Smart Cities Wetgeving : het evenwicht vinden tussen privacy en gegevensgebruik Jean-François Henrotte (Lexing Belgium) is advocaat gespecialiseerd in gegevensbescherming. Hij legt uit dat de Smart City enkel ontwikkeld kan worden wanneer de AVG gerespecteerd wordt. De AVG, de Europese Algemene Verordening Gegevensbescherming (GDPR in het Engels), is in mei 2018 in werking getreden. Kunt u voor ons de grote lijnen nog eens herhalen? “De Europese Commissie heeft de AVG in het leven geroepen om meer belang te hechten aan gegevensbescherming, rekening houdend met de ontwikkeling van technologieën en de opkomst van bedrijven als Google en Amazon. Het basisprincipe van de AVG is om de gegevens van een geïdentificeerd of identificeerbaar natuurlijk persoon te beschermen: deze persoon heeft recht op een beschermend kader voor de behandeling van zijn gegevens. Een nummerplaat wordt bijvoorbeeld gelinkt aan een identificeerbaar persoon. De verordening omkadert daar dus de behandeling van.” Worden bedrijven beperkt als ze applicaties willen ontwikkelen om gegevens te gebruiken? “De AVG is van toepassing in de 28 Lidstaten van de EU. Ze omkadert, maar verbiedt weinig. In de praktijk moet een bedrijf voortaan een register opmaken dat de voorwaarden aanduidt volgens welke de gegevens behandeld worden: hun vorm, de duur van gegevensbewaring, ... De verordening verplicht ook een privacy-beleid dat vooraf informatie verstrekt over de gegevensbehandeling. In sommige gevallen wordt er een zelfs een verantwoordelijke gegevensbescherming aangeduid. Met de invoering van de Gegevensbeschermingsautoriteit sinds mei van dit jaar, worden er meer controles uitgevoerd en zullen de eerste sancties gegeven worden. Een bedrijf kan veroordeeld worden tot een boete die kan oplopen tot 4% van zijn wereldwijde omzet, maar in de werkelijkheid zijn de boetes gradueel.” Zijn er smartphone apps die de AVG niet naleven? “Applicaties respecteren de AVG onder andere als hun beleid inzake gegevensbescherming redelijk duidelijk is. Zo kunnen de betrokken personen begrijpen hoe hun gegevens behandeld worden en kunnen ze indien nodig hun akkoord geven. We nemen het Facebook-beleid als voorbeeld: sommige alinea’s zijn zo lang en nauwelijks te begrijpen dat 26 ❙ Brussel Metropool - oktober 2019 V.R Jean-François Henrotte het geheel problematisch genoemd mag worden. In sommige gevallen dringt een verheldering zich echt op.” Hoe zal de situatie tussen respect voor de privacy en gegevensgebruik evolueren? “De applicaties die in het kader van een Smart City ontwikkeld worden, voeden zich met persoonlijke gegevens. Mensen zijn er zich niet altijd van bewust dat hun gegevens gebruikt worden. Aangezien die applicaties in volle ontwikkeling zijn, moet er gezocht worden naar een evenwicht zodat dit niet de spuigaten uitloopt. Zo is het bijvoorbeeld voor elk bedrijf verboden om medische of strafrechtelijke gegevens te gebruiken. Op die manier worden er bakens opgezet.” ● Géry Brusselmans Gepseudonimiseerde gegevens bieden bescherming “Het risico om mensen te identificeren door het gebruik van gegevens is relatief klein als de AVG gerespecteerd wordt”, meent Nicolas Roland (Younity), advocaat gespecialiseerd in het gebruik van persoonsgegevens. “Deze verordening definieerde drie soorten gegevens: persoonlijke gegevens, anonieme gegevens en gepseudonimiseerde gegevens, die zich halfweg tussen de eerste twee bevinden. Het gaat om gecodeerde gegevens waarvan het moeilijk is om de betrokken personen te identificeren (maar niet onmogelijk), in tegenstelling tot anonieme gegevens. De AVG moedigt eigenlijk hun gebruik aan, in plaats van persoonlijke gegevens die ‘ongecodeerd’ gemakkelijk toegankelijk zijn. Een programmaontwikkelaar moet ook het ‘privacy by design’principe toepassen. Dat houdt in dat men moet nadenken over de manier waarop de gegevens verzameld en behandeld worden. De AVG als zodanig staat innovatie dus niet in de weg.”
29 Online Touch Home