Aan het gebruik van ‘big data’ kunnen grote juridische risico’s kleven. Een recent voorbeeld hiervan is het dataschandaal van Cambridge Analytica in 2018. Cambridge Analytica kocht een grote hoeveelheid gebruiksgegevens van 85 miljoen Facebookgebruikers om hiermee onderzoek te doen voor de verkiezingscampagne van president Donald Trump. Nagenoeg alle data was zonder toestemming verkregen, waardoor de privacy van deze Facebookgebruikers ernstig in het geding was. Het dataschandaal kostte Cambridge Analytica dan ook de kop en faillissement volgde.
Wat is big data juridisch gezien?
Juridisch gezien zijn er een aantal aspecten relevant. Zo heeft ‘big data’ te maken met het databankenrecht. Als er een bepaalde verzameling gegevens wordt verwerkt, dan kan er op die verzameling een databankenrecht van toepassing zijn, dat voorwaarden stelt aan het gebruik van de gegevens. Ook kan er sprake zijn van het verwerken van auteursrecht, waarvoor eerst toestemming of een licentie aanwezig moet zijn, voordat de gegevens verwerkt mogen worden. Echter veruit de belangrijkste regelgeving is de algemene verordening gegevensbescherming (AVG). In de AVG zijn veel bepalingen opgenomen die van invloed zijn op het gebruik van ‘big data’.
Wat zegt de AVG?
Een belangrijk uitgangspunt van de AVG is dat persoonsgegevens alleen verwerkt mogen worden voor een bepaald (redelijk) doel en daarvoor ook een grondslag aanwezig is. Ontbreekt dit, dan is het verwerken van gegevens onrechtmatig. In het geval van Cambridge Analytica ontbrak de grondslag voor de verwerking. De Facebookgebruikers hadden nooit toestemming gegeven voor de verwerking. Doordat bij ‘big data’ gebruik wordt gemaakt van grote gegevensverzamelingen, die gecombineerd worden en vaak ook worden doorverkocht, is de rechtmatigheid van het verwerken daarvan vaak een probleem. Daarnaast worden verwerkte gegevens voor andere doeleinden (zoals analyse of onderzoek) gebruikt dan waarvoor de gegevens oorspronkelijk verwerkt werden.
Profilering
Met behulp van ‘big data’ worden profielen aangemaakt van personen waarin onder andere surfgedrag, voorkeuren, interesses, etc. worden opgenomen. Deze profielen zijn interessant voor advertentie- en reclameaanbieders om hun diensten af te stemmen op potentiele klanten. Profilering is onder de AVG niet verboden, mits er duidelijk geïnformeerd wordt en de verwerking transparant is. Echter geldt dat niet als de verwerking zeer specifiek is, dan moet er ondubbelzinnig toestemming zijn verleend.
Geautomatiseerde besluitvorming
Big data wordt ook veel gebruikt voor automatische besluitvorming. Aan de hand van gegenereerde profielen worden automatische besluiten genomen en risico inschattingen gedaan. Automatische besluitvorming komt veel voor bij banken en verzekeraars. Voor automatische besluitvorming op grond van profilering is in de AVG een algeheel verbod opgenomen. Iedereen heeft daardoor recht op ‘een menselijke blik’ bij een besluit dat hem of haar treft. Hierop zijn wel enkele uitzonderingen mogelijk, zoals toestemming, wettelijke toestemming en of dat het noodzakelijk is om een overeenkomst te sluiten. Dit fundamentele recht ‘op een menselijke blik’ heeft belangrijke gevolgen voor het gebruik van ‘big data’ waarbij persoonsgegevens betrokken zijn en gebruikt worden voor profilering en automatische besluitvorming
Big data, bruikbaar?
Toepassingen van big data zijn zeker bruikbaar en nuttig. Maar zodra persoonsgegevens deel uit maken van ‘big data’, komen de strenge eisen van de AVG om de hoek, waardoor de toepassingsmogelijkheden soms erg verkleind kunnen worden. Denk daarom goed na of de inzet van ‘big data’ juridisch gezien ook bruikbaar en rechtmatig is.
Jan-Willem Mouthaan is advocaat bij Heijink & Meure advocaten en gespecialiseerd in ICT-recht. Heijink & Meure advocaten is als partner verbonden aan ICT Valley.
