Is toestemming werkelijk de enige manier om als data broker te opereren? Die vraag werd ons door diverse partijen gesteld naar aanleiding van mijn blog van vorige week. De Wet bescherming persoonsgegevens (Wbp) benoemt immers naast toestemming ook nog het “dringend eigen belang”, waarmee je soms zonder toestemming persoonsgegevens mag gebruiken. Hoe zit het nu met deze wettelijke grondslag in de praktijk?
Om te beginnen kan een data broker data met verschillende doeleinden verzamelen. Databases die een data broker in zijn bezit heeft kunnen uitermate gunstig zijn om fraude te detecteren. Mogelijk dat hierbij een dringend eigen belang een rol speelt. In de meeste gevallen zal er echter allerlei informatie verzameld worden voor marketingdoeleinden. Ik zal mij dan ook op dit type data broker richten.
Door het verzamelen van data uit veel verschillende bronnen ontstaat er een gigantische database. Verzamel alle gegevens uit online zoekmachines, social media gegevens, gegevens uit verkoop historiën en publieke registers, locatiegegevens en alle andere gegevens die te koop zijn of verkregen kunnen worden en zet vervolgens ál deze data in een database. Wat je krijgt is een walhalla voor Big Data fans. Zet een goede data analist op deze dataset en je verkrijgt een zéér gedetailleerd profiel van iemand.
Opzoek naar een specifieke doelgroep om een gerichte advertentie naar te sturen (of aan weer te geven)? Mannen tussen de 25 en de 30 jaar, woonachtig in Amsterdam, boven modaal inkomen, overgewicht en vrijgezel? Geen probleem. Een data broker werpt een blik op zijn (reeds geanalyseerde) database, zet de benodigde data samen in een bestandje en voilà: een gerichte advertentie is ontstaan.
Vanzelfsprekend bevat de data die doorverkocht wordt persoonsgegevens. Het doorverkopen van data is daarom een verwerking van persoonsgegevens. Daarbij kan een data broker in dit geval aangemerkt worden als verantwoordelijke. De data broker stelt zelf het doel en de middelen vast om de gegevens te verzamelen en te analyseren (én door te verkopen aan adverteerders). Het is weliswaar niet de data broker die de advertentie weergeeft, maar het is wél de data broker die de data analyseert en profilering mogelijk maakt.
Om persoonsgegevens rechtmatig te mogen verwerken is een rechtsgeldige grondslag vereist. In mijn blog besprak ik de grondslag ‘toestemming’, maar er is dus nog een uitzondering: de eigen dringende noodzaak. Ik citeer even het wetsartikel, artikel 8 sub f Wbp:
c Behartiging van een gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
Het is niet eenvoudig deze grondslag direct met een ja of nee te beantwoorden. Deze grondslag vergt een complexe belangenafweging en kent drie vereisten:
a Het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt. Het belang hier is zuiver commercieel, in tegenstelling tot bijvoorbeeld analyses waarbij bescherming tegen fraude of detectie van hackers voorop staat. Zo’n belang kan op zichzelf gerechtvaardigd zijn (ook ondernemen is een grondrecht) maar heel zwaar weegt het niet.
b De noodzakelijkheid van gegevensverwerking. Gegevensverwerking is niet noodzakelijk indien het belang ook op een minder ingrijpende of meer eenvoudigere manier kan worden gediend. In principe kan ook geaggregeerde data geanalyseerd worden om te voorkomen dat er analyses op persoonsniveau gemaakt worden. Hetzelfde geldt voor de noodzaak voor de adverteerder (de derde). De adverteerder kan ook op een minder persoonsgericht niveau adverteren. Door het hanteren van bredere doelgroepen (man/vrouw/jong/oud) is gericht adverteren nog steeds mogelijk, maar gebeurt het niet op individueel niveau. Er is daarom niet voldaan aan de noodzakelijkheid van de gegevensverwerking.
c Het privacybelang van de betrokkene. Als laatste dient er een belangenafweging plaats te vinden: weegt het privacybelang van de consument zwaarder dan het commerciële belang van de data broker of de adverteerder? De geanalyseerde data kan invloed hebben op het gedrag van een consument. Dat is een vorm van inbreken op iemands privacy. Bij het profileren van consumenten aan de hand van Big Data analyses is het daarnaast slecht zichtbaar dat er data wordt verzameld en wordt geanalyseerd, oftewel: transparantie ontbreekt.
Daar komt bij dat ook de gevoeligheid van de gegevens een rol te dient spelen bij deze afweging. Het zal eerder regel dan uitzondering zijn dat er bijzondere persoonsgegevens bij een dergelijke Big Data analyse worden verwerkt (denk aan politieke voorkeuren, etniciteit etc.). Voor het verwerken van bijzondere persoonsgegevens geldt een verbod, tenzij voor het verwerken een uitzondering in de wet is opgenomen óf er uitdrukkelijke toestemming van een individu is verkregen. Deze toestemming is er niet, dus is het verwerken van bijzondere persoonsgegevens niet toegestaan.
Een beroep op deze grondslag ligt voor de hand indien niet aan een andere rechtsgeldige grondslag kan worden voldaan. Artikel 8 sub f kan gezien worden als een soort restbepaling. Daarom geeft de Artikel 29 Werkgroep in een opinie aan dat bij de bovenstaande belangenafweging geoordeeld moet worden of er beschermingsmaatregelen richting de consument zijn genomen. Dit kan bijvoorbeeld het hanteren van een opt-out zijn, als zowel het verhogen van transparantie door de consument vooraf te informeren. Dat is hier niet het geval. En vanwege de indringende inbreuk op de privacy (zie hierboven) geeft de Artikel 29 Werkgroep aan dat bij deze vorm van profileren en gericht adverteren, een beroep op artikel 8 sub f niet is toegestaan (en al helemaal niet indien er geen maatregelen zijn genomen om de consument te informeren en een opt-out aan te bieden).
Ik ben mij ervan bewust dat het College Bescherming Persoonsgegevens (CBP) in 2001 een andere opvatting had. Echter, dat is in internettermen de prehistorie; het CBP had in dat rapport hoogstwaarschijnlijk nog geen rekening gehouden met de ontwikkelingen op het gebied van data brokers en Big Data, namelijk het (zeer gedetailleerd) kunnen profileren van individuen om persoonsgebonden advertenties te kunnen weergeven. De voorbeelden die het CBP noemt, gaan in ieder geval over heel andere soorten data brokering.
Ik kan er nog lang over doorgaan en een blogserie van 15 delen over schrijven, maar mijns inziens kan een data broker die geanalyseerde persoonsgegevens doorverkoopt aan adverteerders zich om bovenstaande redenen in de praktijk niet beroepen op de grondslag uit artikel 8 sub f. Als het privacybelang van de data broker of adverteerder voor deze doeleinden zwaarder weegt, dan is naar mijn mening privacy verloren.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.