BigDatamaandag deel 5: De eisen van de wet (2)

Big Data, het begrip waar eindeloos over wordt geschreven en gediscussieerd. Hype of toekomst? Toekomst of realiteit? Wat de speculaties ook zijn, de komende weken zal er een blogserie over Big Data en de juridische impact ervan verschijnen. Want hoewel het combineren van enorme datasets wellicht in een eerste instantie onschuldig lijkt, heeft dit wel degelijk een juridische impact wanneer deze data ook informatie over personen bevat.

In deel 1 van deze blogserie heb ik verteld over wat Big Data nou eigenlijk is en wie er gebruik van maakt. Maar aan het gebruik van Big Data zijn ook grenzen gebonden. Als een database gegevens over personen bevat, is namelijk de Wet bescherming persoonsgegevens van toepassing. Deze wet stelt bepaalde eisen aan het verwerken van persoonsgegevens. Over een van deze eisen vertel ik in deze blog meer.

Om rechtmatig gebruik te maken van Big Data, of om in het bezit te zijn van databases, is een rechtvaardigingsgrond vereist. Bovendien mag deze data slechts verzameld worden voor een 1) welbepaald, 2) uitdrukkelijk omschreven en 3) gerechtvaardigd doeleinde, welke voorafgaand het verzamelen is vastgesteld.

  1. Ten eerste moet er dus sprake zijn van een welbepaald doel. Er is sprake van een welbepaald doel indien er getoetst kan worden of de data welke opgeslagen wordt, ook daadwerkelijk nodig is voor het vastgestelde doel. Wanneer een doel dermate ruim is, is deze toetsing niet mogelijk. In dit laatste geval kan er meer data onder het vastgestelde doel vallen dan daadwerkelijk nodig is. Met de komst van Big Data is het vereiste ‘welbepaald’ een heikel punt geworden.
    Wanneer als doeleinde ‘het gebruik van Big Data’ wordt vastgesteld, kan beargumenteerd worden dat dit onvoldoende welbepaald is. Voor Big Data analyses is namelijk álle data waardevol, waardoor ook álle beschikbare data opgeslagen mag worden omdat het onder dit doel valt. Daarom zal bij Big Data gedetailleerder omschreven moeten worden waarvoor het gebruikt wordt. Een welbepaald doel voor het gebruik van Big Data voor een webshop zou kunnen zijn: ‘Het verwerken van (persoons)gegevens voor het uitvoeren van bestellingen, en tevens in het kader van Big Data analyses voor het aanbieden van gepersonaliseerde reclame’.
  2. Ten tweede moet een doel uitdrukkelijk omschreven zijn. Dit dient te gebeuren bij het maken van een melding van de gegevensverwerking bij het CBP. Indien de gegevensverwerking onder een van de vrijstellingen valt, en het maken van een melding niet nodig is, dient het doel uitdrukkelijk omschreven te worden in het vrijstellingsbesluit.
  3. Ten derde is vereist dat het doel gerechtvaardigd is. Deze rechtvaardiging hangt samen met de in de vorige blogbesproken rechtvaardigingsgronden. Er is alleen maar sprake van een gerechtvaardigd doel, indien het doel op een van de door de wet vastgestelde rechtvaardigingsgronden berust.

Bovendien is het ook belangrijk te vermelden dat de gehele gegevensverwerking langs het vastgestelde doel gerealiseerd moet worden. Gegevens mogen dus niet verder verwerkt worden op een wijze welke onverenigbaar is met het vastgestelde doel. In de praktijk komt het daarom regelmatig voor dat een doelomschrijving uit een hoofddoel en meerdere subdoelen bestaat, of meerdere naast elkaar staande doelen. Op deze manier is er meer ruimte om gegevens te verwerken. Hier zit wel een beperking aan, want nevendoelen moeten wel verenigbaar zijn met het hoofddoel.

Concluderend mogen persoonsgegevens dus niet verzameld worden zonder een precieze doelomschrijving. Een doelomschrijving mag óók niet tijdens het verzamelen opgesteld worden. Dit vereiste kan problematisch zijn voor Big Data, aangezien vóóraf het verzamelen van data nog niet exact duidelijk is waarvoor de data gebruikt gaat worden. Op het moment dat een bedrijf in het bezit is van heel veel data, is vaak de einduitkomst van Big Data nog onbekend. Data kan bijvoorbeeld geschikt zijn voor profiling, maar ook voor het efficiënter maken van een proces. Bij Big Data komt dit doel dus pas naar boven wanneer data actief geanalyseerd wordt. Voor het gebruik van Big Data is het dus een uitdaging om aan dit vereiste te voldoen.

Lees volgende week meer over het verbod op het nemen van geautomatiseerde individuele besluiten!


Dit artikel verscheen op 4 augustus op het blog van ICTRecht en is met toestemming van de auteur op ISP Today gepubliceerd.

Over Lisette Meij

Lisette Meij is juridisch adviseur bij ICTRecht. Bij ICTRecht houdt Lisette zich voornamelijk bezig met alle juridische aspecten rondom privacy en Big Data. Naast juridisch adviseur is zij opleidingscoördinator.