Big Data sluit niet helemaal juist aan bij onze huidige privacywetgeving. Er zijn een aantal knelpunten in onze huidige privacywetgeving waar momenteel tegenaan gelopen wordt bij het gebruik van Big Data. De voorzitter van het College Bescherming Persoonsgegevens gaf vorige maand aan dat er meer privacywaarborgen noodzakelijk zijn bij het toepassen van Big Data. Ik zal in deze blog een drietal ´Big Data problemen´ bespreken namelijk: dataminimalisatie, anonimiseren en profileren.
Ten eerste wordt er gesproken over de essentie van Big Data, het zogeheten surprise maximisation: zo veel mogelijk data verzamelen én combineren om de beste resultaten te verkrijgen. En dat is ook precies waar het misgaat met onze huidige wetgeving. De Wet bescherming persoonsgegevens kent namelijk als basisprincipe dataminimalisatie. Enkel de gegevens die nodig zijn om het vastgestelde doel te bereiken mogen worden verwerkt. Big Data daarentegen ziet juist toe op het verzamelen van zo veel mogelijk data, om hieruit de meest volledige analyses te halen. Dataminimalisatie is wat dat betreft een tegenhanger van Big Data.
Daarnaast wordt aangegeven dat indien er enkel statistische (anonieme) informatie gebruikt wordt bij een Big Data analyse, de resultaten van deze analyse toch herleidbaar kunnen zijn tot een specifieke persoon. Het anonimiseren van Big Data blijkt vaak onvoldoende effectief om re-identificatie te voorkomen. Dit komt doordat er bij Big Data zo een grote hoeveelheid aan gegevens beschikbaar is. Verschillende databases worden aan elkaar gekoppeld, waardoor er meer data beschikbaar wordt en het combineren van gegevens meer mogelijkheden kent. Het is zelfs zo dat bij een enkele database waarbij herleiding eerst niet mogelijk was, deze in combinatie met andere databases wél herleidbaar kan zijn tot een individu. Gesteld kan worden dat:
‘Given enough data, perfect anonymization is impossible no matter how hard one tries.’
Daarbij dient opgemerkt te worden dat het anonimiseren van opgeslagen Big Data niet zinloos is. Het dient tenslotte als beveiliging mocht de data in handen van een derde komen.
Tot slot wordt er opgemerkt dat Big Data gebruikt kan worden voor het opstellen van gebruikersprofielen. Deze profielen kunnen vervolgens weer gebruikt worden om te bepalen welke aanbiedingen een individu moet ontvangen, en vooral ook welke niet. Deze profielen worden als het ware gebruikt om keuzes voor een persoon te maken op basis van een profiel. Het is altijd van belang dat indien Big Data voor dergelijke doeleinden gebruikt wordt, er met een kritische blik naar de data gekeken wordt.
Onbetrouwbare of incorrecte data kan namelijk gevolgen hebben voor een individu. Aan de hand van de resultaten van een Big Data analyse kunnen conclusies getrokken worden welke nadelig zijn voor een individu. Ondanks dat een analyse een grove schets van een bepaalde groep weergeeft en niet zozeer van één individu, worden deze groepsprofielen dikwijls behandeld alsof het gegevens betreffende één persoon zijn. Hierdoor kan een betrokkene die toevallig binnen een groepsprofiel past benadeeld worden. Een voorbeeld hiervan is dat iemand buitengesloten kan worden, omdat hij of zij op basis van een groepsprofiel een te laag gemiddeld inkomen zou hebben en hierdoor niet in aanmerking komt voor een hoge verzekeringspremie.
De wetgeving loopt achter op de ontwikkelingen van Big Data. Dit is niet onbegrijpelijk, gezien de snelheid waarmee Big Data zich in de afgelopen jaren heeft ontwikkeld, maar ook in de toekomst zal ontwikkelen. Dit heeft wel als gevolg dat er praktische oplossingen dienen te komen om het gebruik van Big Data te handhaven.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.