12 december 2016

Van wie zijn persoonsgegevens?

image for Van wie zijn persoonsgegevens? image

Het begrip persoonsgegevens is ingewikkeld. De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dat kunnen veel gegevens zijn, zoals een adres, Burgerservicenummer, nummer van een identiteitsbewijs, voornaam en achternaam, lidmaatschapsnummer, bankrekeningnummer, vingerafdruk, maar ook een kenteken van een auto of boot of het internetadres op een bepaald moment op de dag. Toch is dit nog redelijk goed te volgen.

Het begrip persoonsgegevens is ingewikkeld. De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dat kunnen veel gegevens zijn, zoals een adres, Burgerservicenummer, nummer van een identiteitsbewijs, voornaam en achternaam, lidmaatschapsnummer, bankrekeningnummer, vingerafdruk, maar ook een kenteken van een auto of boot of het internetadres op een bepaald moment op de dag. Toch is dit nog redelijk goed te volgen. Kun je data herleiden naar een persoon en is die nog in leven, dan is er sprake van persoonsgegevens.

Big data
In de informatiesamenleving ligt dit ingewikkelder. Neem bijvoorbeeld de behandelingen in de zorg bij bijvoorbeeld ziekenhuizen. Sinds enkele jaren worden die declaraties door de overheid in een database opgeslagen, die in beheer is bij de Nederlandse Zorgautoriteit. Om herkenbaarheid te voorkomen worden de herleidbare gegevens dubbel versleuteld. De overheid zou niet meer kunnen achterhalen om wie het uiteindelijk gaat. Maar die visie verandert radicaal op het moment dat wordt geprobeerd met een beroep op de Wet openbaarheid van bestuur (Wob) de database geopenbaard te krijgen. Nu komt de aap uit de mouw: de techniek schrijdt voort en bij een analyse van big data kan een deel van de gegevens toch te herleiden zijn naar een persoon. Het veld met de pseudo-identiteit kan bij herleidbaarheid niet openbaar worden. Dat zou een verkapte manier zijn om grote delen van medische dossiers naar buiten te brengen.

Het feit dat bij een analyse van big data geanonimiseerde gegevens alsnog te herleiden zijn, is ook iets wat in het bedrijfsleven niet onopgemerkt is gebleven. Er bereiken mij meer en meer signalen dat er ondernemingen zijn die gegevens in Europa pseudonimiseren, waardoor het niet meer persoonsgegevens zijn. Vervolgens is het een ‘gewone bak met data’ en wordt het Europa uitgevoerd. Met behulp van verschillende systemen en goede big-dataverwerkingen is de dataset dan goeddeels weer om te vormen tot persoonsgegevens. Het ontbreekt vervolgens aan Europese bescherming van de gegevens en ook leidt dit foefje tot mogelijk fouten in de verwerking van de gegevens. Een opmerkelijke stap, want als bedrijven toestemming hebben om persoonsgegevens te verwerken, dan kan het gewoon in Europa. Wie dat niet doet, wil niet vertellen wat men met de data van plan is en dat is zorgwekkend voor de mensen die het betreft.

Anders kijken
Met de nieuwe Europese regelgeving rond persoonsgegevens ontstaat het beeld dat persoonsgegevens iets zijn dat een soort eigendom is van de persoon die het betreft. Alleen met zoveel woorden wordt dat niet gesteld. Dus de eigenaar van de database heeft een intellectueel eigendom en een betrokkene kan daar rechten op uitoefenen. Een andere aanpak zou zijn dat we persoonsgegevens gaan beschouwen als een stuk intellectueel eigendom van mensen op ieder moment ongeacht waar het is, wanneer ze ontstaan en in welke jurisdictie. Wat er wordt gevormd rond een persoon is altijd het recht van de betrokkene, óók als er op basis van veel andere bronnen nieuwe data ontstaan of bijvoorbeeld iemand anders de gegevens aan een systeem toevoegt, zoals bij sociale media gebruikelijk is als iemand informatie over personen plaatst. Daarmee kunnen mensen beter inzicht krijgen in de gevolgen van het geven van toestemming. Bij zakelijke uitbating van de persoonsgegevens is de betrokkene een partner, die ruimte krijgt om mee te beslissen aan wie iets wordt verstrekt en vooral aan wie niet. Bij eerlijk handelen hoort dan ook een eerlijke prijs voor de persoonsgegevens, niet een gratis dienst zonder het begin van beeld van de waarde van de handelswaar.

Eigendom is absoluut
Het maakt ook duidelijk dat het statement ‘ik heb niets te verbergen’ of ‘je hebt wel iets te verbergen’ de discussie vertroebelt. Het debat gaat niet over de vraag of je iets te verbergen hebt, maar over de vraag of we nog vrij kunnen beschikken over datgene wat primair van onszelf is. Iemand die stelt ‘niets te verbergen te hebben’ wekt de suggestie dat zijn data onbeperkt gebruikt kunnen worden voor ieder denkbaar doeleinde of dat het uitbaten van zijn gegevens hem of haar niet raakt. Het is redelijk te betwijfelen of die keuze weloverwogen is, maar dat is niet de kern van de discussie. Centraal staat dat het iemands recht is een ander te gunnen onbeperkt van data gebruik te maken. Iedereen kan zelf bepalen wat er met zijn eigendom gebeurt. Wanneer iemand zijn gegevens weggeeft dan zegt het weinig tot niets over andere mensen en daar kan het geen invloed op hebben. Eigendom is immers absoluut en kan niet zomaar vervreemd worden. Natuurlijk zijn er situaties denkbaar dat voor een breder maatschappelijk belang de persoonlijke gegevens worden gebruikt (of gevorderd). Daar hoort een kloppende procedure bij en dient ook een eerlijke prijs tegenover te staan. Ook moet heel goed beperkt zijn dat het geen onteigening van gegevens betreft, maar slechts een strak doelgerichte inzet. Die inperking zorgt er ook voor dat het gebruik van gegevens voor vage, onduidelijke doelen wordt gestopt. Een ‘betere dienstverlening’, ‘de veiligheid’ of ‘maatschappelijke belangen’ zal dan eindelijk bij gewenst gebruik hard moeten worden beredeneerd en zijn niet meer gratuit.

 

brenno@dewinter.com, Brenno de Winter is onderzoeksjournalist met specialisatie in ICT, vooral beveiliging en privacy.