Big data, pri vacy en macht

Big data, pri vacy en macht Sterktes en zwaktes van de Privacyverordening

K.C.G. Monster 1875450 [email protected]

Begeleider: K.E. Sandvliet VU Amsterdam, augustus 2015 Masterscriptie rechtsgeleerdheid: internet, ICT en IE

Inhoud

1. Inleiding ................................................................................................................................... 3 1.1 Aanleiding ..................................................................................................................................... 3 1.2 Onderzoeksvraag en deelvragen .................................................................................................. 4 1.3 Onderzoeksmethoden .................................................................................................................. 4

2. Big data ................................................................................................................................... 5 2.1 Omslag in technologie................................................................................................................... 6 2.2 Dataficatie ..................................................................................................................................... 8 2.3 Omslag in denken........................................................................................................................ 10 2.4 De dark side van big data ............................................................................................................ 12 2.5 Ten besluit................................................................................................................................... 14

3. Privacy, gegevensbescherming, big data en macht .................................................................. 15 3.1 Inleiding....................................................................................................................................... 15 3.2 Een historische schets van het grondrecht op privacy ............................................................... 15 3.3 Het Europese grondrecht op gegevensbescherming .................................................................. 19 3.4 Privacy als concept en de werkelijke big data problematiek ...................................................... 20 3.5 Ten besluit................................................................................................................................... 23

4. De Privacyverordening ........................................................................................................... 26 4.1 Inleiding....................................................................................................................................... 26 4.2 Enkele definities: partijen, persoonsgegevens en verwerkingen ............................................... 27 4.3 Onderwerp, doelstellingen en reikwijdte ................................................................................... 29 4.3.1 Onderwerp en doel ............................................................................................................... 29 4.3.2 Materiële reikwijdte ............................................................................................................. 30 4.3.3 Territoriale reikwijdte........................................................................................................... 30 4.4 Beginselen ................................................................................................................................... 31 4.5 Rechtsgrondslagen voor verwerking .......................................................................................... 32

1

4.6 De rechten van betrokkene ........................................................................................................ 33 4.6.1 Het recht op informatie ........................................................................................................ 34 4.6.2 Uitzonderingen op de informatierechten ............................................................................. 35 4.6.3 Recht op toegang en rectificatie .......................................................................................... 36 4.6.4 Recht op wissen, beperkte verwerking en overdraagbaarheid ............................................ 36 4.6.5 Recht van bezwaar en geautomatiseerde individuele besluitvorming ................................ 37 4.7 Voorschriften voor verantwoordelijken en verwerkers ............................................................. 38 4.7.1 Algemene verplichtingen ..................................................................................................... 38 4.7.2 Gegevensbeveiliging ............................................................................................................ 39 4.7.3 Verplichtingen voorafgaand aan de verwerking.................................................................. 40 4.7.4 De functionaris voor gegevensbescherming ........................................................................ 41 4.7.5 Gedragscodes en certificeringen .......................................................................................... 42 4.8 Toezicht, aansprakelijkheid en sancties ...................................................................................... 43 4.9 Sterkte- en zwakte-analyse ......................................................................................................... 44 4.9.1 Gegevensbescherming als subjectief recht, de identificeerbaarheid van het datasubject en pseudonimisering/anonimisering ................................................................................................. 45 4.9.2 Privacy by default ................................................................................................................. 46 4.9.3 Toestemming van de betrokkene ......................................................................................... 47 4.9.4 Doelbinding en gegevensminimalisatie ............................................................................... 47 4.9.5 Privacy by design, privacy-effectbeoordelingen en de functionaris voor gegevensbescherming................................................................................................................... 48 4.9.6 Notificatieplicht bij datalekken ............................................................................................ 48 4.9.7 Betere sanctionering en hogere boetes ............................................................................... 49

5. Conclusie ............................................................................................................................... 50 5.1 Hoofdvraag en deelvragen .......................................................................................................... 50 5.2 Deelconclusies............................................................................................................................. 50 5.3 Eindconclusie .............................................................................................................................. 51

Literatuur .................................................................................................................................. 53

2

1. Inleiding

1.1 Aanleiding Wie had in 1993, bij de openstelling van het internet voor het grote publiek, verwacht dat het internet zo’n sleutelrol in het maatschappelijk verkeer zou spelen als heden ten dage het geval is? Inmiddels is bijna iedere Nederlander ‘connected’. Een groot gedeelte van ons dagelijks leven speelt zich af op of via het internet. We doen daar onze boodschappen, vullen ons belastingformulier in, onderhouden onze sociale relaties, enzovoorts. Smart devices zorgen er niet alleen voor dat we de wereld in onze zak hebben, maar leveren ook een enorme gegevensstroom op. De hedendaagse technologie maakt het niet alleen mogelijk om enorme hoeveelheden gegevens te genereren, maar biedt ook middelen om die gegevens effectief en efficiënt op te slaan en te verwerken. Het is vaak goedkoper om gegevens te bewaren, dan ze te verwijderen. Door slimme analyses los te laten op enorme datasets kunnen waardevolle verbanden gevonden worden, op basis waarvan innovatieve producten en diensten worden ontwikkeld. Gegevens zijn van waardeloze dossiervulling tot een waardevol asset geworden. Ze kunnen echter ook een bijzonder gedetailleerd beeld geven van de persoon van wie ze afkomstig zijn en in samenhang bekeken vertellen ze een hoop over de samenleving als geheel. Toch lijkt de massa graag (een deel van) zijn gegevens af te willen staan, in ruil voor alle innovatieve diensten en producten die zij daar kosteloos voor terugkrijgt. Het privacyrecht is niet van gisteren; het heeft zich in Europa ontwikkeld tot een belangrijk (grond)recht. Hoewel het een fundamenteel grondrecht is, is het geen absoluut recht. Inbreuken of beperkingen zijn altijd mogelijk; in de kern behelst privacy een belangenafweging. Veranderingen in de maatschappij nopen het privacyrecht zich daaraan aan te passen. Zo hebben de opkomst van de boekdrukkunst en later telegram- en telefoniediensten ertoe geleid dat het privacyconcept steeds een andere invulling kreeg. Parallel aan de ontwikkeling van het privacyrecht, is het grondrecht op gegevensbescherming ontstaan. Gericht op de verwerking van gegevens die informatie over personen bevatten, geeft het invulling aan de opvatting van informationele privacy. Het verband tussen privacy en gegevensbescherming is ambigu; deels overlappen beide rechten elkaar, maar er zijn wel degelijk grote verschillen. In dit onderzoek komt naar voren dat het te beperkt is om gegevensbescherming ‘slechts’ als onderdeel van het recht op privacy te beschouwen. De machtsbalans tussen verwerkers en datasubjecten is van doorslaggevend belang. Macht is echter niet per definitie slecht; bovendien legt het grondrecht op ondernemersvrijheid gewicht in de schaal voor de belangen van bedrijven.

3

1.2 Onderzoeksvraag en deelvragen Tegen de hierboven geschetste achtergrond stel ik de vraag wat de sterke en zwakke punten in de conceptverordening zijn met betrekking tot het kanaliseren en controleren van de macht van big data bedrijven over de samenleving en de individuen waaruit zij is opgebouwd. Om tot een beantwoording van de hoofdvraag te kunnen komen, dient een aantal deelvragen beantwoord te worden: (i) wat houdt big data in, (ii) waaruit bestaat de kern van de problematiek rondom big data, (iii) wat is de verhouding tussen het privacy- en gegevensbeschermingsrecht en welke ruimte bieden zij om machtsverhoudingen te kanaliseren en controleren, en (iv) hoe zit de conceptverordening inhoudelijk in elkaar? Het nut van de eerste deelvraag is evident. De tweede deelvraag is nodig om tot de kern werkelijke big data problematiek te komen, die mijns inziens bestaat uit de machtsverhouding tussen bedrijven en de samenleving en de individuen waaruit zij is opgebouwd. Deelvraag (iii) kijkt naar de mogelijkheden van het privacy- en gegevensbeschermingsrecht om eerdergenoemde machtsverhouding te kanaliseren en controleren. Omdat gegevensbescherming en privacy nauw met elkaar verbonden zijn, dient gekeken te worden naar de verhouding tussen beiden. Een inhoudelijk beeld van de conceptverordening is noodzakelijk om tot de sterkte-/zwakte-analyse uit de hoofdvraag te komen.

1.3 Onderzoeksmethoden Afhankelijk van de aard van het deelonderzoek, hanteer ik verschillende onderzoeksmethoden. Het gros van mijn onderzoek bestaat uit literatuur- en jurisprudentieonderzoek, dat beschrijvend, explorerend en/of normatief van aard is. Ik licht de methodekeuzes graag toe aan de hand van de opbouw van deze scriptie. In het volgende hoofdstuk diep ik het begrip ‘big data’ uit. Het begrip kent vele facetten, waarvan ik er enkele uitlicht. Door in te gaan op randvoorwaarden en ontwikkelingen die er aan ten grondslag liggen wordt een beeld geschetst van wat big data inhoudt. Ook de relevantie van big data passeert de revue. Ik stel een functionele omschrijving van het begrip op, als startpunt van het verdere onderzoek. Dit gedeelte kent een laag juridisch gehalte en is beschrijvend van aard. Vervolgens ga ik in op de ontwikkeling van privacy en gegevensbescherming, wordt de rol van macht in de werkelijke problematiek rondom big data blootgelegd, en wordt ingegaan op de ruimte die het privacy- en gegevensbeschermingsrecht hebben om de machtsproblematiek te lijf te gaan. Dit hoofdstuk kenmerkt zich door een beschrijvend, deels rechtshistorisch en deels rechtsfilosofisch karakter. Echter, wanneer het bijdraagt aan mijn onderzoek, zal ik een kritische noot niet achterwege laten. Hiermee wordt dit hoofdstuk gedeeltelijk ook normatief van aard. Het zwaartepunt van deze scriptie ligt in het onderzoek naar de ophanden zijnde privacyverordening. Ik beschrijf het raamwerk en beoordeel de verordening op haar inhoudelijke merites, in het bijzonder ten aanzien van big data. Bepaalde elementen uit de verordening worden uitgelicht en onderworpen aan een sterkte-/zwakte-analyse, tegen het licht van de machtsproblematiek. Het hoofdstuk is daarmee normatief van aard. Tot slot som ik mijn bevindingen op, benoem ik onderlinge verbanden en beantwoord ik mijn onderzoeksvraag in de conclusie. 4

2. Big data

Het begrip ‘big data’ laat zich moeilijk definiëren. Een definitie die men vaak tegenkomt, al dan niet aangevuld met andere elementen, is die van Gartner. ‘Big data is high-volume, high-velocity and high-variety information assets that demand cost-effective, innovative forms of information processing for enhanced insight and decision making’. 1 – Gartner Inc. De definitie van Gartner stamt uit 2001, een tijd waarin de term ‘big data’ nog niet gebezigd werd. 2 Toch wordt deze benadering sindsdien veel gebruikt. Centraal staan de 3V’s; de keywords ‘volume’, ‘velocity’ en ‘variety’. Big data laat zich dus kenmerken door een groot volume, een hoge snelheid en grote variëteit van informatie. Het vereist kosteneffectieve en innovatieve vormen van informatieverwerking en is een instrument om tot verbeterde inzichten en besluitvorming te komen. Volume Het volume ziet op de omvang van de dataset als geheel; niet op de individuele gegevenspunten. 3 Variety Gegevens worden op verschillende plaatsen en media opgeslagen, in uiteenlopende formats en in diverse logische datamodellen. 4 Velocity Ziet op de snelheid waarmee gegevens worden gemaakt, opgeslagen, geanalyseerd en gevisualiseerd. Grote hoeveelheden gegevens worden in korte tijd (real-time of near real-time) verwerkt. 5 De definitie van Gartner wordt veelvuldig aangehaald en door sommige partijen, afhankelijk van hun achtergrond, uitgebreid met meer V’s. Variability en veracity worden vaak genoemd.

1

http://www.gartner.com/it-glossary/big-data. Ward & Barker 2013, p. 1. Overigens werd de definitie opgesteld door META Group, dat inmiddels is opgegaan in Gartner. 3 Het gaat hier om de data zelf; ook wel ‘data at rest’. Grady & Chang 2015, p. 13. 4 Ook hier betreft het ‘data at rest’. Grady & Chang 2015, p. 13. 5 Hier gaat het om ‘data in motion’, gegevens die in beweging zijn omdat zij bijvoorbeeld een netwerk doorkruisen of tijdelijk in het geheugen van een computer zijn opgeslagen om te worden gelezen of bewerkt. Grady & Chang 2015, p. 13-16. 2

5

Variability Iedere verandering in de gegevens, waaronder de stroomsnelheid, het format of de samenstelling. 6 Veracity Hier gaat het om de integriteit van de gegevens en de mogelijkheid voor organisaties om op de gegevens te kunnen vertrouwen. 7 Er zijn ook andere definities in omloop, die – afhankelijk van de achtergrond en invalshoek van degene die ze opstellen – de focus ergens anders leggen. Zo spitst Oracle zich toe op infrastructurele aspecten en wijst op de integratie van nieuwe, ongestructureerde gegevensbronnen in bestaande operaties. 8 Intel gaat uit van datasets die te groot en gevarieerd zijn om met gangbare software de baas te kunnen. 9 Microsoft benoemt naast het volume en de complexiteit van de dataset de significante computerkracht die benodigd is om de data te analyseren en focust op technologieën die daarvoor nodig zijn (machine learning en artificial intelligence). 10 Gartner geeft drie kenmerken (volume, variety en velocity) om big data te definiëren. Anderen hebben de 3V’s aangevuld. In retrospect valt te concluderen dat het lastig – zo niet onmogelijk – is om een eenduidige, alomvattende, doch scherpe definitie op te stellen. Afhankelijk van de rol en achtergrond van de definiërende partij zal de focus steeds ergens anders liggen. In dit hoofdstuk wordt een beeld geschetst van de ontwikkelingen die ten grondslag liggen aan de big data revolutie, de werkwijze bij big data analytics en de waarde. Bovendien wordt ingegaan op de donkere kanten van big data. Tot slot wordt een functionele omschrijving opgesteld.

2.1 Omslag in technologie Elementen die in veel definities in een bepaalde vorm terugkomen, zijn het grote volume en de complexiteit van de gegevens. Impliciet of expliciet wordt verondersteld dat er significante computerkracht benodigd is om de gegevens te managen en analyseren. Een element dat opvallend vaak mist – geen enkele definitie gaat er op in – is een kwantificering van het datavolume. In haar onderzoek koppelt Intel big data aan organisaties die gemiddeld 300 terabytes aan data per week 6

Het betreft wederom ‘data in motion’. Grady & Chang 2015, p. 15. University Alliance, ‘What is Big Data?’, Villanova University. Te raadplegen via http://www.villanovau.com/resources/bi/what-is-big-data/#.VXIOFNLtmkp. 8 J. P. Dijcks 2012: ‘Big data is the derivation of value from traditional relational database driven business decision making, augmented with new sources of unstructured data’. Oracle is een van de grootste leveranciers van bedrijfssoftware en vooral bekend vanwege het gelijknamige databasesysteem. 9 Intel IT Center 2012, p. 4.: ‘[…] defines big data analytics as data sets whose size and variety is beyond the ability of typical database software to capture, store, manage, and analyze — in other words, data that is high volume, complex, or semistructured or unstructured’. Intel is een hardware- en softwarefabrikant, voornamelijk bekend van haar toonaangevende microprocessoren. 10 The Big Bang: How the Big Data Explosion Is Changing the World - Microsoft UK Enterprise Insights Blog - Site Home - MSDN Blogs. Te raadplegen via http://blogs.msdn.com/b/microsoftenterpriseinsight/archive/2013/04/15/the-big-bang-how-the-big-dataexplosion-is-changing-the-world.aspx. ‘Big data is the term increasingly used to describe the process of applying serious computing power – the latest in machine learning and artificial intelligence – to seriously massive and often highly complex sets of information’. 7

6

genereren.11 Het geeft een beeld, maar m.i. ook niet meer dan dat. Waar het om gaat is dat het volume en/of de aard van de gegevens (in de zin van variëteit, complexiteit, snelheid en/of integriteit/betrouwbaarheid) voor problemen zorgen in het beheer en/of de verwerking van die gegevens. Met andere woorden: de schaalbaarheid van de technologieën die benodigd zijn voor het managen en verwerken van gegevens, vormt een belangrijk kenmerk van big data. ‘Big Data consists of extensive datasets – primarily in the characteristics of volume, variety, velocity, and/or variability – that require a scalable architecture for efficient storage, manipulation, and analysis’. 12 – NIST Big Data Working Group 13 In bovenstaande definitie komt het schaalbaarheidsaspect expliciet naar voren. Daarnaast zijn de 3V’s uit de definitie van Gartner en een aanvullende V opgenomen. De vier V’s volume, variety, velocity en variability beschrijven de dataset; de schaalbaarheid ziet op de infrastructuur die nodig is voor het beheer en de verwerking van de gegevens. Tussen de dataset en de infrastructuur bestaat een wisselwerking. Het hierboven geciteerde NIST geeft naast een definitie van big data, een omschrijving van het big data paradigma: ‘The Big Data paradigm consists of the distribution of data systems across horizontally coupled, independent resources to achieve the scalability needed for the efficient processing of extensive datasets’. 14 – NIST Big Data Working Group

Schaalbaarheid In de literatuur wordt wel een onderscheid gemaakt tussen vertical scaling en horizontal scaling. Vertical scaling Hiermee wordt gedoeld op het verhogen van de prestaties van een individueel systeem, in termen van bijvoorbeeld snelheid en geheugen. Deze vorm wordt begrensd door de fysieke mogelijkheden op dat moment. 15 Horizontal scaling Bij deze methode worden individuele systemen geclusterd en geïntegreerd om gezamenlijk als een systeem te werken. Toepassing van deze manier van opschalen heeft de big data revolutie mogelijk gemaakt. 16

11

Intel IT Center 2012, p. 4. Grady & Chang 2015, p. 5. 13 NIST staat voor National Institute of Standards and Technology. Het is een Amerikaans, federaal technologieagentschap dat zich richt op de ontwikkeling van technologie, meetinstrumenten en standaarden. 14 Grady & Chang 2015, p. 5. 15 Grady & Chang 2015, p. 5. 16 Grady & Chang 2015, p. 5. 12

7

In de kern gezien vormt het big data paradigma (in technisch opzicht) dus een verschuiving in systeemarchitectuur (van monolithische systemen met vertical scaling naar geparallelliseerde systemen met horizontal scaling). 17 Deze verschuiving is noodzakelijk vanwege het volume en de aard van de data die tegenwoordig wordt gegenereerd. Big data is dus ‘groot’ in relatief opzicht (relatief ten opzichte van de mogelijkheden ten aanzien van het beheer en de verwerking). Het is waarschijnlijk dat het big data paradigma wederom verschuift, wanneer de huidige technische begrenzingen zijn overwonnen. 18 Het schaalbaarheidsaspect is een belangrijk kenmerk. De eigenschappen van cloud computing 19 sluiten goed aan op de technische behoeften van big data. Met naame IaaS (infrastructure as a service) is een bruikbaar dienstenconcept; het voorziet in een kosteneffectieve oplossing voor schaalbare architectuur. De technologie die het mogelijk maakt om big data op te slaan en te beheren is noodzakelijk, maar het is niet het enige aspect dat big data mogelijk maakt. Hiervoor is ook een omslag in denken nodig, en natuurlijk de gegevens zelf.

2.2 Dataficatie 20 ‘En het geschiedde in diezelfde dagen, dat er een gebod uitging van den Keizer Augustus, dat de gehele wereld beschreven zou worden.’ – Lucas 2:1 De technische mogelijkheid om grote hoeveelheden gevarieerde gegevens op te slaan en te beheren is een premisse, maar zonder de gegevens zelf bezitten de technische mogelijkheden weinig toegevoegde waarde. We leven echter in een tijdperk waarin allerlei gegevens grootschalig en razendsnel worden verzameld. Ook hier speelt de technologie een rol. Het gebruik van allerhande sensoren is enorm toegenomen, evenals de connectiviteit en het gebruik van smart devices. We bewegen ons richting een wereld waarin alles met elkaar verbonden is en communiceert. Onderstaande grafiek toont aan dat personen steeds meer verbonden zijn met internet, en dat hiervoor steeds meer mobiele apparaten worden gebruikt.

17

De beweging van vertical scaling naar horizontal scaling vindt haar oorsprong in de de community rondom wetenschappelijke simulaties en begon ruim 20 jaar geleden. Grady & Chang 2015, p. 5. 18 Grady & Chang 2015, p. 5. 19 Cloud computing wordt door Gartner gedefinieerd als ‘a style of computing in which scalable and elastic ITenabled capabilities are deliverder as a service using Internet technologies’. http://www.gartner.com/itglossary/cloud-computing. 20 Deze term is ontleend aan Mayer-Schönberger & Cukier 2013.

8

100% 90% 80% 70% 60% 50%

2005

40%

2013

30% 20% 10% 0% Toegang tot Via personal Via desktop internet computer

Via laptop

Via mobiele Via andere telefoon apparatuur

Grafiek 1: Ontwikkeling internetconnectiviteit in Nederland 2005-2013 (Bron: CBS 2014)

21

Alle percentages zijn percentages van het totaal aantal Nederlanders. Veel Nederlanders zijn verbonden met het internet. Er is een belangrijke ontwikkeling waar te nemen in de apparatuur die gebruikt wordt. De klassieke desktop is massaal ingeruild voor een mobiel apparaat, zoals een laptop of mobiele telefoon. Ook het gebruik van andere apparaten (zoals tablets) is enorm gestegen. Het grootschalige gebruik van mobiele en ‘slimme’ apparaten was niet mogelijk geweest zonder de snelle vooruitgang in technologische mogelijkheden. In 1965 voorspelde Gordon Moore dat de dichtheid van transistors op een printplaat iedere twee jaar zou verdubbelen (Moore’s Law). 22 Hoewel zijn voorspelling betrekking had op de eerstvolgende tien jaar, is zijn voorspelling als wetmatigheid gaan gelden in de ontwikkeling van allerlei computercomponenten. 23 Dit zorgt er niet alleen voor dat computers krachtiger worden, maar ook dat de opslagcapaciteit toeneemt. Dat van deze mogelijkheden gebruik wordt gemaakt, laat zich raden. Zo stelt Gartner dat wereldwijd het datavolume met minimaal 59% per jaar toeneemt. 24 Mobiele apparaten verzamelen bijvoorbeeld locatiegegevens (via gps, wifi of zendmasten). Ook ons surfgedrag wordt bijgehouden (middels tracking cookies). Sociale media brengen onze interacties met anderen in kaart. Maar er wordt nog veel meer gemeten, in bijvoorbeeld constructies en industriële toepassingen. Denk aan trillingsmeters op bruggen of warmtesensoren in fabrieksmachines. Daarnaast spelen gegevens over gegevens (metadata) een steeds grotere rol.

21

Ontleend aan CBS-rapport ICT gebruik 2014. Moore 1965, p. 114-117. 23 Er wordt wel gezegd dat Moore’s Law een benchmark is geworden in de computerindustrie. Dit is echter omstreden; het is waarschijnlijker dat er andere grondslagen waren die deze ontwikkeling mogelijk hebben gemaakt. Hoe het ook zij, voor het bestek van dit onderzoek gaat het erom dat de ontwikkeling enorm snel is gegaan. Vgl. Tuomi 2002. 24 Het gaat hier niet om het volume van data die over internet wordt verzonden, maar om alle data wereldwijd. Gartner Inc., ‘Gartner Says Solving 'Big Data' Challenge Involves More Than Just Managing Volumes of Data’ (2011). Te raadplegen via http://www.gartner.com/newsroom/id/1731916. 22

9

Het woord ‘data’ kent zijn oorsprong in het Latijn; het is de meervoudsvorm van ‘datum’ (gegeven ding) of verleden deelwoord van ‘dare’ (het werkwoord ‘geven’). Vandaar de Nederlandse term ‘gegeven’. Tegenwoordig wordt met de term gedoeld op een beschrijving van iets dat kan worden vastgelegd, waarna het kan worden geanalyseerd en gereorganiseerd. 25 We leven in een tijdperk waarin allerlei dingen in een gekwantificeerde vorm systematisch worden vastgelegd en geanalyseerd; dit wordt dataficatie genoemd. 26 Het gaat dus om het meten, vastleggen en analyseren van informatie. Dat onze moderne IT-middelen hierbij een dankbaar instrument zijn, is evident. Het is evenwel geen vereiste voor dataficatie. Een voorbeeld is de marine-officier Maury, die in 1839 vanwege een ongeluk gehandicapt werd en een kantoorbaan kreeg als hoofd van het kaartenmagazijn. Gps bestond nog niet; de kapiteins bepaalden hun routes voornamelijk op basis van ervaring. Maury kwam op het idee om zoveel mogelijk informatie te bundelen, om zo de meest gunstige vaarroutes te bepalen. Zo combineerde hij informatie uit oude logboeken, waaronder gegevens over getijden, stromingen en de wind op specifieke tijdstippen en plaatsen. Hij ontwierp een format voor logboeken dat verplicht werd voor alle marineschepen en zag er op toe dat de logboeken werden ingeleverd. Commerciële koopvaardij-ondernemingen kregen inzicht in zijn bevindingen, onder de voorwaarde dat ook zij hun gegevens deelden. Toen Maury in 1855 zijn levenswerk ‘The Physical Geography of the Sea’ publiceerde had hij 1,2 miljoen gegevenspunten verwerkt. Door alle gegevens te combineren kon hij de meest efficiënte vaarroutes bepalen. Zijn systeem bekortte de vaartijd met gemiddeld een derde. De digitale revolutie is geen voorwaarde voor dataficatie, maar het helpt enorm. We genereren steeds meer data, en hebben inmiddels ook de technische mogelijkheden om ze op grote schaal te beheren, verwerken en analyseren. Toch is er nog een ander, belangrijk aspect dat aan de vooravond stond van de big data revolutie: een omslag in denken.

2.3 Omslag in denken Hoewel alles natuurlijk relatief is, kun je stellen dat we van een lange periode van gegevensschaarste naar een gegevensovervloed zijn bewogen. Gegevens zijn in enorme hoeveelheden en soorten beschikbaar en we hebben de technische mogelijkheden om er iets mee te doen. Big data toepassingen vereisen echter meer dan gegevens en techniek alleen. Van ‘N=1100’ 27 naar ‘N=alles’ Mensen hebben altijd de wereld om hen heen willen begrijpen en verklaren. We zijn gewend om aan de hand van theorieën hypotheses op te stellen, die we kunnen bevestigen of ontkrachten door gegevens te analyseren. Vanwege de gegevensschaarste werden we vaak gedwongen om

25

Mayer-Schönberger & Cukier 2013, p. 80. Dataficatie is overigens iets anders dan digitalisering, waar het gaat om het omzetten van analoge informatie in digitale. Mayer-Schönberger & Cukier 2013, p. 80. 27 Een aselecte steekproef van 1100 personen geeft een representatief beeld van een groep, hoe groot die ook is. Overigens gaat het hier om antwoorden op een vraag met twee mogelijke antwoorden (ja of nee). Babbie 2010, p. 204-207. 26

10

steekproeven te doen, die een afspiegeling van de werkelijkheid vormen. Bij big data hoef je geen steekproef meer te nemen, gezien de grote hoeveelheden data. We bereiken of benaderen ‘N=alles’. Omdat steekproeven een weergave van een grotere groep zijn, is het belangrijk dat de gebruikte gegevens nauwkeurig zijn om vertekeningen en vertroebelingen te voorkomen. Een kenmerk van big data is de wanordelijkheid ervan: de gegevens zijn gevarieerd en vaak ongestructureerd. De nauwkeurigheid van de gegevens is niet gegarandeerd, sterker nog: je kunt ervan uitgaan dat zich onnauwkeurigheden bevinden in de dataset. Dit manco in kwaliteit wordt echter goedgemaakt door de kwantiteit van de gegevens. Een voorbeeld maakt dit duidelijk. Olieconcern BP heeft een raffinaderij uitgerust met allerlei sensoren die (real time) enorme hoeveelheden gegevens genereren. De omgeving waarin deze sensoren hun werk doen veroorzaakt soms fouten in de metingen, die tot wanordelijkheid en onnauwkeurigheid leiden. Echter, vanwege het grote aantal meetpunten en de hoge meetfrequentie die leiden tot een enorme gegevensstroom, worden individuele meetfoutjes snel gecompenseerd. Uiteindelijk ontdekte BP dankzij deze methode dat sommige soorten ruwe olie veel meer corrosie veroorzaken dan andere soorten. BP had dit niet ontdekt met een kleinere dataset, door minder meetpunten en/of een lagere meetfrequentie. Meer is dus beter, ondanks de wanordelijkheid en onnauwkeurigheid. 28 Van causaliteit naar correlatie Bij het begrijpen en verklaren van de wereld om ons heen zochten we vaak naar de oorzaken van bepaalde gebeurtenissen. We wilden weten waarom iets was zoals het was: we waren op zoek naar causale verbanden. Big data geeft geen antwoord op de waarom-vraag. In plaats van causaliteit, richt het zich op correlaties. Big data analyses tonen verbanden tussen gegevens aan. Het verklaart niet waarom iets is zoals het is, maar het geeft aan wat er is. Zo bekeken brengt big data ons dus niet dichter bij het verklaren van de wereld. De wetenschap van het ‘wat’ kan echter waardevoller zijn dan het ‘waarom’. Denk aan marine-officier Maury: hij was op zoek naar de meest efficiënte vaarroutes over zee. Dat bepaalde routes sneller waren vanwege de Noord-Atlantische drift die schepen meeneemt in haar stroom was voor hem aanzienlijk minder interessant dan het enkele feit dat die route sneller was. Een ander voorbeeld: voor veel verkopers is het voldoende om te weten dat hun product het goed doet bij bepaalde doelgroepen, zodat zij hun marketing op die doelgroepen kunnen toespitsen. De ‘waarom-vraag’ hoeft daarvoor niet beantwoord te worden. Natuurlijk blijft het interessant om onderzoek te doen naar oorzaken. Correlaties komen er niet altijd voor in de plaats en op de langere termijn is het vaak waardevol juist inzicht te krijgen in causaties. Correlaties en causaties zijn echter geen tegengestelden en kunnen ook samen gebruikt worden. Zo kunnen correlaties een belangrijke aanwijzing of aanleiding zijn voor causaliteitsonderzoek, of daarbij de rol van wegwijzer vervullen. Big data analytics houdt een omslag in denken in. Indien je de onvolmaaktheid van big data (in termen van wanordelijkheid en onnauwkeurigheid) accepteert, krijg je daar een dataset en analyse met N=alles (of N=bijna alles) voor terug. De grote hoeveelheid data compenseert de wanordelijkheid en onnauwkeurigheid. Door je te richten op correlaties in plaats van causale verbanden krijg je beter zicht op het totaalplaatje, maar ook de details worden beter zichtbaar. Je kunt het vergelijken met de verschillen tussen conventionele camera’s en de lichtstralencamera. Een conventionele camera legt een bepaald lichtvlak vast. Een lichtstralencamera legt echter alle 28

Clarabut 2011.

11

lichtstralen vast, waardoor je later kunt beslissen waar je op wil scherpstellen. Alle informatie wordt vastgelegd en kan later naar smaak worden aangepast; bij conventionele camera’s dient de keuze te zijn gemaakt voordat de sluiterknop wordt ingedrukt. 29

2.4 De dark side van big data De inzet van big data in industriële toepassingen, zoals de olieraffinaderij van BP of het monitoren van de spanningen in een brug, zal niet snel op bezwaren stuiten. De onthullingen door Snowden van de grootschalige afluisterpraktijken door de NSA hebben echter wel duidelijk gemaakt dat big data een keerzijde kent. De parallel met Big Brother uit 1984 van George Orwell is in de media meermaals getrokken. Ook gelijkenissen met de Stasi uit de voormalige DDR passeren de revue, evenals het profijt dat Nazi’s bij hun razzia’s trokken uit het nauwkeurige register van de burgerlijke stand. Vanwege het bestek van dit onderzoek ga ik niet verder in op gebruik en misbruik van big data door overheidsinstanties of organisaties, anders dan private ondernemingen. Het bedrijf Google werd al eerder genoemd, omdat het een schoolvoorbeeld van een big data bedrijf is. Het verzamelt enorme hoeveelheden gegevens, in alle formaten en bestandssoorten, uit ontelbare bronnen. Google Translate gebruikt geen geprogrammeerde grammaticale regels en uitzonderingen, maar vertaalt door waarschijnlijkheden te berekenen uit miljarden bestaande vertalingen: van officiële EU-documenten tot meertalige websites van bedrijven. Maar Google bouwt ook profielen op van gebruikers. Sommige gegevens staan gebruikers vrijwillig af, door een account aan te maken dat diensten en producten als Gmail, Drive, maar ook Android, aan elkaar koppelt. Het profiel wordt aangevuld door waarschijnlijkheden te berekenen op basis van zoekopdrachten, surfgedrag, e-mailcorrespondenties, persoonlijke en zakelijke bestanden in de cloud, geüploade filmpjes en comments op Youtube, contacten en netwerk, locatiegegevens, tweets, enzovoorts. Google weet meer over ons inkomen en de manier waarop we dat besteden dan de overheid, ondanks dat de Belastingsdienst zich bedient van onze jaaropgaven en salarisgegevens vanuit de werkgever. Maar Google weet waarschijnlijk ook meer over ons dan wijzelf, puur vanwege het vermogen om statistische waarschijnlijkheden te berekenen op basis van correlaties tussen ontelbare gegevens van ons en anderen. Zorgverzekeraars zetten zorgverleners onder druk om zoveel mogelijk gegevens over te dragen, op basis waarvan zorgverzekeraars hun risico-analyses kunnen inrichten. Zo kunnen kosten bespaard worden, wat in de zorgsector hard nodig is. Zorgverzekeraars zouden echter ook klanten kunnen profilen en op grond van verhoogde risico’s burgers confronteren met onredelijk hoge premies of besluiten personen niet te verzekeren, gezien de grote kans op dure behandelingen. Slimme energiemeters geven consumenten niet alleen inzicht in hun verbruik, maar ze bieden energiebedrijven ook inzicht in het leven van hun klanten. Ze kunnen zien hoe laat ze gaan slapen, hoe laat ze opstaan, wanneer ze op vakantie zijn, hoe lang ze op de wc zitten, en zelfs naar welke televisieprogramma’s ze kijken. 30

29

Het voorbeeld is ontleend aan Mayer-Schönberger & Cukier 2013, p. 32. Zie ook de website van Lytro: www.lytro.com. 30 Security.nl, ‘Slimme meter onthult kijkgedrag consument’, te raadplegen via https://www.security.nl/posting/34797/Slimme+meter+onthult+kijkgedrag+consument.

12

Door big data analyses toe te passen is anonimiteit praktisch uitgesloten. Ook datasets die geanonimiseerd zijn, dat wil zeggen ontdaan zijn van alle gegevens die direct naar individuen verwijzen (zoals NAP-gegevens en ip-adressen) kunnen op basis van analyses, correlaties en waarschijnlijkheden, personen identificeren. 31 Daar moet echter wel een specifieke analyse voor worden opgezet en uitgevoerd. Correlaties komen niet vanzelf bovendrijven. Burgers kunnen zich moeilijk afzonderen van de grootschalige collectie van hun gegevens. Ze kunnen ervoor kiezen geen sociale media te gebruiken en geen diensten van Google af te nemen. Ze kunnen zich verschuilen achter een VPN of surfen via het TOR netwerk. Maar ze moeten dan ook al hun uitgaven contant betalen, met een anonieme OV-chipkaart reizen, niet autorijden en de mobiele telefoon opgeven. Kortom: de dataficatie slaat overal om zich heen en gegevens worden eindeloos gerecycled. Burgers kunnen zich daar praktisch niet aan onttrekken, omdat het een maatschappelijk fenomeen is. Een groot gevaar van de uitkomsten van big data analytics ligt in de mogelijke verwarring tussen correlaties en causaties. Wanneer een verband wordt aangezien voor een verklaring, kunnen vergaande conclusies worden getrokken die grote gevolgen kunnen hebben voor individuen en de maatschappij. Een voorbeeld: in de media wordt wel eens geroepen dat Marokkanen of Nederlanders met een Marokkaanse achtergrond, oververtegenwoordigd zijn in misdaadstatistieken. 32 Dat mag zo zijn, maar dat betekent natuurlijk niet de criminaliteit van de betreffende personen veroorzaakt wordt door het enkele feit dat zij een Marokkaanse achtergrond hebben. Corporaties weten niet alleen alles van hun klanten, maar krijgen dankzij big data analytics ook steeds meer inzicht in de maatschappij als geheel. Kennis werd vroeger voornamelijk opgedaan in academische kringen door wetenschappelijk onderzoek, tegenwoordig zijn het de grote bedrijven die oneindig lijkende middelen beschikbaar hebben om kennis te vergaren. Die kennis wordt niet alleen ingezet om innovatieve producten te ontwikkelen die burgers helpen hun bestaan te vergemakkelijken. Het verdienmodel van de betreffende corporaties is gebaseerd op advertenties, meer in het bijzonder targeted advertising. Dankzij de inzichten die big data de bedrijven levert wordt inzichtelijk waar een persoon behoefte aan heeft, zodat een op die behoefte toegesneden advertentie getoond wordt in de hoop dat die persoon het door hem gewenste product bij dat bedrijf afneemt. Big data wordt echter ook gebruikt om behoeftes te creëren, zodat personen niet alleen dat ene door hen gewenste product afnemen, maar producten blijven kopen die zij misschien niet eens nodig hebben of eigenlijk niet eens willen. 33 Dat gebeurt op een maatschappijbrede schaal en vaak in het onbewuste; denk aan het big data onderzoek van Google waarin 41 tinten blauw werden getest op hun click-through rates. 34 De corporaties krijgen dus steeds meer macht over individuen en de maatschappij. In de relatie tussen burgers en bedrijven die zich bedienen van big data, vormt de manipulatie van en controle over personen en de maatschappij het voornaamste probleem. In paragraaf 3.3 wordt hier verder op ingegaan.

31

Zie bijv. Ohm 2010, p. 1701-1777 en Barbaro & Zeller 2006. Zie bijv. http://allochtonen.feiten.info/website/criminaliteit/. 33 Vgl. Furnas 2012. 34 Holson 2009. 32

13

2.5 Ten besluit De wereld en haar bewoners worden in hoog tempo gedataficeerd, dat wil zeggen: het in gekwantificeerde vorm systematisch vastleggen en analyseren van informatie. De grote hoeveelheid gevarieerde gegevens worden op hoog tempo verwerkt. De schaalbaarheid van de technologische architectuur is noodzakelijk, maar de gegevens zelf zijn de grondstof van de big data industrie. Voor big data analyses is een omslag in denken vereist. Om de overvloed aan gegevens inzichtelijk te maken moet worden gezocht naar correlaties in plaats van causale verbanden. Die correlaties leveren inzichten op macro- en microniveau op; algemene trends alsook trends in subgroepen kunnen worden opgespoord. Onnauwkeurigheden in individuele gegevenspunten worden geaccepteerd, omdat de enorme hoeveelheid overige gegevenspunten die enkele onnauwkeurigheden compenseert. Uiteindelijk komt het aan op het berekenen van waarschijnlijkheden; het gaat dus niet om het ‘waarom’, maar om het ‘wat’. De grootschalige toepassing van big data heeft een verandering teweeg gebracht die grote gevolgen heeft voor de maatschappij. Big data levert waardevolle inzichten op allerlei gebieden op, maar kent ook een donkere kant. Burgers kunnen in sterk afnemende mate anoniem door het leven gaan, omdat allerlei gegevens van en over hen worden opgeslagen en geanalyseerd. In de relatie tussen commerciële bedrijven en hun klanten, die tevens het product zijn, ligt het grootste probleem echter in de toenemende macht die bedrijven hebben over personen en de samenleving als geheel. Big data laat zich slecht definiëren vanwege haar talrijke facetten. Voor het vervolg van dit onderzoek neem ik de volgende beschrijving tot uitgangspunt. Big data is het begrippenkader rondom het (al dan niet real time) stelselmatig en op grootschalige wijze verzamelen, beheren en verwerken van grote hoeveelheden gegevens. De gegevens zijn bovendien uiterst gevarieerd en enigszins wanordelijk van aard. Vanwege de omvangrijke dataset worden zowel op macro- als op microniveau correlaties gevonden, waaraan statistische conclusies kunnen worden verbonden.

14

3. Privacy, gegevensbescherming, big data en macht

3.1 Inleiding In dit hoofdstuk komen de begrippen privacy, gegevensbescherming, big data en macht aan de orde. Aan de hand van een bespreking van privacy en gegevensbescherming als grondrechten, worden enkele kenmerken van die rechten benoemd en wordt kort stilgestaan bij de verbanden tussen beide rechten. Paragraaf 3.2 schetst het grondrecht op privacy; in paragraaf 3.3 wordt kort stilgestaan bij het grondrecht op gegevensbescherming. Het recht op gegevensbescherming is een zelfstandig grondrecht, maar in sterke mate verbonden met privacy. Om invulling te geven aan het gegevensbeschermingsrecht, is het dus nuttig om privacy onder de loep te nemen. Het privacygrondrecht is een gecodificeerde weergave van een abstract privacyconcept. Het probleem is echter, dat die ‘concrete’ weergave door de wetgever behoorlijk vaag en tamelijk abstract is gecodificeerd. Dit heeft de wetgever bewust gedaan, omdat het recht op privacy vele facetten kent. Om in concrete situaties invulling aan het recht op privacy te kunnen geven, zal dus moeten worden teruggevallen op het abstracte concept waarvan het gecodificeerde grondrecht is afgeleid. De vertaalslag van het abstracte naar het concrete is niet eenvoudig, maar ook het vormgeven van het abstracte concept dat de kern van het recht op privacy weergeeft is geen sinecure. In paragraaf 3.4 wordt ingegaan op de problemen bij het conceptualiseren en concretiseren van het abstracte begrip ‘privacy’. Betoogd wordt dat een pragmatische aanpak, die ik voorsta, noopt tot een bottom-up benadering. Het privacyconcept wordt daarbij geconstrueerd vanuit het concrete privacyprobleem; in dit geval de problematiek rondom big data. In de analyse van de werkelijke big data problematiek komt naar voren dat de machtsverhouding tussen corporaties die zich van big data bedienen enerzijds en burgers en de samenleving als geheel anderzijds, het grootste aandeel in de big data problematiek heeft. Die bevinding roept de vraag op hoe machtsbalansen zich verhouden tot privacy en welke rol het privacy- en/of gegevensbeschermingsrecht speelt of zou moeten spelen in het beheersen van die machtsverhouding. In de laatste paragraaf van dit hoofdstuk worden de belangrijkste bevindingen gemarkeerd en met elkaar in verband gebracht, waarna enkele conclusies getrokken worden.

3.2 Een historische schets van het grondrecht op privacy ‘[The right to privacy is] the most comprehensive of rights and the right most valued by civilized men.’ 35 – J. Brandeis 35

Olmstead v. United States, 277 U.S. 438, 478 (1928) (Brandeis, J., dissenting). Toevoeging tussen haakjes door de auteur.

15

Het ontstaan van het recht op privacy wordt algemeen toegedicht aan de Amerikaanse juristen Warren en Brandeis. In een tijd die gekenmerkt werd door de opkomst van massamedia en technologische ontwikkelingen als telelenzen en afluisterapparatuur, en wars van de overal opduikende paparazzi, schreven zij hun legendarische artikel ‘The Right to Privacy’. 36 Warren en Brandeis construeren het recht op privacy als een recht om alleen gelaten te worden en geven vijf kenmerken. ‘The right to be let alone’ 37 1. De publicatie van kwesties van algemeen belang mag niet worden verhinderd door het recht op privacy; 2. Publicaties over privéaangelegenheden die van belang zijn voor het maatschappelijke debat zijn toegestaan, indien het om publieke figuren gaat; 3. Het recht op privacy strekt zich niet uit over informatie die de betrokkene zelf heeft gepubliceerd of waarvoor hij toestemming heeft verleend; 4. Er wordt inbreuk gemaakt op de privacy door de onthulling an sich, of deze nu waar is of niet; 5. Opzet is niet vereist om van een privacyschending te kunnen spreken. Warren en Brandeis positioneerden het recht op privacy ergens tussen het eigendomsrecht en het intellectuele eigendomsrecht. Vanwege de insteek van het Amerikaanse rechtssysteem bleek het lastig om er concreet vorm aan te geven. 38 Het heeft uiteindelijk een plek gevonden in het leerstuk van de onrechtmatige daad en wijst vorderingen toe aan slachtoffers van privacy-inbreuken, indien aan bepaalde voorwaarden is voldaan. Voorwaarden onrechtmatigheid 39 1. 2. 3. 4.

Binnendringen in een afgezonderde zone (intrusion upon seclusion); Onthulling van feiten die privé zijn (‘public disclosure of private facts’); De publicatie zet de gelaedeerde in een vals daglicht (‘false light’); Iemand doet zich voor als de gelaedeerde (‘appropriation’).

Kortom: het recht op privacy ontstond in Amerika als een recht om met rust te worden gelaten. Inmiddels is privacy erkend als mensenrecht en opgenomen in diverse verdragen, waaronder de Universele Verklaring van de Rechten van de Mens (UVRM; artikel 12) uit 1948. Het UVRM is als resolutie van de Algemene Vergadering van de VN juridisch niet bindend; derhalve blijft een bespreking van dit artikel achterwege. 40 Opname in de UVRM geeft echter wel aan dat privacy een gewichtig (mensen)recht is. 36

Warren & Brandeis 1890. Warren & Brandeis 1890, p. 193. 38 De Amendments op de Constitution kennen namelijk geen duidelijk recht op privacy. Vgl. Dommering 2010, p. 85. 39 Ontleend aan Dommering 2010, p. 85.. 40 Omdat in andere rechtsbronnen veelvuldig naar de UVRM wordt verwezen, wordt wel eens beweerd dat de inhoud van de UVRM deel uitmaakt van het internationale gewoonterecht, waardoor de UVRM wel degelijk juridisch bindend zou zijn. Bespreking van deze discussie is echter geen toevoeging aan dit onderzoek. Er is immers geen rechtsprekende instantie die beoordelingen stoelt op de UVRM en daarmee bijdraagt aan de verdere rechtsontwikkeling. Art. 12 UVRM luidt als volgt: ‘Niemand zal onderworpen worden aan willekeurige 37

16

Het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR; 1966), tevens afkomstig van de VN, kent ook een bepaling die de privacy van burgers garandeert (artikel 17). Dit verdrag wordt door ratificatie juridisch bindend en werkt rechtstreeks door in de nationale rechtsordes. Van effectieve handhaving door een supranationale rechtsprekende instantie is echter geen sprake, waardoor ook hier nauwelijks sprake is van rechtsontwikkeling. 41 Hierdoor wordt het belang van het IVBPR (althans in Europa) overschaduwd door het Europees Verdrag voor de Rechten van de Mens (EVRM). Het recht op privacy is opgenomen in artikel 8 van het EVRM en heeft zich verder ontwikkeld in de rechtspraak van het Europese Hof voor de Rechten van de Mens (EHRM). 42 Artikel 8 houdt zowel een negatieve als een positieve verplichting voor verdragsstaten in. 43 De exacte grenzen van die verplichtingen worden niet aangegeven. Het grondrecht op privacy is geen absoluut recht; beperkingen van de privacy zijn mogelijk. Beperkingen dienen echter wel aan bepaalde voorwaarden te voldoen. Het komt erop neer dat er een belangenafweging dient te worden gemaakt, waarbij de belangen van het individu worden afgewogen tegen de belangen van de maatschappij als geheel. Art. 8 EVRM 1. Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. 2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen. Het eerste lid geeft een ruime (en vage) omschrijving van de inhoud van het recht op privacy. Het tweede lid bevat de beperkingsclausule. De clausule kent drie elementen waaraan cumulatief dient te worden voldaan.

inmenging in zijn persoonlijke aangelegenheden, in zijn gezin, zijn tehuis of zijn briefwisseling, noch aan enige aantasting van zijn eer of goede naam. Tegen een dergelijke inmenging of aantasting heeft een ieder recht op bescherming door de wet’. 41 Het VN-Comité voor de Rechten van de Mens ziet toe op handhaving, maar kan haar mening en aanbevelingen niet afdwingen. Dit neemt natuurlijk niet weg dat het verdrag als rechtsbron kan worden ingeroepen voor nationale rechters. Art. 17 IVBPR luidt als volgt: 1. Niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn privé leven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer en goede naam. 2. Een ieder heeft recht op bescherming door de wet tegen zodanige inmenging of aantasting. 42 Hoewel aanklachten voor het EHRM slechts gericht kunnen zijn tegen publieke instanties van lidstaten, is jurisprudentie van het EHRM nuttig omdat het zich als hoogste rechter buigt over privacyvraagstukken en uitleg geeft over de interpretatie van het recht op privacy. Omdat nationale rechters gebonden zijn aan uitspraken van het EHRM, is de uitleg van het EHRM ook van betekenis voor horizontale relaties. 43 Zie bijv. EHRM 26 maart 1985, NJ 1985, 525 m.nt. EAA (X en Y), EHRM 22 oktober 1996, NJ 1997, 449 m.nt. JdB (Stubbings) en EHRM 28 oktober 1998, NJ 2000, 134 m.nt. EAA.

17

Beperkingen ex art. 8 lid 2 EVRM 1. Bij wet voorzien - EHRM: ruime uitleg; grondslag in nationale recht - Voldoende precies geformuleerd - Voorzienbaar en kenbaar 2. Noodzakelijk in een democratische samenleving - ‘Pressing social need’ - Proportionaliteitstoets - Subsidiariteitstoets 3. De beperking ziet op een van de doelcriteria - ‘Legitimate aim’ - Nationale veiligheid, voorkomen wanordelijkheden en strafbare feiten, bescherming gezondheid of goede zeden, bescherming rechten en vrijheden van anderen Artikel 8 geeft het privacyrecht weer als een vrijheidsrecht waarin iedere inmenging in beginsel onrechtmatig is, maar waarvan het onrechtmatige karakter kan worden weggenomen door te voldoen aan de voorwaarden uit de beperkingsclausule. De omschrijving van de inhoud van het recht op privacy in het eerste lid is vaag en ruim verwoord, waarmee de materiële reikwijdte zich ver uitstrekt. Wat privacy in een concreet geval inhoudt, is afhankelijk van de context waarin het recht op privacy wordt ingeroepen. Lid 1 functioneert als het ware als een ‘paraplurecht’ waaronder diverse aspecten van privacy schuilen, zoals het briefgeheim, relationele privacy en ruimtelijke privacy. 44 Een ander aspect, informationele privacy, wordt in paragrafen 3.3 en 3.4 nader besproken. In Europees verband wordt het recht op privacy tevens erkend in het Europees Handvest van de Grondrechten van de Europese Unie. 45 In feite is het Handvest een (bindende) bijlage van het Verdrag van Lissabon. 46 Het Handvest heeft ten doel de grondrechten die binnen de Unie gelden beter zichtbaar te maken, door ze in een tekst samen te brengen. Het bevat dus, onder meer, het recht op privacy (dat immers als grondrecht is opgenomen in het EVRM). 47 Daarnaast kent het een bepaling die gericht is op gegevensbescherming. 48 De reikwijdte van het Handvest is geringer dan de reikwijdte van het EVRM: burgers kunnen zich slechts tot het Hof van Justitie van de Europese Unie (HvJEU) wenden, wanneer het gaat om Unierechtelijke wetgeving. Nationale wetgeving valt niet onder de reikwijdte van het Handvest. Het Handvest bevat een clausule die bepaalt dat overeenkomende bepalingen uit het EVRM en het Handvest door de onderscheidenlijke gerechtshoven (het EHRM en het HvJEU) op dezelfde manier dienen te worden uitgelegd. Uitspraken van het Hof zijn dus ook belangrijk voor de bredere rechtsontwikkeling. Het grondrecht op privacy draait in de kern dus om bescherming van de persoonlijke levenssfeer tegen ongeoorloofde inmenging van buitenaf, waarbij een belangenafweging wordt gemaakt tussen de belangen van het individu en de belangen van de maatschappij. Het verzamelen 44

De bewoording ‘paraplurecht’ is geleend van Cuijpers & Marcelis 2012, p. 7. 2000/C 364/01. 46 Verdrag van Lissabon tot wijziging van het Verdrag betreffende de Europese Unie en het Verdrag tot oprichting van de Europese Gemeenschap, Lissabon, 13 december 2007 (2007/C 306/01). In dit verdrag wordt verwezen naar het Handvest, waarmee het een bindende bijlage van het verdrag is. De rechtskracht van het Handvest wordt ontleend aan het Verdrag van Lissabon. Het Verdrag van Lissabon staat ook wel bekend als het Hervormingsverdrag. 47 Artikel 7 van het Handvest ziet op eerbiediging van het privéleven. 48 Artikel 8 van het Handvest. 45

18

en verwerken van persoonsgegevens kan een inbreuk vormen op de privésfeer. Zo overwoog het EHRM in de zaak S. and Marper/VK dat het enkele opslaan van gegevens die betrekking hebben op het privéleven van een individu, een inmenging in de zin van art. 8 EVRM inhoudt. 49 Gegevensbescherming komt in de volgende paragraaf aan bod.

3.3 Het Europese grondrecht op gegevensbescherming Parallel aan de ontwikkeling in de jurisprudentie waarin de privésfeer ex art. 8 EVRM is uitgebreid om ook persoonsgegevens te omvatten, is in Europa het recht op gegevensbescherming als zelfstandig recht tot ontwikkeling gekomen. Ik beperk mij tot een korte bespreking van gegevensbescherming als grondrecht, aangezien gegevensbescherming an sich uitgebreid aan de orde komt in hoofdstuk 4. In het Europese Handvest van de Grondrechten is het recht op gegevensbescherming een zelfstandig grondrecht. Het is nader tot uiting gebracht in een ‘eigen’ richtlijn. 50 Artikel 8 Handvest 1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. 3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels. In dit voorschrift (lid 2) komt de idee van informationele privacy naar voren. Kort gezegd houdt informationele privacy in dat personen wetenschap en zeggenschap hebben over wat er met hun gegevens gebeurt en daardoor controle kunnen uitoefenen over het beeld dat anderen in verschillende contexten van hen krijgen. 51 De idee van informationele privacy steunt op de erkenning van het Duitse Constitutionele Hof van een ‘recht op informationele zelfbestemming’, dat door het Hof is vormgegeven als een democratisch zelfbeschikkingsrecht. 52 Uitgangspunten en beginselen binnen het gegevensbeschermingsrecht zijn een eerlijke en rechtmatige verwerking, proportionaliteit, gegevensminimalisatie, doelbinding, de mogelijkheid voor 49

EHRM 4 december 2008, appl. 30562/04, NJ 2009, 410 m.nt E.A. Alkema. Richtlijn 95/46/EG. 51 Zie voor meer informatie over informationele privacy o.a. Westin 1966, Wisman & Van der Linden-Smith 2008 en Dommering e.a. 2000. 52 BVerfGH 15 december 1983, NJW 1984, p. 419. Het Hof overwoog: ‘Iedereen die er niet zeker van kan zijn dat gegevens over maatschappelijk afwijkend gedrag voor langere tijd worden geregistreerd en kunnen worden gebruikt op een manier waarvan hij niets weet, zal proberen om dat gedrag niet te vertonen. Dat is in strijd met de elementaire functie van zelfbeschikking in een democratische samenleving waarin de burgers de mogelijkheid moeten hebben om deel te nemen aan het maatschappelijke en politieke leven zonder risico te lopen op een voor hem ondoorzichtige manier te worden geregistreerd.’ Ontleend aan Dommering 2010, p. 84. Dommering stelt dat de uitspraak van het Duitse Hof is gebaseerd op de menselijke waardigheid. Het gaat mij te ver om de idee van informationele privacy volledig op de menselijke waardigheid terug te voeren, maar duidelijk is dat de menselijke waardigheid een belangrijke rol speelt. 50

19

individuen om enige invloed op de hen betreffende gegevensverwerking te hebben, de juistheid en de bescherming van gegevens, en de vertrouwelijkheid ervan. 53 De doelstellingen van gegevensbeschermingswetgeving zijn niet altijd even duidelijk, hoewel in veel gevallen (waaronder de Europese gegevensbeschermingsrichtlijn) expliciet op de bescherming van het recht op privacy wordt gewezen. 54 Minder expliciet vormt het dienen van de belangen van verwerkers vaak ook een van de doelstellingen. 55 Er bestaat dus een sterke band tussen het recht op gegevensbescherming en privacy. Hoewel hun toepassingsgebied verschilt, bestaat daarin wel degelijk enige overlap. 56 Met de bescherming van privacy als doelstelling van gegevensbeschermingswetgeving is de band tussen beiden gegeven. Dataprotectie wordt wel eens voorgesteld als species van het recht op privacy. 57 Vanuit het perspectief van de burger is dit waar, maar gezien de overige mogelijke doelstellingen van gegevensbeschermingswetgeving (zoals het dienen van de belangen van verwerkers) is het mijns inziens te beperkt om dataprotectierecht slechts als een onderdeel of uitvloeisel van het recht op privacy te beschouwen. Het is ook niet voor niets, dat het (grond)recht op gegevensbescherming een zelfstandig recht is, naast het recht op privacy. Het recht op gegevensbescherming is een sociaal construct en kan over tijd evolueren, om te beantwoorden aan maatschappelijke eisen van het moment. Mijns inziens biedt dit kansen om de machtsverhouding tussen corporaties en de samenleving, die in de volgende paragraaf aan bod komt, in het gegevensbeschermingsrecht te betrekken. Ik kom hier in paragraaf 3.5 op terug.

3.4 Privacy als concept en de werkelijke big data problematiek Het recht op privacy kent vele facetten en is daarom behoorlijk vaag geformuleerd, zodat al die facetten onder de wettelijke omschrijving vallen. Om het recht op privacy in concrete gevallen invulling te kunnen geven, zal teruggevallen moeten worden op een conceptie van privacy. Het conceptualiseren van een begrip als privacy gebeurt doorgaans in het abstracte. Er wordt gezocht naar een gemeenschappelijke noemer aan de hand waarvan een concept kan worden vormgegeven. Het probleem hiervan is dat concepties die de kern of essentie van privacy proberen bloot te leggen, bij de vertaling van het abstracte naar het concrete uiteindelijk ofwel te breed ofwel te smal zijn, en doorgaans te vaag. In het artikel van Warren en Brandeis wordt de gemeenschappelijke noemer gevonden in het met rust laten, waarmee het recht op privacy geconceptualiseerd wordt als een recht om alleen gelaten te worden. Deze omschrijving is te breed: elk gedrag gericht op een ander persoon is daarmee immers een inbreuk op de privacy. In de woorden van Anita Allen: ‘een klap op de neus zou dezelfde inbreuk op de privacy vormen als een blik in de slaapkamer’. 58 Een klap 53

Vgl. Bygrave 2014, hoofdstuk 5 en het Privacy Framework van de OECD (2013). De uitgangspunten en beginselen komen ook terug in Richtlijn 95/46/EG. 54 Vgl. Bygrave 2014, p. 117-118. Zie ook Richtlijn 95/46/EG die de bescherming van de persoonlijke levenssfeer expliciet als doelstelling benoemt (art. 1 lid 1). 55 Vgl. Bygrave 2014, p. 121-123. Zie ook art. 1 lid 2 Richtlijn 95/46/EG, waarin het vrije verkeer van gegevens (binnen de Unie) wordt verzekerd. 56 Ik refereer aan het eerder genoemde arrest EHRM 4 december 2008, appl. 30562/04, NJ 2009, 410 m.nt E.A. Alkema. 57 Vgl. bijv. Wisman & Van der Linden-Smith 2008, p. 86. 58 Allen 1988.

20

op de neus is natuurlijk niet wenselijk, maar mijns inziens is het geen inbreuk op de privacy. Het gaat eerder om de lichamelijke integriteit. Anderen conceptualiseren privacy vanuit een beperking op toegang tot ‘the self’: het recht op privacy is het recht om beschermd te worden tegen ongewilde toegang door anderen. Het gaat om toegang in brede zin, zoals fysieke toegang maar ook toegang tot persoonlijke informatie. 59 Dit concept toont sterke verwantschap met het recht om alleen gelaten te worden en kan gezien worden als een meer ontwikkelde vorm daarvan. 60 Net als de conceptie van privacy als het recht om alleen gelaten te worden, is deze opvatting te breed en te vaag om de essentie van privacy bloot te leggen. Mijns inziens houdt niet iedere vorm van ‘toegang tot the self’ een privacy-inbreuk in. 61 Om te bepalen of sprake is van een privacy-inbreuk, zal eerst bepaald moeten worden welke aangelegenheden in bepaalde situaties privé zijn en welke niet. In de context van verschijnselen in de informatiemaatschappij, zoals big data, neemt het concept van informationele privacy een dominante rol in. ‘Privacy is the claim of individuals, groups, or institutions to determine for themselves when, how, and to what extent information about them is communicated to others.’ 62 – A. Westin De opvatting van informationele privacy behelst controle over de eigen informatie. Het geeft vorm aan de zelfbeschikking van het individu, dat in staat wordt gesteld zelf te beslissen wie welke informatie over hem krijgt en onder welke voorwaarden. Informationele privacy kan gezien worden als een onderdeel van privacy als beperking op toegang tot ‘the self’. Als abstract concept schiet het tekort omdat het te smal is, vanwege de focus op informatie. Privacy wordt mijns inziens niet slechts beperkt wanneer informatie in het spel is. Daarnaast is het te vaag: het vereist een opvatting over het soort informatie waarover individuen controle zouden moeten kunnen uitoefenen. De vaagheid herhaalt zich wanneer ingezoomd wordt op het controle-aspect. Op welke manieren moeten individuen controle kunnen uitoefenen over de hen betreffende informatie? Controle wordt in deze context vaak gezien als een vorm van eigendom of een afgeleide daarvan, vergelijkbaar met het intellectuele-eigendomsrecht. 63 Dit is moeilijk te rijmen met de aard van informatie. Het is geen tastbaar object, het kan overal gevonden en eindeloos gedeeld worden. Zodra informatie in iemands bezit is, kan het lastig gewist worden. Het is dan ook niet voor niets, dat het intellectuele-eigendomsrecht zich toespitst op concrete uitingen van ideeën, in plaats van de ideeën zelf. Een element dat in alle hierboven beschreven concepties van privacy aanwezig is, is de gerichtheid op het individu. Mijns inziens gaat het bij privacy echter niet zozeer om subjectieve, 59

Vgl. Bok 1983, par. 10-11. Solove 2002, p. 1102. 61 Ik herhaal het voorbeeld van Anita Allen uit de vorige alinea; een klap op de neus is m.i. geen inbreuk op iemands privacy. Bovendien is er sprake van een glijdende schaal. Algemeen maatschappelijk aanvaard is dat zaken die vrijwillig openbaar zijn gemaakt niet in de privésfeer vallen en dat publieke figuren, zoals politici en popsterren, meer toegang tot the self dienen te dulden dan ‘Henk en Ingrid’ (zoals onder nr. 2 en 3 in het tekstvak op p. 16 waarin ‘The right to be let alone’ van Warren en Brandeis wordt uitgelicht). 62 Westin 1967, par. 7. 63 Vgl. bijv. WEF Report 2011, par. 10, 15, 16, 17 en 19 en Tene & Polonetsky 2013, p. 263 – 264. 60

21

individuele voorrechten, maar juist ook om toelaatbaarheid op het niveau van de samenleving als geheel. In welke gevallen vindt een samenleving dat zaken of informatie privé moeten blijven, in welke gevallen zouden zij publiek moeten zijn, zijn er gevallen waarin inmengingen in het privédomein toelaatbaar zijn en zo ja, onder welke voorwaarden? De rol van de maatschappij in het recht op privacy komt terug in de belangenafweging tussen individuele en maatschappelijke belangen. Daniel Solove, die er zijn levenswerk van lijkt te hebben gemaakt om privacy te conceptualiseren, komt op basis van de hierboven geschetste problemen tot de conclusie dat de ‘klassieke’ manier van conceptualiseren niet past bij een begrip als privacy. 64 Bij die manier wordt gezocht naar een gemeenschappelijke noemer, waaruit de essentie van privacy kan worden gedestilleerd. Die essentie blijkt telkens te beperkt of te breed uit te pakken. Hij draagt een alternatief aan, waar ik mij erg in kan vinden. In plaats van een top-down benadering, pleit hij voor een bottom-up aanpak. Deze benadering is gestoeld op pragmatisme. Het belang van context en de omstandigheden van het geval wordt erkend en de focus ligt op wat er concreet gebeurt. 65 Het concrete probleem wordt dus als uitgangspunt genomen, in plaats van abstracte ideeën en principes waar het probleem gekunsteld aan wordt opgehangen. Om de essentie van privacy bloot te leggen dient, uitgaande van de pragmatische aanpak van Solove, dus eerst de kern van het probleem benoemd te worden. De werkelijke problematiek rondom big data draait niet uitsluitend om het bespied worden of de controle van het individu over zijn gegevens. Het is breder: het gaat om het gehele proces van verzamelen, verwerken en gebruiken van die gegevens. Het verzamelen van gegevens en het uitoefenen van controle daarover, zijn daar niet meer (meer ook niet minder) dan een onderdeel van. Bij privacyvraagstukken in het algemeen en bij privacyvraagstukken in het kader van de informatiesamenleving in het bijzonder, wordt dikwijls een vergelijking gemaakt met Big Brother. In die vergelijking worden burgers continu in de gaten gehouden door bedrijven, die de rol van Big Brother (of meerdere Little Brothers) vervullen. Voor sommige privacy-issues is deze metafoor zeker bruikbaar; een sterk punt is dat ze ingaat op de machtsverhouding tussen burgers en de maatschappij enerzijds en corporaties of overheden anderzijds. De metafoor kent echter beperkingen inzake de big data problematiek, omdat ze focust op een specifieke wijze van machtsuitoefening: surveillance en onderdrukking. Bij big data, data mining en targeted advertising gaat het voor bedrijven echter niet om het onderdrukken van de maatschappij en individuele burgers, maar om het bestuderen en (economisch) uitbuiten van hen. Een betere metafoor is Kafka’s ‘Het proces’, waarin de bureaucratie aangrijpend wordt weergegeven. Kafka’s weergave toont een onverschillig systeem; mensen lijken schaakstukken die geen enkele invloed of inspraak hebben en geen controle kunnen uitoefenen over het proces, waarin zij op grond van willekeur lijken te worden betrokken. 66 Conclusie: de problematiek rondom gegevensverwerkingen en big data draait niet alleen om het bespied worden of om het gebrek aan controle over gegevens, maar vooral om de onderworpenheid aan een bureaucratisch proces dat ondoorzichtig is en waarop nauwelijks of geen controle kan worden uitgeoefend. Ik wil benadrukken

64

Zie uitgebreid Solove 2001 en Solove 2002. Solove 2002, p. 1127. 66 Het is een wereld van uitersten, waardoor het geen directe vergelijking met big data en data mining inhoudt, maar zich wel goed leent om als metafoor het knelpunt bloot te leggen. Het voorbeeld van Big Brother versus Kafka’s ‘Het proces’ is ontleend aan Solove 2001, p. 1419 e.v. 65

22

dat het om het proces als geheel gaat; verzamelen van en controle over gegevens is hier ‘slechts’ een onderdeel van. In feite komt de hoofdproblematiek dus neer op de verdeling van macht. De bedrijven die gegevens van burgers in handen hebben kunnen hun gedrag niet alleen bestuderen, maar ook sturen en exploiteren. Dit gebeurt op een enorme, samenlevingsbrede schaal. Burgers kunnen hier weinig tegenover stellen vanwege het ontransparante proces en een gebrek aan middelen en kennis. De burger als datasubject is het product: het verdienmodel van de bedrijven drijft op hun gegevens. Toch is het te simpel om deze verhouding tussen burgers en bedrijven voor te stellen als een deal tussen een individu en het bedrijf, waarbij het individu bepaalde gegevens verstrekt en daar bijvoorbeeld gratis diensten voor terugkrijgt. Het is eerder een collectieve deal die geldt tussen de samenleving en het bedrijfsleven. 67 Gegevens worden immers op enorme schaal verzameld (veel gegevens van uiteenlopende aard, afkomstig van miljoenen mensen) en kunnen in principe eindeloos gekopieerd, gedeeld en geaggregeerd worden. Door big data analyses kunnen niet slechts individuele, maar juist ook maatschappelijke trends en gedragslijnen worden ontwaard en geconditioneerd. Het is dan ook de vraag of privacyconcepties en -wetgeving wel de juiste aanvliegroute bieden om de problematiek rondom big data te benaderen. Het recht op privacy is immers vormgegeven als een individueel vrijheidsrecht op zelfbeschikking, waarin het individu en zijn subjectieve recht centraal staan. Het recht op privacy houdt een belangenafweging in, waarin de belangen van het individu worden afgewogen tegen het belang van de maatschappij. Dat strookt niet met de geconstateerde hoofdproblematiek, die in de kern draait om de macht die corporaties niet slechts over het individu, maar juist ook over de samenleving als geheel kunnen uitoefenen. ‘The privacy framework tells us that we should feel violated by what they know about us. Understanding these issues in the context of power tells us that we should feel manipulated and controlled.’ 68 – A. Furnas

3.5 Ten besluit Het (Europese) grondrecht op privacy is vormgegeven als een individueel zelfbeschikkingsrecht en beschermt de persoonlijke levenssfeer tegen ongeoorloofde inmenging van buitenaf. Het is geen absoluut recht; inmenging is geoorloofd indien aan bepaalde voorwaarden wordt voldaan. Het grondrecht op gegevensbescherming wordt dikwijls als species van het recht op privacy gezien. In zekere zin is dit juist; een van de hoofddoelstellingen van dataprotectierecht is de bescherming van privacy. Er zijn echter ook andere doelstellingen denkbaar. Hoewel er sprake is van enige overlap, zijn er verschillen in de reikwijdte van beide rechten. Desalniettemin is het recht op gegevensbescherming in sterke mate verbonden met het recht op privacy. Privacy is een vaag begrip, omdat het vele facetten kent. Het is daarom in vage bewoordingen gecodificeerd. Bij de toepassing van het privacyrecht op concrete gevallen moet dan ook worden teruggegrepen op een conceptie van privacy. Het conceptualiseren van privacy gaat niet 67 68

Vgl. Furnas 2012. Furnas 2012.

23

zonder slag of stoot en vindt doorgaans plaats in het abstracte, waarbij (top down) gezocht wordt naar een gemeenschappelijke noemer die de kern van het privacyconcept dient bloot te leggen. Een aantal privacyconcepten zijn de revue gepasseerd, aan de hand waarvan geconcludeerd is dat de gehanteerde wijze van conceptualiseren telkens een omschrijving oplevert die te beperkt, te ruim en/of te vaag is om privacy in een alomvattend concept te vangen. De pragmatische (bottom-up) benadering van Solove biedt enig perspectief. Hierin wordt de concrete problematiek tot uitgangspunt genomen, aan de hand waarvan een concept kan worden vormgegeven dat de kern van de betreffende privacyproblematiek blootlegt. Uit de analyse van de werkelijke big data problematiek blijkt dat diverse factoren een rol spelen. De hoofdproblematiek draait om de macht die corporaties over individuen en de daaruit bestaande samenleving kan uitoefenen; gedrag wordt op micro- en macroniveau bestudeerd, gestuurd en geëxploiteerd. Met name het samenlevingsbrede aspect baart mij zorgen. Omdat het recht op privacy is vormgegeven als een individueel vrijheidsrecht, lijkt het privacyrecht geen antwoord te kunnen bieden op de impact die big data kan hebben op de maatschappij als geheel. 69 Bovendien is de bescherming van de persoonlijke levenssfeer een ander onderwerp dan de bescherming van de maatschappij tegen macht van corporaties. 70 Het privacyrecht biedt mijns inziens dan ook niet het juiste kader om de eerder beschreven machtsproblematiek te lijf te gaan. Een mogelijk alternatief is uitbreiding of aanvulling van het consumentenrecht in brede zin met wetgeving of bepalingen die expliciet handelen over de geconstateerde machtsproblematiek. 71 Vanwege de overzichtelijkheid, een persoonlijke aversie tegen fragmentering van regelgeving en de wetenschap dat Europese wetgevingsprocedures doorgaans lang duren, ben ik echter geen voorstander van een extra richtlijn of verordening die zich exclusief richt op regulering van de machtsverhouding tussen de big data sector en consumenten. De ophanden zijnde gegevensbeschermingsverordening is in mijn opinie het aangewezen instrument voor de regulering van de machtsverhouding. 72 Het feit dat de conceptverordening in een redelijk vergevorderd stadium verkeert, waarin nog wel aanpassingen mogelijk zijn, gooit vanuit pragmatisch oogpunt hoge ogen. De aard en het onderwerp van de conceptverordening moeten natuurlijk wel ruimte bieden om de machtsverhouding te reguleren. Vanwege de problemen bij het betrekken van de machtsverhouding in het recht op privacy, is het belangrijk om te benadrukken dat ondanks zijn verbondenheid met privacy, het recht op gegevensbescherming een zelfstandig recht is. De vormgeving als subjectief vrijheidsrecht is ongelukkig, maar niet onoverkomelijk. Omdat de 69

Reeds eerder werd gewezen op de belangenafweging die het recht op privacy inhoudt, waarbij belangen van het individu worden afgewogen tegen de belangen van de maatschappij. Die gerichtheid op het individu is logisch, gezien het onderwerp van het privacyrecht: bescherming van de persoonlijke levenssfeer. Binnen de machtsproblematiek gaat het echter juist om de belangen van de maatschappij (en de individuen waaruit zij bestaat) tegenover de belangen van (in dit geval) de big data industrie. 70 Uiteraard is overlap van beide onderwerpen in concrete situaties denkbaar, maar de karakters van beide onderwerpen verschillen wezenlijk van elkaar. 71 Met de term ‘consumentenrecht in brede zin’ doel ik op de verzameling van wetten en wettelijke bepalingen die toezien op bescherming van de consument. De rechten op privacy en gegevensbescherming vallen schaar ik ook onder die verzameling, voor zover zij de consument trachten te beschermen. 72 Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) van 25 januari 2012 (COM(2012) 11 final)). In de juridische volksmond wordt ook wel gesproken van de Privacyverordening, wat aangeeft dat gegevensbescherming en privacy nauw met elkaar zijn verbonden. Vanwege de verschillen tussen beiden is die benaming m.i. echter ongelukkig.

24

macht van corporaties over individuen en de samenleving wordt vergaard via gegevens en big data om gegevens draait, past regulering van die macht in gegevensbeschermingswetgeving. Daar komt bij dat het huidige concept al bepalingen kent die specifiek ingaan op big data gerelateerde fenomenen, zoals data mining en targeted advertising. De invalshoek verschilt, maar het onderwerp niet. Tot slot wil ik benadrukken dat de machtsverhouding in mijn ogen de hoofdproblematiek van big data vormt, maar dat ook meer ‘klassieke’ privacy- en gegevensbeschermingsproblemen een rol spelen. Ook daarin voorziet de conceptverordening. Het volgende hoofdstuk gaat dieper in op de conceptverordening, haar haken en ogen, en mogelijkheden om de machtsproblematiek te adresseren.

25

4. De Privacyverordening

4.1 Inleiding De Europese Commissie heeft in 2012 het wetgevingsvoorstel voor de algemene gegevensbeschermingsverordening gelanceerd. 73 In juni 2014 heeft het Europees Parlement een flinke waslijst aan amendementen vastgesteld. 74 Inmiddels heeft ook de Raad van de Europese Unie zich over het voorstel uitgesproken. 75 De Commissie, het Parlement en de Raad onderhandelen nu gedrieën over de materie en hebben de verwachting uitgesproken eind 2015 het eindresultaat te kunnen presenteren. Na een overgangsperiode van twee jaar zou de verordening in 2017 van kracht moeten zijn. De verordening maakt deel uit van het nieuwe EU-rechtskader voor persoonsgegevensbescherming 76 en komt in plaats van de huidige richtlijn gegevensbescherming, die stamt uit 1995. 77 Het is evident dat de samenleving in de afgelopen twintig jaar aanzienlijk is veranderd. De digitale revolutie en de alomtegenwoordigheid van het internet hebben ervoor gezorgd dat de schaal waarop gegevens worden gegenereerd en verwerkt enorm is vergroot en dat personen steeds meer informatie over zichzelf delen. De technologische ontwikkelingen hebben grote gevolgen voor de ontwikkeling van de economie en maatschappij. De Europese Commissie stelt dat de richtlijn qua doelstellingen en beginselen nog steeds valide is. 78 Hoewel het leeuwendeel van die doelstellingen en beginselen in grote lijnen terugkomt in de verordening, blijkt uit het feit dat er ook nieuwe principes worden geïntroduceerd, dat de richtlijn inhoudelijk niet meer voldoet aan de eisen van deze tijd. Hoewel de richtlijn was gericht op harmonisatie heeft het feit dat lidstaten de richtlijn in nationale wetgeving dienen te implementeren, voor een gefragmenteerd juridisch landschap gezorgd. Dit heeft geleid tot rechtsonzekerheid en belemmert de ontwikkeling van de interne markt. De conclusie dat de richtlijn het einde van haar houdbaarheidsdatum heeft bereikt is daarom niet misplaatst. De verordening is voorgesteld vanuit de gedachte dat het vertrouwen van consumenten in de cyberomgeving cruciaal is voor de ontwikkeling van innovatieve technologieën. Gegevensbescherming is daarom een van de pijlers waar de Digitale Agenda voor Europa 79 op rust.

73

Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) van 25 januari 2012 (COM(2012) 11 final)). 74 Verslag over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) van 21 november 2013 (A70402/2013). 75 Nota 9565/15 van 11 juni 2015. 76 COM(2012) 9. Naast de hier besproken verordening is er een richtlijn in de maak die is gericht op de verwerking van persoonsgegevens door opsporingsinstanties (COM(2012) 10). Omdat deze richtlijn specifiek is gericht tot opsporingsbevoegde overheidsinstanties behoeft hij hier geen bespreking. 77 Richtlijn 95/46/EG. 78 Toelichting voorstel COM(2012) 11. 79 COM(2010) 245.

26

In een meer algemene zin draagt de verordening bij aan de verwezenlijking van de Europa 2020strategie. 80 Als wetgevingsprocedure geldt de normale procedure (COD). Omdat zowel het Parlement als de Raad uiteindelijk een beslissende stem heeft, wordt in dit onderzoek het jongste voorstel, dat in beginsel het dichtste bij het uiteindelijke eindproduct staat, tot uitgangspunt genomen. Het betreft de variant van de Raad van 11 juni 2015. 81 Gezien de onderhandelingen tussen de Commissie, het Parlement en de Raad bestaat de kans dat het voorstel nog wordt gewijzigd, maar de variant van de Raad is op het moment van schrijven de meest uitgekristalliseerde variant. 82 In dit hoofdstuk wordt de ophanden zijnde verordening uitgediept. Begonnen wordt met een doorlopende bespreking van de verordening, waarin enkele kritische kanttekeningen worden geplaatst. Vervolgens worden bepaalde elementen nader onderworpen aan een sterkte-/zwakteanalyse waarin de machtsproblematiek, die naar voren kwam in de analyse van de werkelijke big data problematiek uit het vorige hoofdstuk, wordt betrokken.

4.2 Enkele definities: partijen, persoonsgegevens en verwerkingen Zoals we gewend zijn van Uniewetgeving bevat de verordening een artikel met definities. Daarvan worden er hier enkele uitgelicht. Begonnen wordt met drie partijen: de betrokkene, de verantwoordelijke en de verwerker. Vervolgens wordt ingegaan op de begrippen ‘persoonsgegevens’ en ‘verwerking’. Voor de verwerking verantwoordelijke De natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die/dat alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking worden vastgesteld bij Uniewetgeving of de nationale wetgeving, kan in de Uniewetgeving of de nationale wetgeving worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen. 83 Blijkens de definitie hoeft de verantwoordelijke niet per se zelf verwerkingen uit te voeren; hij is dus niet per definitie tevens een verwerker. Centraal staat het vaststellen van de doelstellingen voor de verwerking. 80

COM(2010) 2020. Nota 9565/15 van 11 juni 2015. 82 Volgens de normale wetgevingsprocedure gaat het voorstel van de Commissie eerst naar het Parlement. De Raad kan vervolgens het standpunt van het Parlement wijzigen en ter goedkeuring terugsturen aan het Parlement. In de praktijk gaat de Raad al aan de slag met het voorstel van de Commissie voordat het Parlement haar licht over dat voorstel heeft laten schijnen. De Raad mag haar visie echter pas uitbrengen nadat het Parlement haar standpunt heeft vastgesteld. Het voorstel van de Raad bouwt in de praktijk dus eerder verder op het voorstel van de Commissie, dan op die van het Parlement. Omdat de Raad haar visie pas mag uitbrengen nadat het Parlement dat heeft gedaan moet de Raad er wel voor zorgen dat haar standpunt, dat gebaseerd is op het voorstel van de Commissie, niet te hard botst met de voorstellen van het Parlement. 83 Art. 4 lid 5 conceptverordening van de Raad. 81

27

Verwerker De natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die/dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt. 84 Deze definitie spreekt voor zich, wanneer in samenhang gelezen met de definitie van ‘verwerking’. 85 De verwerker is degene die de verwerking uitvoert ten behoeve van de voor de verwerking verantwoordelijke. 86 Betrokkene De geïdentificeerde of identificeerbare natuurlijke persoon waarop de persoonsgegevens betrekking hebben. 87 Het begrip ‘betrokkene’ wordt niet zelfstandig gedefinieerd in de verordening, maar maakt onderdeel uit van de definitie van ‘persoonsgegevens’. Om duidelijkheid te creëren over de partijen die een rol spelen in de verordening is het begrip hier apart gedefinieerd. Persoonsgegevens Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel, zoals een naam, een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of van een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die persoon. 88 Het begrip ‘persoonsgegevens’ wordt bijzonder ruim gedefinieerd: alle informatie die betrekking heeft op een betrokkene is een persoonsgegeven. Een betrokkene is een geïdentificeerde of identificeerbare natuurlijke persoon. Het draait bij persoonsgegevens in de kern dus om de identificeerbaarheid van degene waarop de gegevens betrekking hebben.

84

Art. 4 lid 6 conceptverordening van de Raad. De definitie van het begrip ‘verwerking’ komt verderop in deze paragraaf aan bod. 86 In het oorspronkelijke voorstel had de Europese Commissie beide begrippen een eigen definitie toegekend (‘betrokkene: art. 4 lid 1 sub 1 conceptverordening van de EC, ‘persoonsgegevens’: art. 4 lid 1 sub 2 conceptverordening van de EC). De Raad en het Parlement hebben beiden amendementen ingediend waarin de definities zijn samengevoegd. 87 Art. 4 lid 1 conceptverordening van de Raad. 88 Art. 4 lid 1 conceptverordening van de Raad. 85

28

Verwerking Elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enigerlei andere wijze van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen (...) beperken, wissen of vernietigen van gegevens. 89 Ook ‘verwerking’ is een ruim begrip: iedere bewerking of geheel daarvan met betrekking tot persoonsgegevens, is een verwerking. Wordt de definitie van persoonsgegevens hierin betrokken, dan valt te concluderen dat iedere bewerking van gegevens die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon, een verwerking in de zin van de verordening inhoudt.

4.3 Onderwerp, doelstellingen en reikwijdte 4.3.1 Onderwerp en doel Zoals de naam reeds doet vermoeden, bevat de conceptverordening bepalingen die gericht zijn op de bescherming van natuurlijke personen met het oog op de verwerking van hun persoonsgegevens en bepalingen betreffende het vrije verkeer van die gegevens. Het doel van de verordening is tweeledig: enerzijds wil het de rechten van individuen ten aanzien van de bescherming van hun gegevens versterken, anderzijds wil het de kansen voor het bedrijfsleven vergroten door het vrije verkeer van gegevens te faciliteren. 90 Het vrije verkeer van gegevens past goed tegen de achtergrond van eenwording van de Europese markt, wat sinds de oprichting van de Europese Unie een van haar hoofddoelstellingen is. De Digitale Agenda, een van de zeven pijlers waarop de Europa 2020-strategie rust, is gericht op eenwording van de digitale markt en steunt op haar beurt op drie pijlers: betere toegang voor consumenten en bedrijven tot digitale goederen en diensten Europa-wijd, het scheppen van een gunstige omgeving voor digitale netwerken en diensten en het creëren van een Europese digitale economie en samenleving met groeipotentieel. 91 Het faciliteren van kansen voor het bedrijfsleven is niet het enige economische element in de doelstelling. Ook het recht op gegevensbescherming kan tegen deze achtergrond bekeken worden. Uit de toelichting bij de conceptverordening blijkt dat het recht op gegevensbescherming gezien moet worden als een instrument om het vertrouwen van consumenten in de digitale

89

Art. 4 lid 3 conceptverordening van de Raad. Zie de inleiding van de conceptverordening van de Raad. 91 Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions, A Digital Single Market Strategy for Europe, SWD(2015) 100 final (COM(2015) 192 final). 90

29

dienstverlening te winnen. Dit vertrouwen wordt gezien als een noodzakelijke voorwaarde voor de ontwikkeling van nieuwe technologieën en innovatieve toepassingen. 92

4.3.2 Materiële reikwijdte De verordening heeft net als haar voorganger (richtlijn 95/46/EG) een breed materieel toepassingsgebied. Kort gezegd valt iedere verwerking van persoonsgegevens hieronder. 93 In de vorige paragraaf kwamen de begrippen ‘verwerking’ en ‘persoonsgegevens’ al aan de orde. Verwerkingen van persoonsgegevens houden alle bewerkingen van gegevens met betrekking tot geïdentificeerde of identificeerbare natuurlijke personen in. De sleutelfactor binnen de toepasselijkheid van de verordening ligt hiermee in feite in de identificeerbaarheid van het datasubject. De verordening kent enkele beperkingen op het materiële toepassingsgebied. Het gaat om verwerkingen van persoonsgegevens in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen, verwerkingen door Unie-instituties, bepaalde verwerkingen door lidstaten, verwerkingen in het kader van het uitoefenen van persoonlijke of huishoudelijke activiteiten door natuurlijke personen en verwerkingen in het kader van opsporingsactiviteiten door daartoe bevoegde autoriteiten.94

4.3.3 Territoriale reikwijdte Ten opzichte van de huidige gegevensbeschermingsrichtlijn is het territoriale toepassingsgebied substantieel uitgebreid. De verordening is niet alleen van toepassing op verwerkingen die plaatsvinden in het kader van activiteiten van een in de Unie gelegen vestiging van een verantwoordelijke of verwerker 95, maar ook op verwerkingen van persoonsgegevens van Unieonderdanen door verantwoordelijken die niet in de Unie gevestigd zijn. 96 De verwerking moet in dat geval betrekking hebben op het aanbieden van (zowel betaalde als onbetaalde) goederen of diensten aan de betrokkene of op het observeren van hun gedrag (voor zover het gedragingen op Europees grondgebied betreft). 97 Beide gevallen maken onderdeel uit van big data processen. De bepaling dat ook niet in de Unie gevestigde verantwoordelijken onderworpen zijn aan het regime van de verordening is nieuw en lijkt zich lastig te verhouden tot het in het volkenrecht verankerde principe van staatssoevereiniteit. Het is echter een ontwikkeling die mijns inziens past en noodzakelijk is tegen de achtergrond van het grenzeloze internetlandschap. In een samenleving die meer en meer gevormd wordt door het internet en andere technologische hoogstandjes die niets 92

Toelichting bij de conceptverordening van de Raad, onder punt 1. Achtergrond van het voorstel (p. 1-2). Art. 2 lid 1 conceptverordening van de Raad: ‘Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen.’ 94 Art. 2 lid 2 conceptverordening van de Raad. Overigens is, parallel aan de hier besproken verordening en samen daarmee onderdeel uitmakend van de Data Protection Reform van de EU, een richtlijn in de maak die toeziet op verwerkingen in het kader van opsporing. 95 Art. 3 lid 1 conceptverordening van de Raad. Ter volledigheid: het territoriale toepassingsgebied strekt zich ook uit over plaatsen die niet in de Unie liggen, maar waar krachtens internationaal publiekrecht het nationale recht van een lidstaat van toepassing is (art. 3 lid 3 conceptverordening van de Raad). 96 Art. 3 lid 2 conceptverordening van de Raad. 97 Art. 3 lid 2 conceptverordening van de Raad. 93

30

met landsgrenzen te maken hebben, dient het recht zich flexibel en pragmatisch op te stellen om technologische ontwikkelingen te volgen en waar nodig te reguleren, juist wanneer de vrijheid van burgers in het geding is. Het is opmerkelijk dat buiten de Unie slechts verantwoordelijken onderworpen zijn aan de verordening. Het is moeilijk om in te zien waarom deze regel niet ook voor verwerkers zou moeten gelden. Het Europees Parlement heeft echter een amendement voorgesteld waarin buiten de Unie gevestigde verwerkers ook onder deze bepaling vallen. De tijd zal ons leren hoe het concreet uitpakt, maar mijn verwachting is dat in de eindversie van de verordening het Parlementaire amendement opgenomen zal zijn.

4.4 Beginselen Allereerst wordt het transparantiebeginsel genoemd, waaraan wordt toegevoegd dat gegevensverwerkingen bovendien rechtmatig en eerlijk moeten zijn ten opzichte van de betrokkene. 98 Met de rechtmatigheid van de verwerking wordt bedoeld dat iedere verwerking een geldige rechtsgrondslag moet hebben. De rechtsgrondslagen worden in de volgende paragraaf besproken. Het tweede beginsel dat genoemd wordt is het doelbindingsprincipe. 99 Gegevens mogen slechts voor ‘welbepaalde, uitdrukkelijk omschreven en rechtmatige doeleinden’ worden verzameld. De verwerking mag alleen plaatsvinden op een wijze die verenigbaar is met de doeleinden waarvoor de gegevens zijn verzameld. Dit geldt niet voor persoonsgegevens die in het algemeen belang gearchiveerd worden, of die voor wetenschappelijke, statistische of historische doeleinden worden verwerkt: deze doeleinden zijn volgens de verordening per definitie verenigbaar met het oorspronkelijke doel. 100 Het is niet helemaal duidelijk wat deze uitzonderingen precies inhouden. Het is mijns inziens echter onwaarschijnlijk dat big data analyses (hoewel statistisch van aard) als ‘statistisch doeleinde’ zullen worden gekwalificeerd. In het verlengde van het doelbindingsprincipe ligt het beginsel van gegevensminimalisatie: de persoonsgegevens moeten relevant en niet excessief zijn in verhouding tot het doel waarvoor ze worden verwerkt. 101 Daarnaast moeten verwerkers hun best doen om de juistheid van gegevens te verifiëren. Uitgaande van de doeleinden waarvoor gegevens worden verwerkt, dienen maatregelen genomen te worden om ervoor te zorgen dat onjuiste gegevens worden bijgewerkt of gewist. 102 Voorts dienen gegevens zo spoedig mogelijk te worden gepseudonimiseerd of geanonimiseerd. Wanneer het voor de verwezenlijking van de doeleinden waarvoor de gegevens worden verwerkt niet meer noodzakelijk is om betrokkenen te identificeren, dienen zij in een vorm te worden bewaard waarin identificatie niet meer mogelijk is. 103 Zodra een betrokkene niet meer kan worden geïdentificeerd, kwalificeren de gegevens niet als persoonsgegevens en is de verwerking niet onderworpen aan het regime van de verordening. Het is echter de vraag of, gezien de huidige 98

Art. 5 lid 1 sub a conceptverordening van de Raad. Art. 5 lid 1 sub b conceptverordening van de Raad. 100 Mits aan de voorwaarden van art. 83 conceptverordening van de Raad is voldaan. 101 Art. 5 lid 1 sub c conceptverordening van de Raad. 102 Art. 5 lid 1 sub d conceptverordening van de Raad. 103 Art. 5 lid 1 sub e conceptverordening van de Raad. 99

31

en komende technische mogelijkheden, persoonsgegevens werkelijk kunnen worden gepseudonimiseerd of geanonimiseerd. Ik kom hier in paragraaf 4.9.1 op terug. Tot slot dient bij iedere verwerking van persoonsgegevens een passend beveiligingsniveau te worden gehanteerd, zowel op technisch als op organisatorisch vlak. 104

4.5 Rechtsgrondslagen voor verwerking Uitgangspunt van de verordening is dat verwerkingen van persoonsgegevens in beginsel onrechtmatig zijn, tenzij ze gestoeld zijn op een van de omschreven rechtsgrondslagen. De eerstgenoemde grondslag is ondubbelzinnige toestemming van de betrokkene. 105 Toestemming houdt een vrije, specifieke en op informatie berustende wilsuiting van de betrokkene in die wordt geuit door een verklaring of ondubbelzinnige actieve handeling. 106 Op de verwerkingsverantwoordelijke rust een uitgebreide verantwoordelijkheid om te zorgen dat aan die voorwaarden aan de wilsuiting wordt voldaan. De bewijslast voor het al dan niet bestaan van toestemming rust op de verantwoordelijke. De verantwoordelijke is onder meer verplicht begrijpelijke taal te gebruiken en er dient gewaarborgd te worden dat de betrokkene zich ervan bewust is dat hij toestemming geeft en tot hoe ver deze reikt. 107 Een verstopt, bij voorbaat aangevinkt vakje zal dus niet volstaan. Verwerkingen die noodzakelijk zijn in het kader van de uitvoering van een overeenkomst tussen de verwerker en de betrokkene, hebben een eigen rechtsgrondslag. 108 In zekere zin ligt dit in het verlengde van de toestemmingsgrondslag; de overeenkomst houdt een impliciete toestemming van de betrokkene in. Naast deze grondslag, die voortvloeit uit de rechtsverhouding tussen betrokkene en verwerker, bevat de verordening een grondslag gericht op verwerkingen die noodzakelijk zijn om te voldoen aan wettelijke verplichtingen van de voor de verwerking verantwoordelijke. 109 Verwerkingen van persoonsgegevens zijn tevens rechtmatig wanneer zij noodzakelijk zijn voor de bescherming van vitale belangen van de betrokkene of andere personen. 110 Ook verwerkingen in het kader van de belangenbehartiging van de verwerker of derde partijen zijn rechtmatig. 111 Hier ligt het echter iets gecompliceerder. In plaats van ‘vitale belangen’ gaat het hier om ‘rechtmatige belangen’ en dient er een belangenafweging te worden gemaakt tussen de rechten van de betrokkene en de belangen van de verwerker of derde partij. Wanneer aan de verantwoordelijke een taak van algemeen belang of in het kader van uitoefening van het openbaar gezag is toebedeeld en de verwerking in dat kader noodzakelijk is, is de verwerking rechtmatig. 112 Hierboven werd reeds opgemerkt dat het doelbindingsprincipe verminderde kracht heeft wanneer gegevens worden verwerkt ter archivering in het algemeen belang of voor historische, 104

Art. 5 lid 1 sub ee conceptverordening van de Raad. Art. 6 lid 1 sub a conceptverordening van de Raad. 106 Art. 4 lid 8 conceptverordening van de Raad. 107 Vgl. overwegingen 32-34 considerans conceptverordening van de Raad. 108 Art. 6 lid 1 sub b conceptverordening van de Raad. 109 Art. 6 lid 1 sub c conceptverordening van de Raad. 110 Art. 6 lid 1 sub d conceptverordening van de Raad. 111 Art. 6 lid 1 sub f conceptverordening van de Raad. 112 Art. 6 lid 1 sub e conceptverordening van de Raad. 105

32

wetenschappelijke of statistische doeleinden. Het is dan ook niet verwonderlijk dat deze verwerkingen een eigen rechtsgrondslag kennen. 113 Aan de toepasselijke afwijkingen in het kader van dit soort verwerkingen is een apart artikel gewijd. 114 Bij Uniewetgeving of nationale wetgeving kunnen de rechten van betrokkenen beperkt worden, mits in passende waarborgen voor die rechten wordt voorzien en de afwijking noodzakelijk is voor de verwezenlijking van het doel. 115 Die waarborgen dienen in de betrekkelijke wetgeving te worden vastgelegd en technische of organisatorische beschermingsmaatregelen in te houden, die gestalte geven aan het principe van gegevensminimalisatie. Mochten zulke maatregelen de verwezenlijking van het doel onmogelijk maken, dan mogen ze terzijde worden geschoven. 116 In een hoofdstuk 2 werd opgemerkt dat een belangrijk kenmerk van gegevens in het digitale tijdperk is, dat de gegevens niet uitgeput raken maar in beginsel eindeloos gerecycled kunnen worden. Het doelbindingsprincipe, dat in sterke mate doorwerkt in de rechtsgrondslagen, verhindert ongebreideld hergebruik van gegevens. Het doel van iedere verwerking moet immers in lijn zijn met het oorspronkelijke doel waarvoor de gegevens werden verzameld. In het artikel dat de rechtsgrondslagen regelt is een lid opgenomen dat specificeert hoe de voor de verwerking verantwoordelijke dient te beoordelen of het doel van verdere verwerking verenigbaar is met het oorspronkelijke doel. Er worden vijf niet-limitatieve gezichtspunten gegeven waar de verantwoordelijke rekening mee dient te houden. 117 Van belang zijn de koppelingen tussen de oorspronkelijke doeleinden en de doeleinden van de verdere verwerking; de context waarin de gegevens werden verzameld; de aard van de gegevens; de mogelijke gevolgen van de verdere verwerking voor betrokkenen en de aanwezigheid van passende waarborgen. Indien het doel van de verdere verwerking niet te verzoenen is met het oorspronkelijke doel, dient de verdere verwerking een eigen rechtsgrondslag te hebben. 118 Opmerkelijk is dat expliciet bepaald wordt dat wanneer de betrokkene toestemming geeft voor verdere verwerking, of wanneer de verdere verwerking plaatsvindt op grond van rechtmatige belangen van de verantwoordelijke die prevaleren boven de belangen van de betrokkene, geen ‘nieuwe’ grondslag vereist is. 119 Dit is opmerkelijk omdat zowel de toestemming als de belangenafweging zelfstandige grondslagen zijn. De expliciete bepalingen lijken inhoudelijk dus weinig toe te voegen.

4.6 De rechten van betrokkene Hoofdstuk 3 van de conceptverordening heeft de titel ‘Rechten van de betrokkene’, maar veel bepalingen uit dat hoofdstuk houden de facto verplichtingen voor de verantwoordelijke in. 113

Art. 6 lid 2 conceptverordening van de Raad. Art. 83 conceptverordening van de Raad. 115 Art. 83 lid 1 conceptverordening van de Raad. Er kan worden afgeweken van art. 14a lid 1 en 2 en artt. 1519. Deze artikelen zien respectievelijk op de informatie die aan betrokkenen moet worden verstrekt, het recht van toegang tot de gegevens, het recht van rectificatie, het recht om te worden vergeten, het recht van beperking van de verwerking, de kennisgevingsplicht bij rectificatie, wissen of beperking, het recht van gegevensoverdraagbaarheid en het recht van bezwaar. 116 Art. 83 lid 2 conceptverordening van de Raad. 117 Art. 6 lid 3a conceptverordening van de Raad. 118 Art. 6 lid 4 conceptverordening van de Raad. 119 Art. 6 lid 3a (toestemming) en art. 6 lid 4 (belangenafweging) conceptverordening van de Raad. 114

33

Toegegeven, een plicht van de een impliceert een recht van de ander; zo bezien zijn rechten en verplichtingen twee zijden van dezelfde medaille. Het onderscheid in modaliteit is echter wel degelijk van belang, met name in het kader van toezicht en aansprakelijkheid. 120 In deze paragraaf komen de rechten van betrokkenen en verplichtingen van verantwoordelijken uit hoofdstuk 3 van de conceptverordening aan bod. De bepalingen uit dat hoofdstuk hebben betrekking op informatie en toegang tot de gegevens, rectificatie en het wissen ervan, alsook het recht van bezwaar.

4.6.1 Het recht op informatie Met betrekking tot de informatie waarop een betrokkene recht heeft wordt een onderscheid gemaakt tussen situaties waarin de gegevens direct van de betrokkene worden verkregen en situaties waarin de gegevens elders verkregen worden. In beide gevallen dient de verantwoordelijke op het moment van de verkrijging zijn identiteit en contactgegevens te verstrekken. Heeft de verantwoordelijke een vertegenwoordiger 121 of een functionaris voor gegevensbescherming 122, dan dienen ook hun contactgegevens aan de betrokkene te worden medegedeeld. 123 Daarnaast moeten de verwerkingsdoeleinden en de rechtsgrondslag worden gecommuniceerd. 124 Bovendien dient aanvullende informatie verschaft te worden om een eerlijke en transparante verwerking te garanderen. Afhankelijk van de concrete omstandigheden en de context waarin de verwerking plaatsvindt, hebben betrokkenen recht op de hieronder beschreven informatie. Ten behoeve van het overzicht en de leesbaarheid zijn overlappende informatierechten gebundeld; de situatiespecifieke rechten komen apart aan bod.

120

Toezichthouders handhaven de toepassing van de verordening (art. 52 lid 1 sub a conceptverordening van de Raad) en betrokkenen kunnen verwerkers en verantwoordelijken in rechte aanspreken wanneer hun rechten worden geschonden door een verwerking die niet aan de verordening voldoet (art. 75 lid 1 conceptverordening van de Raad). Wanneer gesproken wordt van een recht van de betrokkene, impliceert dat een keuzemogelijkheid van de betrokkene om het recht al dan niet uit te oefenen. Oefent de betrokkene zo’n ‘keuzerecht’ uit, dan kan daaruit een verplichting voor de verantwoordelijke of de verwerker ontstaan, waarop hij aangesproken kan worden. Een groot deel van de bepalingen uit hoofdstuk 3 van de conceptverordening schept echter direct verplichtingen voor verwerkers en verantwoordelijken, waar zij dan ook direct op kunnen worden aangesproken. 121 Wanneer de verantwoordelijke buiten de Unie is gevestigd, dient hij een in de Unie gevestigde vertegenwoordiger aan te stellen. De vertegenwoordiger is aanspreekpunt voor toezichthoudende autoriteiten. Vgl. art. 3 lid 2, art. 4 lid 14 en art. 25 conceptverordening van de Raad. 122 Verantwoordelijken en verwerkers kunnen (soms: moeten) een functionaris voor gegevensbescherming aanstellen. Deze komt verderop aan bod. Zie ook afd. 4.4 conceptverordening van de Raad. 123 Art. 14 lid 1 sub a resp. art. 14a lid 1 sub a conceptverordening van de Raad. 124 Art. 14 lid 1 sub b resp. art. 14a lid 1 sub b conceptverordening van de Raad.

34

Nadere informatie waarop betrokkenen recht hebben 125 -

De ontvangers 126 van de persoonsgegevens, of de categorieën daarvan; Het voornemen om de gegevens door te geven naar een internationale organisatie of ontvanger uit een derde land (indien van toepassing); Het bestaan van het recht op toegang tot de gegevens en rectificatie, wissen of het slechts in beperkte mate gebruiken daarvan, evenals het recht op bezwaar tegen de verwerking en het recht op gegevensoverdraagbaarheid; Het bestaan van het recht te klagen bij een toezichthouder; Het bestaan van geautomatiseerde besluitvorming zoals profilering, de onderliggende logica daarvan en het belang en verwachte gevolgen van die verwerking voor de betrokkene; Indien de rechtsgrondslag is gelegen in het behartigen van de rechtmatige belangen van de verantwoordelijke of een derde: de rechtmatige belangen die nopen tot de verwerking; Indien de rechtsgrond is gelegen in toestemming van de betrokkene: het bestaan van het recht om toestemming in te trekken.

Als de gegevens ‘bij de bron’ worden verzameld heeft de betrokkene bovendien recht op uitsluitsel over de vraag of het verstrekken van de gegevens een wettelijke of contractuele verplichting is of een vereiste voor het sluiten van een overeenkomst en wat de gevolgen voor betrokkene kunnen zijn wanneer hij de gegevens niet verstrekt. Wanneer de gegevens niet bij de betrokkene worden verzameld, heeft hij recht op nadere informatie over de betrokken categorieën persoonsgegevens en de bron waarvan de gegevens afkomstig zijn, tenzij die bronnen openbaar zijn. Die toevoeging is, vanuit het transparantiebeginsel bekeken, vreemd: het feit dat een bron openbaar is, betekent niet dat het voor betrokkenen geen toegevoegde waarde kan hebben om te weten welke openbare bron gebruikt is. In beide situaties geldt dat wanneer de verantwoordelijke voornemens is de gegevens verder te verwerken voor een ander doel dan waarvoor de gegevens zijn verzameld, hij verplicht is de betrokkene daarvan op de hoogte te stellen en alle hierboven beschreven informatie te verschaffen alvorens over te gaan tot die verdere verwerking. 127 Het doelbindingsprincipe mondt dus tevens uit in de informatierechten.

4.6.2 Uitzonderingen op de informatierechten Wanneer en voor zover de betrokkene al over de informatie beschikt, hoeft de informatie niet opnieuw te worden verstrekt.128 Als de gegevens niet van de betrokkene worden verkregen, dan gelden nog drie uitzonderingen. De betrokkene kan geen informatierecht uitoefenen wanneer het verstrekken van de informatie onmogelijk is of een disproportionele inspanning zou vergen; de verantwoordelijke dient in dat geval te voorzien in passende maatregelen om de rechten, vrijheden 125

Art. 14 lid 1a conceptverordening van de Raad resp. art. 14a lid 2 conceptverordening van de Raad. ‘Ontvanger’ wordt in de definitie als volgt gedefinieerd: ‘de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan, al dan niet een derde partij, aan wie/waaraan de persoonsgegevens worden meegedeeld; autoriteiten die mogelijkerwijs gegevens ontvangen in het kader van een bijzonder onderzoek gelden echter niet als ontvangers’. Vgl. art. 4 lid 7 conceptverordening van de Raad. 127 Art. 14 lid 1b conceptverordening van de Raad. 128 Art. 14 lid 5 resp. art. 14a lid 3a conceptverordening van de Raad. 126

35

en gerechtvaardigde belangen van betrokkenen te respecteren. Dit geldt ook wanneer het verstrekken van de gegevens expliciet is voorgeschreven in Unie- of nationale wetgeving waaraan de verantwoordelijke is onderworpen, en die wetgeving passende maatregelen kent om de gerechtvaardigde belangen van de betrokkene te beschermen. Tot slot geldt een uitzondering voor de gevallen waarin de gegevens vertrouwelijk moeten blijven op grond van Unie- of nationale wetgeving.

4.6.3 Recht op toegang en rectificatie Naast het recht om van de verantwoordelijke antwoord te krijgen op de vraag of hij persoonsgegevens van hem verwerkt, heeft de betrokkene recht op toegang tot zijn gegevens en op informatie daarover. De betrokkene mag dit recht kosteloos uitoefenen, mits hij dat met redelijke tussenpozen doet. 129 Hij heeft onder meer recht op toegang tot gegevens en informatie betreffende de doeleinden van de verwerking, de (categorieën) ontvangers aan wie zijn gegevens worden verstrekt en informatie over de bron indien de gegevens niet van hem zijn verkregen. 130 Op verzoek van de betrokkene dient de verantwoordelijke een kopie van de verwerkte gegevens te verschaffen. Hier mag een vergoeding voor worden gerekend, zij het dat die niet buitensporig mag zijn. Het recht op een kopie van de persoonsgegevens geldt niet wanneer daardoor persoonsgegevens van andere betrokkenen of vertrouwelijke gegevens van de verantwoordelijke bekend gemaakt zouden worden, of wanneer de verstrekking een inbreuk op intellectuele-eigendomsrechten zou inhouden. Wanneer de verantwoordelijke over onjuiste persoonsgegevens beschikt, heeft de betrokkene recht op onverwijlde rectificatie daarvan. Hieronder wordt ook completering van onvolledige gegevens verstaan, waarbij rekening moet worden gehouden met de doeleinden waarvoor de gegevens worden verwerkt. 131

4.6.4 Recht op wissen, beperkte verwerking en overdraagbaarheid Op een vijftal gronden kunnen betrokkenen van verantwoordelijken verlangen dat hij zijn persoonsgegevens wist. 132 Dit is het geval wanneer de gegevens niet langer benodigd zijn om de doelen waarvoor ze werden verzameld, te verwezenlijken. Wanneer de rechtsgrond van de verwerking is gelegen in toestemming van de betrokkene, er geen andere rechtsgrond is en de betrokkene zijn toestemming intrekt, dienen zijn gegevens verwijderd te worden. Ook als de betrokkene gegrond bezwaar maakt tegen de verwerking van zijn gegevens en er geen prevalerende gronden zijn waarop de verwerking doorgang kan vinden, dienen zijn gegevens te worden gewist. Tot slot dienen de gegevens te worden gewist wanneer de verwerking ervan onrechtmatig is of wanneer het wissen voortvloeit uit een op de verantwoordelijke rustende wettelijke verplichting.

129

Art. 15 conceptverordening van de Raad. Het recht op toegang tot informatie lijkt op de informatierechten uit par. 6.4.1, maar hier gaat het om een door de betrokkene uit te oefenen recht op toegang tijdens de verwerking. De informatierechten uit par. 6.4.1 leggen een verplichting op de verantwoordelijke om bij het verzamelen van de gegevens informatie aan de betrokkene te verstrekken. 131 Art. 16 conceptverordening van de Raad. 132 Art. 17 conceptverordening van de Raad. 130

36

Oefent de betrokkene zijn recht om gegevens te laten wissen uit en heeft de verantwoordelijke de gegevens openbaar gemaakt, dan dient de verantwoordelijke redelijke maatregelen te treffen om andere verantwoordelijken die de geopenbaarde gegevens verwerken van het verzoek van de betrokkene op de hoogte te stellen. Bovenstaande rechten gelden niet voor zover de verwerking noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en informatie, voor de vervulling van wettelijke verplichtingen of taken van openbaar belang en om redenen van algemeen belang op het gebied van de volksgezondheid. Ook voor zover de verwerking nodig is voor archiveringsdoeleinden in het algemeen belang of voor wetenschappelijke, statistische en historische doeleinden, of in verband met rechtsvorderingen gelden bovengenoemde rechten niet. De betrokkene kan beperking van de verwerkingen van zijn gegevens gelasten indien hij de juistheid ervan betwist, in afwachting van de behandeling van zijn bezwaar tegen de verwerking, of wanneer de verantwoordelijke de gegevens niet langer nodig heeft om de verwerkingsdoelen te realiseren, maar de betrokkene de gegevens nodig heeft in verband met rechtsvorderingen. 133 Wanneer de gegevensverwerking beperkt is kunnen gegevens slechts met toestemming van de betrokkene of om gewichtige redenen alsnog worden verwerkt. Het gaat dan om de bescherming van de rechten van anderen, om gewichtige redenen van algemeen belang of vanwege rechtsvorderingen. Als de rechtsgrond van de verwerking is gelegen in toestemming van de betrokkene of een overeenkomst tussen betrokkene en verantwoordelijke en de verwerking via een geautomatiseerd procedé wordt verricht, heeft de betrokkene het recht zijn gegevens in een gestructureerd en leesbaar formaat te verkrijgen en onbelemmerd over te dragen aan een andere verantwoordelijke. 134 Er geldt een uitzondering voor verwerkingen die noodzakelijk zijn voor de vervulling van taken van algemeen belang of taken in het kader van de uitoefening van openbaar gezag, of wanneer de verstrekking inbreuk zou maken op intellectuele-eigendomsrechten.

4.6.5 Recht van bezwaar en geautomatiseerde individuele besluitvorming Een betrokkene kan vanwege zijn bijzondere situatie in een aantal gevallen bezwaar maken tegen de verwerking van zijn gegevens. 135 Dit is het geval wanneer de verwerking haar grondslag heeft in de vervulling van een taak van algemeen belang of in de rechtmatige belangen van de verantwoordelijke. De betrokkene kan ook bezwaar maken wanneer de verwerking niet voldoet aan het principe van doelbinding, maar rechtmatig is vanwege de vervulling van een taak in het algemeen belang of vanwege prevalerende rechtmatige belangen van de verantwoordelijke of derde partij. Na bezwaar dient de verantwoordelijke de verwerking te staken, tenzij de verwerking noodzakelijk is in het kader van een rechtsvordering of wanneer de verantwoordelijke dwingende wettige redenen aanvoert. Wanneer de gegevens worden verwerkt ten behoeve van direct marketing, dan kan de betrokkene altijd bezwaar maken. 136 Zijn gegevens mogen dan niet meer voor dat doeleinde worden 133

Art. 17a conceptverordening van de Raad. Art. 18 conceptverordening van de Raad. 135 Art. 19 conceptverordening van de Raad. 136 De conceptverordening geeft geen definitie van ‘direct marketing’. Het begrip houdt een wijze van adverteren in, waarbij potentiële klanten rechtstreeks benaderd worden. Vaak zal de aanbieding worden toegespitst op persoonlijke voorkeuren van de potentiële klant. Om die voorkeuren te bepalen wordt 134

37

gebruikt. Ook kan de betrokkene verwerking van zijn gegevens aanvechten wanneer dat gebeurt voor historische, statistische of wetenschappelijke doeleinden, tenzij de verwerking noodzakelijk is in het kader van een taak van algemeen belang. Betrokkenen hebben het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (zoals profilering) die hem in aanmerkelijke mate treft of waaraan voor hem rechtsgevolgen zijn verbonden. 137 Is het besluit nodig in het kader van een overeenkomst tussen betrokkene en verantwoordelijke of gebaseerd op zijn uitdrukkelijke toestemming, dan geldt een uitzondering. De verantwoordelijke dient evenwel passende maatregelen ter vrijwaring van de rechten, vrijheden en gerechtvaardigde belangen van betrokkenen te treffen. De betrokkene krijgt minstens de mogelijkheid om menselijk ingrijpen te verkrijgen, zijn standpunt kenbaar te maken en om het besluit aan te vechten. Uitgezonderd zijn ook de gevallen waarin het besluit is toegestaan op grond van Unie- of nationale wetgeving waaraan de verantwoordelijke is onderworpen en die bovendien in passende maatregelen ter vrijwaring van de rechten, vrijheden en belangen van betrokkene voorziet.

4.7 Voorschriften voor verantwoordelijken en verwerkers In deze paragraaf worden de bepalingen uit het vierde hoofdstuk van de conceptverordening, getiteld ‘De verantwoordelijke en de verwerker’, besproken. Het hoofdstuk bevat bepalingen aangaande algemene verplichtingen, gegevensbeveiliging, bepaalde verplichtingen voorafgaande aan de verwerking, de functionaris voor gegevensbescherming, gedragscodes en certificering.

4.7.1 Algemene verplichtingen De voor de verwerking verantwoordelijke is verplicht om passende maatregelen te nemen om te zorgen dat de gegevensverwerkingen in overeenstemming zijn met de verordening. 138 Hierbij moet hij niet alleen rekening houden met de aard, context, omvang en het doel van de verwerking, maar ook met de waarschijnlijkheid en de ernst van de potentiële risico’s voor betrokkenen. Bovendien moet de verantwoordelijke kunnen aantonen dat de verwerkingen in lijn met de verordening zijn. Hierin is een rol weggelegd voor de gedragscodes en certificeringen, die in paragraaf 4.7.5 aan bod komen. Nieuw in de verordening zijn de principes van privacy by design en privacy by default. 139 Met privacy by design wordt bedoeld dat in iedere fase van het verwerkingsproces de principes en bepalingen uit de verordening worden gerespecteerd en de rechten van betrokkenen worden beschermd. De verantwoordelijke dient hiertoe technische en organisatorische maatregelen te treffen, zoals het minimaliseren en pseudonimiseren van gegevens. Het principe van privacy by

gebruikgemaakt van profiling; men bouwt een profiel op van de potentiële klant. Big data analyses kunnen gebruikt worden om zulke profielen op te bouwen. Direct marketing is een van de belangrijkste inkomstenbronnen van de big data industrie. 137 Art. 20 conceptverordening van de Raad. Zie voor het verband tussen direct marketing, profiling en big data noot 140. 138 Art. 22 conceptverordening van de Raad. 139 Art. 23 conceptverordening van de Raad.

38

design spreekt mij erg aan, maar bij de uitgesproken rol van gegevensminimalisatie en pseudonimisering heb ik mijn vraagtekens. Ik kom hier op terug in paragraaf 4.9.1. Privacy by default komt er in de kern op neer dat processen standaard zo privacyvriendelijk als mogelijk worden ingericht. Instellingen van apps, websites en diensten in het algemeen dienen dus standaard zo ingesteld te zijn, dat zij de privacy van gebruikers zo min mogelijk raken. Zo zullen gegevens in de kleinst mogelijke kring gedeeld worden, wanneer de gebruiker er niet zelf voor kiest om die kring uit te breiden. Gegevens moeten standaard zo kort mogelijk worden bewaard. Opties die de privacy raken dienen opt-in in plaats van opt-out te zijn. Zo zal een gebruiker het vakje waarmee hij aangeeft akkoord te gaan met het delen van zijn gegevens met derden of waarmee hij aangeeft de nieuwsbrief te willen ontvangen zelf aan moeten vinken; het vakje mag niet standaard zijn aangevinkt. In een eerdere paragraaf werd duidelijk dat de territoriale reikwijdte van de verordening zich tevens uitstrekt over niet in de Unie gevestigde verantwoordelijken die persoonsgegevens van Europese betrokkenen verwerken. Deze verantwoordelijken zijn verplicht een in de Unie gevestigde vertegenwoordiger aan te stellen en hem te machtigen om als aanspreekpunt te fungeren voor toezichthouders en betrokkenen. 140 De verantwoordelijke moet zich ervan vergewissen dat de verwerkers die hij inschakelt, voldoen aan de eisen en voorschriften van de verordening. 141 De relatie tussen beiden moet in een overeenkomst worden vastgelegd, waarin ook het onderwerp, de duur, de aard en het doel van de verwerking alsmede het soort persoonsgegevens en de categorieën betrokkenen worden beschreven. 142 De verordening geeft enkele bepalingen die de overeenkomst dient te bevatten, die hier niet stuk voor stuk besproken worden omdat ze redelijk voor de hand liggen en vooral uiting geven aan de beginselen uit de verordening en de voorschriften die voor verantwoordelijken gelden. Duidelijk wordt, dat de verantwoordelijke altijd verantwoordelijk is voor de verwerking als geheel. Verantwoordelijken zijn verplicht registers aan te leggen waarin wordt bijgehouden welke categorieën verwerkingen onder hun supervisie worden uitgevoerd.143 Het register bevat onder meer de contactgegevens van de verantwoordelijke en diens eventuele vertegenwoordiger of functionaris voor gegevensbescherming, de doelen van de verwerkingen en een beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens. Ook verwerkers moeten een register bijhouden; dit register bevat de categorieën verwerkingen die zij namens verantwoordelijken hebben verricht.144 Ondernemingen met minder dan 250 werknemers zijn vrijgesteld van de plicht een register bij te houden, tenzij de verwerkingen die zij uitvoeren een hoog risico inhouden voor de rechten en vrijheden van betrokkenen. 145

4.7.2 Gegevensbeveiliging Verantwoordelijken en verwerkers moeten passende maatregelen treffen om een beveiligingsniveau te waarborgen dat afgestemd is op de risico’s voor de rechten en vrijheden van individuen. 146 Die 140

Art. 25 conceptverordening van de Raad. Art. 26 lid 1 conceptverordening van de Raad. 142 Art. 26 lid 2 conceptverordening van de Raad. 143 Art. 28 lid 1 conceptverordening van de Raad. 144 Art. 28 lid 2a conceptverordening van de Raad. 145 Art. 28 lid 4 conceptverordening van de Raad. 146 Art. 30 lid 1 conceptverordening van de Raad. 141

39

risico’s moeten gezocht worden in gegevensverwerkingen die het gevolg zijn van gebeurtenissen zoals vernietiging of verlies, of ongeoorloofde verstrekking of toegang tot de gegevens. 147 Als concreet voorbeeld van een beschermingsmaatregel noemt de verordening het pseudonimiseren van de gegevens. Mijn inziens is dat ongelukkig, omdat hiermee de schijn wordt gewekt dat gepseudonimiseerde gegevens per definitie veilig zijn. Daar geloof ik niet in; pseudonimisering kan immers ongedaan gemaakt worden. Ook wanneer de sleutel daartoe niet direct wordt buitgemaakt door inbreukmakers kan met behulp van aanvullende data en analyses de identiteit van de datasubjecten achterhaald worden. Op de gebreken van pseudonimisering wordt in paragraaf 4.9.1 teruggekomen. De verordening bevat op het gebied van beveiliging een noviteit ten opzichte van de richtlijn die over is komen waaien uit de Verenigde Staten: de meldplicht bij datalekken. De verantwoordelijke dient niet alleen de toezichthouder, maar ook de betrokkene daarvan in kennis te stellen wanneer de rechten en vrijheden van personen in het geding kunnen zijn. 148 De toezichthouder dient zo spoedig mogelijk en liefst binnen 72 uur na de inbreuk op de hoogte te worden gebracht. Is die termijn niet haalbaar, dan zal de verantwoordelijke daarover uitleg moeten geven. Vindt de inbreuk plaats bij een verwerker, dan moet hij de verantwoordelijke daar zo snel mogelijk over informeren. De verantwoordelijke kan na een datalek aan de meldplicht ontkomen wanneer hij passende technische en organisatorische beschermingsmaatregelen heeft getroffen en toegepast op de gegevens in kwestie. Hierbij moet gedacht worden aan maatregelen die de gegevens onbegrijpelijk maken, zoals versleuteling. Ook wanneer hij er achteraf voor heeft gezorgd dat de risico’s voor personen zich niet meer kunnen voordoen, of wanneer melding afbreuk zou doen aan een zwaarwegend algemeen belang, is een melding niet verplicht. Tot slot mag een tot een specifieke betrokkene en tot de toezichthouder gerichte melding vervangen worden door een openbare mededeling wanneer het een grote groep betrokkenen betreft en individuele melding onevenredig veel moeite zou kosten. In mijn opinie is de meldplicht een grote stap voorwaarts; in paragraaf 4.9.6 wordt toegelicht waarom.

4.7.3 Verplichtingen voorafgaand aan de verwerking In het verlengde van het principe van privacy by design rust op de verantwoordelijke een verplichting om een privacy-effectbeoordeling uit te voeren voorafgaand aan de verwerking, wanneer het waarschijnlijk is dat het soort verwerkingen een hoog risico voor de rechten en vrijheden van personen oplevert. 149 Te denken valt aan risico’s als identiteitsfraude of discriminatie, wanneer bijvoorbeeld bijzondere persoonsgegevens worden verwerkt of wanneer geautomatiseerde besluitvorming op basis van profilering plaatsvindt. Heeft de verantwoordelijke een functionaris voor gegevensbescherming, dan dient zijn advies ingewonnen te worden. De effectbeoordeling bevat op zijn minst een beschrijving van de verwerking, een inschatting van het risico en de maatregelen die de verantwoordelijke van plan is te treffen om het risico te beperken. 150

147

Art. 30 lid 1a conceptverordening van de Raad. Artt. 31 en 32 conceptverordening van de Raad. 149 Art. 33 conceptverordening van de Raad. 150 Art. 33 lid 3 conceptverordening van de Raad. 148

40

Om het bedrijfsleven op weg te helpen, is de toezichthoudende autoriteit verplicht een lijst op te stellen van het soort verwerkingen waarvoor een privacy-effectbeoordeling verplicht is. 151 Hij kan ook een lijst maken van verwerkingen waarvoor het tegendeel geldt. 152 Als uit de effectbeoordeling blijkt dat de voorgenomen verwerking een hoog risico oplevert wanneer geen maatregelen worden genomen om dat risico te beperken, dient de toezichthouder voorafgaand aan de verwerking geraadpleegd te worden. 153 De toezichthouder kan ingrijpen wanneer hij van oordeel is dat de voorgenomen verwerking niet aan de verordening voldoet. De gedachte achter privacy by design, die mij erg aanspreekt, komt terug in de privacyeffectbeoordeling en de voorafgaande raadpleging. Voor zover dat in de praktijk op dit moment nog niet het geval is, lijkt het mij een goede ontwikkeling dat (middels een privacy-effectbeoordeling) voorafgaand aan verwerkingen wordt nagedacht over de risico’s en implicaties ervan. Niet alleen vanuit het perspectief van betrokkenen, maar ook vanuit het perspectief van het bedrijfsleven heeft dit pluspunten. Privacyschendingen, ook onbedoelde, kunnen immers een grote impact hebben op de reputatie van een bedrijf en daardoor aanzienlijke financiële gevolgen hebben.

4.7.4 De functionaris voor gegevensbescherming Verantwoordelijken en verwerkers kunnen een functionaris voor gegevensbescherming aanstellen en zijn daar mogelijk toe verplicht op grond van nationale of Uniewetgeving. 154 De functionaris dient deskundig te zijn op het gebied van het gegevensbeschermingsrecht; hij informeert en adviseert het bedrijf en haar werknemers over de voor hen geldende wettelijke verplichtingen. 155 Ook ziet hij toe op naleving van de verordening en andere wettelijke voorschriften betreffende gegevensbescherming. Dat betekent onder meer dat hij awareness onder de werknemers creëert en hen opleid. Hij heeft een belangrijke rol bij privacy-effectbeoordelingen en fungeert als aanspreekpunt voor toezichthouders en betrokkenen. 156 De functionaris voor gegevensbescherming heeft een bijzondere positie binnen het bedrijf. Het bedrijf dient ervoor te zorgen dat de functionaris zijn taken onafhankelijk en ongestoord kan vervullen. Hij kan ook andere taken hebben binnen het bedrijf, maar de werkgever moet ervoor zorgen dat geen belangenconflict ontstaat. 157 De functionaris kan tijdens zijn ambtstermijn in principe alleen ontslagen worden wanneer hij niet meer voldoet aan de hiervoor beschreven voorwaarden, in het bijzonder wanneer een belangenconflict optreedt. 158 In het oorspronkelijke voorstel van de Europese Commissie is een algemene verplichting tot het aanstellen van een functionaris voor gegevensbescherming opgenomen voor overheidsinstanties en bedrijven met 250 werknemers of meer. Daarnaast zijn in dat voorstel verantwoordelijken en verwerkers die hoofdzakelijk verwerkingen uitvoeren die een stelselmatige observatie van betrokkenen vereisen, verplicht tot het aanstellen van een dergelijke functionaris. 159 Het voorstel van de Raad noemt geen gevallen waarin een functionaris voor gegevensbescherming verplicht is. 151

Art. 33 lid 2a conceptverordening van de Raad. Art. 33 lid 2b conceptverordening van de Raad. 153 Art. 34 conceptverordening van de Raad. 154 Art. 35 conceptverordening van de Raad. 155 Art. 37 lid 1 conceptverordening van de Raad. 156 Art. 37 lid 1 jo 35 lid 9 en 10 conceptverordening van de Raad. 157 Art. 36 conceptverordening van de Raad. 158 Art. 35 lid 7 conceptverordening van de Raad. 159 Art. 35 lid 1 conceptverordening van de EC. 152

41

Hoewel het Europees Parlement een aantal amendementen heeft voorgesteld ten aanzien van het artikel dat de verplichtingen regelt 160, is dat voorstel grotendeels in lijn met het oorspronkelijke voorstel van de Commissie. Het is dus afwachten of de uiteindelijke verordening het aanstellen van een functionaris voor gegevensbescherming verplicht stelt en zo ja, in welke gevallen. Omdat steeds vaker en steeds meer persoonsgegevens worden verwerkt, lijkt het mij niet onredelijk om van grote bedrijven te verlangen dat zij iemand aanstellen die hierin is gespecialiseerd. Hetzelfde geldt voor kleinere bedrijven die gegevensverwerkingen als core business hebben. Maar ook wanneer dat niet verplicht zou worden, zouden bedrijven er mijns inziens goed aan doen zo iemand aan te stellen in verband met de uit de verordening voortvloeiende verplichtingen, die betrekking hebben op het gehele verwerkingsproces.

4.7.5 Gedragscodes en certificeringen Het institutionele kader moet zich gaan inzetten om gedragscodes tot stand te laten komen die zich toespitsen op de onderscheidenlijke verwerkingssectoren. 161 De codes worden opgesteld door verenigingen of andere organen die de verantwoordelijken en verwerkers uit de desbetreffende sectoren vertegenwoordigen. Het Europees Comité voor gegevensbescherming (de opvolger van WP29) verzamelt en publiceert goedgekeurde gedragscodes, die uitleg geven aan de bepalingen uit de verordening en daarmee de rechtszekerheid voor bedrijven zouden kunnen vergroten. Het toezicht op de goedgekeurde gedragscodes kan door de toezichthoudende autoriteit worden uitbesteed aan geaccrediteerde organen. 162 Per saldo is dus sprake van zelfregulering binnen het door de verordening geschetste kader en onder supervisie van de toezichthouder. Het is de bedoeling dat naast de gedragscodes ook certificeringsmechanismen worden ontwikkeld, zodat bedrijven met behulp van gegevensbeschermingszegels of andere tekens aan kunnen tonen dat bij hun verwerkingen de voorschriften uit de verordening worden nageleefd. 163 De toezichthoudende autoriteit kan wederom organen accrediteren om toezicht uit te oefenen op goedgekeurde certificeringen. 164 Het Europees Comité voor gegevensbescherming verzamelt naast gedragscodes ook goedgekeurde certificeringsmechanismen en gegevensbeschermingszegels en maakt het register openbaar. 165 Ik ben gematigd positief over de gedragscodes en certificeringen. De ontwikkeling van sectorspecifieke gedragscodes lijkt mij van toegevoegde waarde omdat zij de vrij algemene en dikwijls vage bepalingen uit de verordening concretiseren voor bedrijven in de desbetreffende sector, waardoor voor hen meer duidelijkheid geschept wordt. Gegevensbeschermingszegels kunnen handig zijn voor bedrijven om, met name aan personen die klant zijn of willen worden, aan te tonen dat zij verordeningsconform werken. Enigszins kritisch ben ik over de bureaucratische 160

In het voorstel van het EP zijn ook overheidsinstanties en bedrijven met meer dan 250 werknemers verplicht een functionaris aan te stellen. De bepaling die verantwoordelijken en verwerkers die hoofdzakelijk verwerkingen die vanwege hun aard, omvang en/of doel regelmatige en stelselmatige observatie van betrokkenen vereisen is geamendeerd, waarbij het EP benadrukt dat de verplichting alleen zou moeten gelden wanneer de kernactiviteiten van de onderneming betrekking hebben op de verwerking van persoonsgegevens. Vgl. conceptverordening van het EP, amendement 278. 161 Art. 38 conceptverordening van de Raad. 162 Art. 38a conceptverordening van de Raad. 163 Art. 39 conceptverordening van de Raad. 164 Art. 39 en 39a conceptverordening van de Raad. 165 Art. 39 lid 5 conceptverordening van de Raad.

42

schijnwerkelijkheid die kan ontstaan. Ik vrees voor een papieren muur van verklaringen en certificaten, die de werkelijke verwerkingen aan het zicht onttrekt. Het is de vraag hoeveel waarde gehecht mag worden aan veiligheidsstandaarden, in een omgeving waarin technologische standaarden al verouderd zijn wanneer ze worden uitgebracht. Schijnveiligheid ligt op de loer: burgers wanen hun gegevens beschermd dankzij certificeringen en gegevensbeschermingszegels, maar in werkelijkheid kan het beschermingsniveau bedroevend zijn.

4.8 Toezicht, aansprakelijkheid en sancties Iedere lidstaat dient een of meerdere onafhankelijke overheidsinstanties verantwoordelijk te stellen voor het toezicht op de naleving van de verordening en vaardigt een toezichthoudende autoriteit af die de lidstaat vertegenwoordigt in het Europees Comité voor gegevensbescherming. 166 Dat Comité is feitelijk de opvolger van de huidige artikel 29 Werkgroep (WP29). De verscheidene nationale toezichthouders moeten met elkaar samenwerken. 167 Een goede ontwikkeling is het one stop shop principe; burgers kunnen bij hun nationale toezichthouder terecht en bedrijven krijgen in principe met een van de nationale toezichthouders te maken, en wel de toezichthouder van de lidstaat waarin hun (voornaamste) vestiging zich bevindt. 168 Die toezichthouder heeft de leiding bij grensoverschrijdende verwerkingen. Dat doet overigens niet af aan de bevoegdheid van nationale toezichthouders om klachten of inbreuken te behandelen in zaken die slechts een vestiging of betrokkenen in haar lidstaat betreffen. De nationale toezichthouders zien vanzelfsprekend toe op toepassing van de verordening, maar hebben ook andere taken. Hieronder valt onder meer de plicht om verantwoordelijken, verwerkers en het brede publiek beter bekend te maken met de risico’s en rechten inzake gegevensbescherming. 169 Daarnaast geven zij advies aan overheidsinstituties, waaronder parlement en regering, en behandelen ze klachten van betrokkenen en instanties die hen vertegenwoordigen. Al eerder kwam de rol van toezichthouders bij het instellen van gedragscodes en certificeringsmechanismen aan de orde. Toezichthouders hebben zowel onderzoeks- als corrigerende bevoegdheden. 170 Ze zijn bevoegd informatie op te vragen bij verantwoordelijken en verwerkers en kunnen controles uitvoeren. Daarnaast kunnen zij bijvoorbeeld berispingen uitdelen en bedrijven gelasten aan verzoeken van betrokkenen te voldoen. Jaarlijks wordt een verslag opgesteld en toegestuurd aan het parlement en de regering. 171 Naast de verantwoordelijke kan ook de verwerker aansprakelijk gesteld worden door personen die materiële of immateriële schade hebben geleden als gevolg van een verwerking die niet voldoet aan de verordening. 172 Verantwoordelijken zijn altijd aansprakelijk; verwerkers slechts indien en voor zover zij specifieke verplichtingen van verwerkers hebben geschonden of in strijd met de instructies van de verantwoordelijke hebben gehandeld. Wanneer de verantwoordelijke of de 166

Artt. 46 en 47 conceptverordening van de Raad. Art. 52 lid 1 sub c conceptverordening van de Raad. 168 Art. 51a conceptverordening van de Raad. 169 Art. 52 conceptverordening van de Raad. 170 Art. 53 conceptverordening van de Raad. 171 Art. 54 conceptverordening van de Raad. 172 Art. 77 conceptverordening van de Raad. 167

43

verwerker kan bewijzen dat hij op geen enkele wijze verantwoordelijk is voor de schadevoortbrengende gebeurtenis, ontkomt zij aan aansprakelijkheid. Zijn meerdere partijen verantwoordelijk voor de schade, dan zijn zij hoofdelijk aansprakelijk maar gezamenlijk draagplichtig. Voor bepaalde inbreuken kunnen toezichthouders administratieve geldboetes opleggen, zolang die boete doeltreffend, evenredig en afschrikkend is. 173 Of een boete moet worden opgelegd en zo ja, hoe hoog de boete moet zijn, is afhankelijk van een reeks in de verordening opgenomen factoren. Hierin komt duidelijk het proportionaliteitsbeginsel naar voren. Zo moet rekening gehouden worden met de aard, ernst en duur van de inbreuk in verband met de omvang, het karakter en het doel van de verwerking, het aantal getroffen betrokkenen en de omvang van hun schade. Ook opzet en recidive spelen een rol, evenals de maatregelen die verantwoordelijken of verwerkers hebben genomen om de schade te beperken. In de verordening worden verscheidene inbreuken genoemd waarvoor verschillende maximumboetes gelden. 174 Voor lichtere vergrijpen175 geldt een maximum van € 250.000,- of 0,5% van de jaaromzet. Een geldboete van ten hoogste € 500.000,- of 1% van de jaaromzet wordt opgelegd voor zwaardere overtredingen, zoals het niet verstrekken van informatie of het weigeren van toegang tot of rectificatie van gegevens. De zwaarste categorie vergrijpen, waaronder bijvoorbeeld het zonder rechtsgrondslag verwerken van persoonsgegevens en het niet laten uitgaan van een melding bij een datalek, wordt bestraft met boetes van maximaal € 1.000.000,- of 2% van de jaaromzet. De maximumbedragen zijn niet mis: als je nagaat dat Google in 2014 een jaaromzet van 66 miljard dollar 176 heeft behaald, dan zou zij tegen een maximumboete van een miljard euro aan kunnen kijken.

4.9 Sterkte- en zwakte-analyse In de beschrijving hierboven werden al enkele kritische kanttekeningen geplaatst. In deze paragraaf worden enkele elementen uit de verordening nader uitgelicht en bekritiseerd, waarbij zowel sterke als zwakke punten worden benoemd. De analyse vindt plaats tegen de achtergrond van de machtsproblematiek, die in hoofdstuk 3 tegen het licht werd gehouden. Ze draagt daarmee rechtstreeks bij aan de beantwoording van de hoofdvraag van dit onderzoek: wat zijn de sterke en zwakke punten in de verordening met betrekking tot het kanaliseren en controleren van de macht van big data bedrijven over de samenleving en de individuen waaruit zij is opgebouwd? Omdat de verordening nog in de steigers staat, heeft het weinig nut om al te zeer te focussen op details. De kans is immers groot dat die tijdens de onderhandelingen tussen de Commissie, het Parlement en de Raad nog aangepast worden. In de kritiek op het voorstel wordt daarom ingegaan op bepaalde uitgangspunten en beginselen, en de grote lijnen van concrete uitwerkingen daarvan.

173

Art. 79 conceptverordening van de Raad. Art. 79a conceptverordening van de Raad. 175 Het niet binnen de termijn reageren op verzoeken van betrokkenen en het aanrekenen van een vergoeding voor het uitvoeren van bepaalde handelingen zoals het verstrekken van informatie, het rectificeren of wissen van gegevens en het beperken van de verwerking. 176 De jaarcijfers van Google zijn raadpleegbaar via http://investor.google.com/financial/2014/tables.html. 174

44

Reeds eerder werd betoogd dat het grootste probleem van big data analytics is, dat de bedrijven die zich ervan bedienen diepgravende kennis en daarmee macht over de samenleving verkrijgen. Ik herinner aan de Kafka-metafoor. Het is niet de zelfstandige verwerking of verzameling waarop de pijlen gericht moeten worden, maar het gehele proces. Dat proces is ontransparant en er kan nauwelijks of geen controle op worden uitgeoefend. Door inzicht het gedrag van consumenten en de samenleving als geheel, kan dat gedrag worden gestuurd. Individuen en de samenleving kunnen daardoor worden gemanipuleerd en gecontroleerd. Niet slechts vanwege de mogelijkheden die targeted advertising biedt, maar juist ook vanwege de onopvallende middelen die kunnen worden ingezet om consumenten onbewust over te halen bepaalde producten te kopen. Toch moet de soep niet zo heet geworden als hij wordt opgediend: het moet bedrijven vrij staan om hun producten aan de man te brengen. Het is logisch dat bedrijven de mogelijkheden van het internet en de technologie benutten. Bovendien kan de inzet van big data analytics ook meerwaarde voor de maatschappij opleveren, bijvoorbeeld door de nieuwe innovatieve producten die inmiddels onderdeel van ons dagelijks leven zijn geworden. Regelgeving moet daarom zoeken naar een balans tussen bescherming van de samenleving en het individu enerzijds, en de vrijheid van ondernemingen anderzijds. Mijns inziens dient gegevensbeschermingswetgeving daarom een systeem van checks and balances te creëren, die de macht van corporaties kanaliseert zonder hen onnodig te beperken. 177

4.9.1 Gegevensbescherming als subjectief recht, de identificeerbaarheid van het datasubject en pseudonimisering/anonimisering Het recht op gegevensbescherming wordt, net als het recht op privacy, vormgegeven als een subjectief recht. Op het eerste gezicht is dat een logische keuze, maar de grootste problematiek rondom gegevensverwerkingen in het algemeen en big data in het bijzonder, behelst de machtsverhouding tussen corporaties en de samenleving als geheel. Dat lijkt miskend te worden door het individu en zijn subjectieve recht als uitgangspunt te nemen. Mijns inziens zou de werkelijke problematiek duidelijker naar voren mogen komen in de verordening. 178 In het verlengde daarvan ligt de identificeerbaarheid van personen als key element van het materiële toepassingsgebied van de verordening. De positie van bedrijven op de machtsbalans wordt niet zozeer bepaald door wat bedrijven over een specifiek individu weten, maar door de 177

De term ‘checks and balances’ kent haar oorsprong in de Amerikaanse federalistische staatsinrichting, waarin gestreefd werd naar een machtsevenwicht (balances) dat door controlemechanismen (checks) dient te worden gewaarborgd. Tegenwoordig wordt het begrip breder toegepast, bijvoorbeeld in grote organisaties. Daar wordt een systeem van checks and balances opgetuigd om de belangen van de diverse stakeholders te beschermen en hun invloed evenwichtig te verdelen. Het begrip wordt ook gebruikt om de scheiding der machten, die ten grondslag ligt aan de democratische rechtsstaat, vorm te geven. In het kader van dit onderzoek doel ik met checks and balances op een systeem waarin zowel de belangen van de samenleving en individuen, alsook de belangen van de big data industrie, worden beschermd en waarin de machtsverhouding tussen de actoren gekanaliseerd en gecontroleerd kan worden. 178 Natuurlijk kunnen subjectieve rechten bijdragen aan het controleren van de machtsbalans tussen corporaties en de maatschappij, maar bescherming van individuele vrijheidsrechten (waarbij de focus ligt op de persoonlijke levenssfeer; de voornaamste doelstelling van gegevensbeschermingsrecht is immers het waarborgen van de privacy; zie par. 3.3) is een wezenlijk ander reguleringsonderwerp dan het controleren van macht van bedrijven om de maatschappij als geheel te exploiteren. Vanwege de kneedbaarheid van het gegevensbeschermingsrecht als sociaal construct, zie ik desalniettemin ruimte om regulering van die machtsverhouding tot doelstelling van het gegevensbeschermingsrecht te maken. Zie par. 3.3.

45

kennis over de werking van de samenleving en de individuen waaruit zij is opgebouwd. Door de identificeerbaarheid van het individu als uitgangspunt te nemen, kunnen bedrijven hun gang gaan zolang informatie maar niet te herleiden is tot een identificeerbaar individu. Dat helpt niet bij het kanaliseren van de macht die corporaties over de samenleving kunnen uitoefenen. De verordening wijst her en der op de mogelijkheden van anonimisering of pseudonimisering, met name in het kader van informatiebeveiliging. Pseudonimisering wordt als expliciet middel genoemd om uiting te geven aan het principe van privacy by default. Dat bevreemdt mij. Het logische doel van pseudonimiseren en anonimiseren is om de herleidbaarheid van gegevens tot een individu weg te nemen. Als dat slaagt, is er geen sprake meer van herleidbaarheid tot een geïdentificeerde of identificeerbare persoon. In dat geval is er ook geen sprake meer van een persoonsgegeven in de zin van de verordening, valt de handeling buiten de reikwijdte en is het regime van de verordening dus niet toepasselijk op de betreffende handeling. Los van dit alles ben ik kritisch over de mogelijkheden van effectieve pseudo- en anonimisering. Met een beetje goede (of liever: kwade) wil kan de pseudo- of anonimisering praktisch altijd ongedaan gemaakt worden. 179 De mogelijkheden daartoe zullen gezien de technologische ontwikkelingen alleen maar groter worden. Pseudo- en anonimisering vormen misschien een drempel, maar zeker geen muur tegen het achterhalen van de identiteit van degene die de persoonsgegevens betreffen. De verordening creëert daardoor een gevoel van schijnveiligheid die in de praktijk minder waard is dan zij op papier doet voorkomen.

4.9.2 Privacy by default Het principe van privacy by default heeft sterke en zwakke kanten. Op het eerste gezicht lijkt de meest privacyvriendelijke instelling als standaardinstelling een pluspunt voor burgers. Het uit de hand gelopen feestje in Groningen vanwege een per ongeluk openbaar gedeelde uitnodiging op Facebook (Project X) is hiervan een voorbeeld. Vanuit het big data perspectief loop je echter het risico dat een belangrijke bevoorradingslijn van gegevens wordt afgesneden. Data is de grondstof van de big data economie; zonder input geen output. Dat is ook de reden waarom ik benieuwd ben hoe dit in de praktijk uit gaat pakken. Waarschijnlijk zullen bedrijven op zoek gaan naar geldige rechtsgronden om het verzamelen alsnog mogelijk te maken. De rechtsgronden ‘uitdrukkelijke toestemming van de betrokkene’ en ‘verwerkingen in het kader van rechtmatige belangen van de verantwoordelijke’ zijn de meest voor de hand liggende. Omdat een bedrijf aanzienlijke moeite zal moeten doen om aan te tonen dat zijn belang voor de verwerking rechtmatig is en bovendien prevaleert boven de belangen van de betrokkenen in kwestie, is de kans groot dat met name de toestemming van betrokkenen een belangrijke rol gaat spelen. Burgers zullen dan, vaker dan nu het geval is, gevraagd worden akkoord te gaan met het verzamelen en verwerken van hun gegevens. In die zin vormt het principe van privacy by default een incentive voor bedrijven om burgers privacykeuzes voor te leggen. In principe is dat een goede ontwikkeling: het kan natuurlijk nooit kwaad wanneer burgers beter nadenken over wat er met hun gegevens gebeurt, en of ze dat willen. Aan de andere kant ben ik kritisch over de uitgesproken rol voor toestemming van de betrokkene (hier wordt in paragraaf 4.9.3 ingegaan). De malaise rondom de cookiewetgeving indachtig, vraag ik me af of burgers erop zitten te wachten constant toestemming te moeten geven om producten te kunnen gebruiken. 179

Zie bijvoorbeeld Ohm 2010 en Barbaro & Zeller 2006.

46

4.9.3 Toestemming van de betrokkene De al dan niet uitdrukkelijke toestemming van betrokkenen komt op verschillende plaatsen prominent terug in de verordening. Het is een zelfstandige rechtsgrond voor verwerkingen 180, maar in sommige gevallen ook een bypass om botsingen met bepalingen uit de verordening recht te breien. Zo kan met toestemming van de betrokkene alsnog een verwerking in gang worden gezet die niet voldoet aan het doelbindingsprincipe. 181 Al eerder bracht ik de overtuiging naar voren dat de rol van het individu is opgeblazen; het belang van de maatschappij als geheel wordt onderschat. Maar los daarvan zijn er redenen om vraagtekens te zetten bij de uitgesproken rol van toestemming van betrokkenen. Op het eerste gezicht lijkt het een element dat de belangen van het individu dient, maar naar mijn idee dient het in grotere mate de belangen van de industrie. We hebben met de cookiewetgeving gezien dat uitdrukkelijke toestemming erg gemakkelijk wordt gegeven, wanneer er constant om gevraagd wordt. Consumenten accepteren cookies vaak blind, zonder eerst uit te zoeken waar ze nou precies toestemming voor geven. Daarmee wordt vierkant voorbijgegaan aan de gedachte achter het vragen van toestemming. Het idee is immers dat de burger een weloverwogen beslissing kan maken om de cookies, of in casu het verzamelen en verwerken van persoonsgegevens ten behoeve van big data analyses, al dan niet te accepteren. Het idee van de mens als homo economicus, die uitsluitend vanuit eigenbelang rationele keuzes maakt en alle gevolgen van die keuzes overziet, is hooguit een ideaalbeeld. Mensen handelen vaak ondoordacht, maken fouten, en handelen dikwijls niet in hun eigenbelang. 182 Met de komst van privacy by default is de kans groot dat consumenten overspoeld gaan worden met een stortvloed aan toestemmingsverzoeken. Wanneer de toegang tot diensten of producten wordt ontzegd totdat toestemming is gegeven, is het gezien de ervaringen met cookiewalls waarschijnlijk dat consumenten vaak blind accepteren. De machtspositie van bedrijven wordt daarmee alleen maar sterker: met toestemming op zak kan bijna alles, en bovendien kan de toestemming gebruikt worden om verwerkingen op een ethisch niveau te legitimeren.

4.9.4 Doelbinding en gegevensminimalisatie De beginselen van gegevensminimalisatie en doelbinding zijn, geheel in lijn met de rest van de verordening en Uniewetgeving in het algemeen, geschreven vanuit de subjectieve rechten van het individu. Het zijn middelen om toegang tot gegevens over je persoon te beperken en geven daarmee vorm aan de idee van informationele privacy. Hoewel beide beginselen weleens als onverenigbaar met de uitgangspunten van big data worden bestempeld183, zijn ze nog steeds van deze tijd. Laten we de idee van informationele privacy los en benaderen we de beginselen vanuit de machtsgedachte, dan zijn het nuttige uitgangspunten om die macht te kanaliseren. Niet omdat doelbinding en minimalisatie tot minder analyses en daardoor tot minder kennis over de maatschappij en de individuen waaruit zij is opgebouwd leidt, maar omdat beide beginselen bedrijven in iedere fase van het verwerkingsproces dwingen om bewust om te gaan met persoonsgegevens en kritisch naar dat proces te kijken. 180

Art. 6 lid 1 sub a conceptverordening van de Raad. Art. 6 lid 3a conceptverordening van de Raad. 182 Vgl. Moerel 2014, p. 26. 183 Zie bijvoorbeeld Moerel 2014, p. 53-54. 181

47

Het principe van gegevensminimalisatie beperkt de big data industrie, maar maakt big data analyses niet onmogelijk. In plaats van zoveel mogelijk gegevens te verzamelen om daar vervolgens naar eigen inzicht allerlei analyses op los te laten, zullen big data bedrijven voor het verzamelen na moeten denken wat ze nou eigenlijk willen analyseren en welke gegevens ze daarvoor nodig hebben (select before you collect).

4.9.5 Privacy by design, gegevensbescherming

privacy-effectbeoordelingen

en

de

functionaris

voor

Vanuit de gedachte dat het om het gehele proces van verzamelen en verwerken van persoonsgegevens gaat, en niet zozeer om de zelfstandige handeling, is het een goede ontwikkeling dat in iedere fase van dat proces moet worden nagedacht over de implicaties voor betrokkenen. De voorbereidingsfase hoort daar ook bij. De verplichte voorafgaande privacy-effectbeoordeling en het principe van privacy by design zijn daarom goede uitgangspunten. Tel hier de (al dan niet verplichte) functionaris voor gegevensbescherming met zijn bijzondere rol en positie binnen het bedrijf bij op, en je tuigt een systeem op waarin ondernemingen worden geforceerd om van begin af aan checks and balances met betrekking tot de rechten en vrijheden van betrokkenen in hun bedrijfsvoering in te bouwen.

4.9.6 Notificatieplicht bij datalekken Met een pragmatische benadering en de machtsbalans tussen corporaties enerzijds en individuen en de maatschappij anderzijds in het achterhoofd, is de notificatieplicht bij datalekken een goede ontwikkeling. Publiciteit is misschien wel het belangrijkste middel dat individuen en de samenleving tegenover de bureaucratische macht van corporaties kunnen stellen. Reputatieschade heeft voor bedrijven, zeker voor bedrijven die afhankelijk zijn van de gegevensstroom afkomstig van hun klanten (die tevens het product zijn), dikwijls grotere gevolgen dan een berisping of boete. Als maatschappelijk bekend wordt dat een bedrijf het niet zo nauw neemt met de belangen, rechten en vrijheden van burgers, kan het bedrijf het wel schudden. De meldplicht is komen overwaaien vanuit de Verenigde Staten en heeft aldaar haar nut bewezen. 184 Niet alleen als repressief, maar juist ook als preventief middel. Vanwege de potentiële reputatieschade vormt de meldplicht een incentive om de belangen, rechten en vrijheden van burgers in hun gehele bedrijfsvoering serieus te nemen. De meldplicht past daarmee in een systeem van checks and balances. Het niet voldoen aan de meldplicht kan resulteren in een boete van maximaal € 1.000.000,of 2% van de jaaromzet; dat lijkt een stevige stok achter de deur om bedrijven ertoe te bewegen zich aan de meldplicht te houden. Toch is het vanwege de praktische uitwerking de vraag of de meldplicht gaat werken. De wetsomschrijving is immers behoorlijk vaag in haar omschrijving van de gevallen waarin een meldplicht bestaat: dit is het geval wanneer een inbreuk plaatsvindt die ‘waarschijnlijk een hoog risico voor de rechten en vrijheden van personen inhoudt’. 185 Bovendien hoeft in eveneens vaag geformuleerde gevallen geen melding gemaakt te worden.

184 185

Bamberger & Mulligan 2011, p. 275. Vgl. artt. 31 lid 1 en. 32 lid 1 conceptverordening van de Raad.

48

4.9.7 Betere sanctionering en hogere boetes Voorkomen is natuurlijk altijd beter dan genezen. Hoewel sancties voornamelijk repressief van aard zijn, denk ik toch dat de hoge boetes en het beter opgetuigde sanctioneringssysteem het meest waardevol zijn in de preventieve werking die ervan uitgaat. De pakkans en mogelijke gevolgen van overtredingen in de vorm van sancties zijn een belangrijke factor in de beslissing om al dan niet regelconform te handelen. Het is dan ook goed dat toezichthoudende instanties tanden krijgen. Een andere goede ontwikkeling is het one stop shop principe. Onder de huidige richtlijn hebben bedrijven die de Europese markt bedienen telkens met iedere afzonderlijke toezichthouder van de verscheidene lidstaten te maken. Vanwege de implementatieverschillen gelden ook nog eens overal verschillende regels. Dat brengt onnodige kosten met zich. Bedrijven kunnen hun energie en financiële middelen beter besteden aan het verbeteren van hun verwerkingsprocessen.

49

5. Conclusie

5.1 Hoofdvraag en deelvragen Dit onderzoek heeft big data en de ophanden zijnde Algemene verordening gegevensbescherming tot onderwerp. De hoofdvraag luidt: wat zijn de sterke en zwakke punten in de conceptverordening met betrekking tot het kanaliseren en controleren van de macht van big data bedrijven over de samenleving en de individuen waaruit zij is opgebouwd? Om tot een beantwoording van de hoofdvraag te kunnen komen, zijn een aantal deelvragen gesteld: (i) wat houdt big data in, (ii) waaruit bestaat de kern van de problematiek rondom big data, (iii) wat is de verhouding tussen het privacy- en gegevensbeschermingsrecht en welke ruimte bieden zij om machtsverhoudingen te kanaliseren en controleren, en (iv) hoe zit de conceptverordening inhoudelijk in elkaar?

5.2 Deelconclusies Wat houdt big data in? Hoofdstuk 2 bevat een beschrijving van diverse aspecten van big data. Het is lastig om een eenduidige doch alomvattende definitie van big data te geven. Bij big data worden grote hoeveelheden gegevens verzameld en geanalyseerd. De omvang van de dataset is relatief; big data is groot in verhouding tot de mogelijkheden ten aanzien van het verzamelen, verwerken en beheren ervan. Het is daarmee een verschijnsel van deze tijd. Wanneer de technische begrenzingen omvergeworpen zijn, wordt big data waarschijnlijk een ouderwets begrip. Naast het formaat, laat de gegevensverzameling zich kenmerken door de gevarieerdheid, wanordelijkheid en de snelheid waarmee gegevens worden verzameld en verwerkt. Door slimme analyses los te laten op de omvangrijke dataset kunnen op verschillende niveaus correlaties worden gevonden, waaraan statistische conclusies kunnen worden verbonden. Big data wijst dus geen oorzaken, maar verbanden aan. Die verbanden zijn soms waardevoller dan de oorzaken, maar beiden mogen niet met elkaar verward worden. Big data kan worden gebruikt om innovatieve producten te ontwikkelen, die tevens een gegevensstroom opwekken die big data verder voeden. Het verdienmodel van de big data industrie is grotendeels gebaseerd op targeted advertising, dat nauw samenhangt met profiling. De gebruiker is dus zowel klant (als afnemer van diensten en producten) als product (zijn gegevens worden vermarkt). Waaruit bestaat de kern van de problematiek rondom big data? In paragraaf 3.4 is ingegaan op de werkelijke big data problematiek. Vanwege de diverse aard van big data en haar toepassingen, is ook de problematiek divers. ‘Klassieke’ privacyproblemen kunnen de kop opsteken, maar mijns inziens schuilt het grootste probleem in de machtsverhouding tussen 50

corporaties enerzijds en de samenleving en de burgers waaruit zij bestaat anderzijds. Kennis wordt gemonopoliseerd en bedrijven krijgen uitgebreid inzicht in het gedrag en de werking van de maatschappij en haar individuen. Dankzij die inzichten kan maatschappelijk en individueel gedrag worden gestuurd, gemanipuleerd en gecontroleerd, met als doel het maximaliseren van winst. Wat is de verhouding tussen het privacy- en gegevensbeschermingsrecht en welke ruimte bieden zij om machtsverhoudingen te kanaliseren en controleren? Gegevensbescherming wordt vaak als species van het recht op privacy gezien. Privacy is echter een vaag begrip; het is daarom noodzakelijk om terug te vallen op een conceptie van privacy. Het probleem met de klassieke wijze van het conceptualiseren van een begrip als privacy, is de top-down benadering. Concrete problemen worden opgehangen aan een abstract raamwerk. Daarmee wordt de kern van de werkelijke problematiek soms tekort gedaan. Daarom is gekozen voor een pragmatische bottom-up benadering, waarbij het concrete probleem tot uitgangspunt wordt genomen. Vandaar dat de vorige deelvraag met deze deelvraag is samengesmolten in hoofdstuk 3. Hoewel er enige overlap bestaat tussen het recht op gegevensbescherming en het recht op privacy, is het recht op gegevensbescherming een zelfstandig grondrecht. Ondanks haar verwevenheid met het recht op privacy is er mijns inziens ruimte om het kanaliseren en controleren van de machtsverhouding tussen corporaties en de maatschappij als een van de doelstellingen in het gegevensbeschermingsrecht op te nemen. Het recht op privacy acht ik daartoe minder geschikt, vanwege de uitgesproken focus op bescherming van de persoonlijke levenssfeer. Dit is een wezenlijk ander onderwerp van het kanaliseren en controleren van de macht van bedrijven over de samenleving en haar individuele burgers. Hoe zit de conceptverordening inhoudelijk in elkaar? Om de sterke en zwakke punten van de verordening te kunnen analyseren, is het nodig een beeld te krijgen van de verordening als geheel. Dit beeld is geschetst in hoofdstuk 4. In de beschrijving is ingegaan op (i) enkele definities, (ii) het onderwerp, de doelstellingen en de reikwijdte van de verordening, (iii) de beginselen die aan de verordening ten grondslag liggen, (iv) de grondslagen voor gegevensverwerkingen, (v) de rechten van betrokkenen, en (vi) voorschriften voor verantwoordelijken en verwerkers.

5.3 Eindconclusie De hierboven behandelde deelvragen hebben bijgedragen de beantwoording van de hoofdvraag: wat zijn de sterke en zwakke punten in de conceptverordening met betrekking tot het kanaliseren en controleren van de macht van big data bedrijven over de samenleving en de individuen waaruit zij is opgebouwd? Omdat de kern van de big data problematiek naar mijn mening draait om de macht die bedrijven dankzij en via big data toepassingen over de maatschappij en haar individuen kan uitoefenen, dient de verordening een systeem van checks and balances te creëren. In algemene termen ben ik dan ook kritisch over de focus op het individu, in plaats van de aandacht die de maatschappij als geheel zou moeten krijgen. Positief ben ik over maatregelen die dwingen om het 51

gehele proces kritisch in de gaten te houden, vanwege de ondoorzichtigheid van dat bureaucratische proces. Het recht op gegevensbescherming is geformuleerd als een individueel zelfbeschikkingsrecht, waarbij de identificeerbaarheid van het datasubject de sleutel is voor de toepasselijkheid van de regelgeving. Vanwege de uitgesproken rol van identificeerbaarheid is het niet vreemd dat pseudo- en anonimisering regelmatig in de verordening naar voren komen. Gezien het hierboven geschrevene ben ik kritisch over het centraliseren van het individu. De belangen van de samenleving als geheel worden daarmee tekort gedaan. Vanwege de steeds toenemende mogelijkheden om pseudo- en anonimisering ongedaan te maken, ben ik kritisch over hun uitgesproken rol. Pseudo- en anonimisering werpen wellicht een drempel op tegen het herleiden van de identiteit van individuen, maar zij bieden geen zekerheid daartegen. Hierdoor ontstaat het risico van schijnveiligheid. Een ander punt van kritiek betreft het belang en importantie dat aan toestemming van de betrokkene wordt toegedicht. Principes als privacy by default en het doelbindingsbeginsel zullen ervoor zorgen dat bedrijven steeds vaker toestemming aan consumenten zullen vragen om gegevens te verzamelen en te verwerken. Met de cookiewetgeving hebben we gezien wat een constante stroom van toestemmingsverzoeken veroorzaakt: irritatie en blinde acceptatie door consumenten. Dat strookt niet met de gedachte achter toestemming. Het is juist de bedoeling dat burgers beter nadenken over welke gegevens zij aan wie toevertrouwen, en waarom. De waarde van toestemming wordt dus ernstig overschat. De beginselen van doelbinding en gegevensminimalisatie worden dikwijls als strijdig met de uitgangspunten van big data analytics genoemd. Ik ben het daar niet mee eens: big data analytics blijft mogelijk, maar bedrijven moeten al voor het verzamelen goed nadenken over de doelen die ze willen bereiken en de middelen die ze daarvoor nodig hebben. Het principe van gegevensminimalisatie beperkt de big data industrie, maar maakt big data analyses niet onmogelijk. Big data bedrijven zullen reeds voor het verzamelen na moeten denken waar ze hun analyse op willen toespitsen en welke gegevens ze daarvoor nodig hebben (select before you collect). Dat is een goede ontwikkeling, vanuit de gedachte dat het gehele verwerkingsproces doordrongen moet zijn van checks and balances. Vanuit de gedachte van de noodzaak van checks and balances in het gehele big data proces ben ik positief over het principe van privacy by design, de privacy-effectbeoordeling en de functionaris voor gegevensbescherming. Deze elementen dragen bij aan het verbeteren, transparanter maken en het effectiever vormgeven van het verwerkingsproces als geheel. Zowel vanuit de meldplicht bij datalekken als het sanctioneringssysteem met bijbehorende boetes gaat een sterke preventieve werking uit. Bedrijven zijn er bij gebaat hun bedrijfsprocessen verordeningsconform in te richten. Dat is een goede ontwikkeling ten opzichte van de huidige richtlijn, onder welk regime de pakkans vrij klein en de mogelijke sancties niet erg indrukwekkend zijn. De meldplicht is echter behoorlijk vaag uitgewerkt; het is daarom de vraag wat haar praktische waarde zal zijn. Al met al ben ik kritisch over het vertrekpunt van de verordening: er zou meer in termen van macht gesproken mogen worden, zoals de manipulatie en controle over individuen en de samenleving, dan in termen van schendingen van subjectieve zelfbeschikkingsrechten. Toch kent de verordening zowel oude als nieuwe elementen, die bruikbaar zijn vanuit de machtsgedachte. Ik kijk met argusogen uit naar het uiteindelijke eindproduct en de gevolgen die de verordening in de praktijk teweeg gaat brengen. 52

Literatuur

Allen 1988 A.L. Allen, Uneasy Access: Privacy for Women in a Free Society, Totowa: Rowman & Littlefield 1988. Babbie 2010 E. Babbie, The Practice of Social Research, Belmont: Wadsworth 2010. Bamberger & Mulligan 2011 K.A. Bamberger and D.K. Mulligan, ‘Privacy on the Books and on the Ground’, Stanford Law Review 2011, vol. 63; UC Berkeley Public Law Research Paper No. 1568385. Te raadplegen via SSRN: Barbaro & Zeller 2006 M. Barbaro & T. Zeller, ‘A Face Is Exposed for AOL Searcher No. 4417749’, New York Times 9 augustus 2006. Te raadplegen via: <www.nytimes.com/2006/08/09/technology/09aol.html?pagewanted=all>. Bok 1983 S. Bok, Secrets: On the Ethics of Concealment and Revelation, New York: Vintage Books 1983. Bygrave 2014 L.A. Bygrave, ‘Data Privacy Law, An International Perspective’, Oxford: Oxford University Press 2014. CBS-rapport ICT gebruik 2014 CBS, ICT gebruik van personen naar persoonskenmerken, 2014. Te raadplegen via StatLine. Clarabut 2011 J. Clarabut, ‘Operations Making Sense of Corrosion’, BP Magazine 2011-2. Te raadplegen via <www.bp.com/content/dam/bp/pdf/bpmagazine/bp_magazine_2011_issue_2.pdf>. Cuijpers & Marcelis 2012 C. Cuijpers en P. Marcelis, ‘Oprekking van het concept persoonsgegevens beperking van privacybescherming?’, Computerrecht 2012-182. Dijcks 2012 J. P. Dijcks, ‘Oracle: Big data for the enterprise’, Oracle White Paper 2013. Te raadplegen via . Dommering e.a. 2000 E. Dommering e.a, Informatierecht. Fundamentele rechten voor de informatiesamenleving, Amsterdam: Cramwinckel 2000. 53

Dommering 2010 E. Dommering, ‘Recht op persoonsgegevens als zelfbeschikkingsrecht’. Verschenen in: J.E.J. Prins (red.) 16 miljoen BN’ers? Bescherming van persoonsgegevens in het digitale tijdperk, Leiden: Stichting NJCM-Boekerij 2010. Furnas 2012 A. Furnas, ‘It’s Not All About You: What Privacy Advocates Don't Get About Data Tracking on the Web’, The Atlantic 15 maart 2012. Te raadplegen via Grady & Chang 2015 N. Grady en W. Chang, DRAFT NIST Big Data Interoperability Framework: Volume 1, Definitions, Gaithersburg: 2015 (NIST Special Publication 1500-1). Holson 2009 L.M. Holson, ‘Putting a Bolder Face on Google’, New York Times 28 februari 2009. Te raadplegen via . Intel IT Center 2012 Intel IT Center, Intel Peer Research on Big Data Analysis, 2012. Te raadplegen via . Mayer-Schönberger & Cukier 2013 V. Mayer-Schönberger en K. Cukier, De big datarevolutie – Hoe de data-explosie al onze vragen gaat beantwoorden, Amsterdam: Maven Publishing 2013. Moerel 2014 L. Moerel, Big Data Protection, How to Make the Draft EU Regulation on Data Protection Future Proof (oratie Tilburg), Tilburg: Tilburg University 2014. Moore 1965 G.E. Moore, ‘Cramming More Components Onto Integrated Circuits,’ Electronics 1965, vol. 38, nr 8. Ohm 2010 P. Ohm, ‘Broken Promises Of Privacy: Responding to the Surprising Failure of Anonymization’, UCLA Law Review 2010-57. Te raadplegen via: . Solove 2001 D.J. Solove, ‘Privacy and Power: Computer Databases and Metaphors for Information Privacy’, Stanford Law Review 2001, vol. 53:1393. Solove 2002 D.J. Solove, ‘Conceptualizing Privacy’, California Law Review 2002, vol. 90:1087.

54

Tene & Polonetsky 2013 O. Tene & J. Polonetsky, ‘Big Data for All: Privacy and User Control in the Age of Analytics’, Northwestern Journal of Technology and Intellectual Property 2013, vol. 239. Te raadplegen via SSRN: . Tuomi 2002 I. Tuomi, ‘The Lives and Death of Moore’s Law’, First Monday 2002, vol. 7, nr. 11. Ward & Barker 2013 J.S. Ward & A. Barker, ‘Undefined By Data: A Survey of Big Data Definitions’, School of Computer Science, University of St Andrews 2013. Te raadplegen via: . Warren & Brandeis 1890 S.D. Warren en L.D. Brandeis, ‘The Right to Privacy’, Harvard Law Review 1890, vol. 4, nr. 193. Westin 1966 A.F. Westin, Science, Privacy and Freedom: Issues and Proposals for the 1970’s. Part II, Balancing the Conflicting demands of Privacy, Disclosure and Surveillance, New York: Columbia Law Review 1966. Westin 1967 A.F. Westin, Privacy and Freedom, New York: Athenum 1967. Wisman & Van der Linden-Smith 2008 T. Wisman en M. van der Linden-Smith, ‘My secret life as an average person. Anonieme gegevensverzamelingen en informationele privacy’, Tijdschrift voor Internetrecht 2008-4. WEF Report 2011 World Economic Forum Report 2011, Personal Data: The Emergence of a New Asset Class, 2011. Te raadplegen via .

55