BigDatamaandag deel 11: De nieuwe Europese Privacyverordening

Big Data, het begrip waar eindeloos over wordt geschreven en gediscussieerd. Hype of toekomst? Toekomst of realiteit? Wat de speculaties ook zijn, de komende weken zal er een blogserie over Big Data en de juridische impact ervan verschijnen. Want hoewel het combineren van enorme datasets wellicht in een eerste instantie onschuldig lijkt, heeft dit wel degelijk een juridische impact wanneer deze data ook informatie over personen bevat.

In deel 1 van deze blogserie heb ik verteld wat Big Data nou eigenlijk is en wie er gebruik van maakt. Maar aan het gebruik van Big Data zijn ook grenzen gebonden. Als een database gegevens over personen bevat, is namelijk de Wet bescherming persoonsgegevens (Wbp) van toepassing. Deze wet stelt bepaalde eisen aan het verwerken van persoonsgegevens, namelijk eenrechtsgeldige grondslag en een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel.

Met de komst van Big Data is de kans dat een database persoonsgegevens bevat en herleiding naar een individu plaats kan vinden enorm gestegen. Anonimiseren blijkt vrijwel onmogelijk (zie ook deel 8 + 9 van deze blogserie) en geconcludeerd kan worden dat in de meeste gevallen opgeslagen datasets persoonsgegevens bevatten. Dit heeft als gevolg dat er altijd aan de strenge regels van de Wbp voldaan moet worden. De Wbp is echter onvoldoende afgestemd op Big Data en dit levert verschillende problemen op.

Nieuwe privacywetgeving is echter onderweg. Naar verwachting zal rond 2016/2017 de Europese Privacyverordening intreden. Deze verordening zal de plaats innemen van de Wbp en één privacyregime voor heel Europa brengen. Een aantal van de nieuwe regels die deze verordening met zich mee zal brengen zullen een grote invloed op het gebruik van Big Data hebben.

Ten eerste kent de privacyverordening een regeling die toeziet op dataminimalisatie. Enkel de gegevens die nodig zijn om het vastgestelde doel te bereiken mogen worden verwerkt. Big Data daarentegen ziet juist op het verzamelen van zo veel mogelijk data, om hieruit de meest volledige analyses te halen. Dataminimalisatie is wat dat betreft een tegenhanger van Big Data. De vraag is of deze regel eenvoudig te realiseren is. Bij Big Data is het doel op het moment van verzamelen in de meeste gevallen juist nog niet bekend. Voor dit probleem zal deze regel dan ook geen oplossing bieden.

Een tweede wijziging welke de privacyverordening met zich meebrengt is het invoeren van marketingdoeleinden alsrechtsgeldige grondslag. Een gunstige ontwikkeling voor Big Data, aangezien marketingdoeleinden een vrij brede grondslag is. Veel verwerkingen kunnen onder deze rechtvaardigingsgrond geschaard worden, alsook Big Data analyses. Deze extra rechtvaardigingsgrond is positief voor de toekomst van Big Data omdat het een oplossing biedt voor de problemen wat betreft doelbinding en het vinden van een rechtsgeldige grondslag.

Daarentegen is deze extra grondslag zeer nadelig voor betrokkenen. Er zal vaker verwerking van persoonsgegevens plaatsvinden, zonder dat zij zich hier volledig van bewust zijn. Er hoeft bij marketingdoeleinden tenslotte geen ondubbelzinnige toestemming verkregen te worden van de betrokkenen.

Ten derde regelt de privacyverordening dat een instantie bij het verwerken van persoonsgegevens hierover informatie dient te verstrekken aan betrokkenen. Het verstrekken van deze informatie dient in een begrijpelijke en heldere taal te worden gedaan. De Big Data verzamelaar krijgt dus een strengere informatieplicht. Bij een goede naleving van deze informatieplicht zal transparantie wat betreft gegevensverwerking verhoogd worden.

Tot slot is er een groot verschil tussen de Wbp en de privacyverordening wat betreft de sancties welke opgelegd kunnen worden. De Wbp is niet bepaald afschrikwekkend voor voornamelijk grote instanties, hier wordt met de nieuwe boeteregeling in de privacyverordening een oplossing voor geboden. In de toekomst zullen boetes opgelegd kunnen worden oplopend tot €100.000.000,-, of vijf procent van de jaarlijkse omzet. Het bedrag dat hoger is zal opgelegd worden. Dit betekent dat met de ingang van de privacyverordening ook de grote instanties beter zullen moeten overwegen of zij wel volledig aan de gestelde regels voldoen bij het verwerken van persoonsgegevens. Dit is een gunstige wending voor betrokkenen.

Concluderend blijkt ook de nieuwe privacyverordening, net als de Wbp, niet zo ingericht om alle problemen omtrent het gebruik van Big Data op te lossen. Wellicht is dit te wijten aan het feit dat Big Data de afgelopen jaren een onvoorziene groei heeft doorgemaakt, waardoor kennis wat betreft de mogelijkheden en gevolgen van Big Data nog ontbreekt. Dit leidt er in ieder geval toe dat er momenteel nog geen oplossing wordt geboden voor de ruime term persoonsgegeven. Er blijft er een ‘’alles of niets situatie’’ bestaan, doordat aan de hand van de term persoonsgegeven geoordeeld wordt of het gebruik van Big Data wel of niet onder de wetgeving valt.

Dit is de laatste (en langste) blog van de BigDatamaandagblogserie. Maar uiteraard niet de laatste blog over Big Data!


Dit artikel verscheen 15 september op de blog van ICTRecht en is met toestemming van de auteur op ISP Today gepubliceerd.

Over Lisette Meij

Lisette Meij is juridisch adviseur bij ICTRecht. Bij ICTRecht houdt Lisette zich voornamelijk bezig met alle juridische aspecten rondom privacy en Big Data. Naast juridisch adviseur is zij opleidingscoördinator.