Wie is eigenaar van data? Is er sprake van digitale soevereiniteit? Wat mag wel en niet volgens de AVG? Hoe gaan we om met niet-persoonsgebonden data? Deze en andere vragen bespreken we in dit artikel.
We leven in een wereld waarin we in toenemende mate gebruik maken van digitale middelen zoals webshops en sociale media. Bij het gebruik daarvan ontstaan data over op welke website we zijn geweest, welk artikel we hebben besteld en wat we hebben geliked. Al die data worden verzameld en ‘ergens’ opgeslagen, bijvoorbeeld in de veelgenoemde cloud.
Veel mensen denken dat dat allemaal veilig is. We vullen allerlei databases met onze persoonlijke gegevens en denken dat daar prudent mee omgegaan wordt. Er zijn voorbeelden van het tegendeel: steeds apparaten worden aangesloten op het Internet of Things en genereren enorme hoeveelheden data. Wie is de eigenaar van die data en wie heeft er toegang toe?
Ondanks het feit dat organisaties en individuen voortdurend data delen met anderen, is er behoefte aan eigenaarschap van data, datasoevereiniteit, gegarandeerde dataprivacy.
Datasoevereiniteit is het recht van de data-eigenaar, om te bepalen wie er toegang heeft tot welke data, en voor welk doel en onder welke voorwaarden deze data gebruikt mag worden.
Daarmee kan de data-eigenaar zijn privacy en zijn data bewaken en voorkomen dat deze eigenaar buiten spel komt te staan bij het verwerken van de data. Dit impliceert ook dat de data-eigenaar kan besluiten bepaalde data niet beschikbaar te stellen. De data-eigenaar is de burger of gebruiker van een dienst, niet de leverancier van de dienst. Neem als voorbeeld een diagnostisch onderzoek in een laboratorium: de patiënt is de eigenaar van de data, niet het laboratorium.
Data kunnen gegevens bevatten die te herleiden zijn tot een persoon: de zogenaamde persoonsgebonden data, denk aan naam, adres of geboortedatum. Er zijn inmiddels duidelijke regels voor het gebruik van persoonsgebonden data om de privacy van betrokkenen te beschermen.
Data die niet tot een persoon te herleiden zijn, worden dagelijks in grote hoeveelheden geproduceerd, zoals in een digitaal weerstation, dienstregeling, metingen. De regelgeving voor de niet-persoonsgebonden data is nog in ontwikkeling. De EU werkt aan de Data Act.
Hierna zal op beide categorieën data worden ingegaan en specifiek op de vraag: van wie zijn nu de data?
In Europa geldt sinds 25 mei 2018 voor persoonsgebonden data de GDPR (General Data Protection Regulation, (EU) 2016/679) die in Nederland bekend staat als AVG (Algemene Verordening Gegevensbescherming).
De GDPR is een Regulation geen Directive. Dat betekent dat deze wetgeving direct van kracht is in de gehele EU, de AVG is de Nederlandse vertaling. De Uitvoeringswet AVG (UAVG) bevat een aantal aanvullende bepalingen op de AVG en definieert de Autoriteit Persoonsgegevens (AP) die toezichthouder op de AVG en UAVG is.
De AVG richt zich op persoonsgegevens die geautomatiseerd verwerkt worden en is in overeenstemming met artikel 8 van het Europese Verdrag voor de Rechten van de Mens dat het recht op privacy waarborgt. Uitgangspunt van de AVG is dat persoonsgegevens worden verwerkt op een wijze die 'rechtmatig, behoorlijk en transparant' is en de verwerking moet een omschreven doel hebben. Verwerken is hier een verzamelterm die verzamelen, opslaan, aanpassen, raadplegen en verwijderen omvat.
Deze regelgeving is gebaseerd op privacy by design. Dat betekent onder meer dat een organisatie die verantwoordelijk is voor de verwerking van persoonsgegevens steeds naar data-minimalisatie moet streven, niet meer data vragen en opslaan dan strikt noodzakelijk is voor het beoogde doel (AVG, art. 25).
Ook mogen persoonsgegevens nooit standaard openbaar zichtbaar zijn. De eigenaar van de data moet eerst toestemming geven voor bijvoorbeeld het zichtbaar maken van een deel van zijn profiel (art. 7). Dat geldt ook voor het toesturen van nieuwsbrieven en andere communicatiemiddelen.
Zeker bij verwerking van bijzondere persoonsgegevens zoals etnische afkomst, politieke opvattingen, biometrische gegevens en gezondheidsgegevens is uitdrukkelijke toestemming van betrokkene noodzakelijk (art. 9).
De verwerkingsverantwoordelijke – de organisatie die het doel waarvoor en de middelen waarmee de persoonsgegevens worden verwerkt, bepaalt - moet bij het verzamelen van persoonsgegevens kunnen uitleggen (recht op uitleg) voor welke verwerkingsdoeleinden de persoonsgegevens bestemd zijn, op welke rechtsgrond deze verwerkt mogen worden, wat de gerechtvaardigde belangen van de verwerkingsverantwoordelijke zijn en gedurende welke periode de gegevens bewaard worden (art. 13 en 14).
De betrokkene heeft het recht van inzage in zijn persoonsgegevens en in de verwerkingsdoeleinden (art. 15). Ook is er het recht op rectificatie als betrokkene vaststelt dat er onjuiste of onvolledige persoonsgegevens zijn verkregen (art. 16).
Als data niet meer nodig zijn voor het doel waarvoor ze verzameld werden, bestaat het recht op vergetelheid (art. 17). De verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten (art. 30). Dat bevat onder meer de verwerkingsdoeleinden, de categorieën van ontvangers van persoonsgegevens, de termijnen waarbinnen gegevens moeten worden gewist en een beschrijving van beveiligingsmaatregelen.
Als er 'een inbreuk in verband met persoonsgegevens' heeft plaatsgevonden, moet dat uiterlijk binnen 72 uur na ontdekking daarvan een melding gedaan worden bij de Autoriteit Persoonsgegevens (art. 33).
Een gedragscode (art. 40) draagt bij aan de toepassing van de AVG. Er zijn inmiddels verschillende branches die aan een gedragscode werken. De eerste gedragscode die door de AP is goedgekeurd is de Data Pro Code van ICT-branchevereniging NLdigitaal.
Als er bij gegevensverwerking een hoog privacyrisico is voor betrokkenen moet eerst een Data Protection Impact Assessment (DPIA, art 35) opgesteld worden. Hiermee wordt de vraag beantwoord of er een redelijke verhouding is tussen het doel en het ingezette middel (proportionaliteit). Ook risico’s op fouten bij de verwerking (bijvoorbeeld door algoritmen die niet juist zijn ontwikkeld) worden onderzocht.
Het kan nodig zijn om gegevens volledig is anonimiseren, waarbij elke vorm van identificatie naar betrokkenen onmogelijk wordt. Een tussenvorm is pseudonimisering, waarbij persoonsgegevens niet meer aan een specifieke betrokkene gekoppeld kunnen worden zonder aanvullende gegevens. Die aanvullende gegevens worden apart bewaard (art. 32). Overigens ligt hier het gevaar van de-anonimisering op de loer: door verschillende databases met elkaar te koppelen is het soms mogelijk geanonimiseerde gegevens weer te ontsleutelen. Zo lukte het onderzoekers om geanonimiseerde metadata van telefoongegevens met geavanceerde zoekmethodes te herleiden tot personen.
Een belangrijke functie die in de AVG wordt genoemd, is die van de Functionaris Gegevensbescherming (FG, Data Protection Officer) (art. 37-39). Deze FG houdt binnen een organisatie onafhankelijk toezicht op de toepassing en naleving van de AVG. Overheidsorganisaties en organisaties die op grote schaal individuen volgen of bijzondere persoonsgegevens verwerken zijn verplicht een FG aan te stellen, andere organisaties kunnen overwegen een FG aan te stellen om na te gaan of persoonsgegevens op de juiste manier beschermd zijn.
Om te voldoen aan de AVG zou je eigenlijk een Privacy Information Management System (PIMS) moeten hebben. Ook daar is een norm voor: de ISO 27701. Deze norm is een uitbreiding van de ISO 27001 en 27002 (en de NEN 7510) met eisen en richtlijnen voor privacy-informatiemanagement binnen de context van een organisatie. Annex D van de norm geeft een mapping van de eisen van de norm met de artikelen 5 – 49 van de AVG. Hoewel een ISO 27701-managementsysteemcertificaat betekent dat voldaan wordt aan privacy-eisen, is dit certificaat nodig noch voldoende om aan te tonen dat aan de eisen van de AVG wordt voldaan.
Je zou kunnen zeggen dat de ISO-normen – conform de HLS-principes – oproepen om vanuit de context van de organisatie een managementsysteem in te richten en dat de AVG juist vraagt om meer van binnen naar buiten aantoonbaar te maken dat voldaan wordt aan de privacy-eisen van een product, proces of dienst.
De AVG roept op tot invoering van ‘certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en -merktekens waarmee kan worden aangetoond dat verwerkingsverantwoordelijken en verwerkers bij verwerkingen in overeenstemming met deze verordening handelen’ (art. 42).
We zien een enorme groei aan apparatuur die via het Internet of Things (IoT) verbonden is. Naar schatting zijn dat er al meer dan 10 miljard. We hebben het dan over (intelligente) sensoren, actuatoren en systemen waarin de verzamelde data worden verwerkt of van waaruit actuatoren worden aangestuurd.
Die verzamelde data worden veelal in de cloud opgeslagen. Denk aan wearables zoals smartwatches, smart home systemen met slimme verlichting, automatische gordijnen en muzieksystemen, slimme steden die verkeersgegevens verzamelen, ‘zelfrijdende’ auto’s die enorme hoeveelheden data verzamelen om enigszins door het verkeer te manoeuvreren, zorgtechnologie waarbij sensoren bij de patiënt gegevens verzamelen en doorsturen naar een zorgcentrum, landbouwtoepassingen waarbij sensoren en camera’s (drones) worden gebruikt en fabrieken waar allerlei procesgegevens worden verzameld om het proces te kunnen optimaliseren.
Wie ‘vroeger’ een product kocht, werd automatisch eigenaar van het product en alles wat erbij hoort. Bij IoT-apparatuur is dat niet per se het geval. Je zou verwachten dat je ook eigenaar wordt van alle data die gegenereerd wordt en ook van eventuele algoritmen die ergens in het systeem verborgen zijn.
Toch kan het zijn dat de fabrikant in zijn leveringsovereenkomst heeft bepaald dat de data uitsluitend door de fabrikant mogen worden gebruikt en alleen het resultaat van de databewerkingen aan de klant worden getoond. Kortom, bij dit soort apparaten is onduidelijkheid over wie de eigenaar van de data is.
Er ligt een voorstel voor een Europese dataverordening (Data Act) die bedoeld is om regels te stellen inzake ‘eerlijke toegang tot en eerlijk gebruik van gegevens’. Het voorstel dateert van februari 2022 en is in juni 2023 voorlopig geaccordeerd door het Europese parlement en de Raad van de EU. Na formele goedkeuring zal de verordening mogelijk in 2025 van kracht worden.
Waar de AVG het gebruik van (persoonsgebonden) data aan banden probeert te leggen is de Data Act bedoeld om data van allerlei apparaten juist beter toegankelijk te maken. Zo bevat de regelgeving maatregelen om gebruikers van apparaten toegang te geven tot data van die apparaten.
Denk bijvoorbeeld aan de robot waarbij alleen de fabrikant toegang heeft tot de data en daarmee anderen de mogelijkheid ontneemt om reparaties te verrichten of aanvullende diensten te ontwikkelen. Of een koffiebar die graag gegevens uit de espressomachine wil hebben om zijn diensten te verbeteren. Of een boer die werkt met machines van verschillende fabrikanten en gegevens wil verzamelen om zijn werk te optimaliseren.
De verordening zal de waarde van data die door apparaten wordt gegeneerd helpen ontsluiten. Zij zal verduidelijken wie waarde mag creëren uit die data en onder welke voorwaarden. In bepaalde noodsituaties kan de overheid bedrijven verplichten om gegevens uit systemen beschikbaar te stellen. Zo zijn de geaggregeerde en geanonimiseerde locatiegegevens van mobielenetwerkexploitanten tijdens de COVID-19-pandemie essentieel geweest om de correlatie tussen mobiliteit en de verspreiding van het virus te analyseren, en ook om vroegtijdig te waarschuwen voor nieuwe uitbraken en de juiste maatregelen te nemen om de crisis te bestrijden.
Ook clouddiensten vallen onder de verordening. Cloudinteroperabiliteit is een belangrijke voorwaarde om eenvoudig data van de ene naar de andere operator over te brengen. Waarbij komt dat de verordening extra aandacht besteed aan het opslaan van data op cloudinfrastructuren in de EU. We weten immers dat de Amerikaanse overheid eenvoudig toegang krijgt tot cloudopslag in de VS. Er zijn inmiddels Europese (bijv. Gaia-X) en Nederlandse (bijv. Leafcloud) cloudplatforms beschikbaar.
De AVG – en in bredere zin de GDPR – maakt duidelijk wie de eigenaar is van persoonsdata en welke rechten deze persoon heeft. Organisaties die persoonsgegevens verwerken weten aan welke regels ze zich moeten houden. De uitvoering van deze regelgeving is op gang gekomen, maar niet iedereen – denk social media en overheden – houdt zich al aan alle regels.
De Data Act regelt de toegankelijkheid van data in allerlei apparatuur en zorgt ervoor dat het eigenaarschap van die data helder is.
Met dank aan Bert Dekker voor het reviewen van dit artikel.
Dit artikel is gebaseerd op een gedeelte van hoofdstuk 5 van het boek 'De Kwaliteit van Data' van de sectie Data & Kwaliteit van het NNK.
Auteur
Kees de Vaal heeft zich na zijn studie Elektrotechniek aan de TU Delft gedurende bijna dertig jaar in de hightechindustrie beziggehouden met veel aspecten van kwaliteitsmanagement. Sinds 2012 is hij werkzaam als zelfstandig adviseur, principal auditor, docent en auteur. Hij was van 2000 tot 2005 voorzitter van EFQM-NL en van 2006 tot 2015 bestuurslid van NNK. Van 2013 tot 2018 was hij hoofdredacteur van het vakblad Synaps. Hij is mede-auteur van het boek Kwaliteitsmanagement in de praktijk en van het boek Perspectieven op Kwaliteit.NL.
Dit artikel verscheen in Kwaliteit in Bedrijf, november, december 2023.