Big Data, het begrip waar eindeloos over wordt geschreven en gediscussieerd. Hype of toekomst? Toekomst of realiteit? Wat de speculaties ook zijn, de komende weken zal er een blogserie over Big Data en de juridische impact ervan verschijnen. Want hoewel het combineren van enorme datasets wellicht in een eerste instantie onschuldig lijkt, heeft dit wel degelijk een juridische impact wanneer deze data ook informatie over personen bevat.
In deel 1 van deze blogserie heb ik verteld over wat Big Data nou eigenlijk is en wie er gebruik van maakt. Maar aan het gebruik van Big Data zijn ook grenzen gebonden. Als een database gegevens over personen bevat, is de Wet bescherming persoonsgegevens (Wbp) van toepassing. Deze wet stelt bepaalde eisen aan het verwerken van persoonsgegevens, namelijk een rechtsgeldige grondslag en een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel.
Met de komst van Big Data is de kans dat een database persoonsgegevens bevat en herleiding tot een individu plaats kan vinden enorm gestegen. Anonimiseren blijkt vrijwel onmogelijk (zie ook deel 8 + 9 van deze blogserie) en geconcludeerd kan worden dat in de meeste gevallen opgeslagen datasets persoonsgegevens bevatten. Dit heeft als gevolg dat er altijd aan de strenge regels van de Wbp voldaan moet worden. Er heerst momenteel veel onduidelijkheid over de toepasbaarheid van de Wbp op Big Data. Is deze wet wel ingericht op een fenomeen als Big Data?
- De Wbp is verouderd en niet gemaakt voor een complex fenomeen als Big Data. Dit heeft als gevolg dat er strenge regels gelden die niet op een juiste wijze zijn afgestemd op het gebruik van Big Data. Doordat er sprake is van hergebruik van gegevens is er meestal geen rechtsgeldige grondslag aanwezig voor de gegevensverwerking, of is deze niet eenvoudig te verkrijgen. Bovendien levert het voorafgaand vaststellen van een doel problemen op. Dit kan de innovatie belemmeren, omdat wanneer het niet mogelijk is om aan de eisen van de Wbp te voldoen het gebruik van Big Data niet is toegestaan.
- De term persoonsgegeven is een breed en vaag begrip en wordt door de komst van Big Data zodanig opgerekt, dat (bijna) alle vormen van Big Data hieronder vallen. Data mining tools, en vooral de grote hoeveelheid aan beschikbare data, zorgen er voor dat identificeerbaarheid van een individu (bijna) altijd mogelijk is.
- De term persoonsgegeven zorgt er tevens voor dat er sprake is van een alles of niets situatie: een handeling valt onder de Wbp indien er sprake is van herleidbaarheid tot een persoon, zo niet dan is er totale vrijheid voor een instantie om gebruik te maken van Big Data.
- De gevolgen van het niet voldoen aan de vereisten van de Wbp zijn niet afschrikwekkend. De handhavingsorganisaties Autoriteit Consument & Markt en het CBP leggen (meestal) pas boetes op als laatste redmiddel. Als eerste stap wordt er meestal gekeken of er handhavingsmaatregelen genomen dienen te worden. Er is voor een instantie dan ook geen zeer grote dreiging dat er direct boetes opgelegd zullen worden. Daarnaast zijn handhavingsorganisaties veelal niet op de hoogte van de onrechtmatige verwerking van persoonsgegevens. Instanties kunnen in principe net zo lang onrechtmatig Big Data gebruiken totdat er een melding van gemaakt wordt bij een handhavingsinstantie, of totdat een handhavingsinstantie hier zelf lucht van krijgt. Op dat moment worden er handhavingsregels opgesteld, en krijgt de instantie een ‘welverdiende’ tweede kans zijn rechtvaardigingsgrond alsnog te verkrijgen. Dit is nadelig voor betrokkenen aangezien hierdoor persoonsgegevens sneller onrechtmatig verwerkt zullen worden (maar uiteraard voordelig voor de Big Data ontwikkelingen).
Nieuwe wetgeving is dus wenselijk en deze wetgeving is op komst, de nieuwe Europese Privacyverordening is namelijk onderweg. Deze privacyverordening kent een aantal nieuwe regels, welke ook van toepassing zullen zijn op Big Data. Hierover vertel ik volgende week meer!