Sinds de GDPR (General Data Protection Regulation) in 2018 van kracht werd, hebben mensen in de Europese Unie een sterkere privacy en gegevensbescherming. De wet is echter verre van perfect - en grote techbedrijven, industrieadvocaten en lobbyisten hebben ervoor gezorgd dat ze elk middel in hun arsenaal hebben gebruikt om GDPR-bepalingen te omzeilen (door verkeerde interpretaties) of om de publieke opinie over de wet te beïnvloeden, zodat consumenten niet hen de schuld geven van overtredingen, maar de GDPR zelf. De afgelopen jaren heeft dit geleid tot een aantal misvattingen over gegevensbescherming en de GDPR in het bijzonder. Daarom, ter ere van de Dag van de Gegevensbescherming dit jaar, noyb 5 van de meest voorkomende misvattingen uit de wereld.
1. De GDPR dwingt bedrijven om cookiebanners te gebruiken
Dit is onjuist. De GDPR dwingt websites niet om cookiebanners te gebruiken. In plaats daarvan moeten bedrijven je expliciete toestemming vragen als ze je online bewegingen willen volgen. Meestal wordt dit gedaan om u gepersonaliseerde advertenties te tonen op basis van uw interesses. Bedrijven hebben ervoor gekozen om je toestemming te vragen met cookiebanners en geven de GDPR daar vaak de schuld van.
Maar dat is niet alles: Om de toestemmingspercentages - en dus de winst - te maximaliseren, gebruiken veel websites opzettelijk misleidende en bedrieglijke cookiebanners die het (bijna) onmogelijk maken om toestemming te weigeren of in te trekken.
Dus de volgende keer dat je een cookiebanner ziet, denk er dan aan dat ze niet bestaan vanwege de GDPR, maar omdat een bedrijf wil profiteren van jouw persoonlijke gegevens.
2. Bedrijven moeten bang zijn voor sancties van de gegevensbeschermingsautoriteiten
Helaas nemen gegevensbeschermingsautoriteiten (DPA's) alleen in uitzonderlijke gevallen hun toevlucht tot strenge handhavingsmaatregelen. Uit een noyb-analyse van DPA-activiteiten tussen 2018 en 2023 blijkt dat slechts 1,3% van de gevallen resulteert in een boete. De Ierse DPC, die verantwoordelijk is voor de meeste grote techbedrijven (Meta, Google, Apple, OpenAI, Microsoft en nog veel meer), geeft zelfs boetes in slechts 0,26% van de zaken die het behandelt. En zelfs als de Ierse DPC een boete uitvaardigt, int het wordt het geld bijna nooit geïnd, zoals de media melden.
Uit onze bijna 900 zaken weten we dat procedures vaak jaren aanslepen, alleen maar om het bedrijf er met een waarschuwing vanaf te laten komen. In sommige gevallen is een gegevensbeschermingsautoriteit zelfs van rol gewisseld om het bedrijf te raadplegen dat de gegevensbeschermingswetgeving heeft overtreden. Bijvoorbeeld: In 2024 daagdenoyb de Hamburgse DPA voor de rechter vanwege discrepanties in een Pay of Okay-zaak tegen het Duitse nieuwsmagazine SPIEGEL. Tijdens de procedure voor de autoriteit stond de Hamburgse gegevensbeschermingsautoriteit in nauw contact met SPIEGEL. In plaats van een onpartijdig onderzoek uit te voeren en een beslissing te nemen, ontmoette het ook verschillende keren vertegenwoordigers van het bedrijf, nodigde het hen uit in zijn gebouwen en gaf het feedback over de voorgestelde wijzigingen in hun Pay or Okay-implementatie. Voor de administratieve kosten van de procedure bracht de Hamburgse overheid SPIEGEL € 6.140 in rekening. Goedkoper dan vrijwel elke advocaat.
Al met al is het - helaas - een misvatting dat bedrijven moeten vrezen voor ernstige gevolgen van gegevensbeschermingsautoriteiten voor het schenden van het fundamentele recht op gegevensbescherming.
3. Reclame moet gepersonaliseerd zijn, anders zou niemand het kopen en zou de reclame-industrie failliet gaan!
De bewering van de reclame-industrie dat het NODIG is om je over het hele internet te volgen en je te overspoelen met misleidende cookiebanners om zaken te blijven doen, is meer dan controversieel. In feite zijn er veel alternatieve manieren om geld te verdienen met een website, zoals contextuele reclame, productplaatsing, betaalde content of freemiummodellen waarbij bepaalde content alleen beschikbaar is tegen betaling.
Zelfs wetenschappelijke studies doen twijfels rijzen over de winstgevendheid - en dus de noodzaak - van advertentietracking zoals beweerd door de advertentie-industrie. Een Amerikaanse studie uit 2019 toont bijvoorbeeld aan dat het gebruik van persoonlijke gegevens de inkomsten van een website slechts met ongeveer 4% verhoogt. "Dit komt overeen met een gemiddelde toename van $0,00008 per advertentie", concludeert de studie.
Maar er zijn nog extremere voorbeelden: De Nederlandse publieke omroep NPO rapporteerde zelfs een toename van inkomsten toen het eenmaal was afgestapt van gerichte reclame.
Dit maakt duidelijk dat er alternatieve oplossingen zijn voor bedrijven die je op het internet volgen.
4. De GDPR belemmert de vrijheid van ondernemerschap
Nee, dat doet het niet. De vrijheid van ondernemerschap zoals uiteengezet in het Handvest van de grondrechten van de EU stelt duidelijk dat je de "vrijheid hebt om zaken te doen in overeenstemming met het recht van de Unie en de nationale wetten en praktijken".
Dit betekent dat bedrijven zich aan de wet moeten houden, of het nu gaat om belastingen, milieubescherming of gegevensbescherming en privacy. Er is geen fundamenteel recht om zaken te doen dat de wettelijke verplichting van een bedrijf opheft, ook al zouden veel bedrijven dat graag willen.
Bovendien betekent de vrijheid van ondernemerschap eigenlijk dat je een economische activiteit mag uitoefenen. Het staat je bijvoorbeeld vrij om apotheker te worden en het is niet nodig dat een van je ouders apotheker was. Natuurlijk moet ook een apotheker zich aan de wet houden. Hetzelfdegeldt voor grote tech- en andere bedrijven.
5. Mensen misbruiken hun recht op toegang en overspoelen bedrijven met verzoeken om toegang
Ondanks dat het recht op toegang onder artikel 15 GDPR essentieel is om in het digitale tijdperk ten minste een beetje controle te houden over je persoonlijke gegevens, verzetten sommige bedrijven zich ertegen, met het argument dat het een "onevenredige inspanning" zou vergen. Dergelijke beweringen uit de lobby hebben zelfs een Duitse position paper gehaald, waarin toegangsverzoeken werden beschreven als in toenemende mate "misbruikt".
De werkelijkheid ondersteunt deze bewering echter niet. De wet bevat al waarborgen om misbruik te voorkomen: Volgens artikel 12(5) GDPR kunnen bedrijven een redelijke vergoeding vragen of zelfs verzoeken afwijzen als ze "duidelijk ongegrond of buitensporig zijn, in het bijzonder vanwege hun repetitieve karakter".
Bovendien werkt de overgrote meerderheid van de bedrijven die in de EU actief zijn niet op zo'n gegevensintensieve manier dat ze veel verzoeken om toegang ontvangen. In een (binnenkort te publiceren) noyb-enquête zei 73,3% van de functionarissen voor gegevensbescherming (Data Protection Officers, DPO's) dat het recht op toegang weinig tot geen werk oplevert. Integendeel, grotere bedrijven negeren vaak gewoon de toegangsverzoeken van consumenten of houden delen van de informatie achter waar mensen volgens de wet recht op hebben. De advertentiemakelaar Xandr (een dochteronderneming van Microsoft), bijvoorbeeld, rapporteerde een verbazingwekkende 0% respons op toegangs- en verwijderingsverzoeken in 2022.
Ook hebben de meeste grote techbedrijven inmiddels een soort automatiseringstool geïmplementeerd waarmee ze op grote schaal aan GDPR-toegangsverzoeken kunnen voldoen, meestal via een "download uw informatie" -tool - maar je nog steeds niet al je gegevens geven.
Met andere woorden: bedrijven hebben de middelen om toegangsverzoeken af te handelen zonder dat dit veel werk met zich meebrengt. Ze willen je alleen geen toegang geven tot de verwerkte informatie.
6. Bonus misvatting: met miljarden euro's aan opgelegde boetes, moet noyb rijk zijn!
Natuurlijk ontvangt noyb niets van de boetes die worden opgelegd door de gegevensbeschermingsautoriteiten. Wanneer een gegevensbeschermingsautoriteit boetes int, gaat het geld naar de staatsbegroting van het land waar de autoriteit is gevestigd (of in Spanje rechtstreeks naar de gegevensbeschermingsautoriteit).
het werk van noyb voor een meer privacyvriendelijke toekomst is alleen mogelijk dankzij onze 5.400 ondersteunende leden. Als u ook wilt bijdragen aan ons doel, kunt u meer informatie over onze lidmaatschappen hier. U kunt ons ook bereiken op info@noyb.eu als je vragen hebt.
