Wat is de GDPR en op wie is deze van toepassing?

De GDPR (General Data Protection Regulation) is een privacywet van de Europese Unie die in 2018 is aangenomen en bepaalt hoe persoonsgegevens worden verzameld, opgeslagen en verwerkt. De wet is van toepassing op elke organisatie wereldwijd die gegevens verwerkt van EU-inwoners, ongeacht waar dat bedrijf fysiek gevestigd is.

Hoe beïnvloedt de GDPR VPN-aanbieders?

VPN-aanbieders die EU-klanten bedienen, moeten voldoen aan de GDPR door transparant privacybeleid te hanteren, gegevensverzamelingspraktijken te rechtvaardigen en gebruikersrechten zoals verzoeken tot gegevenswissing na te komen. Veel gerenommeerde VPN-diensten hanteren mede daarom een strikt no-logs-beleid, waarmee ze de hoeveelheid persoonsgegevens die ze bewaren minimaliseren en hun GDPR-nalevingslast aanzienlijk verminderen.

Welke rechten geeft de GDPR individuen over hun persoonsgegevens?

De GDPR kent EU-inwoners verschillende krachtige rechten toe, waaronder het recht op inzage in hun gegevens, het corrigeren van onjuistheden, het verzoeken om verwijdering ("recht om vergeten te worden"), het beperken van de verwerking en gegevensoverdraagbaarheid. Gebruikers kunnen ook bezwaar maken tegen bepaalde verwerkingsactiviteiten en toestemming op elk moment intrekken, waardoor organisaties verplicht zijn hun informatie niet langer te gebruiken.

Welke sancties kunnen bedrijven opgelegd krijgen bij schending van de GDPR?

Schendingen van de GDPR hebben ernstige financiële gevolgen. Toezichthouders kunnen boetes opleggen tot €20 miljoen of 4% van de wereldwijde jaaromzet van een bedrijf, welk bedrag ook het hoogst is. Grote bedrijven zoals Meta en Google hebben boetes van miljarden euro's gekregen, waarmee de GDPR een van de meest actief gehandhaafde privacyregelgevingen ter wereld is.

GDPR — VPN-woordenlijst

GDPR Uitgelegd: Wat Het Betekent voor Uw Online Privacy

Wat Het Is

De General Data Protection Regulation — vrijwel universeel bekend als GDPR — is een uitgebreide privacywet die in mei 2018 van kracht werd in de hele Europese Unie. De wet verving een lappendeken van oudere, zwakkere nationale privacyregels door één afdwingbare standaard die van toepassing is op elke organisatie die persoonsgegevens van EU-inwoners verwerkt, ongeacht waar die organisatie fysiek gevestigd is.

In gewone bewoordingen: als een bedrijf ergens ter wereld gegevens verzamelt over mensen in Europa, is de GDPR op hen van toepassing. Die reikwijdte maakte het tot een van de verstrekkendste privacyreglementen die ooit zijn ingevoerd, en sindsdien heeft de wet privacywetgeving over de hele wereld beïnvloed.

Hoe Het Werkt

De GDPR is opgebouwd rond een aantal kernbeginselen. Organisaties moeten een rechtmatige grondslag hebben voor het verwerken van uw gegevens — zoals uw uitdrukkelijke toestemming, een contractuele noodzaak of een gerechtvaardigd belang. Ze moeten ook transparant zijn over welke gegevens ze verzamelen, waarom ze die verzamelen en hoe lang ze die bewaren.

Vanuit het perspectief van de gebruiker kent de GDPR verschillende betekenisvolle rechten:

Recht op inzage — U kunt een volledige kopie opvragen van de persoonsgegevens die een bedrijf over u bewaart.
Recht op verwijdering ("het recht om vergeten te worden") — U kunt een organisatie onder bepaalde voorwaarden verzoeken uw gegevens te wissen.
Recht op gegevensoverdraagbaarheid — U kunt uw gegevens opvragen in een machineleesbaar formaat om ze elders te gebruiken.
Recht van bezwaar — U kunt zich afmelden voor bepaalde vormen van gegevensverwerking, waaronder directe marketing.

Bedrijven die de GDPR schenden, worden geconfronteerd met ernstige gevolgen. Boetes kunnen oplopen tot €20 miljoen of 4% van de wereldwijde jaaromzet — welk bedrag ook het hoogst is. Die bedragen hebben zelfs grote technologiebedrijven gemotiveerd om hun omgang met persoonsgegevens te herstructureren.

Waarom Het Belangrijk Is voor VPN-gebruikers

De GDPR raakt het gebruik van VPN op verschillende belangrijke manieren.

VPN-aanbieders zijn zelf onderworpen aan de GDPR. Als een VPN-dienst klanten heeft in de EU, moet deze voldoen aan de GDPR — wat betekent dat de dienst transparant moet zijn over welke gegevens worden gelogd, hoe lang die gegevens worden bewaard en of ze worden gedeeld met derden. Dit is de reden waarom gerenommeerde VPN-aanbieders gedetailleerde privacybeleid publiceren en onafhankelijke audits ondergaan. Een GDPR-conforme VPN-aanbieder moet u precies kunnen vertellen wat er over uw sessies wordt opgeslagen, en idealiter is dat zo min mogelijk.

De GDPR versterkt het argument voor no-log-beleid. Omdat de verordening beperkingen stelt aan hoe lang persoonsgegevens mogen worden bewaard en een duidelijke reden vereist om ze te bewaren, hebben VPN-aanbieders die onder de GDPR vallen of zich daarnaar richten een extra juridische prikkel om de gegevensverzameling te minimaliseren. Een aanbieder met hoofdkantoor in de EU of die werkt met EU-klanten kan verbindingslogboeken niet zomaar voor onbepaalde tijd bewaren zonder rechtvaardiging.

Het geeft u verhaal als er iets misgaat. Als een VPN-dienst een datalek ervaart en uw persoonsgegevens worden blootgesteld, verplicht de GDPR het bedrijf om u en de bevoegde toezichthoudende autoriteit binnen 72 uur op de hoogte te stellen. U heeft ook het recht om precies te vragen wat er is blootgesteld en herstelmaatregelen te eisen.

Praktische Voorbeelden

Denk aan wat er gebeurt wanneer u zich aanmeldt voor een VPN-dienst. Op grond van de GDPR moet het bedrijf duidelijk uitleggen welk e-mailadres, welke betaalgegevens of gebruiksgegevens het verzamelt. U moet toestemming kunnen intrekken, verwijdering van uw accountgegevens kunnen aanvragen en een bevestiging ontvangen dat deze zijn gewist.

Een ander veelvoorkomend voorbeeld: cookiemeldingen. Die pop-ups die uw toestemming vragen voordat ze u volgen, bestaan grotendeels dankzij de GDPR. Hoewel ze vaak hinderlijk zijn, vertegenwoordigen ze een echte verschuiving in de manier waarop websites met uw gegevens moeten omgaan — ze hebben eerst toestemming nodig, niet achteraf vergiffenis.

De GDPR is ook relevant als u een VPN gebruikt om diensten grensoverschrijdend te benaderen. Gegevens die tussen landen worden uitgewisseld, moeten voldoen aan bepaalde adequaatheidsnormen onder de GDPR, wat van invloed is op de manier waarop VPN-aanbieders verkeer routeren en waar ze serverlogboeken opslaan.

Het Grotere Geheel

De GDPR heeft niet elk privacyprobleem op het internet opgelost, maar heeft wel een basisnorm vastgesteld die persoonsgegevens behandelt als iets wat bescherming verdient — en niet als zomaar een te monetariseren activum. Voor iedereen die serieus bezig is met online privacy, helpt het begrijpen van de GDPR om betere vragen te stellen aan de diensten waaraan u uw gegevens toevertrouwt, inclusief uw VPN-aanbieder.

GDPRGemiddeld