Home
Over ons
Open source Mobiele apps Veelgestelde vragen Migreren vanaf Google Foto's Over PixelUnion
Prijzen Blog
Helpcentrum
Account Immich Migreren Overige Contact opnemen met support
Inloggen Aanmelden
Privacy

Wat is GDPR, en beschermt het je ook echt?

Odin from PixelUnion
4 min read
#GDPR #Privacy #Data Protection #Digital Rights #Europe
Wat is GDPR, en beschermt het je ook echt?

Laat me raden. Je hebt “Alles accepteren” al vaker geklikt dan je kunt tellen, en ergens in je achterhoofd weet je dat het iets met de AVG te maken heeft. Maar als iemand je vraagt uit te leggen wat de AVG precies is, verander je waarschijnlijk van onderwerp.

Geen oordeel. Ik had een paar jaar geleden hetzelfde gedaan.

Als je je ooit hebt afgevraagd wat er achter die afkorting zit, en of het eigenlijk iets voor je doet, dan is dit artikel voor jou.

GDPR is je misschien ook wel bekend als AVG, oftewel de Algemene Verordening Gegevensbescherming. Beide namen verwijzen naar dezelfde wet. In dit artikel houden we het bij GDPR, zoals het internationaal het meest wordt gebruikt.

Wat is de AVG?

AVG staat voor Algemene Verordening Gegevensbescherming, internationaal bekend als GDPR. Het is een Europese wet die in 2018 in werking trad en die bepaalt hoe bedrijven jouw persoonsgegevens mogen verzamelen, opslaan en gebruiken.

Persoonsgegevens is een ruim begrip. Het gaat niet alleen om je naam en e-mailadres, maar ook om je locatie, je foto’s, je browsegeschiedenis, je IP-adres en alles waarmee jij als persoon te identificeren bent.

De verordening geldt voor elk bedrijf dat gegevens verwerkt van mensen die in de EU wonen. Dat geldt ook voor Amerikaanse bedrijven zoals Google en Meta. Als zij in Europa actief willen zijn, moeten ze zich aan de Europese regels houden.

Welke rechten geeft de AVG je eigenlijk?

Hier wordt het interessant. De AVG is niet zomaar een beleidsdocument dat bedrijven naast zich neerleggen. Het geeft je echte, afdwingbare rechten.

Het recht om te weten. Je kunt elk bedrijf vragen welke gegevens ze over jou bewaren. Ze zijn wettelijk verplicht dit binnen een maand te beantwoorden.

Het recht op inzage. Je kunt een volledig overzicht van je gegevens opvragen. Google, Meta, Apple: ze hebben er allemaal tools voor. Het is vaak een ontnuchterende ervaring.

Het recht om vergeten te worden. Je kunt een bedrijf vragen je gegevens te verwijderen. Ze moeten hieraan voldoen, tenzij ze een geldige reden hebben om ze te bewaren, zoals een lopend contract of een wettelijke verplichting.

Het recht op dataportabiliteit. Je kunt je gegevens opvragen in een formaat waarmee je ze ergens anders naartoe kunt brengen. Je foto’s, je berichten, je geschiedenis. Het is van jou, en je moet het kunnen meenemen.

Het recht van bezwaar. Als een bedrijf je gegevens gebruikt voor advertenties, kun je zeggen dat ze daarmee moeten stoppen. In de praktijk is dit ingewikkelder, maar het recht bestaat.

Dit zijn geen kleine dingen. Vóór de AVG was dit allemaal overgelaten aan de goede wil van de bedrijven zelf.

Waarom voelt het dan nog steeds alsof er niets veranderd is?

Omdat handhaving traag gaat, en boetes vaak jaren op zich laten wachten. De bedrijven met de meeste gegevens hebben ook de meeste advocaten.

Meta kreeg in 2023 een boete van 1,2 miljard euro onder de AVG. Dat klinkt enorm. Het was ongeveer vier dagen omzet. Google heeft vergelijkbare boetes gekregen. Ze betalen, ze gaan in beroep, en ondertussen gaan ze gewoon door.

De AVG heeft tanden. Maar hij bijt langzaam.

Waartegen beschermt de AVG je niet?

Dit is het deel dat de meeste mensen niet weten.

De AVG regelt wat bedrijven op eigen initiatief met je gegevens mogen doen. Hij beschermt je niet tegen overheidsverzoeken.

Op grond van de Amerikaanse CLOUD Act kunnen Amerikaanse autoriteiten gegevens opvragen bij Amerikaanse bedrijven, ook als die gegevens in Europa zijn opgeslagen, en ook als jij een Europese burger bent. Het bedrijf kan wettelijk verplicht worden die gegevens af te geven, zonder jou daarover te informeren.

De AVG zegt: bedrijven mogen je gegevens niet zomaar misbruiken. De CLOUD Act zegt: de Amerikaanse overheid kan er toch naar vragen. Deze twee wetten botsen rechtstreeks.

Mijn collega schreef al een uitgebreider stuk over precies hoe de CLOUD Act werkt en wat dat betekent voor je foto’s.

Maakt het uit waar een bedrijf gevestigd is?

Ja. Aanzienlijk.

Als je gegevens zijn opgeslagen bij een bedrijf dat in de EU is gevestigd, opgericht naar EU-recht en geen Amerikaanse moedermaatschappij heeft, geldt de CLOUD Act niet. Een Europees gerechtelijk bevel op basis van Europees recht is een heel andere zaak dan een Amerikaans overheidsverzoek.

Dat is geen technisch detail. Dat is het hele punt.

Bij PixelUnion bewaren we je foto’s onder Europees recht. Niet omdat we dat moesten, maar omdat het de enige manier is om de bescherming echt te maken. Opgeslagen in de EU, beheerd onder EU-recht, geen Amerikaanse moedermaatschappij, geen onduidelijke datapijplijn.

De AVG is een solide basis. Maar hij werkt pas echt volledig als het bedrijf dat jouw gegevens beheert er ook daadwerkelijk aan gebonden is.

Benieuwd wat je verder nog kunt doen om de controle terug te pakken? Onze collega heeft een praktische gids samengesteld over volledig overstappen van Big Tech, met concrete alternatieven voor elke dienst.