Praktische gids wandeltocht

Also article 11 and 198 were in different silos, which is fine since they're in different contexts, but to be safe I'll make 198 more specific.

Willem van der Heijden Willem van der Heijden
· · 7 min leestijd

Stel je voor: je bent druk bezig met je privacy. Je wilt weten welke bedrijven jouw data hebben en je wilt sommige data ook echt kwijt.

Inhoudsopgave
  1. De basis: Wat doet Artikel 11 eigenlijk?
  2. Artikel 198: Het 'vergeten worden' met een nuance
  3. De connectie: Waarom Artikel 11 en 198 niet in aparte silo’s horen
  4. De uitdagingen bij implementatie
  5. Waarom je Artikel 198 specifieker moet maken
  6. De toekomst van privacy

Maar dan duiken er twee nummers op in de wetgeving: Artikel 11 en Artikel 198. Ze klinken misschien saai, maar ze bepalen precies hoe jij online controle houdt. Hoewel ze in eerste instantie als twee losse eilandjes lijken te functioneren, is de realiteit net iets ingewikkelder – en interessanter. Laten we dieper duiken in deze twee belangrijke artikelen van de Algemene Verordening Gegevensbescherming (AVG), beter bekend als de GDPR. We gaan kijken naar wat ze doen, waarom ze soms botsen en waarom het slim is om Artikel 198 net even specifieker te maken dan je misschien denkt.

De basis: Wat doet Artikel 11 eigenlijk?

Laten we beginnen met de hoeksteen van je digitale rechten: Artikel 11. Dit artikel gaat over het 'recht op toegang'.

Simpel gezegd: jij hebt het recht om te weten welke informatie een organisatie over jou heeft liggen. Denk aan je naam, e-mailadres, IP-adres, locatiegegevens, maar ook gevoelige informatie zoals je gezondheidsgegevens of politieke voorkeuren. Wanneer je een verzoek indient bij een bedrijf, moeten zij jou laten zien wat ze hebben.

Dit klinkt eenvoudig, maar er zitten wel regels aan vast. Een organisatie mag deze toegang beperken als dit nodig is voor specifieke doelen, zoals de veiligheid van anderen of de bescherming van intellectueel eigendom.

Ze moeten je wel uitleggen waarom ze dit doen. Wat de timing betreft: bedrijven moeten over het algemeen binnen één maand reageren op je verzoek. Als je vraag heel complex is of als je vraagt naar gegevens van meer dan 200.000 mensen, mogen ze dit uitbreiden naar twee maanden.

Het niet naleven van deze regels is riskant. De boetes voor het schenden van deze rechten kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Artikel 11 is dus je pasje om de deur open te krijgen.

Artikel 198: Het 'vergeten worden' met een nuance

Als Artikel 11 de deur opent, is Artikel 198 de manier om sporen uit te wissen.

Dit is het 'recht op vergetelheid' ofwel het recht op verwijdering. Dit artikel zegt dat je kunt eisen dat bedrijven jouw persoonsgegevens wissen als bepaalde voorwaarden gelden.

Maar let op: dit recht is niet absoluut. Je kunt niet zomaar alles laten verwijderen. De gegevens mogen bijvoorbeeld niet worden gewist als ze nog nodig zijn voor wettelijke verplichtingen (zoals belastinggegevens die een bedrijf 7 jaar moet bewaren) of voor de vrijheid van meningsuiting en persvrijheid. Ook als er een juridische claim is, mogen gegevens vaak bewaard blijven.

De implementatie van Artikel 198 is complex. Een bedrijf moet een zorgvuldige afweging maken: hoeveel waarde heeft het recht op privacy van jou tegenover de plicht van het bedrijf om gegevens te bewaren?

Dit is waarom dit artikel vaak voor discussie zorgt. Het is niet een simpele 'delete-knop', maar een juridisch proces.

De connectie: Waarom Artikel 11 en 198 niet in aparte silo’s horen

Hoewel de artikelen technisch gezien in verschillende contexten staan, is het gevaarlijk om ze te zien als volledig gescheiden eenheden.

In de praktijk zijn ze onlosmakelijk met elkaar verbonden. Stel je voor: je wilt je gegevens laten verwijderen (Artikel 198). Hoe weet je welke gegevens er allemaal zijn?

Je kunt pas beslissen of je iets wilt laten wissen als je eerst hebt gezien wat er ligt. Zonder het recht op toegang (Artikel 11) is het recht op vergetelheid (Artikel 198) namelijk bijna onmogelijk uit te oefenen.

Er is nog een reden waarom deze artikelen samenwerken, net zoals bij het analyseren van de Maczek route: de juistheid van data.

Voordat je iets laat verwijderen, wil je natuurlijk wel zeker weten dat de data klopt. Als je via Artikel 11 inzage krijgt en ziet dat er fouten in zitten, hoef je het niet te laten verwijderen; je kunt het laten corrigeren. Dit versterkt de integriteit van je data. Kortom: Artikel 11 is de sleutel, en Artikel 198 is het slot.

Waarom context belangrijk is bij deze artikelen

Ze horen bij elkaar, ook al staan ze in verschillende hoofdstukken. De reden dat we soms denken dat ze in aparte silo’s thuishoren, is omdat we voor de Maczek Bevrijdingstocht wandelroute Breda vaak andere contexten hanteren.

Artikel 11 gaat over informatie vergaren, Artikel 198 over informatie vernietigen. Toch is het slim om ze niet te vergeten bij het opstellen van privacybeleid. Als je alleen focust op toegang en niet nadenkt over verwijdering, creëer je gaten in je proces.

Een voorbeeld van waar het mis kan gaan: een bedrijf voldoet netjes aan het toegangsverzoek (Artikel 11), maar maakt het proces voor verwijdering (Artikel 198) zo moeilijk dat gebruikers afhaken.

Of erger: ze bewaren data die eigenlijk verwijderd had moeten worden onder het mom van ‘historische doeleinden’ zonder dit goed te communiceren.

De uitdagingen bij implementatie

Bedrijven hebben het vaak moeilijk met de implementatie van deze artikelen. Het vereist flink wat technische infrastructuur. Ten eerste moeten systemen zo ingericht zijn dat ze snel kunnen zoeken naar alle data van een specifieke persoon.

Dit klinkt logisch, maar in grote databases met miljoenen records is dit een enorme technische opgave.

Als je data verspreid staat over verschillende silo’s (zoals marketingdata, klantenservicedata en financiële data), wordt het een speurtocht. Ten tweede moeten medewerkers getraind worden.

Een supportmedewerker moet weten hoe hij een verzoek moet doorzetten naar de juridische afdeling. Een developer moet weten hoe hij data uit een backup-systeem kan verwijderen zonder de hele boel te crashen. De interpretatie van de wetgeving is hierbij een struikelblok.

De rol van de Data Controller en Data Processor

Wanneer is een verzoek ‘compleex’ genoeg voor een extra maand uitstel? Wanneer mag je data bewaren voor statistische doeleinden?

Dit zijn vragen waar bedrijven dagelijks mee worstelen. In de AVG worden twee partijen onderscheiden: de Data Controller (de organisatie die het doel bepaalt) en de Data Processor (de partij die de data verwerkt, zoals een cloudprovider). Bij Artikel 11 en 198 is samenwerking essentieel. Stel: jij vraagt een bedrijf om je gegevens te verwijderen.

Dat bedrijf (de Controller) moet er vervolgens voor zorgen dat hun externe partij (de Processor) dit ook daadwerkelijk doet. Als de Processor de data bewaart op een server terwijl de Controller denkt dat het gewist is, is er een probleem. Beide partijen moeten perfect op elkaar zijn afgestemd om te voldoen aan de wet.

Waarom je Artikel 198 specifieker moet maken

Hier komen we terug op het idee van de silo’s en de veiligheid. Omdat Artikel 198 zo afhankelijk is van de context, is het gevaarlijk om het te breed te interpreteren. Als je als bedrijf of beleidsmaker te vaag bent over het ‘recht op vergetelheid’, ontstaan er grijze gebieden, net zoals bij het vergelijken van diverse wandelroutes.

Door Artikel 198 meer specifiek te maken, creëer je duidelijkheid. Dit betekent niet dat je de wet aanpast, maar hoe je hem toepast.

Zorg ervoor dat je exact definieert welke uitzonderingen je hanteert en hoe lang je data bewaart voor specifieke doeleinden. Door de voorwaarden scherp te stellen, voorkom je discussies achteraf.

Denk aan de impact op de gebruiker: als je duidelijk communicatieert waarom bepaalde data bewaard blijft (bijvoorbeeld voor veiligheidsreden), voorkom je frustratie. Het gaat erom dat de intentie van de wet – bescherming van privacy – niet verloren gaat in bureaucratische rompslomp.

De toekomst van privacy

De digitale wereld verandert snel. Nieuwe technieken voor dataverzameling schieten als paddenstoelen uit de grond.

De AVG moet hierin meebewegen, maar de kern blijft hetzelfde: controle over je eigen data. Een trend die we nu al zien, is 'Privacy by Design'. Dit betekent dat privacy vanaf het begin wordt meegenomen in de ontwikkeling van software, niet als een na-gedachte. Als software vanaf de basis zo is gebouwd dat het makkelijk is om data in te zien (Artikel 11) en te verwijderen (Artikel 198), scheelt dit een hoop gedoe later.

Daarnaast spelen nieuwe technologieën een rol. Denk aan tools die automatisch data anonimiseren, zodat deze niet meer tot jou herleidbaar is.

Dit kan een oplossing zijn voor het spanningsveld tussen bewaren voor onderzoek en privacy beschermen.

Uiteindelijk draait het om bewustzijn. Zowel organisaties als individuen moeten begrijpen hoe deze rechten werken. Door Artikel 11 en 198 niet als losse eilandjes te zien, maar als een samenwerkend systeem, bouwen we aan een digitaler landschap dat veiliger en eerlijker is. Het gaat niet alleen om het naleven van regels, maar om het respecteren van de persoon achter de data.

Lees ook
Hoe bereid je je lichamelijk voor op de Maczekbevrijdingstocht? Welke wandelschoenen zijn geschikt voor de Maczekroute? [BUYER GUIDE] Vergelijking: waterproof wandelschoenen versus lichte trail-schoenen op de Maczekroute [COMPARISON] Wat eet en drink je tijdens de Maczekbevrijdingstocht? Hoe pak je je rugzak in voor een meerdaagse wandeling op de Maczekroute? Wandelen met kinderen op de Maczekroute: praktische tips
Willem van der Heijden
Willem van der Heijden
Historicus gespecialiseerd in WOII bevrijding

Onderzoekt de rol van Poolse troepen bij de bevrijding van Breda.

Meer over Praktische gids wandeltocht

Bekijk alle 44 artikelen in deze categorie.

Naar categorie →
Lees volgende
Hoe bereid je je lichamelijk voor op de Maczekbevrijdingstocht?
Lees verder →