Privacy & Big Data: groot potentieel of groot risico?

Valegis Advocaten telt met u af naar 25 mei 2018. Hierbij deel 10 in een reeks blogs over de nieuwe privacywetgeving.

Privacy & Big Data: groot potentieel of groot risico? | Valegis Advocaten

Hoe meer gegevens je verzamelt, hoe meer verbanden je kan leggen tussen de gegevens. Dat is in de kern waar het om gaat bij Big Data. Denk bijvoorbeeld aan Google Flu: Google probeerde door middel van zoekopdrachten te voorspellen waar een griepepidemie was uitgebroken. Of een ander sprekend voorbeeld: de Amerikaanse winkelketen Target kon op basis van het aankoopgedrag van haar klanten voorspellen wie van haar klanten zwanger was. Een vader zou boos naar Target zijn gegaan omdat zijn tienerdochter aanbiedingen voor babykleertjes had ontvangen en Target haar dus zou aanmoedigen zwanger te worden. Een paar dagen later moest de vader echter zijn excuses aanbieden: zijn tienerdochter bleek inderdaad zwanger te zijn.

Het potentieel van Big Data voor marketing is duidelijk, maar ook op andere terreinen kan Big Data een grote impact hebben, denk bijvoorbeeld aan voorspellingen over het klimaat of in de gezondheidszorg. Maar hoe zit het met de privacy?

Big Data vs. AVG

De Algemene Verordening Gegevensbescherming (AVG) kent een aantal beginselen, waaronder:

– Dataminimalisatie: verzamel niet meer gegevens dan noodzakelijk is.
– Doelbinding: verzamel gegevens enkel voor een vooraf bepaald doel en niet voor een ander doel.
– Transparantie: wees transparant over welke gegevens je voor welk doel verzamelt.

Nu Big Data juist gaat over het verzamelen van een grote hoeveelheid gegevens lijkt dit moeilijk te rijmen met het beginsel van dataminimalisatie. Daarnaast is het heel verleidelijk om de gegevens die je al in huis hebt, bijvoorbeeld het aankoopgedrag van je klanten, te gebruiken voor een ander doel: het opstellen van profielen. En wanneer je allerlei gegevens verzamelt en voor allerlei verschillende doeleinden gebruikt, dan wordt het lastig om de betrokkenen te informeren over wat er precies met hun gegevens gebeurt en om hen inzage te geven in deze gegevens. Kortom, het gebruik van Big Data lijkt al snel in strijd te komen met de verplichtingen onder de privacywetgeving.

De mogelijkheden onder de AVG

Is het gebruik van Big Data dan per definitie in strijd met de AVG? Nee, ook onder de AVG blijft het mogelijk om databestanden aan te leggen en te analyseren. Wel moeten organisaties die Big Data gebruiken zich bewust zijn van de risico’s, zich aan de bovenstaande beginselen houden en de volgende stappen doorlopen.

  1. Voordat persoonsgegevens verzameld mogen worden, moet het bedrijf een bepaalde grondslag hebben. De verwerking moet bijvoorbeeld wettelijk verplicht zijn, noodzakelijk zijn voor de uitvoering van een overeenkomst of de betrokkene moet toestemming hebben gegeven. Met Big Data kunnen mensen in groepen ingedeeld worden en kunnen voorspellingen gedaan worden over het gedrag van mensen. Deze praktijk van classificeren en analyseren wordt profiling genoemd. De AVG biedt extra waarborgen in het geval van profiling en de toestemming van de betrokkene moet dan ook expliciet gegeven worden (‘uitdrukkelijke toestemming’).
  2. Het doel waarvoor de gegevens verzameld worden moet vooraf worden vastgesteld. Wil Target bijvoorbeeld de klantgegevens koppelen aan een bepaald profiel om vervolgens de klanten gericht aanbiedingen te doen? Dan moet dit doel intern vastgelegd worden en aan de klanten gecommuniceerd worden.
  3. De betrokkenen moeten in eenvoudige en begrijpelijke taal geïnformeerd worden over wat er met hun gegevens gedaan wordt. Hiervoor kan een privacyverklaring gebruikt worden.
  4. Het bedrijf moet de betrokkenen wijzen op hun rechten en hen ook in staat stellen hun rechten uit te oefenen. Vraagt een klant om inzage in de gegevens? Dan zal dit verzoek in principe gehonoreerd moeten worden.
  5. Wordt Big Data gebruikt om profielen te maken van mensen en volgen daar automatisch besluiten uit (geautomatiseerde individuele besluitvorming), bijvoorbeeld wanneer op basis van data een kredietwaardigheidsprofiel wordt gemaakt? Dan moet de beslissing genomen worden door een persoon, dus door menselijke tussenkomst.

Conclusie

Het is dus ook onder de AVG mogelijk om Big Data te gebruiken, maar enkel wanneer zorgvuldig wordt omgegaan met de gegevens die verzameld worden. Hoewel Big Data een bedrijf een schat aan informatie kan opleveren, zal overtreding van de privacywetgeving tot hoge boetes kunnen leiden. Ook  kan uw bedrijf hierdoor imagoschade oplopen. Het grote potentieel van Big Data mag u zeker benutten, maar bezint eer u begint met verzamelen.

Wilt u meer weten over dit onderwerp? Het privacyrecht team van Valegis Advocaten is u graag van dienst.

Dit artikel is geschreven door Andrea de Ruijter.

Privacy by design en privacy by default; wat hebt u eraan | Valegis AdvocatenBent u al AVG-proof? | Valegis Advocaten