Big data en Privacy: ‘With maturity of trust comes greater value’
Big Data en Vertrouwen
“Do you do what you have promised to your stakeholders?” Het is deze uitspraak die de essentie weergeeft van waardecreatie, het moderne winstbegrip. Waardecreatie staat voor de waarde die wordt gegenereerd voor alle stakeholders. Waardecreatie veronderstelt een direct verband tussen de (executie van de) strategie van de onderneming en (het voldoen aan) de verwachtingen van de stakeholders. Dus waar privacy en het tegelijkertijd volledig uitnutten van de potentie van big data en data analytics innerlijk tegenstrijdig lijken dan wel zo worden gepercipieerd, nl. het economisch belang vis-a-vis het belang van de bescherming van de persoonlijke levenssfeer, creëren beide waarde voor de onderneming, voor haar respectievelijke stakeholders, maar alleen dan wanneer het vertrouwen wordt gehonoreerd: ‘Building trust is creating shared value’. Voor de ontwikkeling van big data en data analytics-toepassingen wordt het belang van vertrouwen alleen maar groter. In de Europese Data Protectie Verordening waarover december 2015 overeenstemming is bereikt, wordt getracht invulling aan dit vertrouwen te geven Een Verordening die, naar het zich nu laat aanzien, begin 2018 in werking zal treden en de Nederlandse Wet bescherming persoonsgegevens terzijde zal stellen, nu de Verordening zogenaamde directe werking kent.
Big Data en Privacy
Een belangrijke vraag die rijst bij big data en data analytics is of de huidige juridische kaders en de aanstaande Verordening (nog) aansluiten op de huidige stand en snelheid van ontwikkelingen van de techniek en vervolgens of de risico’s verbonden aan big data en data analytics kunnen worden gemitigeerd om een optimale waardecreatie voor alle stakeholders door ondernemingen vanuit big data en data analytics te realiseren. Daar zal ik in deze bijdrage bij stilstaan. Wanneer we spreken over privacy in het kader van big data en data analytics, is het van belang om een onderscheid te maken tussen enerzijds de bescherming van de persoonlijke levenssfeer van individuen en anderzijds de bescherming van persoonsgegevens van individuen. Beide raken aan de privacy van ons allen als individu, maar daar waar de bescherming van persoonsgegevens en het daarbij horende wettelijke kader vooral een issue is in de fase van verzamelen en analyseren van big data, raakt juist het toepassen van de analyses van big data aan de persoonlijke levenssfeer van individuen. Voor beide geldt een ‘ander’ juridisch kader.
In de vele bespiegelingen die er in verband met big data reeds zijn gemaakt, wordt vooral ingezoomd op de bescherming van persoonsgegevens en het feit dat ontwikkelingen in big data ertoe kunnen leiden dat steeds meer gegevens verworden tot persoonsgegevens. Dit omdat door het combineren van grote datasets waarin geanonimiseerde gegevens zitten, herleidbaarheid van de gegevens tot een individu toch ontstaat en op dat moment de gegevens zouden gaan kwalificeren als persoonsgegevens. Minder wordt stilgestaan bij het wettelijk kader ten aanzien van de bescherming van de persoonlijke levenssfeer van individuen. Dit kader kan, althans in mijn visie, mede een contra-balans vormen voor het ongebreidelde gebruik van big data, en kan juist gewetensvol en voorzichtig gebruik van big data en data analytics triggeren. Welke waarborgen maken c.q. kunnen maken dat er door het gebruik van big data en data analytics shared value wordt gecreëerd. Dit vermits de onderneming keeps to its promises. In ontwikkelingen als bijvoorbeeld ‘Privacy by design’, de ‘Privacy Impact Assessment’ als gedocumenteerd in de Verordening; gepaard gaande met de Europeesrechtelijke opvatting terzake privacy, en in de aanpassing van artikel 13 van de Grondwet (Gw), ziet men deze waarborgen terug.
Big Data en Wettelijk kader
De bescherming van de persoonlijke levenssfeer, van persoonsgegevens; van de privacy van het individu, is in diverse nationale en Europese regelgeving gedocumenteerd en behelst de zogenaamde informationele privacy. Men denke aan artikel 10 van de Gw waarin het recht op bescherming van de persoonlijke levenssfeer is gegarandeerd, en waarin aan de wetgever de opdracht wordt gegeven regels vast te stellen met betrekking tot de bescherming van persoonsgegevens. Of aan artikel 13 van de Gw waarin het brief-, telefoon- en telegraafgeheim is vastgelegd. Er is een wijziging van artikel 13 van de Gw in voorbereiding, waarbij het brief- en telefoongeheim wordt uitgebreid naar een brief- en telecommunicatiegeheim. Op Europees niveau is er bijvoorbeeld het Europees Verdrag tot Bescherming van de Rechten van de Mens en de fundamentele vrijheden (EVRM). Hierin is het recht op bescherming van het privéleven, waarvan het recht op bescherming van persoonsgegevens deel uitmaakt, als fundamenteel recht vastgelegd. Voorts bestaan er nu nog een tweetal richtlijnen op het gebied van privacy.
Naast de Gw is in Nederland in dit kader de Wet bescherming persoonsgegevens (‘ Wbp’) van toepassing. Deze wet bepaalt dat persoonsgegevens (ofwel: gegevens die herleidbaar zijn tot een geïdentificeerd of identificeerbaar individu) alleen onder bepaalde voorwaarden mogen worden verwerkt. De Autoriteit Persoonsgegevens heeft als taak toe te zien op naleving van deze wet. Per 1 januari 2016 is de Wbp aangepast. De belangrijkste wijzigingen behelzen de invoering van een zogenaamde meldplicht voor datalekken, alsmede het beboetbaar stellen van niet-naleving van een veelvoud aan bepalingen in de Wbp, welke sanctionering voorheen niet mogelijk was. Een en ander is vastgelegd in de ‘Boetebeleidsregels Autoriteit Persoonsgegevens 2015’ en de boetes kunnen oplopen tot een bedrag van EUR 820.000. Recent is veel aandacht uitgegaan naar alleen de invoering van de meldplicht datalekken. Maar men doet er goed aan om zich thans ook zeker rekenschap te geven van de uitbreiding en de hoogte van de boetebevoegdheden die een bijzonder grote impact zullen gaan hebben. Dit nu zij relateren aan verwerkingen van persoonsgegevens die thans reeds plaatsvinden en bijvoorbeeld niet alleen aan zich nog in de toekomst mogelijk openbaren of ontwikkelen van een datalek.
___________________________________________________________________________________________________
Ontdek de power van Big Data & Analytics
Wilt u de mogelijkheden van Big Data & Analytics ontdekken? Zoekt u een praktische cursus over Big Data speciaal voor financials? Volg de training Big Data & Analytics en ontvang de tools en inzichten om de kwaliteit van uw rapportages en adviezen te optimaliseren. Meld u direct aan.
___________________________________________________________________________________________________
Big Data: Enkele eigenschappen ‘challenging’ privacy
Proportionaliteit/dataminimalisatie: Op grond van privacy regelgeving moet de verwerking van persoonsgegevens beperkt blijven tot datgene wat minimaal nodig is voor het vooraf bepaalde specifieke doel. Het beginsel van dataminimalisatie. De vraag die opkomt is of dataminimalisatie realistisch is in een tijd waarin data en dataverzamelingen alom aanwezig en beschikbaar zijn. In een tijds waarin gegevens steeds lastiger te anonimiseren zijn en de (volledige) verwijdering van gegevens ‘the right to be forgotten’ als geformuleerd in de Verordening, praktisch onmogelijk lijkt omdat data wereldwijd worden gedistribueerd, gedeeld en opgeslagen. Dataminimalisatie lijkt dan dus ook te botsen met de realiteit van big data en data analytics.
Grondslag en doel: De doeleinden waarvoor gegevens worden verzameld moeten ingevolge het bepaalde in de Wbp en de Verordening van tevoren specifiek worden bepaald. Bij big data en data analytics-toepassingen is echter niet altijd geheel duidelijk (op voorhand) voor welk (nuttig) doel de data kan worden gebruikt. Het risico bestaat aldus dat een te strikte toepassing van het beginsel ertoe kan leiden dat bepaalde toepassingen – die een resultante zijn van ontsluiting van big data door data analytics- met (potentieel) grote waarden voor de onderneming maar zeker ook voor al haar stakeholders, niet meer of minder gemakkelijk mogelijk zijn omdat deze doeleinden pas achteraf duidelijk worden.
Profielen en transparantie: Gegevensverzamelingen bestaan al lang niet meer uit alleen losse gegevens over individuen. Veel ondernemingen gebruiken profielen. Er kan een steeds specifieker beeld verkregen worden van ons gedrag, onze voorkeuren en interesses en op basis hiervan kan gedrag steeds meer voorspeld en ook beïnvloed worden (‘nudging’). Deze kennis verschaft ondernemingen belangrijke inzichten waarmee ze de uitvoering van hun strategie kunnen verbeteren, hun impact op al hun stakeholders kunnen vergroten, kortom hoe ze waarde kunnen creëren. Echter het gebruik van profielen wordt veelal als heel indringend ervaren. Eén van de voor het samenstellen en het gebruik van profielen relevante grondslagen is het zogenaamde gerechtvaardigde belang van de onderneming. Dit belang van de onderneming moet worden afgewogen tegen het belang van het individu op bescherming van zijn persoonlijke levenssfeer. Door big data en data analytics wordt de impact van profielen op eenieders privacy groter.
Ik vermoed dat hierdoor de balans in de afweging van het belang van de onderneming en het belang van het individu steeds vaker zal doorslaan ten faveure van het belang van het individu, waardoor de onderneming zich niet meer op de grondslag van zijn gerechtvaardigd belang kan beroepen. Eén van de andere gronden voor het samenstellen en gebruiken van profielen is de geïnformeerde toestemming van het individu. Hierbij doen zich echter twee problemen voor in het kader van big data en data analytics. Enerzijds weet men veelal op voorhand niet waarvoor men de gegevens gebruikt/gebruiken zal. Ten tweede de informatieplicht om zo de beoogde transparantie te bewerkstelligen, blijkt niet effectief, nu onderzoeken uitwijzen dat individuen de zogenaamde Privacy Statements niet (kunnen) lezen. Met andere woorden; bestaat er nog wel een rechtmatige grondslag voor profiling?
Big Data: Onderdelen van het proces
Het verzamelen van big data: Bij het verzamelen van gegevens speelt vaak de vraag of het is toegestaan. Als het persoonsgegevens betreft mogen deze dan ingevolge voormeld geschetst wettelijk kader ten aanzien van de verwerking van persoonsgegevens verzameld worden? En als het cliëntgegevens betreft mogen ze dan indachtig op de onderneming rustende geheimhoudingsplichten, de zogenaamde ‘client confidentiality’, worden verzameld? En indien het antwoord bevestigend luidt welke randvoorwaarden horen daar dan bij? Niet naleving van de randvoorwaarden als gedocumenteerd in het wettelijk kader zijn nu in de per 1 januari jl. gewijzigde Wbp beboetbaar gesteld, met als hoogste boete EUR 820.000. Hoewel deze kaders op het eerste gezicht helder lijken te zijn, doen zich juist in de context van big data en data analytics uitdagingen voor. Het doel waarvoor gegevens verwerkt worden is veelal vooraf nog niet c.q. nog niet geheel duidelijk. De verbanden tussen gegevens en de uitkomsten van analyses kunnen vernieuwende inzichten opleveren die niet (te) voorzien waren. Triggert dit een boete-oplegging door de Autoriteit Persoonsgegevens? Terwijl het tegelijkertijd ook een van de grote beloften van big data en data analytics is.
Het analyseren van big data: Het analyseren van big data wordt vergeleken met het zoeken naar goud. Er moet veel worden gezeefd om waardevolle informatie naar boven te krijgen. Wanneer dit zeven goed gebeurt en de juiste data met elkaar wordt verbonden, ontstaat er letterlijk een goudmijn voor ondernemingen. Het gebruik van data analytics in combinatie met steeds snellere computers en dataverbindingen en goedkopere (cloud)rekenkracht maken het steeds eenvoudiger om uit grote hoeveelheden ongestructureerde data patronen te destilleren, op basis daarvan conclusies te trekken en gedragingen en gebeurtenissen te voorspellen. Ongeacht of het exacte doel vooraf wel of niet duidelijk is, wordt er in de analysefase naar gestreefd om nieuwe verbanden te vinden die vervolgens kunnen worden toegepast; the new gold.
Het toepassen van de uitkomsten van data analytics: Wanneer uitkomsten van data analytics worden toegepast kan eigenlijk pas duidelijk worden wat de daadwerkelijke impact van de gegevensverwerking is op individuen of groepen. Een belangrijk deel van de required trust om zo daadwerkelijk ‘shared value’ te creëren, hangt daarom samen met de toepassing, de gevolgen daarvan en de perceptie van de maatschappij over de toepassing. Daarnaast is het daarom ook juist dat bij de toepassing van de uitkomsten van data analytics het juridisch kader ten aanzien van de bescherming van de persoonlijke levenssfeer, in ogenschouw dient te worden genomen. En dat juist in de fase van het verzamelen en het analyseren van persoons- en cliëntgegevens, het juridisch kader ten aanzien van de bescherming van persoonsgegevens en client confidentiality relevant is.
En wanneer men dan focust op de bescherming van de persoonlijke levenssfeer van het individu, dan dient men zich rekenschap te geven van het feit dat de uitkomsten van data analytics een gemiddelde vertegenwoordigen en veelal beïnvloed (kunnen) zijn door de zoekopdrachten die zijn uitgevoerd in de database. Daarmee zijn de uitkomsten niet altijd van toepassing op alle personen die aan het profiel voldoen en ook niet objectief. Waar de schijn ontstaat dat door raadpleging van een grote hoeveelheid aan data, bias wordt uitgesloten en zekerheid en objectiviteit wordt bewerkstelligd, is dat niet een gegeven: “In reality, working with Big Data is still subjective, and what it quantifies does not necessarily have a closer claim on the objective truth”. Deze subjectiviteit is, naast het door de onderneming niet naleven van alle juridische kaders en het zich onvoldoende rekenschap geven van de perceptie in de maatschappij, kortom van de verwachtingen van haar stakeholders, meteen één van de belangrijkste risico’s van big data en data analytics, en ook meteen één van de belangrijkste risico’s voor het niet realiseren van de required trust.
Europa vs Verenigde Staten
Big data en de ontwikkelingen op het gebied van data analytics (kunnen) nadelig uitpakken voor de bescherming van de persoonlijke levenssfeer en voor de bescherming van persoonsgegevens, nu big data en data analytics alleen tot volle wasdom kunnen komen door, als voormeld, de beschikbaarheid en het gebruik van grote (cloud)rekenkracht en state of the art-technologie. Er bestaan echter maar een beperkt aantal dominante aanbieders op deze markt, die veelal niet gevestigd zijn in Europa, maar in de VS. Dit leidt er veelal toe dat (persoons)gegevens Europa verlaten en verwerkt c.q. beschikbaar komen in de VS. Een jurisdictie waarin een andere opvatting terzake de bescherming van persoonsgegevens geldt. Het Amerikaanse recht kent het concept ‘persoonsgegeven’ zoals wij dat kennen niet. Hoewel privacy in de VS ook een grondrecht is, net als bij ons in Nederland en Europa, wordt dit uitsluitend gerelateerd aan de zogenaamde relationele privacy ‘The right to be let alone’. Daarnaast kent de VS een volledig ander zogenaamd ‘discovery and litigation’-regime dat maakt dat gegevens veel eenvoudiger voor derden toegankelijk en openbaar worden, nog daargelaten dat de Amerikaanse overheid, zo hebben recente schandalen gedemonstreerd, met regelmaat inbreekt op de privacy… niet alleen op die van haar ingezetenen maar van eenieder.
Een en ander heeft onder andere geleid tot het recente oordeel (2015) van het Europees Hof dat de zogenaamde Safe Harbour Principles geen rechtmatige grondslag bieden voor het delen van persoonsgegevens met ondernemingen in de VS, nu deze Principles voormelde karakteristieken en daarmee gepaard gaande schendingen van privacy in de VS niet mitigeren. Veel ondernemingen delen thans nog steeds op basis van deze Principles persoonsgegevens met de VS, dit onder andere in het kader van Big Data en data analytics toepassingen. In beginsel betekent dit strijdigheid met de Wbp en is deze overtreding nu gesanctioneerd middels een hoge boete. De voorzitter van de Autoriteit Persoonsgegevens heeft echter aangegeven deze overtredingen vooralsnog te gedogen nu er nieuwe legitimerende regelgeving lijkt aan te komen. Dit in de vorm van het zogenaamde Privacy Shield akkoord tussen de Europese Unie en de VS dat recent in januari werd aangekondigd. De verwachting is dat halverwege april 2016 er een beslissing zal liggen over de adequaatheid van het Privacy Shield akkoord. Voor het Privacy Shield-akkoord wordt het meest getwijfeld over de reikwijdte van Amerikaanse regels en de mogelijkheid om naar de rechter te stappen.
Establishing and safeguarding the required trust; amending the risks
De (toepassing van de) huidige wettelijke kaders, zoals hierboven geschetst, sluiten dus onvoldoende aan bij het fenomeen big data; de ontsluiting daarvan door gebruikmaking van data analytics en de toepassing van de uiteindelijke analyses. Niet alleen non-compliance met het wettelijk kader, en subsequent loss van reputatie of assets, is een risico bij het gebruik van van big data en data analytics. Immers tegelijkertijd bestaan de risico’s, de down sides, ook in het niet (kunnen) benutten van big data en data analytics, in de loss of competitiveness: “The use of big data will become a key basis of competition and growth for individual firms. (…) From the standpoint of competitiveness and the potential capture of value, all companies need to take big data seriously,"
In dit verband en om daadwerkelijk shared value te bewerkstelligen, is het dan ook interessant om te bezien welke maatregelen zouden kunnen leiden tot waarborgen om alsnog de persoonlijke levenssfeer en persoonsgegevens van individuen te beschermen en tegelijkertijd voormelde risico’s te mitigeren en de kansen die big data en data analytics bieden niet (volledig) teniet te doen.
In mijn visie liggen die maatregelen vooral op het gebied van accountability omdat transparantie, controle en (het nemen van) verantwoordelijkheid hierin samenkomen. Privacy Impact Assessments alsmede het vereiste van Privacy by Design zijn hier mooie voorbeelden van. Het gaat daarbij in essentie om het door onderneming in de ontwikkelingsfase, in het ontwerp van big data en data analytics-toepassingen, meenemen van de privacyvereisten en bovenal in mijn visie ook van de verwachtingen van de stakeholders van de onderneming. Deze zien niet alleen op de bescherming van hun gegevens, maar bovenal op de bescherming van hun persoonlijke levenssfeer en de zeggenschap die zij daarover hebben.
Transparantie over wat er met hun gegevens gebeurt, waarvoor en door wie ze gebruikt worden en de overtuiging dat de onderneming ‘keeps to its promises’ is daarbij essentieel… With maturity of trust comes greater value.
Mr. drs Monique G.M. van Dijken Eeuwijk, advocaat bij NautaDutilh, voorzitter van het Benelux Sector Team Professional Services Firms en lid van het Privacy en E-commerce team.