Big Data, het begrip waar eindeloos over wordt geschreven en gediscussieerd. Hype of toekomst? Toekomst of realiteit? Wat de speculaties ook zijn, de komende weken zal er een blogserie over Big Data en de juridische impact ervan verschijnen. Want hoewel het combineren van enorme datasets wellicht in een eerste instantie onschuldig lijkt, heeft dit wel degelijk een juridische impact wanneer deze data ook informatie over personen bevat.
In deel 1 van deze blogserie heb ik verteld over wat Big Data nou eigenlijk is en wie er gebruik van maakt. Maar aan het gebruik van Big Data zijn ook grenzen gebonden. Als een database gegevens over personen bevat, is namelijk de Wet bescherming persoonsgegevens van toepassing. Deze wet stelt bepaalde eisen aan het verwerken van persoonsgegevens, namelijk een rechtsgeldige grondslag en een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel.
Naast deze eisen verdient het verbod op het onderwerpen van een individu aan een geautomatiseerd besluit, een besluit welke gemaakt wordt zonder menselijke tussenkomt, extra aandacht. Het gebruik van Big Data kan namelijk leiden tot het nemen van besluiten over individuen op basis van een Big Data analyse. Ondanks dat een analyse een grove schets van een bepaalde groep weergeeft en niet zozeer van een individu, worden deze uitkomsten vaak behandeld alsof het gegevens over een specifieke persoon zijn.
Stel je eens voor dat je op basis van een Big Data analyse een te laag gemiddeld inkomen zou hebben, en hierdoor niet in aanmerking komt voor bijvoorbeeld een hoge verzekeringspremie. Dat is vrij zuur als je helemaal geen laag gemiddeld inkomen hebt. Maarja, de computer heeft gelijk en daar moet je het dan maar mee doen.
Er ontstaat met de komst van Big Data een gevaar dat besluiten gebaseerd worden op een ‘the computer says’ grondslag. Dit is riskant want als data niet 100 procent betrouwbaar is, of indien er simpelweg een fout tijdens een analyse wordt gemaakt, kan dit leiden tot foutieve besluiten. Om dit soort situaties te voorkomen, verbiedt de Wet bescherming persoonsgegevens het onderwerpen van een individu aan een geautomatiseerd besluit.
Dit houdt in dat er geen besluiten genomen mogen worden enkel op basis van een Big Data analyse, bijvoorbeeld het vaststellen van klantprofielen, wanneer dit besluit aanmerkelijke rechtsgevolgen kan hebben voor een individu. Dit kan namelijk de persoonlijke levenssfeer van een individu aantasten, en een zodanig profiel mag daarom geen grond voor besluitvorming zijn.
Wél zou een uitkomst van een Big Data analyse als hulpmiddel gebruikt mogen worden bij het nemen van een besluit, wanneer er ook nog sprake is van menselijke tussenkomst bij het nemen van dit besluit. Hoe zich dit in de praktijk vorm gaat geven met Big Data is verontrustend. Want hoe wordt er aangetoond dat, ondanks dat er menselijk tussenkomst heeft plaatsgevonden, een besluit niet enkel genomen wordt op basis van een Big Data analyse? Het zal mij benieuwen.
Overigens zorgt het feit dat data mining tools gebaseerd zijn op menselijk gecreëerde algoritmes er niet voor dat er géén sprake is van een geautomatiseerd besluit. Het besluit wordt tenslotte gebaseerd op een volledige geautomatiseerde gegevensverwerking door een computer, met behulp van data mining tools zónder menselijke tussenkomst tijdens het verwerken van deze gegevens. Het ontwerpen van een data mining tool kan dus weliswaar een menselijke creatie zijn, maar dit is niet aan te merken als een menselijke tussenkomst bij het nemen van een geautomatiseerd besluit.
Tot slot eist de wet dat er een informatieplicht is wat betreft het uitleggen van de logica van de geautomatiseerde verwerking waarop een besluit is genomen. Het is de vraag of het bij een Big Data analyse überhaupt mogelijk is om de logica hiervan aan een niet technisch onderlegde persoon uit te leggen. Big Data analyses zijn zodanig complex, dat het alles behalve eenvoudig zal zijn de genomen stappen van een dergelijke analyse aan betrokkenen uit te leggen.
Wederom moet ik mijn blog afsluiten met: hoe dit verbod in de praktijk vorm gaat krijgen, vraag ik mij af. Het is misschien tijd voor een blog met meer zekerheid, lees daarom volgende week alles over de vijf typen Big Data!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.