Naar aanleiding van het recent verschenen jaarverslag 2013 van het College Bescherming Persoonsgegevens (CBP), stelt het CBP dat anonimisering van gegevens kan voorkomen dat ‘big data’ inbreuk maakt op de privacy en de gelijke behandeling van betrokken personen. Voor veel doelen waarvoor big data wordt ingezet, zijn tot de persoon herleidbare gegevens helemaal niet nodig. De gegevens moeten dan onomkeerbaar worden geanonimiseerd. Als organisaties voor hun doel wél herleidbare gegevens verwerken, moeten zij aan alle eisen van de Wet bescherming persoonsgegevens (Wbp) voldoen. Dat stelt Jacob Kohnstamm, voorzitter van het CBP, in zijn toelichting op het jaarverslag.
De Wet bescherming persoonsgegevens (Wbp) schrijft voor dat persoonsgegevens (‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’) niet oneindig bewaard mogen blijven. Daarnaast mag bewaring slechts voor een aantal doelen geschieden en heeft de betrokkene (‘degene op wie een persoonsgegeven betrekking heeft’) het recht om zijn gegevens in te zien, aan te vullen of soms zelf te laten verwijderen. Een betrokkene zal echter zijn wettelijke rechten niet uit kunnen oefenen en een verantwoordelijke zal niet aan zijn wettelijke plichten kunnen voldoen, indien geen gestructureerd overzicht bestaat van de opgeslagen gegevens. En dit is exact één van de problemen van big data: er is zoveel informatie opgeslagen, dat niemand precies weet welke informatie (waar) is opgeslagen.
Een theoretisch oplossing
De oplossing van het CBP voor dit probleem is: anonimiseer gegevens. Op zich een goed advies. Indien de persoonsgegevens geanonimiseerd worden, is geen sprake meer van ‘persoonsgegevens’ in de zin van de Wbp. De persoon in kwestie is immers aan de hand van de beschikbare gegevens niet meer ‘geïdentificeerd of identificeerbaar’, waarmee het privacy probleem hiermee theoretisch gezien is opgelost.
Er is echter een aantal problemen verbonden aan deze theoretische oplossing. Ten eerste is de vraag op welk moment de anonimisering moet plaatsvinden. Er is geen specifiek moment waarop ‘data’ opeens in ‘big data’ verandert. Veel (persoons)gegevens die bij een bedrijf, organisatie of overheidsinstelling binnenkomen, hebben een bepaalde onmisbare functie. Zo heeft een webwinkel de naw-gegevens van haar klanten nodig om een bestelling te kunnen leveren. Maar na levering van de bestelling moeten deze gegevens nog steeds bewaard worden, aangezien de terugzendtermijn nog loopt. En nadat deze termijn is verlopen, loopt de algemene garantietermijn (van soms meerdere jaren!) nog. Op welk moment kunnen gegevens nu geanonimiseerd worden?
Naast dit praktische bezwaar, gelden ook juridische bezwaren. Uit een aantal wetten vloeit namelijk een verplichting voort om gegevens voor langere tijd te bewaren. Zo geldt voor overheden het bewaarregime van de Archiefwet 1995 en de daaraan verbonden wet- en regelgeving. Bedrijven zien zich vaak geconfronteerd met een fiscale bewaarplicht van zeven jaar. Daarnaast bestaat ook veel sectorale wetgeving waaruit bewaarplichten voortvloeien voor bijvoorbeeld ziekenhuizen, advocatenkantoren, banken, verzekeringsmaatschappijen en andere financiële dienstverleners.
In de huidige situatie is anonimiseren derhalve gemakkelijker gezegd dan gedaan. Het is voor een verantwoordelijke vrijwel ondoenlijk om precies bij te houden wanneer welke gegevens geanonimiseerd mogen worden. Het probleem van big data is nu immers juist dat geen (volledig) overzicht van de aanwezige gegevens bestaat. En hiermee zijn we weer terug bij af.
Privacy by design
De verwachting is dat de nieuwe Europese Privacyverordening over niet al te lange tijd in werking zal treden. Eén van de uitgangspunten van deze verordening is het principe van ‘privacy by design’, waarbij de bescherming van persoonsgegevens en de borging van de rechten van de betrokkenen vanaf het allereerste begin in het informatiesysteem wordt ingebouwd.
Het vanaf het eerste begin inbouwen van privacybeschermende waarborgen in informatiesystemen lijkt hiermee een realistischere oplossing te vormen voor het ‘big data probleem’. Hoewel het de vraag is of alle technische en praktische bezwaren overwonnen kunnen worden, zou het een goede stap zijn om vanaf het moment dat gegevens het systeem binnenkomen al te bepalen en te programmeren welke (categorie) gegevens op welk moment verwijderd of geanonimiseerd moeten worden. ‘Privacy by design’ zal zeker niet alle problemen oplossen, maar vormt wel een stap in de goede richting.
Mr. Willem Balfoort, advocaat IE/IT/Privacy bij De Clercq Advocaten Notarissen
Ik denk dat de oplossing van dit probleem niet zozeer in de wet- en regelgeving ligt, want hoewel erg belangrijk, met alle respect denk ik dat de juristen toch achter de feiten zullen blijven aanlopen. Zoals Willem terecht opmerkt is de wet- en regelgeving ook vrij duidelijk op dit punt.
Waar ik denk dat het grootste probleem ligt is dat organisaties nog te weinig investeren in goed informatie management. Het vakgebied is volop in ontwikkeling en mensen lijken zich langzamerhand steeds meer te beseffen wat de effecten kunnen zijn van onjuist handelen op dit punt. Maar dit moet op alle lagen van de organisatie duidelijk zijn.
Natuurlijk mag van een informatie systeem verwacht worden dat de bouwer er alles aan gedaan heeft de veiligheid te waarborgen. Maar van de gebruikers moet verwacht worden dat er op een juiste manier wordt omgesprongen met deze data. Als je toegang hebt tot de kluis, moet je ook zorgen dat je de deur weer dicht doet. Ik krijg de indruk dat er vaak iets te lichtvaardig wordt omgesprongen met iemands privacy en dat elke organisatie dit punt hoog op de agenda zou moeten zetten.
Het koppelen van gegevens is inderdaad “big business”, maar ook hier zou steeds moeten gelden, WAT is het doel en WAAROM doen we dat. Transparantie en delen zijn mooie woorden maar er is een grens en iedereen die werkt met informatie van anderen heeft hier een verantwoordelijkheid.