Logo
Columns en artikelen

Big data en privacy

We leven in het Big Data tijdperk, een tijdperk waarin door allerlei partijen een enorme hoeveelheid digitale data wordt gegenereerd, opgeslagen, gecombineerd en geanalyseerd. Volgens voorstanders zouden we hierdoor beter in staat zijn onze wereld te doorgronden en te anticiperen op de toekomst. Google verwacht bijvoorbeeld met het ontsluiten en analyseerbaar maken van grote hoeveelheden patiëntgegevens een bijdrage te kunnen leveren aan het vinden van een geneesmiddel tegen kanker. Ook minder nobele toepassingen zoals het beter matchen van vraag en aanbod op basis van bijvoorbeeld Facebook profielen behoren tot de zegeningen van het Big Data tijdperk.        

We blijken zoveel digitale sporen na te laten dat uit de combinatie van gegevens uit verschillende bronnen accurate inschattingen (profielen) kunnen worden gemaakt van voorkeuren en koopgedrag. Sinds de openbaringen van Edward  Snowden is duidelijk dat ook overheden in hun strijd tegen het terrorisme het verzamelen en analyseren van Big Data  niet schuwen. Dat overheden en bedrijven daardoor kunnen beschikken over privé informatie, roept juridisch bezien veel vragen op gelet op o.a. het grondrecht op privacy. De vraag van wie data nu eigenlijk is of wie deze mag gebruiken, is juridisch en economisch echter minstens zo interessant. Kennis is immers waardevol en maakt machtig. De vraag is of het huidige recht voldoende antwoorden biedt om de Big Data ontwikkelingen in goede banen te leiden. 

De essentie van Big Data is het verzamelen, combineren en analyseren van zoveel mogelijk data. Dit staat haaks op de uitgangspunten van onze huidige privacywetgeving die  uitgaat van data-minimalisatie; Alleen persoonsgegevens die nodig zijn om een tevoren vastgelegd en wettelijk gerechtvaardigd doel te bereiken, mogen in het kader van de Wet Bescherming Persoonsgegevens (onder strikte voorwaarden) worden verwerkt. Voorstanders van Big Data houden daarom graag vol dat veel Big Data anoniem is en derhalve geen persoonsgegevens bevat. Maar is dat wel zo ? Als de databanken van bijvoorbeeld Google Maps, waaruit aan de hand van een uniek (en in principe anoniem) devicenummer kan blijken welke telefoon  wanneer en waar is geweest, worden gecombineerd met de databanken van telefonie providers waaruit blijkt aan wie deze telefoons zijn uitgegeven, hoe anoniem is die Big Data dan nog ? De Autoriteit Persoonsgegevens stelt zich daarom op het standpunt dat wanneer er een mogelijkheid is om gegevens naar een persoon te herleiden, er sprake is van persoonsgegevens als bedoeld in de wet. Het gaat dus om de mogelijkheid tot herleiding, en niet om de vraag of deze herleiding daadwerkelijk ooit zal plaatsvinden of de vraag of de eigenaar van de data (zonder de combinatie met de database van een ander) al dan niet in staat is tot identificatie over te gaan. Het enkele bezit van een database met indirect herleidbare persoonsgegevens is dan een verwerking van persoonsgegevens die valt onder de reikwijdte van de wet.

Mogen gegevensbronnen onbeperkt aan elkaar geknoopt worden ? Mag de politie inzage krijgen in uw zoekopdrachten en surfgedrag ? Mag een verzekeraar zien welke route u naar uw werk rijdt om de premie voor uw autoverzekering te berekenen ? Kunt u een concurrent verbieden gebruik te maken van uw online databank ?   

De inmiddels ingevoerde  Europese Algemene Verordening Gegevensbescherming (AVG) bevat strengere regels met betrekking tot het verwerken van persoonsgegeven en geeft toezichthouders uitgebreidere sanctiebevoegdheden bij overtreding hiervan. Sinds enige jaren  is de Nederlandse Wet Bescherming Persoonsgegevens al aangescherpt met o.a. ook een regeling voor het melden van datalekken. Ook in de  aangescherpte wetgeving zullen echter enkel gegevens die nodig zijn om het vastgestelde doel te bereiken mogen worden verwerkt zodat het spanningsveld met het Big Data  principe, dat juist uitgaat van het verzamelen van zoveel mogelijk gegevens zonder dat op voorhand het doel van de verzameling bekend is, in ieder geval zal blijven bestaan.

Gunstig voor de ontwikkeling van Big Data is dat de AVG marketingdoeleinden erkent als een rechtsgeldige reden voor het verzamelen van data. Veel soorten van dataverwerking kunnen natuurlijk onder dit doeleinde worden gekwalificeerd. Of dit gunstig is voor personen is de vraag omdat hun expliciete toestemming dan niet benodigd is voor het verwerken van gegevens voor marketingdoeleinden. Wel brengt de AVG met zich dat een verwerkende instantie begrijpelijke informatie dient te verstrekken aan betrokkenen zodat gegevensverwerkingen transparanter zouden moeten worden. Sinds de inwerkingtreding van de AVG kunnen hogere boetes opgelegd worden oplopend tot €100.000.000 of  vijf procent van de jaarlijkse omzet zodat ook multinationals een goede reden zullen hebben zich beter aan de regels te houden.

Het Europese Hof van Justitie heeft in mei 2014 een belangrijke uitspraak gedaan waaruit het recht om vergeten te worden is afgeleid, een recht dat in de AVG is opgenomen. We danken dit recht aan een Spanjaard die telkens maar weer de nadelige consequenties ondervond van een krantenartikel uit 1998 over de gedwongen verkoop van bezittingen. Het Europese Hof bepaalde dat Google deze gegevens, althans de vindbaarheid daarvan via een zoekopdracht op naam van de Spanjaard,  moest verwijderen. De uitspraak is verder van belang omdat hierin duidelijk werd gemaakt dat ook het in Amerika gevestigde Google zich aan de Europese privacyregels moet houden als gegevens van EU onderdanen worden verwerkt. Een principe dat inmiddels ook terugkomt in de AVG.

Conclusie blijft vooralsnog echter dat de inmiddels aangescherpte privacyregelingen waarschijnlijk niet in staat zullen zijn om de innerlijke tegenstrijdigheid tussen het Big Data en privacy principe op te lossen. Misschien blijft dit ook wel een juridische utopie.