Regelmatig krijg ik de vraag of het analyseren van data zoals kentekengegevens, klantnummers, locatiegegevens etc. ook onder de Wet bescherming persoonsgegevens (''Wbp'') valt. Want het maken van Big Data analyses op basis van gigantische databases met dergelijke data, dat zorgt er toch niet écht voor dat herleiding tot een persoon plaatsvindt? Er staat tenslotte geen naam bij en daarnaast zegt een analyse vaker iets over een groep dan over een individu! Het is gewoon een database met een overdosis aan gegevens, daar valt niets over een persoon aan af te lezen. Toch?
Wat betreft de vraag of het analyseren van dergelijke databases onder de Wbp valt, kan in eerste instantie gedacht worden dat een enorm ongestructureerde verzameling van data niet tot identificatie van een individu zou leiden.
Wanneer in de database geen direct herleid persoonsgegeven aanwezig is, zoals een naam, wordt vaak gedacht dat deze gegevens zonder grenzen geanalyseerd mogen worden. Echter wanneer een database indirect herleidbaar persoonsgegevens bevat, is het combineren van twee of meer gegevens vaak al voldoende om herleiding naar een individu plaats te laten vinden. Aan de hand van een kenteken, een klantnummer of locatiegegevens in combinatie met elkaar of met andere gegevens, kan herleiding naar een individu dankzij een slimme data mining tool eenvoudig plaatsvinden.
Daarbij moet nog benadrukt worden dat juist door de enorme hoeveelheid 'opgeslagen Big Data', herleiding steeds eenvoudiger wordt. Verschillende databases worden aan elkaar gekoppeld, waardoor er meer data beschikbaar is en het combineren van gegevens meer mogelijkheden kent. Het is zelfs zo dat bij een enkele database waarbij herleiding eerst niet mogelijk was, deze in combinatie met andere databases wel herleidbaar kan zijn tot een individu.
Doordat met het gebruik van Big Data herleiding tot een individu dermate eenvoudig is geworden, kan gesteld worden dat Big Data het begrip persoonsgegeven op uitzonderlijke wijze oprekt. Big Data biedt de mogelijkheid om bijna altijd tot herleiding te komen. Dit heeft als gevolg dat bij het gebruik van Big Data (bijna) elk gegeven een persoonsgegeven wordt. Dit is een belangrijke ontwikkeling voor de Wbp, want dit heeft tevens tot gevolg dat (bijna) alle 'opgeslagen Big Data' onder de Wbp valt.
Uiteraard valt een database met enkel technische gegevens, zoals data afkomstig van het gebruik van de deeltjesversneller door CERN, niet onder de Wbp. Echter op het moment dat een database (in)direct herleidbare persoonsgegevens bevat, zal de Wbp snel van toepassing zijn. Vraag je daarom altijd af of de gegevens uit een database daadwerkelijk niet herleidbaar zijn tot een individu. Big Data biedt vele mogelijkheden, maar ook vele identificatie mogelijkheden. En in dit laatste geval dient er rekening gehouden te worden met de grenzen van de Wbp!
Meer weten over persoonsgegevens, grenzen van de Wbp en Big Data? Lees dan ook mijn BigData blogserie!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.