Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Mag een data broker persoonsgegevens verkopen omwille van een dringend eigen belang?

13 oktober 2014 Door

Is toestemming werkelijk de enige manier om als data broker te opereren? Die vraag werd ons door diverse partijen gesteld naar aanleiding van mijn blog van vorige week. De Wet bescherming persoonsgegevens (Wbp) benoemt immers naast toestemming ook nog het “dringend eigen belang”, waarmee je soms zonder toestemming persoonsgegevens mag gebruiken. Hoe zit het nu met deze wettelijke grondslag in de praktijk?

Om te beginnen kan een data broker data met verschillende doeleinden verzamelen. Databases die een data broker in zijn bezit heeft kunnen uitermate gunstig zijn om fraude te detecteren. Mogelijk dat hierbij een dringend eigen belang een rol speelt. In de meeste gevallen zal er echter allerlei informatie verzameld worden voor marketingdoeleinden. Ik zal mij dan ook op dit type data broker richten.

Door het verzamelen van data uit veel verschillende bronnen ontstaat er een gigantische database. Verzamel alle gegevens uit online zoekmachines, social media gegevens, gegevens uit verkoop historiën en publieke registers, locatiegegevens en alle andere gegevens die te koop zijn of verkregen kunnen worden en zet vervolgens ál deze data in een database. Wat je krijgt is een walhalla voor Big Data fans. Zet een goede data analist op deze dataset en je verkrijgt een zéér gedetailleerd profiel van iemand.

Opzoek naar een specifieke doelgroep om een gerichte advertentie naar te sturen (of aan weer te geven)? Mannen tussen de 25 en de 30 jaar, woonachtig in Amsterdam, boven modaal inkomen, overgewicht en vrijgezel? Geen probleem. Een data broker werpt een blik op zijn (reeds geanalyseerde) database, zet de benodigde data samen in een bestandje en voilà: een gerichte advertentie is ontstaan.

Vanzelfsprekend bevat de data die doorverkocht wordt persoonsgegevens. Het doorverkopen van data is daarom een verwerking van persoonsgegevens. Daarbij kan een data broker in dit geval aangemerkt worden als verantwoordelijke. De data broker stelt zelf het doel en de middelen vast om de gegevens te verzamelen en te analyseren (én door te verkopen aan adverteerders). Het is weliswaar niet de data broker die de advertentie weergeeft, maar het is wél de data broker die de data analyseert en profilering mogelijk maakt.

Om persoonsgegevens rechtmatig te mogen verwerken is een rechtsgeldige grondslag vereist. In mijn blog besprak ik de grondslag ‘toestemming’, maar er is dus nog een uitzondering: de eigen dringende noodzaak. Ik citeer even het wetsartikel, artikel 8 sub f Wbp:

c Behartiging van een gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Het is niet eenvoudig deze grondslag direct met een ja of nee te beantwoorden. Deze grondslag vergt een complexe belangenafweging en kent drie vereisten:

a Het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt. Het belang hier is zuiver commercieel, in tegenstelling tot bijvoorbeeld analyses waarbij bescherming tegen fraude of detectie van hackers voorop staat. Zo’n belang kan op zichzelf gerechtvaardigd zijn (ook ondernemen is een grondrecht) maar heel zwaar weegt het niet.

b De noodzakelijkheid van gegevensverwerking. Gegevensverwerking is niet noodzakelijk indien het belang ook op een minder ingrijpende of meer eenvoudigere manier kan worden gediend. In principe kan ook geaggregeerde data geanalyseerd worden om te voorkomen dat er analyses op persoonsniveau gemaakt worden. Hetzelfde geldt voor de noodzaak voor de adverteerder (de derde). De adverteerder kan ook op een minder persoonsgericht niveau adverteren. Door het hanteren van bredere doelgroepen (man/vrouw/jong/oud) is gericht adverteren nog steeds mogelijk, maar gebeurt het niet op individueel niveau. Er is daarom niet voldaan aan de noodzakelijkheid van de gegevensverwerking.

c Het privacybelang van de betrokkene. Als laatste dient er een belangenafweging plaats te vinden: weegt het privacybelang van de consument zwaarder dan het commerciële belang van de data broker of de adverteerder? De geanalyseerde data kan invloed hebben op het gedrag van een consument. Dat is een vorm van inbreken op iemands privacy. Bij het profileren van consumenten aan de hand van Big Data analyses is het daarnaast slecht zichtbaar dat er data wordt verzameld en wordt geanalyseerd, oftewel: transparantie ontbreekt.

Daar komt bij dat ook de gevoeligheid van de gegevens een rol te dient spelen bij deze afweging. Het zal eerder regel dan uitzondering zijn dat er bijzondere persoonsgegevens bij een dergelijke Big Data analyse worden verwerkt (denk aan politieke voorkeuren, etniciteit etc.). Voor het verwerken van bijzondere persoonsgegevens geldt een verbod, tenzij voor het verwerken een uitzondering in de wet is opgenomen óf er uitdrukkelijke toestemming van een individu is verkregen. Deze toestemming is er niet, dus is het verwerken van bijzondere persoonsgegevens niet toegestaan.

Een beroep op deze grondslag ligt voor de hand indien niet aan een andere rechtsgeldige grondslag kan worden voldaan. Artikel 8 sub f kan gezien worden als een soort restbepaling. Daarom geeft de Artikel 29 Werkgroep in een opinie aan dat bij de bovenstaande belangenafweging geoordeeld moet worden of er beschermingsmaatregelen richting de consument zijn genomen. Dit kan bijvoorbeeld het hanteren van een opt-out zijn, als zowel het verhogen van transparantie door de consument vooraf te informeren. Dat is hier niet het geval. En vanwege de indringende inbreuk op de privacy (zie hierboven) geeft de Artikel 29 Werkgroep aan dat bij deze vorm van profileren en gericht adverteren, een beroep op artikel 8 sub f niet is toegestaan (en al helemaal niet indien er geen maatregelen zijn genomen om de consument te informeren en een opt-out aan te bieden).

Ik ben mij ervan bewust dat het College Bescherming Persoonsgegevens (CBP) in 2001 een andere opvatting had. Echter, dat is in internettermen de prehistorie; het CBP had in dat rapport hoogstwaarschijnlijk nog geen rekening gehouden met de ontwikkelingen op het gebied van data brokers en Big Data, namelijk het (zeer gedetailleerd) kunnen profileren van individuen om persoonsgebonden advertenties te kunnen weergeven. De voorbeelden die het CBP noemt, gaan in ieder geval over heel andere soorten data brokering.

Ik kan er nog lang over doorgaan en een blogserie van 15 delen over schrijven, maar mijns inziens kan een data broker die geanalyseerde persoonsgegevens doorverkoopt aan adverteerders zich om bovenstaande redenen in de praktijk niet beroepen op de grondslag uit artikel 8 sub f. Als het privacybelang van de data broker of adverteerder voor deze doeleinden zwaarder weegt, dan is naar mijn mening privacy verloren.

Lisette Meij

Directeur ICTRecht Privacy

Lisette Meij is directeur van ICTRecht privacy. Lisette is gespecialiseerd in de juridische aspecten van privacy en Big Data. Zij houdt zich bezig met ingewikkelde privacyvraagstukken en voert privacyaudits uit bij organisaties.

Daarnaast is zij lid van the International Association of Privacy Professionals (IAPP) en is zij Certified Information Privacy Professional/Europe, United States en Asia (CIPP/E, CIPP/US en CIPP/A), Certified Information Privacy Manager (CIPM) én Certified Information Privacy Technologist (CIPT). Tevens heeft zij de erkenning ‘Fellow of Information Privacy’ (FIP) van de IAPP ontvangen.

 


Er zijn 2 reacties

  1. Heel goed en duiderlijk verhaal! Maar wat kan er nu tegen gedaan worden? Een wet is alleen maar zinnig als deze ook gehandhaaft wordt. De politiek lijkt zich er weinig om te bekommeren en ook het CBP lijkt een tandeloze tijger. Zou een (class action) rechtzaak nodig zijn?

  2. Beste Vincent, dank voor je reactie. Hoe dit het beste gehandhaafd kan worden is inderdaad de hamvraag. Het is niet eenvoudig te achterhalen door wie informatie wordt doorverkocht.

    We weten tenslotte niet bij het zien van een advertentie van een specifiek bedrijf, hoe dat bedrijf aan onze gegevens komt. En dan is de cirkel weer rond, want zolang er geen transparantie is, blijft handhaven moeilijk.

    Een (class action) rechtszaak zal daarom ook pas zin hebben als er een, of meerdere specifieke data brokers aangewezen kunnen worden die de mist ingaan.

    Wellicht dat de komende privacyverordening hier verandering in gaat brengen. Met de komst van de privacyverordening zullen er hogere boetes opgelegd mogen worden (tot €100.000.000 of 5% van de jaarlijkse omzet). Dit kan wellicht afschrikwekkend werken voor data brokers. Duimen maar!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie