze datastroom beter onder controle houden? Het centrale idee achter de GDPR is dat de burger weer zelf moet kunnen beslissen wie zijn data voor welk doel gebruikt. Het kernwoord is ‘toestemming’.

Anonieme ritjes

Opeens baren mijn deelfietsritjes me zorgen. De uitbater van het deelfietssysteem is ClearChannel, een bedrijf dat overal grote reclamepanelen plaatst. Gaf ik bij de aanmaak van mijn Velo-profiel het fiat om mijn data te gebruiken? Ik weet het niet meer. Kan het bedrijf dankzij mijn ritjes door de Antwerpse binnenstad de plaatsing van een reclamebord optimaliseren?

De data waar de partners van het deelfietsprogramma, ClearChannel en Stad Antwerpen, gebruik van maken, zijn persoonsgegevens, zoals je naam, adres, kredietkaart. Gebruikers moeten daarvoor hun toestemming geven. ‘Het gaat om data die wettelijk gedeeld mogen worden’, stelt Beatrice Moes van ClearChannel. Dat ook het begin-, het eindstation en de duur van de rit te traceren zijn, is nodig voor de werking van het systeem. Dat is een eerste belangrijke uitzondering op de toestemmingsvereiste van de GDPR. Als data nodig zijn om een dienst of een product te leveren hoeft een gebruiker geen toestemming te geven. Shop je online en wil je het pakketje thuis laten leveren? Dan heeft de leverancier je adres nodig.

ClearChannel onderstreept dat het systeem niet kan volgen hoe Velo-fietsers zich door Antwerpen verplaatsen. Alleen om het systeem bij te sturen of te evalueren kijken de beheerders van het systeem naar ritdata. Maar het gaat om geanonimiseerde data, die niet aan individuen gelinkt kunnen worden. Zo kan Velo Antwerpen beslissen om in extra capaciteit te voorzien.

Doolhof

Dit voorbeeld geeft meteen de valkuil van de GDPR weer. De regels zijn een doolhof. Soms moet een bedrijf toestemming vragen, soms helemaal niet. Soms mag het data gebruiken omdat het die nodig heeft voor een goede dienstverlening, soms niet. Hetzelfde geldt voor overheden. Als je via een online overheidsportaal een verhuis meldt of een document opvraagt, moet de dienst Bevolking je niet eerst om toestemming vragen om met je data aan de slag te gaan. De overheid kan zich op haar ‘legale verwerkingsgrond’ beroepen. Simpelweg gesteld: een overheid is verplicht wettelijke taken uit te voeren en heeft daar data voor nodig.

Bedrijven die de privacykaart trekken kunnen consumenten die daar belang aan hechten over de streep trekken.

Als bedrijven en overheden wel een fiat moeten vragen, is de manier waarop niet langer vrijblijvend. Ze moeten de vraag specifiek, helder en ondubbelzinnig formuleren, zodat je een geïnformeerde keuze kan maken. Met andere woorden, ze mag de vraag niet verdrinken in juridisch jargon, om je alsnog vanalles aan te smeren. De voorbije weken kreeg u vermoedelijk een regen van mails van bedrijven die u ook na 25 mei willen blijven contacteren. Het jargon dat bedrijven daarin hanteren is voor een keer heerlijk helder. ‘Wilt u nog op de hoogte blijven van acties, mails of aanbiedingen?’ klinkt het vriendelijk, maar dwingend.

In die zin is de GDPR een stap vooruit. ‘De klant heeft weer controle over zijn data’, is de teneur bij de bedrijven. Een klant kan altijd een verzoek bij een bedrijf of een overheid indienen om zijn data in te kijken, aan te passen of te verwijderen. Dat bouwt verder op het ‘right to be forgotten’-principe, dat voet aan de grond kreeg na een rechtszaak tegen de zoek-gigant Google.

Grote ramp

De grote vraag is hoeveel mensen effectief zo’n verzoek indienen. Maar alleen al dat het moet kunnen, leidt tot veel werk. Het kabel- en entertainmentbedrijf Telenet richtte 16 werkgroepen op die zich over de GDPR moeten buigen. Vanaf 25 mei kunnen mensen hun data opvragen in een ‘eenvoudig leesbaar format’. Dat klinkt simpel, maar is het niet. Telenet riep op de klantendienst een speciaal team in het leven dat verzoeken om data te verwijderen moet beoordelen. Ook de IT-machinerie moet aangepast zijn. ‘Dat heeft onvermijdelijk een prijskaartje’, is te horen bij de operator.

De privacyregels kunnen de datasets van bedrijven doen inkrimpen. Daardoor kunnen internetdiensten een tikkeltje minder op onze noden of profielen afgestemd zijn. ‘In de Verenigde Staten kan je gemakkelijker de dataset van een supermarkt als Best Buy met die van een grote bank combineren om bepaalde consumentenprofielen op te stellen’, zegt Erik Mannens, professor bij het Data Science Lab van de Universiteit Gent. ‘In Europa kan het dat gebruikers daar niet langer hun toestemming voor geven. Je moet dan inzichten halen uit kleinere en geanonimiseerde datasets.’

Bedrijven die de privacykaart trekken kunnen consumenten die daar belang aan hechten over de streep trekken.

De privacyregels beïnvloeden zo ook het businessmodel van bedrijven. Telenet maakte in zijn GDPR-mail gebruikers erop attent dat ze ingedeeld worden in vier privacyniveaus: algemeen, gericht, persoonlijk of uniek. In een heldere tool kan je zien wat je niveau is en hoe je dat kan wijzigen. Negentig procent van de Telenet-gebruikers is niveau drie, ‘persoonlijk’. Daarbij hoort gepersonaliseerde tv-reclame. Je kan gemakkelijk van niveau switchen en die gepersonaliseerde reclame laten wegvallen. Dat is een risico voor Telenet, want voor gepersonaliseerde reclames betalen adverteerders meer.

Maar door open kaart te spelen kan dat risico ook een opportuniteit worden. ‘De verhoudingen zijn gekeerd’, stelt Ivan Vandermeersch, secretaris-generaal van de Belgian Association of Marketing. ‘Eerst vond iedereen de GDPR een grote ramp, nu wordt ze plots het grote voorbeeld.’ Bedrijven die de privacykaart trekken, kunnen consumenten die daar belang aan hechten over de streep trekken.

Voor bedrijven is de GDPR ook een opportuniteit om intern orde op zaken te stellen in hun gigantische datasets. In een enquête van het IT-dienstenbedrijf IBM bij 1.500 managers werd duidelijk dat 80 procent nu al datasets inkrimpt. Bijna evenveel (78%) reduceert het aantal mensen dat toegang heeft tot de data.

Besognes

Op het niveau van de overheden spelen dezelfde besognes. Digipolis, de IT-dienst van de stad Antwerpen, werkt aan een technische tool die data nauwgezetter moet behandelen. De tool filtert data die niet cruciaal zijn voordat hij ze verder doorgeeft. Hij checkt welke personen toegang hebben tot de data, op welke grond dat gebeurt en of de burger toestemming heeft gegeven.

Maar de afhandeling van de data blijft door de link met leveranciers en andere partners niet beperkt tot de eigen organisatie. In Antwerpen kan je met de A-kaart binnengeraken in bibliotheken, maar ook in zwembaden. ‘Een concertzaal vroeg ons of ze via de A-kaart mochten controleren wie in aanmerking komt voor een verlaagde tegemoetkoming, zoals een korting voor leefloners’, zegt Michiel Van Remoortere, het afdelingshoofd organisatiebeheer. ‘We spraken af dat bij het inlezen van de kaart enkel wordt getoond of het statuut van toepassing is, ja of nee. Zo geven we geen persoonsgegevens door.’

De vraag rijst of Europa zich niet met een competitief nadeel opzadelt door regels op te leggen die datasets doen inkrimpen.

Het blijft balanceren op een slappe koord. Niet alleen voor bedrijven en overheden, zelfs voor het hele Europese continent. Gigantische datasets zijn cruciaal voor artificiële intelligentie. Zonder big data kan je algoritmes moeilijker trainen zodat ze zich dingen kunnen aanleren. Het doet de vraag rijzen of Europa zich niet met een competitief nadeel opzadelt door regels op te leggen die datasets doen inkrimpen. Mannens is niet bang. ‘We moeten inzetten op geavanceerdere technologie, zodat we uit geanonimiseerde data dezelfde inzichten kunnen halen als de VS en China uit hun datasets.’

14.00 uur: Ik plaats mijn Velo weer in het station aan de premetrohalte Plantin. Die data kan ik niet wissen. De vraag is of we vaak gebruik zullen maken van ons recht om data te verwijderen of om een privacyniveau te veranderen. Maar de GDPR-regels geven ons wel een stok achter de deur. Ze dwingen bedrijven aan enige interne datahygiëne te doen. Met die geruststellende gedachte wandelen we naar huis. 299 stappen, toont de stappenteller op onze iPhone.