Tegenwoordig zijn steeds meer apparaten en producten verbonden met het internet en op afstand te bedienen, zoals televisies, horloges, thermostaten, wasmachines en zelfs lampen. Door analyses en toepassingen van grote dataverzamelingen (“Big Data”) kunnen nieuwe inzichten worden verkregen over het gebruik van deze producten, maar ook over de gebruikers ervan. Dit triggert de vraag: Hoe verhoudt Big Data zich tot privacy?
Big Data staat op gespannen voet met privacywetgeving, om de volgende drie redenen:
Volgens de privacywet (sinds 25 mei 2018 is dat de Algemene Verordening Persoonsgegevens, afgekort de AVG) ben je verplicht om zo min mogelijk en zo kort mogelijk persoonsgegevens te verzamelen (dataminimalisatie), terwijl het bij Big Data er juist om gaat zoveel mogelijk data te verzamelen;
De privacywet stelt dat persoonsgegevens niet voor andere doeleinden mogen worden gebruikt dan waarvoor ze zijn verzameld (doelbinding). Bij Big Data gaat het er juist om zoveel mogelijk data aan elkaar te koppelen om nieuwe inzichten te verkrijgen. Het exacte doeleinde is dus vaak niet goed van tevoren te bepalen; en
Als de gegevensverwerking is gebaseerd op de toestemming van de betrokkene, dan moet de toestemming in alle vrijheid zijn gegeven en de toestemming moet ook weer kunnen worden ingetrokken. Als je ooit eens hebt geprobeerd om privacyvoorwaarden van een website of een product te weigeren (bijvoorbeeld van een software-update van je mobiele telefoon), dan is de kans groot dat je toen helemaal geen gebruik meer kon maken van de website of het product. Van vrije toestemming is dan in feite geen sprake.
Sommige bedrijven hebben al zelf ondervonden dat nieuwe technologie niet altijd goed samen gaat met privacy.
Zo kreeg het bedrijf Bluetrace, dat zich bezighoudt met ‘wifi-tracking’ een last onder dwangsom opgelegd van de privacytoezichthouder Autoriteit Persoonsgegevens, omdat het bedrijf locatiegegevens van winkelbezoekers en voorbijgangers verzamelde zonder hen hierover van tevoren te informeren.
Bovendien verzamelde en bewaarde het bedrijf meer gegevens dan noodzakelijk is voor het in kaart brengen van bezoekersaantallen. Hiermee handelde Bluetrace in strijd met de privacywet.
Twee andere bedrijven hadden hun werknemers een slimme armband (wearable) gegeven waarmee de werkgever inzicht kreeg in de hoeveelheid beweging en het slaappatroon van de werknemers. De werkgever mag de armband natuurlijk wel cadeau geven, maar het is niet de bedoeling om gegevens over de gezondheid van werknemers in te zien, ook niet als ze hiervoor toestemming geven.
Gezien de afhankelijke relatie wordt namelijk aangenomen dat een werknemer niet in vrijheid zijn toestemming kan geven. Na het onderzoek van de privacytoezichthouder zijn de bedrijven gestopt met het bijhouden van de gezondheidsgegevens.
We kunnen gerust vaststellen dat de snelle technische ontwikkelingen op gespannen voet staan met de privacywet. En de privacywet is strikter geworden onder de AVG, vergeleken met de voorganger Wet bescherming persoonsgegevens (Wbp).
De AVG bevat strengere regels, ook voor Big Data-toepassingen waarbij gebruikt wordt gemaakt van profilering. In sommige situaties zal het verplicht zijn om een Privacy Impact Assessment (PIA) uit te voeren, bijvoorbeeld vóór de invoering van nieuwe technologie (zoals nieuwe Big Data-toepassingen).
Straks moeten organisaties ook kunnen bewijzen dat zij geldige toestemming hebben gekregen van betrokkenen. Een stilzwijgende toestemming of het gebruik van ‘vooraf aangekruiste vakjes’ geldt niet als toestemming. Het moet ook gemakkelijk worden gemaakt om eerder gegeven toestemming weer in te trekken.
De meeste organisaties zijn al op de hoogte van het feit dat de boetes die op grond van de Verordening kunnen worden opgelegd, zeer pittig kunnen zijn: de maximale boete bedraagt maar liefst 10 tot 20 miljoen Euro, of 2% tot 4% van de wereldwijde jaaromzet (welke hoger is), per overtreding.
Er is dus een hele GROTE reden om privacy (AVG) mee te nemen vanaf het begin, in uw afweging om Big Data toe te passen voor uw bedrijf. Dit is extra belangrijk als de Big Data resultaten (nadelige) gevolgen kunnen hebben voor (bepaalde) personen, bijvoorbeeld een hogere prijs, uitsluiting of ander negatieve uitkomst.
De belangrijkste reden voor het ‘inbouwen’ van privacy in uw bedrijf is echter NIET het mogelijke risico van boetes en sancties. De voornaamste reden zou het beschermen van de privacy van uw klanten en werknemersmoeten zijn, en daarna pas de bescherming van uw reputatie en het voorkomen van hoge boetes.
Zonder het vertrouwen van uw klanten en werknemers, zal er uiteindelijk ook niet veel meer overblijven van uw bedrijf.
Er is een GROTE misvatting dat er niets meer is toegestaan onder de AVG. Dit is helemaal niet waar! Er zijn nog steeds veel mogelijkheden voor het gebruik van Big Data (inclusief persoonsgegevens) voor uw bedrijf, als u echt legitieme redenen heeft om dit te doen. U moet er gewoon transparant over zijn, dit goed documenteren en hierover goed communiceren.
Dus de belangrijke vraag die alle organisaties zich vandaag zouden moeten stellen is:
“Hoe kan ik privacy zien als een hulpmiddel voor mijn bedrijf, in plaats van een belemmering?”
Dit artikel is ook te vinden in het dossier Big Data
