Big Data, het begrip waar eindeloos over wordt geschreven en gediscussieerd. Hype of toekomst? Toekomst of realiteit? Wat de speculaties ook zijn, de komende weken zal er een blogserie over Big Data en de juridische impact ervan verschijnen. Want hoewel het combineren van enorme datasets wellicht in een eerste instantie onschuldig lijkt, heeft dit wel degelijk een juridische impact wanneer deze data ook informatie over personen bevat.
In deel 1 van deze blogserie heb ik verteld over wat Big Data nou eigenlijk is en wie er gebruik van maakt. Maar aan het gebruik van Big Data zijn ook grenzen gebonden. Als een database gegevens over personen bevat, is namelijk de Wet bescherming persoonsgegevens van toepassing. Maar wanneer is dit het geval? In deze blog vertel ik daar meer over.
Wat zijn persoonsgegevens nou precies? De wet omschrijft een persoonsgegeven als volgt:
’Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.’’
Een persoonsgegeven moet dus aan twee voorwaarden voldoen:
Ten eerste moet het een gegeven over een persoon zijn. Dit hoeft niet altijd in tekst-vorm te zijn. Persoonsgegevens kunnen ook foto’s, camerabeelden of spraakopnames zijn. Gegevens over een rechtspersoon of puur technische gegevens zijn geen persoonsgegevens, deze gegevens zeggen tenslotte niets over een persoon. Een database met enkel technische gegevens valt dus (in de meeste gevallen) niet onder deze wet.
Ten tweede moet het gegeven ertoe leiden dat een persoon herleidbaar is. Herleidbaarheid kan plaatsvinden via direct of indirect herleidbare persoonsgegevens.
Direct herleidbare gegevens, zijn gegevens die de identiteit van een persoon zonder veel omwegen kan vaststellen. Deze gegevens zijn in bepaalde mate uniek waardoor ze een individu met bepaalde zekerheid kunnen identificeren. Hieronder vallen gegevens zoals naam, adres, geboortedatum en de combinatie van deze gegevens.
Indirect herleidbare persoonsgegevens zijn gegevens die weliswaar niet direct naar een persoon herleiden, maar in combinatie met andere gegevens dit wel doen. Aan de hand van enkel een postcode weet je niet bij welke persoon deze hoort, maar in combinatie met een huisnummer of telefoonnummer kun je dit wel achterhalen. Ook een IP-adres , MAC-adres en geolocaties zijn indirect herleidbaar naar een persoon en daarom ook persoonsgegevens.
Vooral een database met alleen maar indirect herleidbare gegevens kan de indruk wekken dat er geen sprake van persoonsgegevens is. Er is aan deze data zelf niet af te lezen over welke personen het gaat. Toch is dit onvoldoende om niet onder de wet te vallen. Het College Bescherming Persoonsgegevens stelt namelijk dat wanneer de mogelijkheid er is om naar een persoon te herleiden, er sprake van persoonsgegevens is. Dankzij geavanceerde data mining tools is het bij Big Data (bijna) altijd mogelijk naar een persoon te herleiden. Wanneer er voldoende databases gecombineerd worden, kan de data aan elkaar gekoppeld worden waardoor herleiding mogelijk is.
Beschik je zelf niet over de juiste databases om deze herleiding mogelijk te maken? Geen probleem volgens het College Bescherming Persoonsgegevens (nu de Autoriteit Persoonsgegevens). Wanneer je zelf niet over voldoende gegevens beschikt om herleiding mogelijk te maken, maar een ander dat met jouw database wel zou kunnen, is er nog steeds sprake van een persoonsgegeven.
Het gaat dus om de mogelijkheid tot identificatie, en niet of deze identificatie daadwerkelijk ooit plaats zal vinden.
Nu kun je in het bezit zijn van databases, maar er eigenlijk niks mee doen. Bijvoorbeeld een oeroude database waar toch nooit iemand in kijkt. Is de Wet bescherming persoonsgegevens dan ook van toepassing? Jazeker. De wet stelt namelijk dat wanneer er persoonsgegevens verwerkt worden, de wet van toepassing is. En verwerken, daar kan werkelijk álles onder vallen. Van het opslaan, tot het verwijderen, van het kopiëren tot het anonimiseren van data. Het slechts in bezit zijn van (Big) databases, maar er nog niks mee doen, valt daarom óók onder de Wbp.
Wat heeft dit tot gevolg voor een (niet-)fervent Big Data gebruiker? Daar volgende week meer over!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.