Big Data als marketing tool: Een bedreiging voor de ... · nieuwe wereld van cijfers, computers en...
143
Faculteit Rechtsgeleerdheid Academiejaar 2014 - 2015 Big Data als marketing tool: Een bedreiging voor de privacy van de consument? Big data versus privacy Masterproef van de opleiding ‘Master in de Rechten’ Ingediend door Elise Verhoeye (studentennr. 01007817) Promotor: Antoinette Verhage Commissaris: Delphine Goens
Transcript of Big Data als marketing tool: Een bedreiging voor de ... · nieuwe wereld van cijfers, computers en...
Faculteit Rechtsgeleerdheid
Academiejaar 2014 - 2015
Big Data als marketing tool:
Een bedreiging voor de privacy van de consument?
Big data versus privacy
Masterproef van de opleiding
‘Master in de Rechten’
Ingediend door
Elise Verhoeye
(studentennr. 01007817)
Promotor: Antoinette Verhage
Commissaris: Delphine Goens
i
INHOUDSTAFEL
VOORWOORD ......................................................................................................................................1
INLEIDING ............................................................................................................................................3
HOOFDSTUK 1. BIG DATA: DEFINITIES, KARAKTERISTIEKEN EN PERCEPTIES..........7
1.1 Theoretische definitie ..................................................................................................................7
1.2 Dynamische definitie ..................................................................................................................8
1.3 Voordelen van big data .............................................................................................................11
1.4 Gevaren van big data .................................................................................................................14
1.5 Gebruik van big data in marketing en sales ..............................................................................16
1.6 Percepties van de consument omtrent privacy ..........................................................................19
1.7 Conclusie ...................................................................................................................................21
HOOFDSTUK 2. RECHT OP DATABESCHERMING ..................................................................23
2.1 Bescherming binnen de EU .......................................................................................................23
2.2 Recht op databescherming ≠ recht op privacy ..........................................................................24
2.3 Fundamenteel recht ...................................................................................................................24
2.4 Relatief recht .............................................................................................................................25
2.5 Databescherming in de Europese Unie vs. de Verenigde Staten ..............................................25
2.6 Conclusie ...................................................................................................................................27
HOOFDSTUK 3. DATABESCHERMING IN DE BELGISCHE EN EUROPESE WETGEVING ... 29
3.1 Oorsprong van de Europese Databeschermingswetgeving .................................................30
3.2 Databeschermingsrichtlijn 95/46/EG en Databeschermingswet 1992 ................................31
3.2.1 Inleiding ............................................................................................................................31
3.2.2 Inhoudelijke bespreking ...................................................................................................31
3.2.2.1 Toepassingsgebied ............................................................................................32
3.2.2.2 Terminologie.....................................................................................................35
3.2.2.2.1 Persoonsgegevens .................................................................................35
3.2.2.2.2 Verwerken ............................................................................................41
3.2.2.2.3 Verantwoordelijke en verwerker .............................................................43
3.2.2.2.4 Derde en ontvanger ...............................................................................45
3.2.2.2.5. Geïnformeerde toestemming .................................................................46
3.2.2.3 Principes ...........................................................................................................54
3.2.2.3.1 Eerlijkheid en rechtmatigheid .................................................................55
ii
3.2.2.3.2 Doelbinding ..........................................................................................55
3.2.2.3.3 Dataminimisatie ....................................................................................62
3.2.2.3.4 Nauwkeurigheid ....................................................................................63
3.2.2.3.5 Beperkte bewaring ................................................................................65
3.2.2.3.6 Verantwoording ....................................................................................65
3.2.2.4 Regels ...............................................................................................................66
3.2.2.4.1 Toelaatbaarheid van de gegevensverwerking ...........................................66
3.2.2.4.2 Beveiliging van de gegevensverwerking .................................................71
3.2.2.4.3 Transparantie van de gegevensverwerking ..............................................73
3.2.2.4.4 Bevordering van de naleving ..................................................................75
3.2.2.5 Rechten van de betrokkene en hun handhaving ................................................76
3.2.2.5.1 Recht op toegang ..................................................................................76
3.2.2.5.2 Recht van verzet ...................................................................................81
3.2.2.5.3 Onafhankelijk toezicht ...........................................................................83
3.2.2.5.4 Rechtsmiddelen en sancties ....................................................................83
3.2.3 Conclusie ..........................................................................................................................84
3.3 e-Privacyrichtlijn 2002/58/EG en Wet Elektronische Communicatie 2005 .......................89
3.3.1 Inleiding ............................................................................................................................89
3.3.2 Inhoudelijke bespreking ...................................................................................................90
3.3.2.1 Onderwerp en toepassingsgebied......................................................................90
3.3.2.2 Belangrijkste bepalingen ..................................................................................90
3.3.2.2.1 Beveiliging en vertrouwelijkheid ............................................................91
3.3.2.2.2 Cookies ................................................................................................91
3.3.2.2.3 Ongewenste communicatie ....................................................................98
3.3.3 Conclusie ..........................................................................................................................99
3.4 Voorstel Algemene Verordening Gegevensbescherming ...................................................101
3.4.1 Inleiding ..........................................................................................................................101
3.4.2 Inhoudelijke bespreking .................................................................................................101
3.4.2.1 Toepassingsgebied ..........................................................................................102
3.4.2.2 Terminologie...................................................................................................102
3.4.2.2.1 Persoonsgegevens ...............................................................................102
3.4.2.2.2 Profilering ..........................................................................................103
3.4.2.2.3 Verantwoordelijke en verwerker ...........................................................104
3.4.2.2.4 Toestemming ......................................................................................104
3.4.2.3 Principes .........................................................................................................105
3.4.2.4 Regels .............................................................................................................106
3.4.2.4.1 Toelaatbaarheid van de gegevensverwerking .........................................106
iii
3.4.2.4.2 Beveiliging van de gegevensverwerking ...............................................108
3.4.2.4.3 Transparantie van de gegevensverwerking.............................................109
3.4.2.4.4 Bevordering van de naleving ................................................................110
3.4.2.5 Rechten van de betrokkene en hun handhaving ..............................................111
3.4.2.5.1 Recht op toegang ................................................................................112
3.4.2.5.2 Recht op rectificatie, uitwissing en afscherming ....................................112
3.4.2.5.3 Recht van verzet .................................................................................115
3.4.2.5.4 Onafhankelijk toezicht .........................................................................116
3.4.2.5.5 Rechtsmiddelen en sancties ..................................................................116
3.4.3 Conclusie ........................................................................................................................118
CONCLUSIE ......................................................................................................................................121
BIBLIOGRAFIE ................................................................................................................................125
FIGURENLIJST ................................................................................................................................132
1
VOORWOORD
Voor u ligt mijn thesis, getiteld “Big Data als marketingtool: Een bedreiging voor de privacy van de
consument?”. Mijn voorgangers hadden mij gewaarschuwd voor enorme proporties bloed, zweet en
tranen, maar ik moet concluderen dat mijn scriptie mij voornamelijk aanzienlijke hoeveelheden koffie
en thee heeft gekost. Veel werk, maar de inspanning bleek absoluut de moeite waard.
Wanneer mijn stiefvader op een dag thuiskwam met een boekje over “Big Data Storage for
Dummies”1, besloot ik me, als leek in dit soort materie, wat nader op het onderwerp toe te leggen. Een
nieuwe wereld van cijfers, computers en cookies ging voor me open. Tegelijk werd me ook duidelijk
waarom mijn favoriete schoenen op Zalando nu ook voortdurend op mijn Facebookpagina verschenen.
Erg fascinerend, maar tegelijkertijd ook bijzonder afschrikwekkend. Kan dat allemaal wel? Hoe komt
Facebook trouwens aan dat soort gegevens? Is dat geen inbreuk op mijn privacy? De fascinatie was
geboren en daarmee ook de eerste steen van mijn thesishuis gelegd.
Het schrijven van deze thesis is een werk van lange adem geweest: zonder enige voorkennis heb ik me
op eigen krachten in de materie moeten verdiepen. Dit was een erg leerrijk en veelzijdig proces, want
vooraleer ik kon overgaan tot het juridische luik, moest ik vanzelfsprekend eerst vertrouwd geraken
met het begrip ‘big data’ zelf. Het mag dan ook niet verbazen dat mijn inzicht in de materie en mijn
mening over het onderwerp over de maanden heen enorm zijn geëvolueerd en gewijzigd. Dit heeft
bijgedragen tot de dynamiek van het werk, maar heeft het er tegelijkertijd ook niet eenvoudiger op
gemaakt. Er is veel geschreven, herschreven en verplaatst, maar het uiteindelijke resultaat mag er naar
mijn bescheiden mening zijn.
Deze scriptie had ik evenwel niet tot een goed einde kunnen brengen zonder de steun en hulp van
verschillende mensen. Mijn promotor Antoinette Verhage is hierbij nummer één. Ondanks mijn talloze
mails, eindeloze vragenlijsten en vele ‘dubbelchecks’, heeft zij mij altijd met veel enthousiasme en
energie van antwoord voorzien. Het tempo waarin ze dat deed, was bovendien op zijn zachtst gezegd
indrukwekkend. Ik ben me er van bewust dat dit niet vanzelfsprekend is, en wil haar dan ook in het
bijzonder bedanken voor alle hulp en opbouwende commentaar. Ook mijn ouders verdienen
vermelding in dit dankwoord: hun onvoorwaardelijke steun en eindeloos begrip hebben mijn maanden
van druk werk achter de bureau vele malen aangenamer gemaakt. Tot slot wil ik ook mijn vrienden
bedanken voor hun vele succeswensen. Zonder jullie allen had ik niet gekund!
Ik wens u veel leesplezier toe,
Elise Verhoeye, op 15 mei 2015
1 W. GARSIDE en B. COX, Big Data Storage For Dummies, Chichester, John Wiley & Sons Ltd, 2013, 50 p.
2
3
INLEIDING
1. “You have zero privacy anyway. Get over it.”
2. Wanneer Scott McNealy, Amerikaans zakenman en medeoprichter van Sun Microsystems, in 1999
dergelijk statement maakte, shockeerde hij hier talloze mensen mee. Vandaag de dag lijkt het evenwel
alsof hij er niet eens zo ver van zat. In de digitale eeuw is alles en iedereen het voorwerp van
geautomatiseerde gegevensverwerkingen, gewild of ongewild, bewust of onbewust. Dergelijke
praktijken vallen onder de term ‘big data’: een begrip dat moeilijk te vatten is maar garant staat voor
het verwerken van grote hoeveelheden diverse gegevens aan een enorme snelheid (infra 8, nr. 11).
Waar het vroeger onmogelijk was om iets met deze zee aan informatie aan te vangen, hebben
technologische veranderingen het in the age of big data mogelijk gemaakt deze data op te slaan, te
analyseren en er zelfs conclusies uit te trekken.
3. Deze recente wetenschap en de daaruit vergaarde kennis bieden heel wat opportuniteiten en
voordelen, waaronder ook in de sector van marketing en sales.2 Dankzij meer en betere inzichten in
elke onderscheiden consument, kunnen ondernemingen hun consumenten verrassen met allerlei op
maat gesneden advertenties en reclameboodschappen. De techniek brengt evenwel ook heel wat
risico’s en nadelen met zich mee, in het bijzonder wanneer zij de verwerking van sterk
gepersonaliseerde gegevens met zich meebrengt. Bijgevolg betreft de verhouding tussen big data en
privacy een van de belangrijkste en meest bediscussieerde problemen, met inbegrip in deze scriptie.
4. Het opzet van deze scriptie is vierledig. Eerst en vooral wordt er getracht een goed begrip van big
data te verzekeren worden doorheen de tekst. Ten tweede wordt er nagaan welke in België geldende
wetgeving rechtssubjecten vandaag de dag beschermt tegen het verwerken van hun persoonsgegevens
in de marketing- en salessector. Ten derde wil deze scriptie een antwoord bieden op de vraag of deze
regeling aangepast is aan de noden van een maatschappij ten tijde van big data. Ten vierde hoopt deze
scriptie voorstellen te kunnen formuleren voor verbeteringen van de databeschermingswetgeving naar
de toekomst toe.
5. Een kritische evaluatie van het bestaande beschermingsregime lijkt wenselijk omwille van
verschillende redenen. Deze scriptie is eerst en vooral wetenschappelijk relevant. Er wordt met name
getracht vanuit juridisch oogpunt een extensief, kritisch overzicht van de huidige situatie en de
gewenste veranderingen te bieden. Er wordt gehoopt hiermee de wetgever aan het denken te zetten en
een positieve invloed op toekomstige wetswijzigingen te hebben. Ten tweede is het onderwerp ook
2 Infra 16, nr. 30 et seq.
4
maatschappelijk relevant. De informatie die wordt verwerkt betreft gegevens over jan en alleman. Het
belangt met andere woorden iedereen aan. Bovendien blijkt uit onderzoek dat grote groepen mensen
nog steeds veel belang aan privacy hechten en zij dergelijke praktijken zouden afkeuren indien zij er
weet van zouden hebben.3 De gevoeligheid van het onderwerp werd recent nogmaals aangetoond door
de hevige reacties die een openbaarmaking van ING Nederland uitlokte. ING Nederland kondigde aan
betaalgegevens van klanten te gaan analyseren om zo rekeninghouders persoonlijke aanbiedingen te
kunnen doen. Hierop werd ING overspoeld door honderden digitale en telefonische vragen en
dreigden heel wat klanten hun rekeningen op te zeggen.4 Uit dit voorbeeld blijkt dat de grenzen
vandaag de dag worden opgezocht en het verdient aandacht na te gaan of deze al dan niet worden
overschreden en een inbreuk vormen op het recht op databescherming. Tot slot kan een kritische
studie ook ondernemingen helpen hun bestaande praktijken te regulariseren en/of te verbeteren.
6. De centrale onderzoeksvraag betreft de verhouding tussen big data en privacy. Om een antwoord te
bieden op het probleem, wordt het werk onderverdeeld in drie grote hoofdstukken.
Hoofdstuk 1 tracht een goed begrip van big data doorheen de scriptie te verzekeren. In dit
hoofdstuk worden behandeld: de theoretische definitie (1.1), de dynamische definitie (1.2), de
voordelen van big data (1.3), de gevaren van big data (1.4), het gebruik van big data in
marketing en sales (1.5) en de percepties van de consument omtrent privacy (1.6).
Hoofdstuk 2 behelst het recht op databescherming. Daarin zit vervat: bescherming binnen de
EU (2.1), het onderscheid tussen het recht op databescherming en het recht op privacy (2.2),
het fundamentele (2.3) en het relatieve (2.4) karakter van het recht en een vergelijking van het
databeschermingsstelsel in de Europese Unie en de Verenigde Staten (2.5).
Hoofdstuk 3 betreft het échte juridische luik en bestudeert databescherming in de Belgische en
Europese wetgeving. Teneinde een internationale focus te behouden, werd er voor gekozen de
bindende Databeschermingsrichtlijn5 als centrale aanknooppunt te nemen, en worden de
respectievelijke Belgische artikelen in de voetnoten opgenomen.
In 3.1 wordt een introductie gegeven tot de oorsprong van de Europese
databeschermingswetgeving. Onderverdeling 3.2 betreft een bespreking van de
Databeschermingsrichtlijn 95/46/EG, welke tot op de dag van vandaag het kloppend hart van
de databeschermingswetgeving vormt. Ook de e-Privacyrichtlijn 2002/58/EG6, die het
3 Infra 19, nr. 35 et seq.
4 X, “ING wil klantinformatie leveren aan bedrijven”, De Morgen 2014, http://www.demorgen.be/economie/ing-wil-
klantinformatie-leveren-aan-bedrijven-a1808445/. 5 Richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van
natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb.L. 23 november 1995, afl. 281, 31 (hierna verkort Databeschermingsrichtlijn). 6 Richtlijn nr. 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van
persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, Pb.L. 31 juli 2002, afl. 201, 37, geamendeerd door Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (hierna verkort e-Privacyrichtlijn).
5
verwerken van persoonsgegevens specifiek in de sector van de elektronische communicatie
regelt, zal aan bod komen in 3.3. Het voorstel van Algemene Verordening
Gegevensbescherming7, dat tot op vandaag nog niet in werking is getreden, wordt besproken
in 3.4. Nadien volgt een algehele conclusie.
7. Aangezien het onderwerp ‘big data versus privacy’ een brede lading dekt, wordt het
onderzoeksgebied op talloze wijzen begrensd tot het Europees databeschermingsrecht.
Eerst en vooral wordt het juridische luik beperkt tot wetgeving van Europese oorsprong.
Internationale en regionale instrumenten, zoals diegene van de OESO, worden niet grondig
besproken. Ook op het aanwijzen van het toepasselijke recht zal nauwelijks worden ingegaan,
de focus is ruim Europees.
Ten tweede wordt het onderzoeksgebied ook beperkt tot het gebruik van big data als
marketingtool. Andere mogelijke toepassingen in sectoren zoals verzekeringen, human
resources, sociale zekerheid of strafrecht worden met andere woorden niet behandeld. Dit
impliceert ook dat de focus ligt op het gebruik van big data door private actoren, en dus niet
door publieke actoren zoals EU-instellingen of nationale autoriteiten. Het behouden van de
focus is evenwel niet eenvoudig doordat de kenmerken en technieken zo ruim zijn. Bijgevolg
wordt getracht focus te behouden door het geven van zoveel mogelijk marketinggerelateerde
voorbeelden.
Ten derde zullen andere soorten wetgeving waaronder discriminatiewetgeving of wetgeving
met betrekking tot intellectuele rechten buiten beschouwing worden gelaten in deze scriptie.
Specifieke problemen zoals copyright, identiteitsdiefstal en discriminatie zullen niet worden
behandeld. Ook bijzondere categorieën personen, zoals onbekwamen of kinderen, zullen niet
aan bod komen. Het betreft met andere woorden een analyse van het pure big data proces van
verzamelen, opslaan, gebruiken en delen van data voor marketingdoeleinden, in de hypothese
dat er geen bijzonderheden aanwezig zijn
8. “My computer has a great understanding of my state of fitness, of the things I'm eating, of the
places I'm at. My phone understands from being in my pocket how much exercise I've been getting and
how many stairs I've been walking up and so on.”8 Welkom in the age of big data…
7 Verordening nr. E120003 van de Europese Commissie van 25 januari 2012 betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//EN&language=EN, geamendeerd door het Europees Parlement op 12 maart 2014 (hierna verkort Voorstel Algemene Verordening Gegevensbescherming). 8 O. TENE en J. POLONETSKY, “Big Data for All: Privacy and User Control in the Age of Analytics”, Northwestern Journal of
Technology and Intellectual Property 2013, vol. 11(5), (239) 255.
6
7
HOOFDSTUK 1. BIG DATA: DEFINITIES, KARAKTERISTIEKEN EN PERCEPTIES
9. Big data is een zeer belangrijk en invloedrijk concept dat desondanks heden ten dage nog niet
wijdverspreid is bij het grote publiek. Teneinde een goed begrip doorheen de scriptie te verzekeren,
zal er in dit hoofdstuk dieper worden op ingegaan. Eerst wordt een theoretische definitie gegeven van
het concept (1.1) om het nadien te concretiseren aan de hand van de drie V’s in 1.2. In onderdeel 1.3
wordt onthuld waarom precies big data zo interessant wordt geacht door ondernemingen, waar 1.4
vervolgens argumenteert wat de mogelijke nadelen kunnen zijn. In 1.5 wordt een beeld gegeven van
de mogelijke toepassingen van big data in de marketing- en salesindustrie, om in 1.6 een inzicht te
bieden in de percepties van consumenten omtrent privacy. Tot slot wordt het hoofdstuk afgesloten met
een conclusie (1.7)
1.1 Theoretische definitie
10. Big data is een recent fenomeen dat de wereld op talloze wijzen aan het veranderen is. De
veelzijdigheid van het begrip maakt het definiëren echter geen makkelijke klus. Volgens de IT
Glossary van Gartner is big data “high-volume, high-velocity and high-variety information assets that
demand cost-effective, innovative forms of information processing for enhanced insight and decision
making”9. Het McKinsey Global Institute definieert big data als
“datasets whose size is beyond the ability of typical database software tools to capture, store,
manage and analyze. This definition is intentionally subjective and incorporates a moving
definition of how big a dataset needs to be in order to be considered big data – i.e., we don’t
define big data in terms of being larger than a certain number of terabytes (thousands of
gigabytes). We assume that, as technology advances over time, the size of datasets that qualify
as big data will also increase. Also note that the definition can vary by sector, depending on
what kinds of software tools are commonly available and what sizes of datasets are common
in a particular industry. With those caveats, big data in many sectors today will range from a
few dozen terabytes to multiple petabytes (thousands of terabytes).”10
9 [Eigen vertaling] Het bezit van informatie, hoog qua volume, snelheid en diversiteit, dat vraagt om kostefficiënte en
innovatieve wijzen van informatieverwerking voor het leveren van verbeterde inzichten en beslissingen (S. SICULAR, “Gartner’s Big Data Definition Consists of Three Parts, Not to Be Confused with Three “V”s”, Forbes 2013, http://www.forbes.com/sites/gartnergroup/2013/03/27/gartners-big-data-definition-consists-of-three-parts-not-to-be-confused-with-three-vs/). 10
[Eigen vertaling] Datasets die groter zijn dan wat door traditionele database software kan worden gevat, opgeslagen, beheerd en geanalyseerd. De definitie is met opzet subjectief en omvat een flexibele definitie omtrent hoe groot een dataset moet zijn om te kunnen worden beschouwd als big data – dat betekent dat we big data niet definiëren in termen van groter zijn dan een bepaalde hoeveelheid terabytes (duizend gigabytes). We nemen aan dat, wanneer de technologie zich verder zal ontwikkelen over tijd, de grootte van de data sets die we beschouwen als big data ook zal toenemen. Merk ook op dat de definitie kan afhangen van sector tot sector, afhankelijk van welke soorten software openlijk beschikbaar zijn en welke hoeveelheden datasets normaal worden geacht in een bepaalde industrie. Met deze waarschuwingen in het achterhoofd, kunnen we er van uit gaan dat big data in vele sectoren vandaag de dag zal reiken van enkele tientallen
8
11. Het begrip verwijst met andere woorden naar wijzigingen op drie niveaus: i) de gigantische
toename in volumes en types data, ii) het versnellen van het verzamelen en verwerken van die data en
iii) de technische mogelijkheden om dergelijke data te bewaren, te analyseren en er intelligente en
bruikbare conclusies uit te trekken.11
1.2. Dynamische definitie
12. Zoals vermeld in de definitie van het McKinsey Global Institute, gaat het om een relatieve
expansie die niet uit te drukken valt in absolute termen. Bijgevolg wordt big data regelmatig
gedefinieerd aan de hand van drie dynamische concepten, de zogenaamde drie V’s: Volume, Velocity
en Variety. Deze variabelen kenmerken het onderscheid met small data, waarmee wordt verwezen
naar het tijdperk voor de zogenaamde big data revolutie.12
13. Volume verwijst naar de onwaarschijnlijke grootte van de hoeveelheid verwerkte data. Het valt
niet te ontkennen dat ook vroeger reeds databanken en gegevens werden bijgehouden. Zo hebben
supermarkten via hun klantenkaarten al jarenlang flink wat informatie over het profiel en koopgedrag
van hun consumenten. De schaal waarop dit vandaag de dag gebeurt, is echter van een heel andere
orde. Elke dag worden maar liefst 2200 petabytes aan data gecreëerd.13
Zo maakte Facebook in 2012
bekend dat het dagelijks 2,5 biljoen ‘stukjes inhoud’ verwerkt, wat zo’n 500+ terabytes aan data
uitmaakt. Bovendien ontvangt het elke dag 2.7 biljoen ‘vind-ik-leuks’ en 300 miljoen foto’s en scant
het elk half uur 105 terabytes aan data.14
Op YouTube bijvoorbeeld wordt elke seconde naar liefst één
uur aan videomateriaal geüpload door één biljoen actieve leden per maand.15
Zelfs data die vroeger
niet werden gebruikt of werden verwijderd, worden heden ten dage terug bijgehouden. Waarom?
Omdat er een kans bestaat dat dergelijke informatie nuttig zal zijn bij latere analyses.16
Het gaat met
andere woorden over een zee aan informatie. De evolutie is bovendien nog niet aan haar einde en de
verwachtingen zijn hooggespannen. Zo verwacht Reuters dat de hoeveelheid data tussen 2015 en 2020
nog zal verviervoudigen. Bijgevolg zal big data zoals die nu gekend is, over enkele jaren op haar beurt
vermoedelijk als small data worden beschouwd.17
terabytes tot verschillende petabytes (duizend terabytes) (J. MANYIKA, M. CHUI, B. BROWN, J. BUGHIN, R. DOBBS, C. ROXBURGH en A. H. BYERS, “Big data: The next frontier for innovation, competition and productivity”, McKinsey Global Institute 2011, http://www.mckinsey.com/insights/business_technology/big_data_the_next_frontier_for_innovation, 1). 11
J. PAVOLOTSKY, “Privacy in the Age of Big Data”, The Business Lawyer 2013, vol. 69(1), (217) 217-218. 12
Of er effectief sprake is van een big data revolutie, wordt door sommige bronnen betwist. Zie bv. T.H. DAVENPORT en J. DYCHÉ, “Big Data in Big Companies”, International Institute for Analytics 2013, http://www.sas.com/reg/gen/corp/2266746, 2-3. 13
W. GARSIDE en B. COX, Big Data Storage For Dummies, Chichester, John Wiley & Sons Ltd, 2013, 4. 14
J. CONSTINE, “How Big Is Facebook’s Data? 2.5 Billion Pieces Of Content And 500+ Terabytes Ingested Every Day”, TechCrunch 2012, http://techcrunch.com/2012/08/22/how-big-is-facebooks-data-2-5-billion-pieces-of-content-and-500-terabytes-ingested-every-day/. 15
YOUTUBE, “One Hour Per Second”, YouTube 2012, http://www.onehourpersecond.com/. 16
W. GARSIDE en B. COX, Big Data Storage For Dummies, Chichester, John Wiley & Sons Ltd, 2013, 24. 17
J. PAVOLOTSKY, “Privacy in the Age of Big Data”, The Business Lawyer 2013, vol. 69(1), (217) 217.
9
Figuur 1: Een grafisch overzicht van de wereldwijde groei van data.18
14. Velocity heeft betrekking op de snelheid waarmee de data worden bewaard, verwerkt en
geanalyseerd. Ook deze is aanzienlijk toegenomen. In dit kader heerst de veronderstelling dat
bedrijven die hun data ogenblikkelijk kunnen analyseren en op basis daarvan onmiddellijk
beslissingen kunnen maken of acties kunnen nemen, het grootste concurrentieel voordeel genieten.19
15. Variety verwijst naar de veelvuldigheid en differentiatie onder de databronnen. Big data heeft
betrekking op grote hoeveelheden data, zowel gestructureerd als ongestructureerd van aard20
,
afkomstig uit talloze verschillende bronnen. Data in the age of big data komen namelijk voort uit
diverse bronnen zoals de geschiedenis van zoekmachines, aankoopgeschiedenissen, e-mails, blogs,
smartphone applicaties, sociale media zoals Facebook en Twitter, enzovoort.21
Deze konden door de
traditionele analysesystemen niet worden ontcijferd en ontward.
16. Deze drie V’s werden mogelijk gemaakt door verschillende technologische vooruitgangen. Een
eerste belangrijke stap was de introductie van Web 2.0, dat internetgebruikers voor het eerst de
18
C. SELLAND, “The growth of Big Data, the demand for Data Scientists and the power of Community”, Vertica 2012, http://www.vertica.com/2012/12/16/big-data-the-demand-for-data-scientists-and-the-power-of-community. 19
R. B. MILLIGAN en D. J. SALINAS, “The Big Data Revolution: Should The Internet Learn To Forget?”, Trading Secrets 2013, http://www.tradesecretslaw.com/files/2013/05/The-Big-Data-Revolution.pdf, 7-9; W. GARSIDE en B. COX, Big Data Storage For Dummies, Chichester, John Wiley & Sons Ltd, 2013, 14. 20
‘Gestructureerde data’ verwijzen naar informatie die sterk georganiseerd is, zoals verkoopcijfers in hun relevante database. Computers kunnen dergelijke data eenvoudig lezen en organiseren, gebaseerd op verschillende criteria. ‘Ongestructureerde data’ daarentegen zijn gegevens die geen vooraf gedefinieerd datamodel hebben of niet goed passen in gestructureerde tabellen of rekenbladen. Denk hierbij aan informatie die data zoals datums, nummers en feiten bevatten. Het verwerken van dergelijke data is een energie- en tijdrovend werk. (W. GARSIDE en B. COX, Big Data Storage For Dummies, Chichester, John Wiley & Sons Ltd, 2013, 5). 21
Zie ook EXECUTIVE OFFICE OF THE PRESIDENT, “Big Data: Seizing opportunities, preserving values”, The White House 2014, http://www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_5.1.14_final_print.pdf, 5.
10
mogelijkheid bood om zelf informatie te uploaden, in plaats van deze enkel te downloaden.22
Het
spreekt voor zich dat dit tot een enorme toename van de hoeveelheid online circulerende data heeft
geleid. Ook de ontwikkeling van the Internet of Things23
, waardoor apparaten met mekaar gaan
communiceren, bracht nieuwe datastromen met zich mee. Tegelijkertijd werden er programma’s
ontwikkeld voor het opslaan en analyseren van dergelijke aanzienlijke hoeveelheden data. Een van de
bekendste in dit kader is het gratis softwareprogramma Hadoop.24
Dankzij deze ontwikkelingen
groeide niet alleen de mogelijkheid om grote hoeveelheden data op te slaan, maar daalden ook de
kosten zienderogen. Ook de tijd en het geld nodig voor het analyseren van de gegevens werd sterk
gereduceerden real-time beslissingen werden mogelijk gemaakt.25
Dankzij deze kostenbesparingen is
big data niet langer voorbehouden voor een beperkt aantal grote ondernemingen, maar heeft het zich
ook verspreid tot kleine spelers en tot in alle sectoren van de economie.26
17. Tot slot is het ook interessant te vermelden dat sommige partijen opperen voor het toevoegen van
een vierde of zelfs vijfde V, namelijk Veracity en/of Value. Het concept Veracity heeft in dit kader
betrekking op de onzekerheid die met de gebruikte data gepaard gaat. Zo zou één op drie
bedrijfsleiders de informatie op basis waarvan zij beslissingen maken, niet vertrouwen.27
18. Value verwijst naar de enorme waarde die uitgaat van big data.28
Oud EU-commissaris voor
consumentenzaken Megluna Kuneva stelde hieromtrent dat “personal data is the new oil of the
Internet and the new currency of the digital world.”29
EU-commissaris Viviane Reding berekende op
haar beurt dat de waarde van de data van EU-onderdanen in 2011 €315 biljoen bedroeg en de
22
OESO, “The Evolving Privacy Landscape: 30 Years After the OECD Privacy Guidelines”, OESO Digital Economy Papers 2011, http://dx.doi.org/10.1787/5kgf09z90c31-en, 21 (hierna verkort OESO, “30 Years After the OECD Privacy Guidelines”). 23
The Internet of Things is een begrip dat verwijst naar het communiceren van apparaten. Hiervoor maken ze gebruik van ingebouwde sensoren die verbonden zijn via zowel bekabelde als draadloze netwerken. De verbonden apparaten kunnen zeer divers zijn, zoals een thermostaat, een auto of een zelfs pil die men slikt zodat de dokter de gezondheid van uw spijsverteringsstelsel kan nagaan. Deze apparaten maken gebruik van het internet om data uit te wisselen, samen te stellen en te analyseren. Voor definitie, zie EXECUTIVE OFFICE OF THE PRESIDENT, “Big Data: Seizing opportunities, preserving values”, The White House 2014, http://www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_5.1.14_final_print.pdf, 2. 24
N. M. RICHARDS en J. H. KING, “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, (393) 403. 25
T.H. DAVENPORT en J. DYCHÉ, “Big Data in Big Companies”, International Institute for Analytics 2013, http://www.sas.com/reg/gen/corp/2266746, 3-6. 26
INTERNATIONAL WORKING GROUP ON DATA PROTECTION IN TELECOMMUNICATIONS, “Working Paper on Big Data and Privacy – Privacy principles under pressure in the age of Big Data analytics”, Berlin Privacy Group 2014, http://www.datenschutz-berlin.de/attachments/1052/WP_Big_Data_final_clean_675.48.12.pdf, 5 (hierna verkort INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”). 27
IMG BIG DATA HUB, “The Four V’s of Big Data”, IMG 2013, http://www.ibmbigdatahub.com/infographic/four-vs-big-data. 28
S. SWOYER, “Big Data – Why the 3 Vs Just Don’t Make Sense”, The Data Warehousing Institute for Business Intelligence and Data Warehousing 2012, http://tdwi.org/articles/2012/07/24/big-data-4th-v.aspx; L. MOEREL, “Big Data Protection – How to Make the Draft EU Regulation on Data Protection Future Proof”, Tilburg University 2014, http://www.debrauw.com/wp-content/uploads/NEWS%20-%20PUBLICATIONS/Moerel_oratie.pdf, 20 (hierna verkort L. MOEREL, “Big Data Protection”, Tilburg University 2014); R. SAADATI en A. CHRISTIE , “Big data, big issues? The battle between regulation and commercialisation”, Internet Law Bulletin 2013, vol. 16(3), (67) 67. 29
M. KUNEVA, “Keynote Speech - Roundtable on Online Data Collection, Targeting and Profiling”, European Commission 2009, http://europa.eu/rapid/press-release_SPEECH-09-156_en.htm, 2.
11
mogelijkheid heeft om tot €1 triljoen te groeien in 2020.30
Bovendien bleek uit onderzoek dat 80% van
de consumenten beseft dat hun data een waarde heeft voor ondernemingen.31
Een auteur van de New
York Times drukte het belang van kennis, gegevens en informatie uit door middel van volgende
sprekende quote: “If you are a large company and you are not involved in analytics, you are not a
large company for very much longer.”32
De maatschappij is met andere woorden geëvolueerd tot een
kennis- of dataeconomie.33
Hoe meer gegevens men heeft, hoe meer geld er te verdienen valt. Het is
dan ook geen toeval dat een onderneming zoals Google, die over enorme hoeveelheden informatie
beschikt, eigenares is van het grootste online reclamebureau. Vanuit sommige hoeken gaan er zelfs
stemmen op om data in te brengen op de balans, naast factoren zoals kapitaal en arbeid.34
1.3 Voordelen van big data
19. Tot voor kort was het technisch en financieel onmogelijk om met grote hoeveelheden data wat aan
te vangen. De spectaculaire ontwikkeling van informatie- en communicatietechnologieën heeft deze
problemen opgelost. Deze nieuwe mogelijkheden bieden heel wat potentieel en voordelen.
20. Supra werd er reeds gewezen dat de schaal waarop big data plaatsvindt, veel groter en
indrukwekkender is dan wat vroeger het geval was. Nieuwe technologieën hebben de mogelijkheid
geïntroduceerd om datasets waarvan men het vroeger nooit mogelijk achtte, te bewaren en te
analyseren. Daarnaast impliceert Variety dat gegevens door ondernemingen en gespecialiseerde
instellingen worden doorgespeeld en verkocht35
en databasen met elkaar gecombineerd worden om tot
30
V. REDING, “Data protection reform: restoring trust and building the digital single market”, European Commission 2013, http://europa.eu/rapid/press-release_SPEECH-13-720_en.htm, 2. 31
ORANGE, “The future of digital trust – A European study on the nature of consumer trust and personal data”, LOUDHOUSE, september 2014, http://www.orange.com/en/press/press-releases/press-releases-2014/Consumers-value-their-personal-data-at-170-140-Orange-study-finds. 32
IBM, “Top Three Myths about Big Data Security”, IBM Corporation 2012, http://resources.idgenterprise.com/original/AST-0112387_Top_3_Myths_about_Big_Data_Security.PDF, 3. 33
In juli 2014 heeft de Europese Commissie een nieuwe strategie geformuleerd, die er naar streeft in Europa tot een bloeiende data-economie te komen. Dergelijke digitale economie zou onderzoek en ontwikkeling met betrekking tot data moeten stimuleren en zou leiden tot meer zakelijke opportuniteiten en een toegenomen beschikbaarheid van kennis en kapitaal, in het bijzonder voor kleine en middelgrote ondernemingen, doorheen de Europese Unie. Een van de onderdelen van het actieplan is het reguleren van de bescherming van persoonsgegevens (EUROPESE COMMISSIE, “Naar een bloeiende data-economie”, European Commission 2014, http://ec.europa.eu/transparency/regdoc/rep/1/2014/NL/1-2014-442-NL-F1-1.Pdf). 34
Zie bv. WORLD ECONOMIC FORUM, “Personal Data: The Emergence of a New Asset Class”, World Economic Forum 2011, http://www3.weforum.org/docs/WEF_ITTC_PersonalDataNewAsset_Report_2011.pdf, 7. 35
Data brokers of datamakelaars zijn ondernemingen die gespecialiseerd zijn in het verzamelen van persoonsgegevens over consumenten, om die nadien te verkopen aan andere organisaties. Vaak betreft het profielen, opgesteld voor marketingdoeleinden, die worden doorverkocht aan ondernemingen geïnteresseerd in het verstrekken van behavioural advertising (N. M. RICHARDS en J. H. KING, “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, (393) 404). Het grootste probleem met data brokering lijkt hun onbekendheid te zijn. Consumenten zijn slechts zelden op de hoogte over wie deze data brokers zijn, over wat voor gegevens ze beschikken en waar ze deze hebben gehaald. Dit brengt logischerwijs een privacyprobleem met zich mee (L. VAN WIJK, “Google weet veel over u, data brokers nog veel meer”, De Verdieping Trouw 2014, http://www.trouw.nl/tr/nl/5133/Media-technologie/article/detail/3664173/2014/05/30/Google-weet-veel-over-u-data-brokers-nog-veel-meer.dhtml).
12
een beter resultaat te komen.36
De informatie in dergelijke databanken kan in the age of big data
afkomstig zijn van vier verschillende bronnen: de data kunnen waargenomen zijn door de
verantwoordelijke voor de verwerking, gedeeld zijn door het data subject zelf, verkregen zijn van een
derde partij (third party sharing) ofwel afgeleid zijn door analyse.37
Men beschikt met andere woorden
over heel veel diverse informatie. Wetende dat bij big data kwantiteit wel degelijk een rol speelt (hoe
meer beschikbare informatie, hoe correcter de analyses en hoe winstgevender de beslissing die op
basis daarvan wordt gemaakt38
), is het vanzelfsprekend dat dit een grote stap vooruit vormt.
21. Big data technologieën laten bovendien toe deze gigantische sets data te ontknopen door ze te
analyseren en te onderwerpen aan het proces van data mining39
. Meer nog, big data kan tussen
verscheidene elementen linken leggen die men van dichtbij niet kon waarnemen. Het ziet correlaties
en verwantschappen en gaat associaties maken. Eén correctie dient echter te worden gemaakt: big data
zal vertellen wat er precies gebeurt, maar niet waarom het gebeurt.40
Big data reikt dus correlaties aan
maar niet noodzakelijk causaliteiten.41
Dankzij deze technieken slaagt big data er in om van een berg
abstracte data naar echte, concrete informatie te gaan.42
22. Wanneer een verwerker succesvol is in het analyseren big data, zal dit leiden tot werkbare
informatie. Deze informatie biedt talloze mogelijkheden voor zowel de publieke als de private sector
en maakt ruimte voor grote wetenschappelijke doorbraken, betere business modellen en nieuwe
technieken voor het beheren van onder andere gezondheidszorg, voedselproductie en de omgeving.43
36
R. SAADATI en A. CHRISTIE, “Big data, big issues? The battle between regulation and commercialisation”, Internet Law Bulletin 2013, vol. 16(3), (67) 67; L. MOEREL, “Big Data Protection”, Tilburg University 2014, 7. 37
De OESO heeft op basis van dit onderscheid een nieuwe datataxonomie voorgesteld. Hierin wordt data ingedeeld in vier categorieën, namelijk provided data, observed data, derived data en inferred data (WORKING PARTY ON SECURITY AND PRIVACY IN
THE DIGITAL ECONOMY, “Protecting Privacy in a Data-driven Economy: Taking Stock of Current Thinking”, OESO 2014, http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=dsti/iccp/reg%282014%293&doclanguage=en, 5. In M. HILDEBRANDT, “Slaves to Big Data. Or Are We?”, IDP Revista de Internet, Derecho y Politica 16 2013, http://works.bepress.com/mireille_hildebrandt/52/, 10 wordt een gelijkaardig onderscheid gemaakt. 38
R. B. MILLIGAN en D. J. SALINAS, “The Big Data Revolution: Should The Internet Learn To Forget?”, Trading Secrets 2013, http://www.tradesecretslaw.com/files/2013/05/The-Big-Data-Revolution.pdf, 9; INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 10. 39
Data mining verwijst naar de ver doorgedreven analyse van miljoenen data om individuen te identificeren en om te proberen zo hun interesses en voorkeuren te voorspellen (TNS OPINION & SOCIAL, “Special Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union”, European Conmission 2011, http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf, 6). 40
R. B. MILLIGAN en D. J. SALINAS, “The Big Data Revolution: Should The Internet Learn To Forget?”, Trading Secrets 2013, http://www.tradesecretslaw.com/files/2013/05/The-Big-Data-Revolution.pdf, 11; L. MOEREL, “Big Data Protection”, Tilburg University 2014, 8; M. HILDEBRANDT, “Slaves to Big Data. Or Are We?”, IDP Revista de Internet, Derecho y Politica 16 2013, http://works.bepress.com/mireille_hildebrandt/52/, 6. 41
EXECUTIVE OFFICE OF THE PRESIDENT, “Big Data: Seizing opportunities, preserving values”, The White House 2014, http://www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_5.1.14_final_print.pdf, 7. 42
R. B. MILLIGAN en D. J. SALINAS, “The Big Data Revolution: Should The Internet Learn To Forget?”, Trading Secrets 2013, http://www.tradesecretslaw.com/files/2013/05/The-Big-Data-Revolution.pdf, 6. 43
O. TENE en J. POLONETSKY, “Big Data for All: Privacy and User Control in the Age of Analytics”, Northwestern Journal of Technology and Intellectual Property 2013, vol. 11(5), (239) 243-251 (hierna verkort O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013); W. GARSIDE en B. COX, Big Data Storage For Dummies, Chichester, John Wiley & Sons Ltd, 2013, 9; N. M. RICHARDS en J. H. KING, “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, (393) 404-408.
13
Op basis van deze vergaarde kennis kunnen bovendien profielen opgesteld worden met
gepersonaliseerde informatie over een welbepaalde klant (infra 16, nr. 31). Hierdoor komt men tot een
beter begrip van de betrokkene.44
Ambitieuze ondernemingen zullen van deze kennis gebruik maken
om nieuwe producten en diensten aan te bieden aan haar klanten. Een voorbeeld hiervan is LinkedIn,
dat op basis van big data analyses haar leden voorstelt aan “People You May Know” of “Jobs You
May Be Interested In”.45
Zo worden de data de basis van een dienst, waar zij vroeger slechts een
bijproduct van de dienst waren.46
Dankzij dergelijke mogelijkheden kunnen ondernemingen gepaster
reageren op de vraag van de consument en verhoogt de doeltreffendheid van hun diensten.
23. Alsof dat allemaal nog niet goed genoeg is, kan big data ook voorspellingen doen op basis van
deze informatie (predictive analysis). Door een combinatie van technieken zoals data mining,
tracking47
en cookies48
, wordt er aan de hand van algoritmes gezocht naar patronen of trends in de
data: “the right analysis methods and algorithms help us break through the mountains of rock to find
the gold within.”49
Deze patronen of trends worden op hun beurt gebruikt om toekomstig gedrag te
voorspellen op basis van het huidige of vroegere gedrag. Ook deze informatie kan worden toegevoegd
aan het gebruikersprofiel van de consument. Predictive analysis laat onder andere toe de spreiding van
epidemieën te voorspellen.50
In de marketingsector biedt big data bijvoorbeeld de mogelijkheid te
voorspellen in wat voor producten de consument interesse zou kunnen hebben, op basis waarvan
ondernemingen hun marketingtechnieken zullen aanpassen. Big data creëert met andere woorden zelf
ook nieuwe informatie, wat niet zonder risico is (zie infra 15, nr. 28).
24. Kortom, big data treft de volledige value chain51
: zowel het verzamelen, opslaan, analyseren als
gebruiken van de informatie heeft veranderingen ondergaan. Dit allen biedt ondernemingen de
mogelijkheid correcte, geïndividualiseerde en bruikbare informatie af te leiden. Bovenvermelde
voordelen hebben aan het eind van de rit allen eenzelfde doel voor ogen: een verhoopte verhoogde
return on investment voor de betrokken onderneming.52
44
R. B. MILLIGAN en D. J. SALINAS, “The Big Data Revolution: Should The Internet Learn To Forget?”, Trading Secrets 2013, http://www.tradesecretslaw.com/files/2013/05/The-Big-Data-Revolution.pdf, 6. 45
T.H. DAVENPORT en J. DYCHÉ, “Big Data in Big Companies”, International Institute for Analytics 2013, http://www.sas.com/reg/gen/corp/2266746, 6-7. 46
V. MAYER – SCHÖNBERGER en K. CUKIER, Big Data. A Revolution That Will Transform How We Live, Work and Think, Canada, John Murray Publishers, 2013, 242 in L. MOEREL, “Big Data Protection”, Tilburg University 2014, 7. 47
Infra 16, nr. 31 v° tracking. 48
Infra 16, noot 68. 49
N. KROES, “The data gold rush”, European Commission 2014, http://europa.eu/rapid/press-release_SPEECH-14-229_en.htm. 50
Denk bijvoorbeeld aan Google Flu Trends. Zie ook F. H. CATE, P. CULLEN en V. MAYER-SCHÖNBERGER, “Data Protection Principles for the 21
st Century”, Oxford Internet
Institute 2014, http://www.oii.ox.ac.uk/publications/Data_Protection_Principles_for_the_21st_Century.pdf, 8 (hierna verkort CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection Principles for the 21
st Century”).
51 Infra 43.
52 T.H. DAVENPORT en J. DYCHÉ, “Big Data in Big Companies”, International Institute for Analytics 2013,
http://www.sas.com/reg/gen/corp/2266746, 22-23.
14
1.4 Gevaren van big data
25. Er is echter een keerzijde aan de medaille: big data brengt ook een aantal niet te onderschatten
gevaren met zich mee. De voornaamste risico’s situeren zich op het vlak van privacy en kunnen
worden ingedeeld in drie brede categorieën: observatie, openbaarmaking en discriminatie.53
26. Het eerste risico, observatie, verwijst naar het gevoel voortdurend bekeken en afgeluisterd te
worden. Dergelijk ongemak kan het gedrag van personen erg beïnvloeden, bijvoorbeeld door het
wekken van een afkeer ten aanzien van nieuwe technologieën. Meer nog, het kan een ‘chilling effect’
hebben doordat mensen denken dat alles wat ze meedelen ergens wordt opgeslagen en dus tegen hen
kan worden gebruikt. De angst dat alle sporen die achtergelaten worden een impact kunnen hebben op
toekomstige beslissingen, waaronder het vinden van werk en het verkrijgen van leningen, leidt ertoe
dat mensen zich constant gaan inhouden en/of hun gedrag actief gaan aanpassen.54
In het slechtst
mogelijke geval is het zelfs mogelijk dat de vrijheid van meningsuiting hieronder komt te lijden. De
enige manier om hier aan te ontsnappen, is door transparantie omtrent het gebruik van gegevens te
verzekeren. Observatie kan zowel betrekking hebben op vormen van overheidscontrole als op
tracking55
door private bedrijven.56
27. Openbaarmaking van de data vormt een tweede gevaar in de context van big data. Zij kan ofwel
het gevolg zijn van een inbreuk op de veiligheid van de data (data breach) ofwel van het delen van
gegevens met derden (third party sharing). De veiligheid van de data kan bijvoorbeeld gebroken
worden door hackers. Dit kan leiden tot identiteitsdiefstal, wat een significante kost vormt voor de
betrokkene.57
Bovendien kan ook de onderneming in dat geval rekenen op allerlei kosten, waaronder
financiële kosten om hun systeem te herstellen, juridische kosten naar aanleiding van vorderingen en
reputatiekosten door het gebroken vertrouwen. Het is met andere woorden van groot belang te
investeren in de veiligheid van het systeem.58
Daarnaast is ook het delen van gegevens met derden
heden ten dage erg populair. Dergelijke handeling is niet in se onrechtmatig, zolang men beschikt over
een rechtmatige grond voor het verwerken van de gegevens (infra 66, nr. 154 et seq.). Zo maakte ING
Nederland vorig jaar bekend dat het haar klanteninformatie wou gaan delen met adverteerders, die dan
53
P. BAKOWSKI, “Big data: opportunities and privacy concerns”, European Parliamentary Research Service 2014, http://www.europarl.europa.eu/RegData/bibliotheque/briefing/2014/140771/LDM_BRI(2014)140771_REV1_EN.pdf, 1-2; ENISA, “Privacy considerations of online behavioural tracking”, European Network and Information Security Agency 2012, https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/privacy-considerations-of-online-behavioural-tracking, 13-14. 54
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 256. 55
Infra 16, nr. 31. 56
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 10-11. 57
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 42; IBM, “Top Three Myths about Big Data Security”, IBM Corporation 2012, http://resources.idgenterprise.com/original/AST-0112387_Top_3_Myths_about_Big_Data_Security.PDF, 5-6. 58
OESO, “30 Years After the OECD Privacy Guidelines”, 22-23.
15
op hun beurt gepersonaliseerde reclame zouden kunnen aanbieden. Deze aankondiging kon op heel
wat verzet rekenen in Nederland.59
Dergelijke reactie toonde de gevoeligheid van het onderwerp aan.
28. Ten derde bestaat ook de mogelijkheid dat er gediscrimineerd wordt op basis van de informatie
vergaard door big data. Het verzamelen van meer gegevens leidt namelijk niet noodzakelijk tot meer
kennis over de betrokkenen. Dit komt doordat algoritmen, zoals gebruikt in geautomatiseerde
besluiten en predictive analysis, niet neutraal zijn, maar de keuzes van hun ontwerpers reflecteren.
Bijgevolg is het niet ondenkbaar dat big data bestaande vooroordelen en stereotypes bevestigt, en
sociale uitsluiting en verdeling versterkt.60
Dit kan volgens sommige literatuur uitmonden in
‘dictatorschap van data’, waarin men niet langer beoordeeld wordt op basis van werkelijke
handelingen, maar op basis van wat gegevens beschouwen als waarschijnlijke acties.61
Zelfs indien de
analyse van big data leidt tot correcte uitkomsten, is discriminatie mogelijk. Zo kunnen bepaalde
diensten worden geweigerd ten aanzien van bepaalde categorieën personen of kunnen prijzen
gepersonaliseerd worden aan de hand van kenmerken zoals religie of seksuele geaardheid.62
Dergelijke
praktijken zijn vooral problematisch wanneer het individu wiens informatie wordt gebruikt hiervan
niet op de hoogte is. In dat geval spreekt men over information inequality.63
Nog verder gaat het
wanneer informatie verzameld in de ene context, nadien wordt gebruikt in een andere. Dit kan leiden
tot onrechtvaardige situaties, zeker wanneer individuen op basis van predictive analysis zijn ingedeeld
in categorieën die zo zijn gekozen dat het moeilijk wordt er uit te geraken: “In the end the worry may
not be so much about having information gathered about us, but rather being sorted in the wrong or
disfavoured bucket”.64
Tot slot is het ook belangrijk er op te wijzen dat het uitsluitend blootstellen van
mensen aan inhoud die hun eigen meningen en waarden bevestigt, het bestaan van een gezonde
democratie op de helling zet doordat men niet meer in contact komt met personen die de eigen
veronderstellingen in vraag stellen.65
Het risico op en van discriminatie is met andere woorden reëel.
29. Voorgaande opsomming maakt duidelijk dat, waar er sterke economische belangen spelen in de
context van big data, er ook risico’s en mogelijks zelfs nadelen aan verbonden zijn voor zowel
individuen als de maatschappij. Voor- en nadelen dienen tegenover mekaar te worden afgewogen 66
en
59
X, “ING wil klantinformatie leveren aan bedrijven”, De Morgen 2014, http://www.demorgen.be/economie/ing-wil-klantinformatie-leveren-aan-bedrijven-a1808445/. 60
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 254. 61
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 10. 62
Voor voorbeelden, zie J. VALENTINO-DEVRIES, J. SINGER-VINE en A. SOLTANI, “Websites Vary Prices, Deals Based on Users’ Information”, The Wall Street Journal 2012, http://www.retailgeeks.com/wp-content/uploads/2012/12/2012_1223_Websites-Vary-Prices.pdf. 63
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 42. 64
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 42-43 in verband met information injustice. 65
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 11; O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 252; EXECUTIVE OFFICE OF THE PRESIDENT, “Big Data: Seizing opportunities, preserving values”, The White House 2014, http://www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_5.1.14_final_print.pdf, 7-8. 66
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 244; N. M. RICHARDS en J. H. KING, “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, (393) 403; L. MOEREL, “Big Data Protection”, Tilburg University 2014, 55-59.
16
moeten in acht genomen worden bij het bepalen van nieuwe regels “to regulate the societal costs of
our new tools without sacrificing their undeniable benefits”67
.
1.5 Gebruik van big data in marketing en sales
30. Big data is overal. Het wordt gebruikt in elke sector van elke economie en door elke organisatie en
elke gebruiker van digitale technologie. Gezien het onderwerp van deze scriptie, verdient het gebruik
van big data in de sector van marketing en sales enige verduidelijking. Dit gebeurt hierna aan de hand
van enkele definities en voorbeelden.
Terminologie
31. Het gebruik van big data in marketing en sales vindt plaats aan de hand van een aantal moderne
technieken. Verschillende van deze Engelstalige begrippen worden – soms zonder enige uitleg -
gehanteerd in de wetgeving van de Europese Unie en in de opinies van de Article 29 Working Party en
zullen dan ook regelmatig terugkeren in deze scriptie. Zij worden hieronder gedefinieerd.
Tracking
Tracking houdt principieel in dat men iets of iemand gaat volgen gedurende een welbepaalde
periode. In de context van big data, marketing en behavioural advertising (zie infra), heeft het
begrip voornamelijk betrekking op het opvolgen van het gedrag van een welbepaalde
consument, om zo inzicht te krijgen in diens interesses en voorkeuren. Het trackinginstrument
bij uitstek zijn cookies68
. De aanbieder van het advertentienetwerk zal een cookie plaatsen
wanneer het betrokken individu de website voor het eerst bezoekt. Deze cookie laat toe de
betrokkene te herkennen wanneer hij of zij terugkeert naar de website of een andere website
bezoekt die een partner is van de aanbieder. Dankzij deze herhaalde bezoeken zal de aanbieder
van het advertentienetwerk een profiel van de bezoeker kunnen opstellen (profiling), op basis
waarvan gepersonaliseerde reclame zal kunnen worden aangeboden (behavioural advertising).
Ook IP-adressen69
kunnen in dit kader een belangrijke rol spelen.70
67
N. M. RICHARDS en J. H. KING, “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, (393) 409. 68
Een cookie is een permanente code die wordt geplaatst in een map op de harde schijf van een computer door een website die de computer heeft bezocht. De code identificeert of registreert die gebruiker op unieke wijze en kan worden aangewend voor een aantal marketing en site-tracking doeleinden waaronder gepersonaliseerde reclame (GARTNER, “IT Glossary”, Gartner 2014, http://www.gartner.com/it-glossary/). Voor meer informatie over de rechtmatigheid van het plaatsen van cookies, zie infra 91, nr. 225 et seq. 69
Een IP-adres is een uniek nummer dat wordt toegekend door een internetautoriteit teneinde toe te laten een computer op het net te identificeren. Het nummer bestaat uit vier groepen nummers tussen 0 en 255, zoals bijvoorbeeld 195.112.56.75 (GARTNER, “IT Glossary”, Gartner 2014, http://www.gartner.com/it-glossary/). 70
ARTICLE 29 WORKING PARTY, “Opinion 2/2010 on online behavioural advertising (WP 171)”, European Commission 2010, 6-7 (hierna verkort WP 29, “Opinion on online behavioural advertising”).
17
Profiling of profilering
Onder profiling wordt verstaan dat er een gebruikersprofiel wordt opgesteld voor een
welbepaalde consument, met diens individuele kenmerken, voorkeuren en wensen. Er bestaan
twee standaardwijzen om deze informatie te verkrijgen: ofwel rechtstreeks van de betrokkene,
bijvoorbeeld door registratie op een website (explicit profiles), ofwel door het afleiden van
informatie met behulp van predictive analysis71
(predictive profiles). De technieken kunnen
ook worden gecombineerd.72
Profiling wordt vaak gehanteerd in de sectoren van marketing en
sales aangezien zij data ondernemingen een beter inzicht in haar consumenten en de markt
verschaft. Zo kunnen deze dan bijvoorbeeld gepersonaliseerde kortingen en doelgerichte
reclame toezenden aan de klant (behavioural advertising).
Behavioural advertising73
Behavioural advertising is een vorm van adverteren die gebaseerd is op observaties van het
gedrag van individuen gedurende een bepaalde periode. Wanneer men spreekt over online
behavioural advertising, gaat het met andere woorden over online reclame op basis van het
surfgedrag op het net. Behavioural advertising bestudeert de kenmerken van dit gedrag aan de
hand van de acties van de betrokken persoon en probeert zo een specifiek profiel van de
consument op te stellen (profiling). Op basis van dit profiel worden de marketingstrategieën
dan gepersonaliseerd door het toezenden van gepersonaliseerde kortingen, bijzondere
aanbiedingen en doelgerichte reclame.74
Deze vorm van adverteren biedt vaak een zeer
gedetailleerd beeld van het leven van de betrokkene, met bijvoorbeeld informatie over hoelang
zij een bepaald artikel online bekeken hebben.75
Direct marketing
Direct marketing is een soort gespecialiseerde marketing waarbij men reclame maakt door
klanten direct en persoonlijk te benaderen. Media van directe communicatie (zoals telefoontjes
of folders in de brievenbus) worden daarbij aangewend om een structurele en duurzame relatie
met de cliënt op te bouwen en te onderhouden. Dergelijke relatie kan gerealiseerd worden
door het analyseren van het koopgedrag van de consument om deze verworven informatie
71
Supra 13, nr. 23. 72
WP 29, “Opinion on online behavioural advertising”, 7. 73
Zie ook ENISA, “Privacy considerations of online behavioural tracking”, European Network and Information Security Agency 2012, https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/privacy-considerations-of-online-behavioural-tracking. 74
In de digitale wereld van vandaag lijkt het business model bij uitstek het financieren van producten en diensten met doelgerichte advertenties (targeted advertisements) te zijn. De waarde van deze reclame correspondeert rechtstreeks met de hoeveelheid en de kwaliteit van de vergaarde informatie. (WP 29, “Opinion on online behavioural advertising” in ARTICLE
29 WORKING PARTY, “Opinion 3/2013 on purpose limitation (WP 203)”, European Commission 2013, 45 (hierna verkort WP29, “Opinion on purpose limitation”). 75
Op dit punt onderscheidt behavioural advertising zich van contextual en segmented advertising (voor meer info, zie WP 29, “Opinion on online behavioural advertising”, 4-5).
18
nadien aan te wenden bij toekomstige activiteiten.76
Het spreekt voor zich dat dit soort
marketing zeer persoonlijk is en dus als intrusief kan worden ervaren.
Voorbeelden
32. In de sector van marketing en sales wordt big data door ondernemingen gebruikt om de
persoonlijke voorkeuren en het gedrag van hun klanten te analyseren of te voorspellen. Een aantal
sprekende voorbeelden uit de praktijk kunnen dit verduidelijken.
33. Enkele jaren terug deed Wal-Mart in de Verenigde Staten een onderzoek naar het koopgedrag van
haar consumenten gekoppeld aan het moment van de dag en het weer. Hieruit bleek dat, wanneer een
orkaan in aantocht was, de verkoop van Pop-Tarts maar liefst verzevenvoudigde en bier het
bestverkopende item was. Met orkaan Frances in aantocht stockeerde Wal-Mart een grote voorraad
van deze producten vooraan in de winkel. Het zag zo haar verkoopcijfers aanzienlijk stijgen.77
Ook in
België wordt volop gebruik gemaakt van big data in de marketing. Schoolvoorbeeld hiervan zijn de
gepersonaliseerde reclamefolders van Colruyt. Waar men vroeger dikke folders kreeg waarin men
soms zelfs urenlang op zoek moest naar de interessante, krijgt iedere klant vandaag een
gepersonaliseerde folder. Deze folder bevat dertig aanbiedingen, door Colruyt gekozen op basis van
eerder aankoopgedrag uit een weekpakket van vierhonderd producten.78
Het gaat echter ook verder
dan dit soort eerder onschuldige praktijken. Een zeer verregaand en bekend geval speelde zich af in
supermarktketen Target in Minneapolis. Op basis van diepgaande en maandenlange analyses slaagde
Target er in, aan de hand van het aankoopgedrag, te detecteren of een vrouw zwanger was. Het ging
niet over voor de hand liggende zaken zoals zwangerschapstesten of Pampers, maar over de aankoop
van onder andere geurloze lotion en vitaminesupplementen in de derde maand van de zwangerschap.
Op basis van deze voorspelling zond Target kortingsbonnen en aangepaste reclame naar consumenten
waarvan het vermoedde dat ze zwanger waren. Op een gegeven moment stormde een boze vader de
winkel binnen. Hij verweet Target zijn tienerdochter aan te moedigen om zwanger te worden. De
winkelmanager, die zelf ook van niks wist, excuseerde zich voor het ongemak. Enkele dagen later
werden de rollen echter omgekeerd en moest de vader zijn excuses aanbieden: “It turns out there’s
been some activities in my house I haven’t been completely aware of. She’s due in August.”79
76
CALLCENTER WOORDENBOEK, http://www.callcenterwoordenboek.nl/woordenboek/direct-marketing. 77
C. L. HAYS, “What Wal-Mart Knows About Customers’ Habits”, The New York Times 2004, http://www.nytimes.com/2004/11/14/business/yourmoney/14wal.html?_r%20=0&_r=0. 78
F. MICHIELS, “Big brother, kassa 7”, De Morgen: Reporter, 9 november 2013, 2. 79
K. HILL, “How Target Figured Out A Teen Girl Was Pregnant Before Her Father Did”, Forbes 2012, http://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/.
19
34. Deze voorbeelden tonen aan dat big data, hoewel het vele deuren opent, tegelijkertijd ook
balanceert op de grens tussen het moreel en/of juridisch aanvaardbare en het onaanvaardbare. Het
blijft dan ook belangrijk rekening te houden met de mening van consumenten omtrent de aard van de
verwerkte informatie en de mate waarin deze gebruikt mag worden.
1.6 Percepties van de consument omtrent privacy
35. Teneinde de huidige regelgeving beter te kunnen beoordelen en eventueel geschikte alternatieven
voor te stellen, is het van belang een inzicht te hebben in de huidige visies van consumenten omtrent
privacy en big data. Verschillende studies hebben de techniek van big data reeds onder de loep
genomen, telkens met vrij teleurstellende conclusies als eindresultaat.
36. Op vraag van de Europese Commissie werd de ‘Special Eurobarometer 359’80
uitgevoerd. Dit
onderzoek strekte tot het verkrijgen van een beter inzicht in de attitudes van EU-onderdanen met
betrekking tot databescherming en elektronische identiteit. Uit de Eurobarometer blijkt dat 74% van de
Europeanen het vrijgeven van persoonlijke informatie beschouwt als een toenemend onderdeel van het
moderne leven. Nochtans is een meerderheid bezorgd over het vastleggen van hun gedrag via
betaalkaarten, mobiele telefoons of mobiel internet. Ook blijkt dat slechts een derde er zich van
bewust is dat er een nationale publieke instantie bestaat die zich in het bijzonder bezighoudt met
persoonsgegevensbescherming. Verder maakt 70% zich zorgen dat hun persoonlijke data gebruikt
worden voor andere doeleinden dan die waarvoor ze waren opgeslagen. Zeer interessant om te weten
is dat maar liefst 75% van de Europeanen gebruik zou maken van ‘the right to be forgotten’ om
bepaalde informatie van het net te verwijderen. Voor het gebruiken van persoonlijke data zonder
medeweten van de consument worden volgende sancties voorgesteld: een boete (51%), een verbod om
dergelijke data in de toekomst nog te gebruiken (40%) of een schadevergoeding voor de slachtoffers
(39%). Tot slot is 88% er van overtuigd dat persoonlijke data beter beschermd zou worden wanneer
grote ondernemingen verplicht zouden worden een Data Protection Officer aan te nemen.81
37. Ook vermeldenswaardig is dat in voorgaand onderzoek een onderscheid werd gemaakt tussen twee
categorieën personen: digital natives en digital initiates.82
Digital natives zijn jonge mensen die
geboren werden tijdens of na de inburgering van de digitale technologie. Digital initiates zijn personen
die in principe ouder zijn en slechts ervaring opdeden met digitale technologie door bijvoorbeeld werk
80
TNS OPINION & SOCIAL, “Special Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union”, European Conmission 2011, http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. 81
De verplichting om een functionaris voor gegevensbescherming aan te nemen, wordt door artikel 35 van het Voorstel Algemene Verordening Gegevensbescherming aanzienlijk uitgebreid. 82
TNS OPINION & SOCIAL, “Special Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union”, European Conmission 2011, http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf, 4-5.
20
of opleiding en dus opgroeiden in tijden van small data. De eerste groep heeft over het algemeen een
soepelere houding ten aanzien van big data en het vrijgeven van persoonlijke informatie.83
38. Op haar beurt heeft telefoonoperator Orange een grootschalig onderzoek laten uitvoeren in
verband met digital trust.84
Uit dit onderzoek blijkt dat zo’n 78% van de consumenten wantrouwig zijn
ten aanzien van het gebruik van persoonlijke data door ondernemingen.85
Een even grote groep
ondervraagden heeft het gevoel dat dienstverleners te veel informatie bijhouden met betrekking tot
consumentengedrag en voorkeuren. Uit deze studie blijkt ook dat het vertrouwen in sociale media het
ergst van al achteruit gaat en dat met zo’n 46% ten aanzien van 2013. Financiële instellingen
daarentegen genieten het meeste vertrouwen, zo’n 51%. Waar big data in principe een dienst moet zijn
waar ondernemingen en consumenten evenveel van genieten, heeft 67% van de consumenten het
gevoel dat de praktijk hoofdzakelijk bedrijven ten goede komt. Verder gaat 70% van de
ondervraagden akkoord met de stelling dat er weinig of geen te vertrouwen wijzen zijn om bij te leren
over het beheer van persoonlijke data en online bescherming. Tot slot heeft 82% van de ondervraagde
personen het gevoel nauwelijks invloed te hebben op de manier waarop ondernemingen met hun data
omgaan.
39. Dergelijke negatieve houdingen kunnen volgens Orange talloze implicaties hebben, zoals een
verminderde dialoog tussen consumenten en organisaties, een reductie van het gebruik van de diensten
omwille van privacy- of veiligheidsredenen, hogere niveaus van gebrekkige informatie en verwarring,
en dergelijke. Om dergelijke situaties te vermijden, moeten stappen worden ondernomen. Zo is er eerst
en vooral nood aan een transparanter beleid vanwege de ondernemingen in verband met het gebruik en
het delen van data.86
Bovendien moet aan de consument meer macht gegeven worden over welke
informatie ze willen delen (al dan niet met behulp van een opt-in of opt-out87
systeem) en voor welke
83
TNS OPINION & SOCIAL, “Special Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union”, European Conmission 2011, http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf, 4-5. 84
ORANGE, “The future of digital trust – A European study on the nature of consumer trust and personal data”, LOUDHOUSE, februari 2014, http://www.orange.com/en/press/press-releases/press-releases-2014/New-research-identifies-increasing-trust-tension-among-European-consumers-in-how-organisations-use-their-personal-data. 85
Dit cijfer werd bevestigd door een studie van het Europese Parlement, zie EUROPEAN PARLIAMENT, “Data Protection Day: the challenge of keeping your personal information safe”, European Parliament 2014, http://www.europarl.europa.eu/news/en/news-room/infographics?ref=20140127IFG33903. 86
Deze stelling werd bevestigd door een navolgende studie waaruit bleek dat 77% van de consumenten het erg belangrijk vinden om te weten hoe hun data precies wordt gebruikt door mobiele operatoren. Transparantie werd bijna even belangrijk geacht als het verstrekken van een betrouwbare dienst (85%) en het krijgen van waar voor hun geld (80%). Zie ORANGE, “The future of digital trust – A European study on the nature of consumer trust and personal data”, LOUDHOUSE, september 2014, http://www.orange.com/en/press/press-releases/press-releases-2014/Consumers-value-their-personal-data-at-170-140-Orange-study-finds. Artikel 13bis en 14 van het Voorstel Algemene Verordening Gegevensbescherming breiden de transparantieverplichting uit. 87
Een opt-in regeling houdt in dat de betrokkene een actieve handeling moet stellen om inbegrepen te worden in de regeling. Doen zij dat niet, dan geldt er een andere standaardregeling of gebeurt er helemaal niets. Een opt-out regeling houdt in dat men automatisch wordt inbegrepen in de regeling en als het ware verzet moet aantekenen om dat te voorkomen.
21
diensten die mag worden aangewend.88
Tot slot dient de consument volgens Orange ook opgeleid te
worden in het controleren van zijn/haar data door een gespecialiseerd orgaan. Het belang van deze
maatregelen werd bevestigd door navolgende onderzoek van Orange89
.
1.7 Conclusie
De big data revolutie heeft een nieuw tijdperk ingewijd. Enorme hoeveelheden diverse gegevens zijn
in omloop en worden door ondernemingen bijgehouden, louter en alleen voor het geval dat zij zinvol
zouden blijken in de toekomst. Ook worden gegevens vandaag de dag van de ene entiteit naar de
andere versluisd en worden databanken met mekaar gecombineerd. Bovendien beschikken heel wat
instanties in the age of big data over instrumenten om waardevolle inzichten af te leiden uit deze ooit
onhandelbaar wilde oceaan aan gegevens. Dankzij dergelijke analyses komt men tot concrete en
bruikbare informatie, met inbegrip van voorspellingen, die kan worden aangewend in ondernemingen.
Zo krijgen deze de mogelijkheid om betere real-time beslissingen te nemen en meer accurate
voorspellingen te doen. In de marketingsector worden de gegevens vaak verkregen via tracking en
wordt de kennis aangewend om profielen op te stellen van consumenten en hen op basis daarvan te
onderwerpen aan behavioural advertising. Ten gevolge van deze ontwikkelingen zijn data bijzonder
waardevol geworden en lijkt het succes van een onderneming de dag van vandaag in grote mate
afhankelijk van de hoeveelheid gegevens waarover zij beschikt. Ondanks het feit dat de ontwikkeling
talloze onbetwiste voordelen met zich mee heeft gebracht, mogen ook de eraan verbonden gevaren
niet uit het oog worden verloren. Deze zijn aanzienlijk en situeren zich voornamelijk op het vlak van
privacy. Het betreft met name een risico op observatie, openbaarmaking en discriminatie, waardoor
het belang van transparantie en veiligheid van de gegevensverwerkingen (en anti-
discriminatiewetgeving) wordt benadrukt. Wanneer daaraan wordt toegevoegd dat aan dit erfgoed
vandaag de dag nog steeds aanzienlijk wat belang wordt gehecht en hieromtrent heel wat onrust en
wantrouwen heerst, lijkt het van groot belang het huidige juridische beschermingskader onder de loep
te nemen.
88
Onder het Voorstel Algemene Verordening Gegevensbescherming worden de rechten van de individuen versterkt en verduidelijkt. Zo introduceert artikel 4(8) van het Voorstel de verplichting uitdrukkelijke toestemming te geven, welke naar aanleiding van artikel 7 aan voorwaarden wordt onderworpen. 89
ORANGE, “The future of digital trust – A European study on the nature of consumer trust and personal data”, LOUDHOUSE, september 2014, http://www.orange.com/en/press/press-releases/press-releases-2014/Consumers-value-their-personal-data-at-170-140-Orange-study-finds.
22
23
HOOFDSTUK 2. RECHT OP DATABESCHERMING
40. Big data is een verzamelnaam voor allerlei vormen van verwerkingen van gegevens, waaronder
vaak persoonsgegevens. Aangezien er op persoonlijke informatie geen auteurs- of eigendomsrechten
bestaan, zijn verantwoordelijken90
gerecht deze te verwerken.91
Sinds enkele jaren bestaat er in de
Europese Unie evenwel een fundamenteel recht op databescherming, dat bij de verwerking van
andermans persoonsgegevens in acht moet worden genomen. Dit hoofdstuk gaat hier nader op in.
41. De bespreking begint met een overzicht van de bestaande rechtsbescherming binnen de Europese
Unie (2.1) en vervolgt met het onderscheid tussen het recht op databescherming en privacy (2.2).
Nadien wordt het fundamentele Europese recht geciteerd (2.3) en volgt meer informatie over de
relativiteit van het recht (2.4). In 2.5 wordt een korte introductie tot en vergelijking van het
Amerikaanse databeschermingsstelsel gemaakt. Het hoofdstuk wordt besloten met een conclusie (2.6).
2.1 Bescherming binnen de EU
42. Het recht op databescherming wordt vandaag de dag op verschillende wijzen verzekerd binnen de
Europese Unie.92
Zo maakt dat recht eerst en vooral deel uit van artikel 8 van het Europees Verdrag
voor de Rechten van de Mens.93
Dat artikel voorziet in de eerbiediging van het privé-, familie- en
gezinsleven, evenals de woning en de communicatie. Bovendien worden data ook beschermd door
Verdrag 10894
dat werd opgesteld in de schoot van de Raad van Europa. Dit document vormt tot op
vandaag het enige wettelijk verbindend internationaal document op vlak van databescherming.
Bescherming wordt ook geboden door de Databeschermingsrichtlijn, die het centrale instrument vormt
op vlak van databescherming binnen de Europese Unie en bijgevolg ook de centrale spil zal vormen
van het overgrote deel van deze scriptie. Verder is in artikel 16 van het Verdrag betreffende de
Werking van de Europese Unie het recht op bescherming van persoonsgegevens ten aanzien van EU-
instellingen en –lidstaten opgenomen. Tot slot wordt het recht op databescherming sinds elke jaren
expliciet erkend door artikel 8 van het Handvest van de Grondrechten van de Europese Unie.
90
Voor meer info omtrent het begrip, zie infra 43, nr. 87. 91
F. FERRETTI, “Data Protection and the Legitimate Interest of Data Controllers: Much Ado about Nothing or the Winter of Rights?”, Common Market Law Review 2014, vol. 51, (843) 848-849. 92
EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS en COUNCIL OF EUROPE, Handbook on European data protection law, Luxemburg, Publications Office of the European Union, 2014, 14-21 (hierna verkort EUROPEAN UNION AGENCY, Handbook on data protection law). 93
De naleving van dit verdrag valt onder het toezicht van de Raad van Europa. Deze Raad bestaat uit 47 leden, waaronder ook de 28 leden van de Europese Unie. 94
Verdrag voor de bescherming van individuen met betrekking tot de automatische verwerking van persoonlijke gegevens van 28 januari 1981, CETS, nr. 108.
24
2.2 Recht op databescherming ≠ recht op privacy
43. In de rechtsleer wordt voortdurend verwezen naar ‘het privacyprobleem’ dat big data met zich mee
brengt. Ook het Hof van Justitie en het Europees Hof voor de Rechten van de Mens lijken
databescherming te beschouwen als een uitdrukking van het recht op privacy.95
Deze veronderstelling
is echter niet helemaal correct: het recht op privacy en het recht op databescherming zijn in essentie
twee onderscheiden fundamentele rechten, elk met een eigen draagwijdte en beperkingen. Bijgevolg
vertoont big data in theorie wrevel met het recht op databescherming en niet met het recht op privacy.
De verwarring is echter niet onbegrijpelijk. Eerst en vooral werd het recht op databescherming slechts
tot fundamenteel verheven door de inwerkingtreding van het Handvest van de Grondrechten van de
EU in 2009. Het is met andere woorden een recent en minder gekend recht. Bovendien vullen beide
rechten mekaar aan. Zo interpreteert het Hof van Justitie de rechtspraak van het EHRM soms in die zin
dat de bescherming van privacy ook de bescherming van persoonsgegevens omvat.96
Privacy wordt
met andere woorden gewaarborgd wanneer persoonsgegevens worden beschermd overeenkomstig de
databeschermingswetgeving en komt respectievelijk in het gedrang wanneer persoonsgegevens
weglekken. Terzelfdertijd kan het verzamelen, opslaan en delen van persoonsgegevens perfect in
overeenstemming zijn met de vereisten voorzien in artikel 8(2) van het Handvest, maar toch nog een
inbreuk uitmaken op het privéleven onder artikel 8 EVRM. Kortom, het recht op databescherming en
het recht op privacy zijn twee aparte rechten waartussen evenwel een sterke synergie bestaat.97
2.3 Fundamenteel recht
44. De inwerkingtreding van artikel 8 van het Handvest van de Grondrechten van de Europese Unie
heeft ertoe geleid dat het recht op bescherming van persoonsgegevens binnen de EU tot een
fundamenteel grondrecht werd verheven. Het artikel luidt als volgt:
“1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens.
1. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming
van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet
voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op
rectificatie daarvan.
2. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.”
Deze bepaling omvat enkele van de centrale begrippen en principes uit de OESO-privacyrichtlijnen en
de Europese Databeschermingsrichtlijn (infra 30, nr. 54).
95
J. KOKOTT en C. SOBOTTA, “The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR”, International Data Privacy Law 2013, vol. 3(4), (222) 222-228. 96
Ibid.223. 97
B. J. KOOPS, “Privacy, informatieveiligheid en een onzichtbare medaille”, Taskforce Bestuur & Informatieveiligheid Dienstverlening 2014, https://pure.uvt.nl/portal/files/4387703/Koops_2014_privacy_en_informatieveiligheid_BID.pdf.
25
2.4 Relatief recht
45. Het recht op bescherming van persoonlijke data mag dan wel een fundamenteel recht zijn, een
absoluut recht is het niet. Het recht op databescherming is een relatief recht dat volgens de
rechtspraak98
moet worden beschouwd in relatie tot zijn functie in de samenleving. De verwerking van
persoonsgegevens is dus toegestaan onder voorwaarden (zie artikel 8(2) EU-Handvest). Voorts wordt
in artikel 52(1) van het Handvest erkend dat aan het recht op databescherming beperkingen kunnen
worden gesteld indien ze een wettelijke basis hebben, geen afbreuk doen aan de essentie van de
rechten en vrijheden, en proportioneel zijn ten aanzien van het beoogde doel.99
Ook artikel 8(2)
EVRM laat afwijkingen toe onder voorwaarden. Het is dus duidelijk dat bij het toepassen en
interpreteren van beide artikelen een afwegingsoefening dient te worden gemaakt.100
2.5 Databescherming in de Europese Unie vs. de Verenigde Staten
46. De toepasselijke databeschermingssystemen in de Europese Unie en de Verenigde Staten zijn in
essentie verschillend van mekaar qua natuur en werking. Gezien het internationale karakter van big
data en het internet, volgt hierna een introductie tot de principiële verschillen en de geleidelijke
toenadering van beide systemen.
47. De aan- of afwezigheid van het fundamentele recht op databescherming is het voornaamste
verschilpunt tussen het Europese en Amerikaanse databeschermingskader. In de Europese Unie is er
sprake van een rights-based system. Dit systeem is gebaseerd op twee pijlers, met name preventie
(proactive precautionary approach) en fundamentele rechten en vrijheden, waaronder het erkend recht
op databescherming. In de VS daarentegen wordt een beperktere aanpak voorgestaan. Daar wordt
voornamelijk gefocust op de publieke sector en op een select aantal gevoelige industrieën
(voornamelijk de gezondheidszorg en telecommunicatie). Databescherming is afhankelijk van de
vraag van de consument in geval van inbreuken en van zelfregulering vanwege de betrokken sectoren.
Zo een aanpak wordt harm-based genoemd, aangezien de overheid slechts zal overgaan tot regulering
eens er schade werd toegebracht.101
98
HvJ C-92/09 en C-93/09, Volker en Markus Schecke GbR en Hartmut Eifert v. Land Hessen, 2010, 48. Deze zaak had betrekking op de Europese landbouwsubsidiewetgeving, die voorzag in de verplichte bekendmaking van de identiteit van haar begunstigden en het precieze bedrag. De eisers in deze zaak, zelf begunstigden, verzochten deze gegevens niet te publiceren. De Duitse rechtbank richtte zich tot het Hof van Justitie. Het Hof was van oordeel dat deze publicatie een disproportionele inmenging in het fundamenteel recht op gegevensbescherming uitmaakte. Het feit dat er geen onderscheid werd gemaakt naar duurtijd, frequentie of aard en bedrag van de hulp, overschreed volgens het Hof de grenzen van het proportionaliteitsprincipe. 99
HvJ C-92/09 en C-93/09, Volker en Markus Schecke GbR en Hartmut Eifert v. Land Hessen, 2010, 50; EUROPEAN UNION
AGENCY, Handbook on data protection law, 21-22. 100
F. FERRETTI, “Data Protection and the Legitimate Interest of Data Controllers: Much Ado about Nothing or the Winter of Rights?”, Common Market Law Review 2014, vol. 51, (843) 859-861. 101
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 26-27.
26
48. Het onderscheid tussen beide systemen kan best worden aangetoond aan de hand van enkele
voorbeelden. Een van de verschillen heeft betrekking op de veiligheid van de data. Recent hebben
verschillende Amerikaanse staten wetten aangenomen die meldingsverplichtingen invoeren voor
organisaties in het geval van data-inbreuken.102
Deze notificatieplicht is een duidelijk voorbeeld van de
harm-based approach en staat haaks op het algemeen principe van de beveiliging van de verwerking
zoals terug te vinden in artikel 17 van de Europese Databeschermingsrichtlijn. Een ander onderscheid
tussen beide systemen bevindt zich op het niveau van de toelaatbaarheid van de gegevensverwerking.
Volgens artikel 7(a) EU-Richtlijn kan de verwerking van persoonsgegevens onder andere met
geïnformeerde toestemming van de betrokkene. Zoals infra wordt besproken, dient deze toestemming
specifiek en dus doelgebonden te zijn. Dergelijke beperking kent het Amerikaanse systeem niet: het
verwerken en overdragen van persoonlijke data wordt er principieel toegelaten. Dit impliceert echter
niet dat er geen grenzen zijn, want hier komt de Federal Trade Commission Act op de proppen.103
Sectie 5 van deze federale wet verbiedt met name oneerlijke of misleidende handelspraktijken en
wordt door de FTC gehanteerd om actie te ondernemen tegen bedrijven die hun
databeschermingspraktijken verkeerdelijk voorstellen aan consumenten. Zo werd Google reeds
veroordeeld wegens miskenning van voornoemde bepalingen.104
49. In de digitale eeuw is dergelijk onderscheid en het daaruit voortvloeiend verschil in bescherming
niet eenvoudig houdbaar. Beide systemen komen in tijden van big data en globalisering voortdurend
met mekaar in aanraking, wat reeds tot talloze economische en veiligheidsdisputen aanleiding heeft
gegeven.105
De spanning kende een hoogtepunt met het Snowden-schandaal in 2013, wanneer aan het
licht kwam dat de Amerikaanse National Security Agency naar aanleiding van 9/11 ook data over niet-
VS onderdanen bijhoudt.106
De WP29 erkent de noodzaak van internationale coöperatie tussen de
onderscheiden databeschermingsautoriteiten en andere bevoegde gezagsdragers teneinde geünificeerde
antwoorden te kunnen bieden en te verzekeren dat de bescherming van persoonsgegevens door alle
102
De California Security Breach Notification Act, die in werking trad in juli 2003, wordt beschouwd als eerste van deze soort. Zie L. MOEREL, “Big Data Protection”, Tilburg University 2014, 30-32. 103
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 33-34. 104
Voor meer info, zie FTC, “FTC Charges Deceptive Privacy Practices in Googles Rollout of Its Buzz Social Network”, FTC 2011, http://www.ftc.gov/news-events/press-releases/2011/03/ftc-charges-deceptive-privacy-practices-googles-rollout-its-buzz. 105
Voor uitleg en voorbeelden, zie L. MOEREL, “Big Data Protection”, Tilburg University 2014, 27-28. Zie ook MICROSOFT GLOBAL
PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 7 (hierna verkort MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”). 106
Edward Snowden is een voormalig medewerker van de Amerikaanse veiligheidsdienst NSA. In juni 2013 lekte hij geheime documenten waaruit bleek dat de NSA wereldwijd en op enorme schaal aan mass surveillance van telefoon- en internetcommunicaties deed. Diezelfde maand nog werd tegen de klokkenluider een arrestatiebevel wegens spionage uitgevaardigd door de FBI. Snowden bevindt zich vandaag de dag nog steeds in Rusland waarheen hij gevlucht is na zijn onthullingen. Zie ook M. RABAEY, “Na de lekken, het boek: `The Guardian’-journalist Luke Harding”, De Morgen, Reporter, 8 februari 2014, 1-3.
27
betrokken als even fundamenteel wordt aanschouwd.107
Een geharmoniseerde aanpak zou zowel
individuen, gemeenschappen als datagebruikers ten goede komen.108
50. Als reactie op het moeilijk houdbare onderscheid ondergingen beide systemen de laatste jaren een
geleidelijke toenadering.109
De WP 29 gaf recent een document uit waarin zij het belang van een risk-
based approach in de Europese databeschermingswetgeving benadrukt, zonder dat het volgens haar
evenwel een alternatief kan vormen voor het bestaande Europese regime. De werkgroep ziet het
Amerikaanse systeem eerder als een soort schaalbare en proportionele visie ten aanzien van de
naleving. Concreet komt het er op neer dat het fundamentele recht op databescherming
onvoorwaardelijk gerespecteerd dient te worden, maar dat de uitwerking van de wettelijke
verplichtingen zal variëren in functie van het risiconiveau van de verwerking. Zo zal een
verantwoordelijke wiens verwerking weinig risico’s met zich meebrengt de verplichtingen in mindere
mate moeten naleven dan een verwerker wiens verwerking erg risicovol is. De WP 29 is van mening
dat deze visie reeds vertegenwoordigd wordt in het Voorstel Algemene Verordening
Gegevensbescherming door de introductie van concepten zoals privacyeffectbeoordeling, functionaris
voor gegevensbescherming en voorafgaande raadpleging (infra). Zij tracht met andere woorden het
beste van beide werelden te combineren.110
2.6 Conclusie
51. In de Europese Unie wordt erg veel belang gehecht aan databescherming, en dat uit zich in de
aanwezigheid van talloze beschermingsstelsels. Een van de belangrijkste bronnen hieromtrent is de
Databeschermingsrichtlijn, die in volgend hoofdstuk uitgebreid besproken zal worden. Recentelijk
werd zelfs een fundamenteel maar relatief recht op databescherming geïntroduceerd in het Handvest
van de Grondrechten van de EU, dat dient te worden afgewogen tegenover andere rechten. Het mag
dan ook niet verbazen dat de verhouding tussen big data en databeschermingswetgeving een van de
belangrijkste en meest bediscussieerde problemen met betrekking tot het onderwerp vormt. In de VS
houdt men er evenwel een totaal andere benadering op na: daar bestaat geen recht op databescherming
en wordt slechts opgetreden indien er schade wordt veroorzaakt. Ondanks het fundamenteel
verschillend vertrekpunt lijken beide systemen in de laatste jaren naar mekaar toe te groeien. Deze
geleidelijke toenadering is erg gewenst gezien de afwezigheid van grenzen in the age of big data.
107
ARTICLE 29 WORKING PARTY, “Statement on Statement of the WP29 on the impact of the development of big data on the protection of individuals with regard to the processing of their personal data in the EU (WP 221)”, European Commission 2014, 3. 108
MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 8. 109
Waaronder langs Amerikaanse zijde de aanname van de wetten die meldingsverplichtingen invoeren voor organisaties in het geval van data-inbreuken. 110
ARTICLE 29 WORKING PARTY, “Statement on the role of a risk-based approach in data protection legal frameworks (WP 218)”, European Commission 2014.
28
29
HOOFDSTUK 3. DATABESCHERMING IN DE BELGISCHE EN
EUROPESE WETGEVING
52. In dit onderdeel zal worden onderzocht of big data in overeenstemming is met de
databeschermingswetgeving zoals deze vandaag de dag van toepassing is in België, met inbegrip van
de toepasselijke Europese wetgeving. Andere soorten wetgeving waaronder discriminatiewetgeving of
wetgeving met betrekking tot intellectuele rechten zullen buiten beschouwing worden gelaten in deze
scriptie. Specifieke problemen zoals copyright, identiteitsdiefstal en discriminatie zullen niet worden
behandeld. Het betreft met andere woorden een analyse van het pure big data proces van verzamelen,
opslaan, gebruiken en delen van data, in de hypothese dat er geen bijzondere problemen optreden.
53. Deze kritische evaluatie zal starten met een korte blik op de oorsprong van de Europese
databeschermingswetgeving (3.1). Nadien wordt zij onderverdeeld in drie grote stukken op basis van
de relevante Europese rechtsbron. Onderafdeling 3.2 heeft betrekking op de Databeschermingsrichtlijn
die tot op vandaag nog steeds het sleutelinstrument vormt met betrekking tot bescherming van data. In
onderafdeling 3.3 wordt een specifieker medium behandeld, met name de e-Privacyrichtlijn die van
toepassing is op de sector van de elektronische communicatie. Het recente Voorstel Algemene
Verordening Gegevensbescherming wordt besproken in 3.4.
30
3.1 Oorsprong van de Europese databeschermingswetgeving
54. De huidige Europese databeschermingswetgeving vindt haar oorsprong in de jaren zeventig. Na
intense discussies tussen Noord-Amerika en Europa werden toen de Fair Information Practices
Principles vastgelegd.111
De FIPPS vormden de basis van de “Guidelines Governing the Protection of
Privacy and Transborder Flows of Personal Data”, opgesteld door de Organisatie voor Economische
Samenwerking en Ontwikkeling (hierna verkort OESO)112
. Het belangrijkste onderdeel van deze
vrijblijvende richtlijnen was zonder enige twijfel het stuk dat de privacyprincipes invoerde. Deze
principes trachtten een evenwicht te scheppen tussen privacy enerzijds en het vrije verkeer van
informatie anderzijds. Zij waren met andere woorden reeds ingegeven vanuit de bezorgdheid dat
individuen hun recht op informatieprivacy in de toekomst zouden verliezen.113
Tot op vandaag vormen
deze principes de basis van de Europese databeschermingswetgeving. Doordat verschillende van deze
principes onder druk kwamen te staan door de opkomst van big data, bracht de OESO in 2013 een
herwerkte versie uit van de principes, rekening houdend met de technologische en maatschappelijke
veranderingen van de laatste drie decennia.114
111
OESO, “30 Years After the OECD Privacy Guidelines”, 8-9. 112
De OESO is een samenwerkingsverband van 34 landen (waaronder verschillende Europese landen en de Verenigde Staten) dat zich bezig houdt met het bespreken, bestuderen en coördineren van sociale en economische thema’s, waaronder ook privacy en databescherming. De samenwerkende landen hopen zo problemen gezamenlijk aan te pakken en een internationaal beleid te voeren. Het is van belang zich ervan bewust te zijn dat een groot deel van hun werk, waaronder de privacyprincipes, niet wettelijk bindend is. 113
CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection Principles for the 21st
Century”, 2; MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 3. 114
OESO, “The OECD Privacy Framework”, OECD 2013, http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf.
31
3.2 Databeschermingsrichtlijn 95/46/EG en Databeschermingswet 1992
3.2.1 Inleiding
55. In afwachting van de aanvaarding en inwerkingtreding van het hervormingspakket115
, is de oude
databeschermingswetgeving nog steeds van toepassing in de Europese Unie. Het sleutelinstrument met
betrekking tot deze thematiek is de Europese Databeschermingsrichtlijn. Gezien de aard van het
instrument, is de Richtlijn niet rechtstreeks toepasselijk in de lidstaten. Bijgevolg werd deze Richtlijn
in 1998 omgezet in Belgisch recht door een aanpassing van de reeds bestaande Databeschermingswet
van 1992116
. Deze introductie zet onmiddellijk de toon: vrij gedateerde en onaangepaste regelgeving is
tot op de dag van vandaag van toepassing op het verwerken van gegevens in de eeuw van big data.
56. Aangezien ze inhoudelijk bijna volledig overeenstemmen en teneinde dubbel werk te vermijden,
worden de Databeschermingsrichtlijn en Databeschermingswet hierna tezamen behandeld. Wegens
haar universeel karakter werd er voor gekozen de nadruk op de Databeschermingsrichtlijn te leggen.
De respectievelijke artikelen in de Databeschermingswet zullen worden opgenomen in tekst of
voetnoten.
3.2.2 Inhoudelijke bespreking
57. De Databeschermingsrichtlijn van 1995 beschermt de persoonlijke levenssfeer van individuen in
de Europese Unie ten opzichte van het ongeoorloofd gebruik van hun persoonsgegevens.117
Een groot
deel van de regels in deze Richtlijn bouwt voort op een aantal centrale begrippen en beginselen die op
gespannen voet staan met het concept big data.118
Deze worden hierna uitvoerig besproken.
58. Teneinde een zo overzichtelijk mogelijk beeld te geven, wordt volgende structuur gevolgd.119
In
onderdeel 3.2.2.1 van deze bespreking zal het toepassingsgebied van de Databeschermingsrichtlijn
worden geschetst. Onderdeel 3.2.2.2 bevat een kritische studie van de in de Richtlijn gebruikte
terminologie en onderdeel 3.2.2.3 volgt met het bespreken van de principes waarop het rechtmatig
115
Zie infra 101, nr. 245 et seq. 116
Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993, geamendeerd door de Wet van 11 december 1998 (hierna verkort Databeschermingswet). 117
Art. 3 Databeschermingsrichtlijn; respectievelijk art. 3 Databeschermingswet. 118
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 53; O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 242; I. S. RUBENSTEIN, “Big Data: The End of Privacy or a New Beginning?”, International Data Privacy Law 2013, vol. 3(2), (74) 74; INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 1; WORLD ECONOMIC FORUM, “Unlocking the Value of Personal Data: From Collection to Usage”, World Economic Forum 2013, http://www3.weforum.org/docs/WEF_IT_UnlockingValuePersonalData_CollectionUsage_Report_2013.pdf, 11-12. 119
De grote lijnen qua structuur werden overgenomen uit EUROPEAN UNION AGENCY, Handbook on data protection law.
32
verwerken van persoonsgegevens is gesteund. In onderdeel 3.2.2.4 worden de regels van de Europese
databeschermingswetgeving nader bestudeerd. Tot slot wordt het hoofdstuk beëindigd met een
bespreking van de rechten van de betrokkene en de handhaving in onderdeel 3.2.2.5.
3.2.2.1 Toepassingsgebied
Ratione materiae
59. Uit het samenlezen van artikel 1 en 3 van de Databeschermingsrichtlijn120
volgt dat zij van
toepassing is op het geheel of gedeeltelijk geautomatiseerd verwerken van persoonsgegevens, alsmede
op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of
die bestemd zijn om daarin te worden opgenomen. Een gegevensverwerking geschiedt
geautomatiseerd wanneer zij verloopt via informatica, telematica of telecommunicatienetwerken zoals
het internet.121
Het verzamelen, opslaan, gebruiken en delen van big data valt hier vanzelfsprekend
onder en dient dus in principe te voldoen aan de vereisten gesteld door deze Richtlijn.
60. Er bestaan echter twee uitzonderingen op het toepassingsgebied van de Databeschermingsrichtlijn.
De eerste categorie uitzonderingen in artikel 3 heeft betrekking op activiteiten die buiten de
werkingssfeer van het Gemeenschapsrecht vallen en op allerlei activiteiten van publieke aard,
waaronder openbare veiligheid en defensie. Ook artikel 13 Databeschermingsrichtlijn voorziet in de
mogelijkheid om gedeeltelijke uitsluitingen te voorzien met het oog op allerlei doeleinden van
openbaar belang. Deze categorie werd omgezet in Belgisch recht door het invoeren van gedeeltelijke
uitzonderingen in artikel 3, §4-7 van de Databeschermingswet. De uitzonderingen zijn niet relevant in
het kader van big data en worden verder buiten beschouwing gelaten in deze scriptie.
61. De tweede uitsluiting heeft betrekking op de verwerking van persoonsgegevens “die door een
natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt
verricht”122
. Deze uitzondering wordt wel eens de ‘huishouduitzondering’ of ‘household-exemption’
genoemd. De ratio van deze uitzondering bevindt zich in het feit dat dergelijke verwerking wordt
aanzien als onderdeel van de vrijheden van private individuen. De uitzondering werd echter ingevoerd
in een tijdperk waarin slechts een kleine minderheid van de EU-onderdanen toegang had tot
computers, smartphones en internet. Zij ondergingen met andere woorden passief het verwerken van
hun gegevens. Het tegenovergestelde is vandaag de dag waar: sinds de komst van Web 2.0 verstrekken
120
Respectievelijk art. 3 Databeschermingswet. 121
BELGISCHE PRIVACYCOMMISSIE, “Bescherming van persoonsgegevens in België”, Privacycommissie, s.d., http://www.privacycommission.be/sites/privacycommission/files/documents/bescherming-van-persoonsgegevens-in-belgie.pdf, 5. 122
Overweging 12 en art. 3, 2), tweede streepje Databeschermingsrichtlijn; respectievelijk art. 3, §2 Databeschermingswet.
33
mensen zelf, spontaan en vrijwillig, gigantische hoeveelheden data bij het aanschaffen van goederen
en diensten via het internet en bij het gebruiken van andere online diensten. Bovendien publiceren en
delen velen van hen, in het bijzonder de digital natives, actief persoonsgegevens op sociale media over
zichzelf, hun familie en vrienden.123
Deze ontwikkelingen stellen de traditionele concepten van
‘betrokkene’, ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ in vraag en vervagen het
onderscheid ertussen.124
Zo is het vandaag de dag niet ondenkbaar dat een Facebookgebruiker wordt
gekwalificeerd als verantwoordelijke naar aanleiding van het uploaden van persoonsgegevens
betreffende anderen.125
In het arrest Lindqvist126
oordeelde het Hof van Justitie dat de
huishouduitzondering strikt dient te worden geïnterpreteerd en dat zij zich alvast niet uitstrekt tot het
publiceren van persoonsgegevens aan een ongelimiteerd aantal personen op het internet.127
Ook
wanneer een gebruiker van sociale media optreedt namens een onderneming, of het platform gebruikt
voor commerciële, politieke of liefdadigheidsdoelen, zal de uitzondering geen toepassing vinden. In
dergelijke gevallen dient de gebruiker, nu verantwoordelijke, overeenstemming met de bepalingen in
de Databeschermingsrichtlijn te verzekeren. Het lijkt bijgevolg onvermijdelijk in de toekomst meer in
te zetten op opleiding en bewustzijnsactiviteiten teneinde individuen in staat te stellen de gevolgen van
het eigen gedrag beter in te schatten.128
Daartegenover staat de situatie waarin het individu wel onder
de huishouduitzondering valt en ook de dienstenaanbieder niet als verantwoordelijke kan worden
gekwalificeerd. In dat geval komt men in een wetslacune terecht waarin niemand verantwoordelijk kan
worden gesteld.129
Daarnaast staat de huishouduitzondering ook op gespannen voet met ‘the right to be
forgotten’, maar dat wordt in een later hoofdstuk behandeld (infra 113, nr. 279 et seq.). Het moge
duidelijk zijn dat de huishoudexceptie niet aangepast is aan het leven in tijden van big data.
62. Tot slot voorziet artikel 9 van de Databeschermingsrichtlijn in de mogelijkheid voor de lidstaten
om uitzonderingen op en afwijkingen van bepaalde hoofdstukken in te voeren teneinde het recht op
persoonlijke levenssfeer te verzoenen met de regels betreffende de vrijheid van meningsuiting. Ter
omzetting van dit artikel bevat paragraaf 3 van artikel 3 Databeschermingswet een gedeeltelijke
123
OESO, “30 Years After the OECD Privacy Guidelines”, 21. 124
OFFICE OF THE MINISTER FOR JUSTICE AND EQUALITY, “Discussion paper on data protection”, Informal Justice and Home Affairs Ministers’ Meeting Dublin 2013, http://www.eu2013.ie/media/eupresidency/content/documents/FINAL-Discussion-paper-on-data-protection-for-Informal-JHA-Council.doc, 1. Zie ook infra 43, nr. 87 et seq. 125
ARTICLE 29 WORKING PARTY, “Opinion 1/2010 on the concepts of “controller” and “processor” (WP 169)”, European Commission 2010, 21; ARTICLE 29 WORKING PARTY, “Opinion 5/2009 on Online Social Networking (WP 163)”, European Commission 2009, 5-7. 126
HvJ C-101/01, Lindqvist, 2003. De zaak betrof een website voor parochianen, gecreëerd door mevrouw Lindqvist als onderdeel van haar computerlessen. Deze webpagina bevatte informatie over haar mede kerkvrijwilligers, waaronder enkele volledige namen, telefoonnummers, jobs en hobby’s. Het Hof van Justitie oordeelde dat dit een verwerking van persoonsgegevens uitmaakt waarop de huishouduitzondering niet van toepassing is. 127
EUROPEAN UNION AGENCY, Handbook on data protection law, 94. 128
OESO, “30 Years After the OECD Privacy Guidelines”, 27-28. 129
ARTICLE 29 WORKING PARTY EN WORKING PARTY ON POLICE AND JUSITICE, “The Future of Privacy (WP 168)”, European Commission 2009, 18.
34
uitsluiting van de wet voor verwerkingen van persoonsgegevens voor uitsluitend journalistieke,
artistieke of literaire doeleinden.
Ratione loci
63. Artikel 4 van de Databeschermingsrichtlijn legt het toepassingsgebied ratione loci vast. De
Richtlijn vindt principieel toepassing wanneer de verwerking van de persoonsgegevens wordt verricht
door een verantwoordelijke die gevestigd is op het grondgebied van een EU-lidstaat. Art 3bis
Databeschermingswet past dit artikel toe op de Belgische situatie in het bijzonder. Het hoeft geen
betoog dat een beperking van het territoriale toepassingsgebied van de databeschermingsregels in
huidige digitale eeuw niet werkbaar is (zie ook supra 26, nr. 49). Het internet kent geen nationaliteit,
laat staan begrenzingen. Alle databeschermingssystemen komen voortdurend met mekaar in
aanraking. Het uitwerken van een internationale standaard lijkt met andere woorden onontbeerlijk wil
men geünificeerde oplossingen voor gemeenschappelijke problemen bieden. ‘Bescherming los van de
gegevenslocatie’ werd dan ook beschouwd als een van de vier pijlers waarop de hervorming van de
databeschermingswetgeving gesteund dient te zijn.130
64. Het vrij verkeer van persoonsgegevens binnen de Europese Unie wordt gewaarborgd door artikel
1(1) van de Databeschermingsrichtlijn. De Richtlijn bevat ook enkele artikelen in verband met de
doorgifte van gegevens naar derde landen, welke enige toelichting vereisen gezien het internationaal
karakter van big data. De term ‘doorgifte naar derde landen’ mag niet te ruim worden geïnterpreteerd
en vereist enige graad van specificiteit. Zo heeft het Hof van Justitie geoordeeld dat het begrip geen
betrekking heeft op het uploaden van gegevens op een internetpagina, zelfs indien de data hierdoor
toegankelijk worden in derde landen.131
Persoonsgegevens die aan een verwerking worden
onderworpen of die bestemd zijn om na doorgifte te worden verwerkt, mogen op grond van artikel 25
Databeschermingsrichtlijn132
slechts worden doorgegeven indien dat derde land volgens de Europese
Commissie een passend beschermingsniveau waarborgt. Een van de belangrijkste rapporten
hieromtrent is die waarin de Commissie de Safe Harbour Privacy Principles als passend erkent. Deze
beslissing vergemakkelijkt de relaties en doorgifte van persoonsgegevens tussen de Europese Unie en
Amerikaanse ondernemingen aanzienlijk.133
Ook in een aantal bijzondere situaties, die nauw
aanleunen bij de algemene rechtmatigheidsgronden134
, zal doorgifte naar een derde land toegestaan
zijn.135
Deze situaties blijven uitzonderingen op de regel dat het beschermingsniveau passend moet
130
V. REDING, “Your data, your rights: safeguarding your privacy in a connected world”, European Commission 2011, http://europa.eu/rapid/press-release_SPEECH-11-183_en.htm, 3. 131
HvJ C-101/01, Lindqvist, 2003, 68-69. 132
Respectievelijk art. 21 Databeschermingswet. 133
EUROPEAN UNION AGENCY, Handbook on data protection law, 133-134. 134
Infra 67, nr. 155. 135
Art. 26 Databeschermingsrichtlijn; respectievelijk art. 22 Databeschermingswet.
35
zijn, en moeten dus restrictief geïnterpreteerd worden.136
In dat geval vereist de Richtlijn dat de
verantwoordelijke aantoont dat er voldoende waarborgen geboden zijn. Deze waarborgen kunnen hun
oorsprong vinden in contractuele bepalingen, bindende ondernemingsregels en bijzondere
internationale overeenkomsten.137
Een verantwoordelijke zal met het voorgaande rekening moeten
houden bij het doorspelen van gegevens aan derden gevestigd buiten de Europese Unie.
3.2.2.2 Terminologie
65. Artikel 2 Databeschermingsrichtlijn138
definieert de begrippen die voor het verder gebruik van de
Richtlijn relevant zijn. Hierna volgt een inhoudelijke bespreking van de belangrijkste begrippen en
hun verhouding met het concept big data. In functie van de Databeschermingsrichtlijn wordt deze
structuur gevolgd:
3.2.2.2.1 Het begrip ‘persoonsgegevens’;
3.2.2.2.2 Het begrip ‘verwerken’;
3.2.2.2.3 De begrippen ‘verantwoordelijke’ en ‘verwerker’;
3.2.2.2.4 De begrippen ‘derde’ en ‘ontvanger’;
3.2.2.2.5 Het begrip ‘geïnformeerde toestemming’.
3.2.2.2.1 Persoonsgegevens
66. Het centrale begrip van de Databeschermingsrichtlijn is ‘persoonlijke data’ of ‘persoonsgegevens’
en wordt gedefinieerd in artikel 2(a)139
als zijnde
“iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon,
hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct
of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of
van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke,
fysiologische, psychische, economische, culturele of sociale identiteit.”
67. De definitie bestaat uit vier elementen: (1) iedere informatie, (2) betreffende, (3) een
geïdentificeerde of identificeerbare, (4) natuurlijke persoon. Deze bouwstenen zijn onderling
vervlochten en wederzijds afhankelijk.140
Hierna volgt een bespreking.
136
ARTICLE 29 WORKING PARTY, “Working document on a common interpretation of Article 26(1) of Directive 95/46/EG of 24 October 1995 (WP 114)”, European Commission 2005 in EUROPEAN UNION AGENCY, Handbook on data protection law, 136. 137
Voor meer info, zie EUROPEAN UNION AGENCY, Handbook on data protection law, 136-142. 138
Respectievelijk art. 1 Databeschermingswet. 139
Respectievelijk art. 1, §1 Databeschermingswet. 140
ARTICLE 29 WORKING PARTY, “Opinion 4/2007 on the concept of personal data (WP 136)”, European Commission 2007, 6 (hierna verkort WP 29, “Opinion on the concept of personal data”).
36
(1) Iedere informatie
68. Het eerste element, ‘iedere informatie’, is een zeer wijd begrip, zowel naar aard, inhoud als vorm
toe.141
Het omvat onder andere gevoelige data, welke worden behandeld door artikel 8 van de Richtlijn
en artikelen 6 tot en met 8 van de Databeschermningswet.142
Dit element van de definitie brengt geen
bijzondere problemen met zich mee in de context van big data.
(2) Betreffende
69. Of informatie effectief een individu betreft, is in bepaalde gevallen minder voor de hand liggend.
De WP 29 oordeelde dat "data relates to an individual if it refers to the identity, characteristics or
behaviour of an individual or if such information is used to determine or influence the way in which
that person is treated or evaluated" en neemt dus een functionele benadering aan. Volgens deze
zienswijze kan met drie alternatieve elementen rekening worden gehouden: inhoud, doel en resultaat
of impact.143
Ook dit begrip verdient geen nader onderzoek in de sfeer van big data.
(3) Geïdentificeerde of identificeerbare
70. Opdat gesproken kan worden van persoonsgegevens in de zin van de Databeschermingsrichtlijn, is
vereist dat een bepaalde persoon geïdentificeerd of op zijn minst identificeerbaar is. Dit onderdeel van
de definitie is met betrekking tot big data zonder enige twijfel het meest problematisch.
(Mogelijkheid tot) identificatie
71. De Databeschermingsrichtlijn vindt toepassing wanneer een natuurlijke persoon geïdentificeerd of
identificeerbaar is. Een individu kan worden beschouwd als geïdentificeerd wanneer hij of zij zich
onderscheidt van de andere leden van de groep. Identificeerbaar is een individu wanneer de persoon
nog niet werd geïdentificeerd, maar de mogelijkheid om tot identificatie over te gaan wel degelijk
bestaat. Het is in deze context van belang zich er van bewust te zijn dat zelfs wanneer een individu niet
geïdentificeerd of rechtstreeks identificeerbaar is, de kans nog steeds reëel is dat deze indirect zal
kunnen worden geïdentificeerd. Indirecte identificatie gebeurt door het samenleggen van verschillende
stukjes aan informatie die leiden tot unieke combinaties, zodat men telkens bij een- en dezelfde
persoon uitkomt.144
141
WP 29, “Opinion on the concept of personal data”, 6-9. 142
Een afzonderlijke regeling voor dit soort gegevens werd als gewenst ervaren omdat zij wegens hun aard een inbreuk kunnen maken op de fundamentele vrijheden of de persoonlijke levenssfeer (zie overweging 33 Databeschermingsrichtlijn). 143
WP 29, “Opinion on the concept of personal data”, 10-12. 144
WP 29, “Opinion on the concept of personal data”, 13.
37
72. In bepaalde rechtsleer wordt voorgesteld om persoonsgegevens niet langer te definiëren aan de
hand van het afgetekende onderscheid tussen identificeerbaarheid en niet-identificeerbaarheid, maar
op basis van een risicomatrix. De kans op identificatie zou met ander woorden bekeken worden als een
soort van continuüm, waarbij rekening zou worden gehouden met het risico, het voornemen en de
mogelijke gevolgen van re-identificatie. Gegevens die slechts identificeerbaar zijn mits grote kost,
zouden slechts worden onderworpen aan een gedeelte van de databeschermingsregelen.145
Een
gelijkaardige stelling wordt gevolgd door de Federal Trade Commission. Deze commissie stelt voor
het begrip in essentie te verschuiven van een feitelijke test naar een juridische, aan de hand van het
voornemen en de verbintenis van de organisatie. Wanneer de gegevens niet redelijkerwijze
identificeerbaar zijn, de verantwoordelijke zich ertoe verbindt om niet tot re-identificatie over te gaan
en ook derde entiteiten contractueel worden verboden de data te re-identificeren, zouden deze buiten
het toepassingsgebied van de databeschermingswetgeving vallen.146
Dergelijke aanpak zou zonder
enige twijfel verantwoordelijkheid en bijgevolg veiligheidsmaatregelen stimuleren.
Middelen ter identificatie
73. Ter identificatie moet volgens overweging 26 van de Databeschermingsrichtlijn “…worden
gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die
voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om
genoemde persoon te identificeren.” Dit houdt in dat met talloze factoren rekening moet worden
gehouden teneinde de kans op identificatie te bepalen. Nuttige criteria zijn onder meer de kost van het
identificeren en de bedoeling van de voor de verwerking verantwoordelijke. Dit criterium voert een
dynamische test in, waarbij ook belang moet worden gehecht aan de stand van de technologie op het
ogenblik van het verwerken en de kansen op ontwikkeling tijdens de periode waarin de data worden
verwerkt.147
Dit is van belang in de context van big data, een context waarin data regelmatig worden
opgeslagen voor onbeperkte duur omdat zij in de toekomst wel eens nuttig zou kunnen zijn.148
In
principe moet dus ook in dergelijke gevallen rekening worden gehouden met de mogelijkheid op
identificatie in de toekomst. De enige manier om hier aan te ontsnappen is het voorzien van technische
maatregelen die identificatie onmogelijk maken.149
Zo niet worden de data als persoonsgegevens
beschouwd, met alle gevolgen van dien.
145
P. M. SCHWARTZ en D. J. SOLOVE, “The PII Problem: Privacy and a New Concept of Personally Identifiable Information”, New York University Law Review 2011, vol. 86(6), (1814) 1865-1893. 146
FEDERAL TRADE COMMISSION, “Protecting Consumer Privacy in an Era of Rapid Change”, FTC Report 2012, http://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf, 22. 147
WP 29, “Opinion on the concept of personal data”, 15. 148
N. M. RICHARDS en J. H. KING, “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, (393) 404. 149
WP 29, “Opinion on the concept of personal data”, 17.
38
Identifiers
74. Het identificeren van een persoon gebeurt aan de hand van specifieke stukjes informatie die
‘identifiers’ worden genoemd.150
Identifiers kunnen allerlei soorten gegevens zijn, waaronder een
naam, rijksregisternummer, adres of beroep. In de context van big data zijn dat soort standaard
identifiers echter niet van groot belang. Veel relevanter zijn de zogenaamde online identifiers zoals IP-
adressen en cookies.
75. De WP 29 beschouwt IP-adressen - zelfs dynamische - als gegevens met betrekking tot een
identificeerbare persoon. Dit komt doordat internetaanbieders over redelijke middelen beschikken om
hun internetgebruikers te identificeren aan de hand van IP-adressen.151
Als individu volstaat het een pc
als contactpunt te hebben om te kunnen worden geïdentificeerd, zonder dat daarvoor effectief de
vrijgave van zijn of haar identiteit nodig is.152
Ook in een arrest van het Hof van Justitie werd
geoordeeld dat “… IP-adressen de precieze identificatie van die gebruikers mogelijk maken …”.153
Tenzij een internetprovider dus met absolute zekerheid de niet-identificeerbare gegevens kan
onderscheiden van de identificeerbare, zal hij alle IP-informatie als persoonsgegevens moeten
beschouwen om veilig te spelen.154
Deze visie werd bevestigd door de Federal Trade Commission.155
76. De WP 29 is van mening dat cookies een nog meer accurate identificatie toelaten dan IP-
adressen.156
Wanneer een cookie een unieke gebruikersidentificatiecode bevat, is het namelijk
mogelijk de gebruikers van een welbepaalde computer te volgen, zelfs wanneer dynamische IP-
adressen gebruikt worden. Waar een IP-adres dus gelinkt is aan een computer, is een cookie effectief
gekoppeld aan een welbepaalde gebruiker, die over computers en gemeenschappelijke gebruikers heen
gevolgd kan worden.157
Bovendien focussen de gedragsgegevens die door het gebruik van cookies
verzameld worden, nog meer op de persoonlijke karakteristieken van het betrokken individu.
150
WP 29, “Opinion on the concept of personal data”, 13-14. 151
ARTICLE 29 WORKING PARTY, “Working document on Privacy on the Internet – An Integrated EU Approach to Online Data Protection (WP 37)”, European Commission 2000, 21. 152
WP 29, “Opinion on the concept of personal data”, 14. 153
HvJ C-70/10, Scarlet Extended, 2011, 51. Deze zaak gaat terug op een vonnis van de Rechtbank van eerste aanleg te Brussel waarbij internetprovider Scarlet verplicht werd een blokkerings- of filtersystem in te voeren, teneinde de door haar klanten gepleegde inbreuken op het auteursrecht te beëindigen. De toepassing van deze preventieve maatregel zou het actief controleren van alle gegevens van alle klanten met zich meebrengen. In hoger beroep werd een prejudiciële vraag gesteld. Het Hof van Justitie benadrukte dat dergelijke maatregel, waarbij IP-adressen worden verzameld en geïdentificeerd, een inbreuk op het fundamentele recht op gegevensbescherming kan uitmaken. Het billijke evenwicht tussen de betrokken rechten was volgens haar verstoord en de maatregel werd verboden. 154
WP29, “Opinion on the concept of personal data”, 17. 155
FEDERAL TRADE COMMISSION, “Protecting Consumer Privacy in an Era of Rapid Change”, FTC Report 2012, http://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf, 18-22. 156
WP 29, “Opinion on online behavioural advertising”, 9. 157
ARTICLE 29 WORKING PARTY, “Opinion 1/2008 on data protection issues related to search engines (WP 148)”, European Commission 2008, 7.
39
Bijgevolg maken deze volgens de WP 29 zonder meer persoonsgegevens uit158
en is voor het plaatsen
van een cookie principieel toestemming van de betrokkene vereist (infra 92, nr. 227 et seq.).
77. Heel wat vormen van online reclame op basis van surfgedrag brengen het verzamelen en plaatsen
van online identifiers zoals IP-adressen en cookies met zich mee. Dergelijke IP-adressen en/of cookies
kunnen individuen identificeren of identificeerbaar maken en dus persoonsgegevens vormen.
Bovendien betreft de voor de online reclame verzamelde informatie de karakteristieken of het gedrag
van een persoon en wordt ze gebruikt om die specifieke persoon te beïnvloeden. Bijgevolg is de WP
29 van mening dat verschillende methoden van reclame op basis van surfgedrag verwerkingen van
persoonsgegevens uitmaken.159
78. In het Voorstel Algemene Verordening Gegevensbescherming was aanvankelijk een uitdrukkelijke
verwijzing naar online identifiers opgenomen. Naar aanleiding van het amendement van het Europees
Parlement werd dit evenwel geschrapt. De WP 29 heeft in dit kader reeds voorgesteld om online
identifiers standaard te beschouwen als persoonlijke data.160
Ook deze suggestie werd niet opgenomen
in de definitieve tekst van het Europees Parlement.
Anonimisatie en pseudonimisatie
79. De enige wijze om aan de toepassing van de Databeschermingsrichtlijn te ontsnappen, is door het
anonimiseren van de betrokken gegevens.161
Gegevens worden als geanonimiseerd beschouwd
wanneer zij “op zodanige wijze anoniem zijn gemaakt dat de persoon waarop ze betrekking hebben
niet meer identificeerbaar is”.162
Dit impliceert dat de link tussen de gegevens en het individu
onomkeerbaar verbroken moet zijn. Het al dan niet geanonimiseerd karakter van gegevens zal geval
per geval worden bekeken. Daarbij wordt rekening gehouden met de maatregelen die naar redelijke
waarschijnlijkheid kunnen of zullen worden aangewend ter identificatie.163
Wanneer de gegevens op
geen enkele wijze meer teruggekoppeld kunnen worden naar de oorspronkelijke persoon, vallen deze
buiten de wet.164
De mogelijkheid om analyses uit te voeren met geanonimiseerde gegevens hangt af
van het soort onderzoek dat wordt gevoerd. Op het eerste zich lijkt de techniek alvast interessant: uit
158
ARTICLE 29 WORKING PARTY, “Opinion 1/2008 on data protection issues related to search engines (WP 148)”, European Commission 2008, 9. 159
WP 29, “Opinion on online behavioural advertising”, 9. 160
ARTICLE 29 WORKING PARTY, “Opinion 8/2012 providing further input on the data protection reform discussions (WP 199)”, European Commission 2012, 6. 161
Anonieme persoonsgegevens worden door overweging 23 van het Voorstel Algemene Verordening Gegevensbescherming expliciet uitgesloten uit het toepassingsgebied. 162
Overweging 26 Databeschermingsrichtlijn. 163
ARTICLE 29 WORKING PARTY, “Opinion 5/2014 on Anonymisation Techniques (WP 216)”, European Commission 2014, 5-6. 164
WP 29, “Opinion on the concept of personal data”, 21.
40
een studie blijkt namelijk dat slechts 44% van de consumenten problemen heeft met het verwerken
van geanonimiseerde gegevens, daar waar dit voor persoonsgegevens op 62% ligt.165
80. Een variant van anonimisatie is pseudonimisatie, een techniek die vaak wordt gebruikt in de
context van wetenschappelijk onderzoek en statistiek.166
In dat geval worden de gegevens gecodeerd,
waardoor de koppeling tussen de dataset en de oorspronkelijke identiteit van de betrokkene wordt
afgezwakt. De WP 29 heeft evenwel benadrukt dat pseudonimisatie geen anonimisatie uitmaakt, wat
impliceert dat gepseudonimiseerde gegevens nog steeds onder het toepassingsgebied van de
Databeschermingsrichtlijn vallen. Dit neemt niet weg dat pseudonimisatie een interessante
veiligheidsmaatregel kan zijn, wil een verantwoordelijke op veilig spelen en waarborgen bieden.167
81. De praktische toepassing van anonimiseren is heel wat minder voor de hand liggend. Anonimisatie
in the age of big data is quasi-onmogelijk. Ten gevolge van de enorme hoeveelheid beschikbare
informatie die vandaag de dag op talloze wijzen wordt gecombineerd en gedeeld, zijn heel wat data
aan mekaar gekoppeld. Wanneer bepaalde delen van die data geanonimiseerd worden, kunnen deze
toch terug gepersonaliseerd worden door hun connectie met andere data.168
Het zijn als het ware
onderdelen die als puzzelstukjes in mekaar vallen. Zo blijkt uit onderzoek dat slechts vier spatio-
temporele elementen nodig zijn om maar liefst 95% van de onderzochte individuen uniek te
identificeren.169
Gede-identificeerde data zijn met andere woorden veeleer een tijdelijke staat dan een
vaste categorie.170
Dergelijke data vallen bijgevolg wel onder de Databeschermingsrichtlijn. Verder
mag ook niet vergeten worden dat data heden ten dage heel sterk gedeeld en verspreid worden tussen
partijen. Wanneer data dan in één bepaalde databank worden geanonimiseerd, kunnen ze evident nog
in geïdentificeerde vorm bestaan in andere database. Dit alles maakt de kans op re-identificatie of de-
anonimisatie in de context van big data zeer groot.
82. De vraag of het dan zinvol is om alle persoonlijke data, ook geanonimiseerde, onder het
toepassingsgebied van de Richtlijn te laten vallen, wordt door de rechtsleer negatief beantwoord.
Verschillende argumenten worden naar voren gebracht ter oppositie van deze stelling. Eerst en vooral
zouden ondernemingen hierdoor de incentive om te anonimiseren volledig verliezen, waardoor
privacyrisico’s alleen maar zouden toenemen. Bovendien zou deze verruiming de toepassing van de
165
ORANGE, “The future of digital trust – A European study on the nature of consumer trust and personal data”, LOUDHOUSE, september 2014, http://www.orange.com/en/press/press-releases/press-releases-2014/Consumers-value-their-personal-data-at-170-140-Orange-study-finds, 6. 166
EUROPEAN UNION AGENCY, Handbook on data protection law, 45-46; WP 29, “Opinion on the concept of personal data”, 18. 167
ARTICLE 29 WORKING PARTY, “Opinion 5/2014 on Anonymisation Techniques (WP 216)”, European Commission 2014, 20-23. 168
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 8; OESO, “30 Years After the OECD Privacy Guidelines”, 26-27. 169
Y-A. DE MONTJOYE, C. A. HIDALGO, M. VERLEYEN en V. D. BLONDEL, “Unique in the Crowd: The privacy bounds on human mobility”, Scientific Reports 2013, 1. Zie ook O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 251. 170
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 257.
41
wetgeving volledig onwerkbaar maken. Ook is het van groot belang te benadrukken dat er slechts
risico’s bestaan voor geanonimiseerde data wanneer het redelijkerwijze aanneembaar is dat er tot re-
identificatie kan en zal worden overgegaan. Tot slot zou dergelijke benadering niet in verhouding
staan tot de vele voordelen die kunnen voortvloeien uit het verwerken van data.171
83. Het werd reeds duidelijk gemaakt dat de moeilijke toepassing van anonimiseren in de praktijk niet
impliceert dat de techniek volledig zinloos of overbodig is. Teneinde het zekere voor het onzekere te
nemen, blijft het verstandig voor ondernemingen om gegevens te anonimiseren waar mogelijk. De WP
29 heeft gepoogd de verantwoordelijken een handje te helpen door het bestuderen van de
respectievelijke sterktepunten en zwakheden van bestaande anonimisatietechnieken. De International
Working Group on Data Protection in Telecommunications doet er nog een schepje bovenop door
voor te stellen een netwerk of lichaam op te richten waarin zowel de uitdagingen die gepaard gaan met
anonimisatie als de lessen die worden geleerd, kunnen worden besproken en gedeeld.172
De best
gepaste (combinatie van) techniek(en) zal op een case-by-case basis moeten worden bepaald en de
context en de doeleinden van het anonimisatieproces zullen moeten worden uiteengezet.173
Het
instellen van dergelijke waarborgen zal de veiligheid van de data en de naleving van het
verantwoordingsprincipe ten goede komen.174
(4) Natuurlijke persoon
84. De Databeschermingsrichtlijn is van toepassing op gegevens betreffende levende natuurlijke
personen. Deze natuurlijke persoon, ook wel de ‘betrokkene’ (data subject) genoemd, vormt het
onderwerp van de gegevensverwerking. Bepaalde types big data-analyses kunnen echter worden
uitgevoerd zonder persoonsgegevens.175
Zij vallen volledig buiten het toepassingsgebied van de
Databeschermingsrichtlijn. Dit element is verder niet problematisch noch relevant in de context van
big data en wordt bijgevolg niet nader bestudeerd.
3.2.2.2.2 Verwerken
85. De Databeschermingsrichtlijn vindt toepassing telkens wanneer persoonsgegevens worden
verwerkt. Het begrip ‘verwerking’ wordt door artikel 2(b)176
omschreven als
171
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 258-259. 172
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 15. 173
ARTICLE 29 WORKING PARTY, “Opinion 5/2014 on Anonymisation Techniques (WP 216)”, European Commission 2014, 23. 174
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 259. 175
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 3. 176
Respectievelijk art. 1, §2 Databeschermingswet.
42
“elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan
niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen,
ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door
middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen,
samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of
vernietigen van gegevens.”
86. Uit deze definitie blijkt evident dat het proces van verzamelen, opslaan, gebruiken en delen van
big data, zoals nader bestudeerd in deze scriptie, onder het toepassingsgebied van de Richtlijn valt. Dit
proces wordt in de literatuur ook wel eens de big data value chain genoemd. Wanneer Zalando
bijvoorbeeld gegevens registreert bij het online bestellen van een paar schoenen, verwerkt het
persoonsgegevens. Wanneer het nadien die gegevens doorgeeft aan andere sites die reclame wensen
toe te zenden, verwerkt het eveneens persoonsgegevens. Ook wanneer Zalando de persoonsgegevens
later gaat anonimiseren voor het uitvoeren van statistisch onderzoek, wordt dat beschouwd als een
vorm van verwerken en moet bijgevolg onder andere het doelgebondenheidscriterium (infra 55, nr.
122 et seq.) worden gerespecteerd.177
De Databeschermingsrichtlijn moet met andere woorden in acht
genomen worden bij het uitvoeren van elke onderscheiden stap van de ketting.
Figuur 2: De big data value chain.178
177
ARTICLE 29 WORKING PARTY, “Opinion 5/2014 on Anonymisation Techniques (WP 216)”, European Commission 2014, 7. 178
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 18.
43
3.2.2.2.3 Verantwoordelijke en verwerker
87. Eens het toepassingsgebied van de Richtlijn afgebakend is, is het van belang te weten wie
verantwoordelijk is voor de naleving van de regelen. De Databeschermingsrichtlijn maakt in dit kader
een onderscheid tussen twee soorten personen, met name de voor de verwerking verantwoordelijke en
de verwerker. De voor de verwerking verantwoordelijke is de persoon die het doel van en de middelen
voor de verwerking vaststelt.179
Deze kan zowel een natuurlijke persoon, rechtspersoon,
overheidsinstantie of enig ander lichaam zijn. De verwerker is een afzonderlijke rechtspersoon, los van
de verantwoordelijke, die op zijn beurt de gegevens verwerkt ten behoeve van de verantwoordelijke.180
De relatie tussen de verantwoordelijke en de verwerker kan verschillende vormen aannemen,
waaronder een gezamenlijke verantwoordelijkheid.181
De primaire verantwoordelijkheid voor het
verwerken van de persoonsgegevens ligt bij de verantwoordelijke, die erop moet toezien dat de
verwerker in overeenstemming met de databeschermingswetgeving handelt. Het is dan ook de
verantwoordelijke die aansprakelijk zal worden gesteld in geval van een onwettige
gegevensverwerking waarvoor hij als verantwoordelijke optrad. Daarnaast is hij ook de belangrijkste
gesprekspartner van de betrokkenen en van de controleorganen.182
De kwalificatie als
verantwoordelijke is met andere woorden van groot belang aangezien dit bijkomende verplichtingen
onder de Databeschermingsrichtlijn met zich meebrengt.
88. Ten tijde van het opstellen van de Databeschermingsrichtlijn waren datatransfers redelijk statisch
en business modellen en -relaties eerder eenvoudig van aard. Bijgevolg kwam het slechts zelden voor
dat meerdere spelers beschouwd konden worden als verantwoordelijken voor de verwerking. In de
context van big data is het onderscheid tussen een verantwoordelijke en een verwerker evenwel
moeilijk te maken. Entiteiten definiëren hun respectievelijke rollen en verantwoordelijkheden meer en
meer op wijzen die een eenvoudig onderscheid niet toelaten. Ook worden taken uitbesteed. Het niveau
en de aard van de betrokkenheid van elk van deze actoren kan erg verschillen. Zo kan een entiteit met
betrekking tot één welbepaalde toepassing van de informatie een verantwoordelijke uitmaken, en
optreden als medeverantwoordelijke, verwerker of sub-verwerker met betrekking tot een andere
toepassing.183
Het is zelfs niet ondenkbaar dat een gewone burger, door het delen van informatie met
betrekking tot anderen online, gekwalificeerd wordt als verantwoordelijke (supra 33, nr. 61). Dit allen
bemoeilijkt het aanwijzen van de verantwoordelijke persoon, wat vanzelfsprekend van groot belang is.
179
Art. 2(d) Databeschermingsrichtlijn; respectievelijk art. 1, §4 Databeschermingswet. 180
Art. 2(e) Databeschermingsrichtlijn; respectievelijk art. 1, §5 Databeschermingswet. 181
Voor meer info, zie ARTICLE 29 WORKING PARTY, “Opinion 1/2010 on the concepts of “controller” and “processor” (WP 169)”, European Commission 2010. 182
BELGISCHE PRIVACYCOMMISSIE, “Bescherming van persoonsgegevens in België”, Privacycommissie, s.d., http://www.privacycommission.be/sites/privacycommission/files/documents/bescherming-van-persoonsgegevens-in-belgie.pdf, 6. 183
OESO, “30 Years After the OECD Privacy Guidelines”, 27.
44
89. Een voorbeeld van het moeilijke onderscheid betreft de positie van zoekmachines zoals Google,
die lange tijd werd betwist. Zoekmachines hebben namelijk een dubbele functie: enerzijds fungeren zij
als dienstenaanbieders, anderzijds als inhoudsaanbieders. In hun rol van dienstenaanbieder verzamelen
en verwerken de zoekmachines grote hoeveelheden gebruikersdata, waaronder IP-adressen en cookies.
In dergelijke rol bepalen de dienstenaanbieders de doeleinden en middelen van de verwerking en
bestaat er bijgevolg geen enkele twijfel dat zij verantwoordelijken van de verwerking uitmaken.184
De
taak als inhoudsaanbieder verwijst op haar beurt naar de intermediërende rol die zoekmachines spelen
in het toegankelijk maken van online publicaties aan een wereldwijd publiek.185
De WP 29 is van
mening dat, wanneer een aanbieder van een zoekmachine slechts optreedt als tussenpersoon, deze op
grond van het proportionaliteitsbeginsel onmogelijk te beschouwen is als primaire verantwoordelijke.
De principiële verantwoordelijkheid wordt in dat geval gedragen door de werkelijke aanbieder van de
informatie. Het is evenwel ook mogelijk dat de zoekmachine operaties met een toegevoegde waarde
aanbiedt, zoals het verkopen van behavioural advertisements. In dergelijke situatie wordt de
zoekmachine in zijn rol als inhoudsaanbieder wel degelijk volledig verantwoordelijk als
verantwoordelijke in de zin van de Databeschermingsrichtlijn.186
90. De complexiteit van de verhoudingen werd door de WP 29 ook reeds aangetoond in een van haar
opinies met betrekking tot online reclame op basis van surfgedrag. Maar liefst drie verschillende
spelers spelen in dit kader een rol: aanbieders van advertentienetwerken, verdelers en adverteerders.
Aanbieders van advertentienetwerken huren ruimte op websites van verdelers om er advertenties te
plaatsen. Wanneer de reclame het verwerken van persoonsgegevens met zich meebrengt, zullen deze
de rol van verantwoordelijke dragen. Zij plaatsen en/of lezen namelijk cookies en verzamelen in de
meeste gevallen ook IP-adressen en eventueel andere data. Nadien gebruiken ze deze informatie om
profielen samen te stellen en om op basis hiervan advertenties te selecteren en af te leveren. In dit
scenario treden zij logischerwijs op als voor de verwerking verantwoordelijke. Verdelers zijn personen
die ruimte verhuren op hun websites aan advertentienetwerken. Zij stellen hun websites zo in dat de
browsers van de bezoekers automatisch worden doorgestuurd naar de webpagina van de aanbieder van
het advertentienetwerk. Hierdoor wordt ook het IP-adres van de bezoeker overgedragen. Bijgevolg is
de WP 29 van oordeel dat ook de verdelers enige verantwoordelijkheid dragen jegens hun bezoekers.
De draagwijdte van deze verantwoordelijkheid moet geval per geval worden geanalyseerd, rekening
houdend met datgene wat in de overeenkomst tussen de verdeler en de aanbieder van het
advertentienetwerk is bepaald. Zij doen er dan ook goed aan hun respectieve rollen en
verantwoordelijkheden klaar en duidelijk te omschrijven. Tot slot kan ook een adverteerder
184
ARTICLE 29 WORKING PARTY, “Opinion 1/2008 on data protection issues related to search engines (WP 148)”, European Commission 2008, 9. 185
Deze helpende hand vergemakkelijkt ook het gebruik van gepubliceerde persoonsgegevens voor profiling door derden doordat ook zij nu toegang tot de gegevens hebben. 186
ARTICLE 29 WORKING PARTY, “Opinion 1/2008 on data protection issues related to search engines (WP 148)”, European Commission 2008, 14.
45
gekwalificeerd worden als verantwoordelijke wanneer hij de doelgroepinformatie combineert met het
surfgedrag of de registratiegegevens van de betrokkene.187
91. Het moge duidelijk zijn dat er wat schort aan het onderscheid tussen een voor de verwerking
verantwoordelijke en een verwerker. Bijgevolg gaan op verschillende fora stemmen op om het
onderscheid tussen voormelde personen niet langer te maken. Naar aanleiding van de Microsoft
Global Privacy Summit werd voorgesteld de verantwoordelijke en de verwerker, die nu zouden
fungeren onder de gemeenschappelijke noemer ‘gegevensbeheerder’, tezamen verantwoordelijk te
stellen voor de aanwezigheid van een rechtvaardigingsgrond.188
De International Chamber of
Commerce was op haar beurt van mening dat het gemene vertegenwoordigings- en
aansprakelijkheidsrecht volstaat en dat iedere partij verantwoordelijk en aansprakelijk moet zijn naar
gelang haar rol in de verwerking van de data.189
3.2.2.2.4 Derde en ontvanger
92. Het onderscheid tussen derden en ontvangers is van belang met betrekking tot de voorwaarden
voor het wettelijk vrijgeven van data. Een ‘derde’ is een persoon die volledig los staat van de voor de
verwerking verantwoordelijke en de verwerker.190
Deze moet bijgevolg over een wettelijke basis uit
artikel 7 Databeschermingsrichtlijn beschikken teneinde de data te kunnen en mogen ontvangen.
Onder ‘ontvangers’ daarentegen vallen zowel derden als personen die in relatie staan tot de verwerker
of verantwoordelijke.191
Aan dergelijke personen kunnen persoonsgegevens worden vrijgegeven
zonder enige verdere wettelijke vereiste, onder voorwaarde dat zij zijn betrokken bij het
verwerkingsproces dat wordt uitgevoerd door de verwerker of diens verantwoordelijke.192
93. In the age of big data worden databanken aangelegd, meegedeeld en zelfs verkocht, waardoor een
kluwen van verbonden gegevensbanken ontstaat. Dergelijke praktijken worden uitdrukkelijk erkend in
het privacybeleid van verschillende grote ondernemingen, waaronder Microsoft, Google en Yahoo!.
Dankzij deze correlaties beschikken zij over een erg volledig beeld van elk van hun onderscheiden
cliënten. Het spreekt voor de hand dat de onduidelijkheid die gepaard gaat met het grootschalig delen
van gegevens het erg moeilijk maakt te weten wie precies er gegevens heeft over wie.193
Bijgevolg
187
WP 29, “Opinion on online behavioural advertising”, 10-12. 188
CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection Principles for the 21st
Century”, 17. 189
ICC COMMISSION ON E-BUSINESS, IT AND TELECOMS, “ICC Respons to the European Commission Consultation on the Legal Framework for the Fundamental Right to Protection of Personal Data”, ICC 2009, http://ec.europa.eu/justice/news/consulting_public/0003/contributions/organisations_not_registered/international_chamber_of_commerce_icc_en.pdf, 4. 190
Art. 2(f) Databeschermingsrichtlijn; respectievelijk art. 1, §6 Databeschermingswet. 191
Art. 2(g) Databeschermingsrichtlijn; respectievelijk art. 1, §7 Databeschermingswet. 192
EUROPEAN UNION AGENCY, Handbook on data protection law, 54-55. 193
J. PAVOLOTSKY, “Privacy in the Age of Big Data”, The Business Lawyer 2013, vol. 69(1), (217) 220.
46
wordt het zo goed als onmogelijk na te gaan of de verwerking wel geheel volgens de regels van de
Databeschermingsrichtlijn verloopt. Zo kunnen er vragen rijzen omtrent het naleven van de
informatieverplichtingen of over de vereiste toestemming wanneer de betrokken verwerking niet
noodzakelijk is voor het verstrekken van de oorspronkelijke dienst (infra).194
3.2.2.2.5. Geïnformeerde toestemming
94. Gegevensverwerking wordt door de Richtlijn slechts toegestaan op bepaalde gronden.195
Een vaak
voorkomende situatie is die waarin door de betrokkene ondubbelzinnige toestemming werd
verleend.196
De toestemming van de betrokkene is een toepassing van het principe van ‘notice and
consent’197
en wordt in artikel 2(h) van de Richtlijn gedefinieerd als zijnde “elke vrije, specifieke en op
informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende
persoonsgegevens worden verwerkt.” Gezien de omvang van dit stuk, wordt het verder onderverdeeld.
Onderdeel A heeft betrekking op de voorwaarden waaraan de ‘geïnformeerde toestemming’ moet
voldoen. Daaropvolgend onderdeel B gaat de (on)aangepastheid van het begrip aan de karakteristieken
van big data na. Eventuele aanpassingen en voorstellen worden behandeld in onderverdeling C.
A. Voorwaarden voor een ‘geïnformeerde toestemming’
95. Zoals blijkt uit de definitie in de Databeschermingsrichtlijn, moet de gegeven toestemming aan een
aantal voorwaarden voldoen opdat zij geldig zou zijn. Voorafgaand aan het verwerken van de
persoonsgegevens dient met name door de betrokkene een vrije, specifieke, geïnformeerde en
ondubbelzinnige toestemming te worden gegeven.198
De WP 29 heeft een opinie gepubliceerd waarin
deze voorwaarden op cookies in het bijzonder worden toepast (infra 94, nr. 231).199
Vrije toestemming
96. Eerst en vooral moet de toestemming van de betrokkene vrij gegeven worden. Er is sprake van
vrije toestemming indien de betrokkene de mogelijkheid heeft om een echte keuze te maken en er geen
risico bestaat op misleiding, intimidatie, druk of aanzienlijk nadelige gevolgen wanneer hij of zij niet
194
ARTICLE 29 WORKING PARTY, “Opinion 1/2008 on data protection issues related to search engines (WP 148)”, European Commission 2008, 21-22. 195
Art. 7 Databeschermingsrichtlijn; respectievelijk art. 5 Databeschermingswet. Zie infra 66, nr. 154 et seq. 196
Art. 7, a) Databeschermingsrichtlijn; respectievelijk art. 5, a) Databeschermingswet. 197
MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”; N. M. RICHARDS en J. H. KING, “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, (393) 412. 198
ARTICLE 29 WORKING PARTY, “Opinion 15/2011 on the definition of consent (WP 187)”, European Commission 2011. 199
ARTICLE 29 WORKING PARTY, “Opinion 2/2013 providing guidance on obtaining consent for cookies (WP 208)”, European Commission 2013.
47
toestemt.200
Dit betekent echter niet dat geldige toestemming onmogelijk is in alle situaties waarin de
weigering negatieve gevolgen zal hebben.201
Specifieke toestemming
97. Teneinde geldig te zijn, moet de toestemming ook specifiek zijn. Met andere woorden, een
algemene toestemming waarbij het exacte doel van de gegevensverwerking niet wordt gespecificeerd,
is niet aanvaardbaar.202
De naleving van dit criterium is afhankelijk van de kwaliteit van de verstrekte
informatie. Bijgevolg staat deze voorwaarde in sterk verband met het doelgebondenheids- en
transparantieprincipe.203
Er moet met name op zijn minst vooraf bekend zijn welke gegevens gebruikt
zullen worden en voor welke doeleinden.204
Rekening zal worden gehouden met de redelijke
verwachtingen van de partijen. Dit impliceert dat wanneer de gegevensverwerking wijzigt of toeneemt
op een wijze die niet redelijk voorzienbaar was ten tijde van het toestemmen, de toestemming opnieuw
moet worden gevraagd.205
Bovendien wordt algemeen aangenomen dat de betrokkene ten allen tijde,
zonder enige motivatie en zonder enig risico, het recht heeft de toestemming in te trekken.206
Geïnformeerde toestemming
98. Ten derde moet de betrokkene, vooraleer zijn of haar beslissing te nemen, geïnformeerd zijn.
Bijgevolg moet deze over voldoende informatie beschikken. Deze informatie moet accuraat en
eenvoudig verstaanbaar te zijn en dient een beschrijving te omvatten van het onderwerp en de
gevolgen van het al dan niet toestemmen.207
Bovendien moet de informatie ook eenvoudig beschikbaar
zijn. Hieraan is voldaan indien de informatie toegankelijk en zichtbaar is.208
Ondubbelzinnige toestemming
99. Ten laatste moet de toestemming ondubbelzinnig gegeven worden.209
Dit houdt in dat er geen
redelijke twijfel mag bestaan over het feit dat de betrokkene zijn of haar akkoord met de
gegevensverwerking wou meedelen. Er wordt aanvaard dat toestemming principieel zowel expliciet
200
ARTICLE 29 WORKING PARTY, “Opinion 15/2011 on the definition of consent (WP 187)”, European Commission 2011, 12. 201
EUROPEAN UNION AGENCY, Handbook on data protection law, 58. 202
ARTICLE 29 WORKING PARTY, “Opinion 15/2011 on the definition of consent (WP 187)”, European Commission 2011, 17. 203
Zie infra 55, nr. 122 et seq. en 73, nr. 171 et seq. 204
EUROPEAN UNION AGENCY, Handbook on data protection law, 59. 205
ARTICLE 29 WORKING PARTY, “Opinion 15/2011 on the definition of consent (WP 187)”, European Commission 2011, 17. 206
EUROPEAN UNION AGENCY, Handbook on data protection law, 60. 207
EUROPEAN UNION AGENCY, Handbook on data protection law, 59. 208
ARTICLE 29 WORKING PARTY, “Opinion 15/2011 on the definition of consent (WP 187)”, European Commission 2011, 20. 209
ARTICLE 29 WORKING PARTY, “Opinion 15/2011 on the definition of consent (WP 187)”, European Commission 2011, 21-25.
48
als impliciet kan zijn.210
In dat laatste geval blijkt zij uit de omstandigheden. De WP 29 benadrukte dat
“the minimum expression of an indication could be any kind of signal, sufficiently clear to be capable
of indicating a data subject's wishes, and to be understandable by the data controller.”211
Het is
evenwel vereist dat de toestemming blijkt uit een actieve handeling. Het afleiden van toestemming uit
een loutere inactiviteit daarentegen kan niet aanvaard worden als zijnde ondubbelzinnig.212
B. Toestemming in the age of big data
100. Het begrip ‘geïnformeerde toestemming’ werd ingevoerd in een tijdperk dat in de verste verte
niet vergelijkbaar is met het huidige. Online transacties kwamen niet vaak voor, slechts een klein
aantal dataverzamelaars was actief op de markt, gegevens werden verzameld met één welbepaald doel
voor ogen en data werden niet gedeeld.213
Het hoeft dan ook geen betoog dat het concept erg
problematisch is in de context van big data. Hierna volgt een opsomming van de problemen.
Enorme lasten voor organisaties en consumenten
101. Eerst en vooral brengt dit principe enorme – soms zelfs onrealistische – lasten met zich mee,
zowel voor organisaties als voor consumenten.214
Enerzijds impliceert deze verplichting dat
ondernemingen, telkens zij persoonsgegevens willen verwerken, de consument hierover dienen te
informeren en diens toestemming dienen te verkrijgen. Dit is logischerwijs een tijdrovend en kostelijk
proces, zonder enige garantie op succes. Het is namelijk niet ondenkbaar dat de consument het
innovatieve potentieel van het datagebruik onterecht afwijst.215
102. Anderzijds houdt deze verplichting ook in dat individuen verwacht worden de
privacyvoorwaarden van ondernemingen telkenmale hierom gevraagd wordt, te lezen, te begrijpen en
goed te keuren. De gedragseconomie beschouwt de veronderstelling dat individuen geïnformeerde
toestemming geven als illusoir, zoals correct wordt verwoord in volgende quote:
“As to data protection there is a growing concern that individuals may not understand what
they are consenting to, that when consent is asked, there are often no meaningful default
options available, so consent is not really “freely given”, and finally that the granting of
consent becomes a mechanical matter of “ticking the box”, i.e., becomes subject to
‘routinisation’ and therefore meaningless.”216
210
Voor het legitiem verwerken van gevoelige gegevens is altijd expliciete toestemming vereist, zie art. 8(2)a Richtlijn. 211
ARTICLE 29 WORKING PARTY, “Opinion 15/2011 on the definition of consent (WP 187)”, European Commission 2011, 11. 212
EUROPEAN UNION AGENCY, Handbook on data protection law, 56. 213
CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection Principles for the 21st
Century”, 6. 214
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 261. 215
MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 4. 216
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 24.
49
103. Volgens de theorie van de gedragseconomie is de mens geen homo economicus maar homo
sapiens. Bijgevolg vertonen mensen volgens hen op systematische en dus voorspelbare wijze
irrationeel gedrag.217
De voorspelbaarheid van irrationeel gedrag wordt beïnvloed door twee factoren,
waaronder de status quo bias. Deze heuristiek houdt in dat mensen een sterke neiging hebben om niks
te ondernemen en simpelweg de standaardinstellingen te aanvaarden.218
Dit gebrek aan aandacht komt
vaak voor in vier situaties, met name: 1) de situatie waarin de informatie ingewikkeld is, 2) de situatie
waarin de voordelen zich nu voordoen en de kosten slechts later, 3) de situatie waarin de ene keuze
meer inspanning vergt dan de andere en 4) de situatie waarin te veel opties worden aangeboden.219
Gezien het feit dat privacy policies heel vaak eindeloos lang zijn, in een klein lettertype worden
opgesteld en vol staan van vakjargon, is het voor de hand liggend dat deze vaak ondoordacht aanvaard
zullen worden.220
Ook op cookies vinden al deze situaties toepassing.221
Voorstanders van de
gedragseconomie zijn dus van mening dat het niet veel zin heeft de toelaatbaarheid van een
welbepaalde gegevensverwerking afhankelijk te stellen van de toestemming van de betrokkene en
stellen dit principe bijgevolg in vraag.222
104. Aannemen dat individuen privacy policies telkenmale lezen en goedkeuren, is daarenboven niet
enkel een illusie, het blijkt ook gewoonweg fysiek onmogelijk.223
Zo werd de duurtijd van het lezen
van alle privacy policies van de meest populaire websites door onderzoek in 2008 berekend op 244 uur
oftewel 30 werkdagen per jaar. Dit bedraagt meer dan 50% van de tijd die een gemiddelde gebruiker
doorbrengt op het internet.224
Dergelijke inspanning kan van consumenten logischerwijs niet verwacht
worden. Bovendien zijn hedendaagse technologieën zodanig ingewikkeld dat het voor een gemiddelde
consument zonder enige voorkennis erg moeilijk is te begrijpen hoe deze werken en hoe
persoonsgegevens verzameld of gebruikt worden.225
105. In situaties waarin de toelaatbaarheid berust op de toestemming van de betrokkene, bestaat
bovendien ook het risico dat ondernemingen hun verantwoordelijkheid afwijzen door simpelweg aan
te tonen dat aan de formaliteit is voldaan, zonder dat er een effectieve kennisname door de betrokkene
217
Voor andere vormen van irrationeel gedrag, zie O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 261-262. 218
CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection Principles for the 21st
Century”, 6-7. 219
Hetzelfde geldt trouwens ook ten aanzien van ondernemingen: indien hen te veel verplichtingen worden opgelegd zonder dat daar iets tegenover staat, is dit een recept voor niet-naleving: less is more. 220
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 7. 221
Zo wordt de informatie in verband met cookies vaak in te gecompliceerde taal gegeven. Ook betekent het onmiddellijk aanvaarden van cookies snelle toegang tot de website en komt de kost (nl. het gebruik ervan voor irritante reclame) slechts later. Tot slot is het wijzigen van de cookie-instellingen tijdrovend waar het simpel aanvaarden ervan dit niet is. Zie ook infra 91, nr. 225 et seq. 222
OESO, “30 Years After the OECD Privacy Guidelines”, 28. 223
N. M. RICHARDS en J. H. KING, “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, (393) 412-413. 224
A. M. MCDONALD en L. F. CRANOR, “The Cost of Reading Privacy Policies”, Journal of Law and Policy for the Information Society 2008, http://moritzlaw.osu.edu/students/groups/is/files/2012/02/Cranor_Formatted_Final.pdf. 225
FEDERAL TRADE COMMISSION, “Protecting Consumer Privacy in an Era of Rapid Change”, FTC Report 2012, http://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf, 2.
50
heeft plaatsgevonden.226
Dit wijst op een enorm onevenwicht dat vandaag de dag tussen
ondernemingen en datasubjecten bestaat.227
106. Tot slot zal het door de groei van the Internet of Things niet langer mogelijk zijn om de privacy
policies op het toestel zelf te consulteren, maar zal informatie op papier of via een ander toestel
noodzakelijk zijn.228
Vrije keuze onder druk door ultimatums
107. Het tweede probleem heeft betrekking op de vraag naar de mate waarin er sprake kan zijn van
een vrije toestemming wanneer men als betrokkene voor een ultimatum wordt gesteld. Met het begrip
‘ultimatum’ wordt verwezen naar privacy policies die, zoals de meesten, geen mogelijkheid bieden om
te kiezen tussen verschillende niveaus in het vrijgeven of delen van data. In andere gevallen krijgt de
consument gewoonweg geen keuze tussen het al dan niet gebruiken van zijn gegevens voor
marketingdoeleinden. Men heeft met andere woorden geen andere keuze dan “take it or leave it”. Dit
schept een significant onevenwicht tussen de provider en de gebruiker van de dienst. Gezien het feit
dat men in de digitale eeuw steeds meer en meer afhankelijk is van online diensten, valt het in
dergelijke situatie te betwisten of de toestemming wel degelijk vrij van enige druk werd gegeven.229
Ook in het geval er slechts een beperkt aantal operatoren of één dominante operator is, wordt het
concept ‘toestemming’ meer en meer illusoir.230
Onduidelijkheid omtrent doeleinden en uitvoerende persoon
108. Een derde probleem heeft betrekking op de specificiteit van de toestemming. Deze voorwaarde
vereist dat er toestemming gegeven wordt voor op voorhand welbepaalde doeleinden (infra 56, nr.
126). Waar data vroeger op veel kleinere schaal werden opgeslagen met één welbepaald doel voor
ogen, maakt de complexiteit van big data het vandaag de dag moeilijk of zelfs onmogelijk te
226
MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 4; O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 261. 227
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 9-10; O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 254-255. 228
EUROPEAN DATA PROTECTION SUPERVISOR, “Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy”, European Union 2014, https://secure.edps.europa.eu/EDPSWEB/webdav/shared/Documents/Consultation/Opinions/2014/14-03-26_competitition_law_big_data_EN.pdf, 35. 229
CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection Principles for the 21st
Century”, 7; OESO, “30 Years After the OECD Privacy Guidelines”, 28-29. 230
De Federal Trade Commission is van mening dat dergelijke keuzemogelijkheid slechts aanvaardbaar is wanneer zij verenigbaar is met de context van de interactie tussen de onderneming en de consument (FEDERAL TRADE COMMISSION, “Protecting Consumer Privacy in an Era of Rapid Change”, FTC Report 2012, http://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf, 50-52).
51
voorspellen waarvoor en door wie de data gebruikt zullen worden. Meer nog, deze onvoorspelbaarheid
typeert big data net: “Yet by its very nature, big data analysis seeks surprising correlations and
produces results that resist prediction”231
. Dit impliceert dat er voor elke vorm van verder gebruik
telkens opnieuw toestemming nodig zou zijn, wat voor vele ondernemingen simpelweg te kostelijk
is.232
Bijgevolg hebben ondernemingen er een gewoonte van gemaakt toestemming te vragen voor zeer
vaag omschreven doeleinden. Dit heeft geresulteerd in een toenemende erosie van de
informatieprivacy, wat uiteraard niet de bedoeling kan zijn.233
109. Nauw hiermee verbonden is de vraag wie er precies toestemming moet vragen. Door de vele
creatieve toepassingen van big data en het combineren van talloze datasets, is een kluwen van
personen met moeilijk onderscheidbare functies en verantwoordelijkheden ontstaan (supra 43, nr. 88).
Wanneer data worden overgedragen, verliest de oorspronkelijke entiteit logischerwijs de controle over
het ultieme gebruik van de gegevens. Meer nog, het is perfect mogelijk dat er helemaal geen directe
relatie bestaat tussen de betrokkene en de organisatie die zijn of haar persoonlijke informatie bijhoudt,
zoals in geval van data brokering. Bijgevolg is het voor individuen erg moeilijk of zelfs onmogelijk te
weten wie over hen betreffende informatie beschikt en waarvoor deze wordt aangewend.234
Dergelijke
zaken bemoeilijken het goedkeuren van privacy policies en het geven van toestemming.
Spanningsveld tussen individueel en algemeen belang
110. Een vierde moeilijkheid situeert zich in het spanningsveld tussen het individueel en algemeen
belang. Zoals supra reeds werd besproken, biedt de analyse van big data belangrijke opportuniteiten.
Zo wordt er bijvoorbeeld medisch onderzoek gevoerd naar de voorspelbaarheid van bepaalde ziekten,
wat de gehele maatschappij ten goede komt.235
Deze mogelijke voordelen komen echter in het gedrang
wanneer elk individu afzonderlijk de mogelijkheid heeft om zijn of haar persoonsgegevens niet mee te
delen (of vergeet mee te delen). Bovendien werkt de vrije keuze free-riding in de hand waardoor men
uiteindelijk tot een suboptimaal resultaat zou komen.236
De OESO drukt voormelde
evenwichtsoefening mooi uit: “Should certain uses of personal data be authorised to facilitate a
societal good, thereby minimising the role of individual choice? If so, should individuals be provided
231
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 261. 232
MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 3. 233
CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection Principles for the 21st
Century”, 7; OESO, “The OECD Privacy Framework”, OECD 2013, http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf, 92-93. 234
J. PAVOLOTSKY, “Privacy in the Age of Big Data”, The Business Lawyer 2013, vol. 69(1), (217) 220; BELGISCHE PRIVACYCOMMISSIE, “Bescherming van persoonsgegevens in België”, Privacycommissie, s.d., http://www.privacycommission.be/sites/privacycommission/files/documents/bescherming-van-persoonsgegevens-in-belgie.pdf, 3. 235
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 245-247. 236
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 261-262.
52
with an opt-out or should societal norms sometimes trump individual choice?”237
. In dit kader rijst dan
ook de vraag of individuele controle over persoonsgegevens nog wenselijk of ethisch verantwoord is.
C. Alternatieve perspectieven voor toestemming
111. Ondanks het feit dat notice and consent hoognodig aan verandering toe is, ziet het er niet naar uit
dat het begrip uit de databeschermingswetgeving zal verdwijnen. Het merendeel van de privacy-
experten is van mening dat het begrip moet blijven bestaan, maar dan wel in een aangepaste en meer
efficiënte vorm.238
Over de richting waarin het begrip moet evolueren, lijkt evenwel onenigheid te
bestaan.239
Hierna volgt een introductie tot enkele mogelijke oplossingen en alternatieven.
Versterkte verantwoordelijkheid van verzamelaars en gebruikers
112. Heel wat auteurs hebben zich afgezet tegen de geïnformeerde toestemming als voornaamste
grond voor het verwerken van persoonsgegevens. Het vertrekpunt van hun redenering is dat de lasten
die vandaag de dag op individuen en de maatschappij rusten, te groot zijn. Bijgevolg zou de
verantwoordelijkheid moeten verschuiven van de individuen naar de verzamelaars en gebruikers van
de data. Deze laatstgenoemden zouden aansprakelijk moeten worden gesteld voor de wijze waarop ze
de gegevens beheren, en niet voor het al dan niet verkrijgen van toestemming. Concreet komt hun
visie er op neer dat de toelaatbaarheid van het gebruik van de persoonsgegevens door de gebruikers
principieel bepaald moet worden door het afwegen van de voordelen, nadelen en geboden waarborgen.
Afhankelijk van de uitkomst van de oefening, zal moeten worden bepaald of toestemming in die
bijzondere situatie nog een rol heeft. Indien vermoed wordt dat het gebruik van de persoonsgegevens
tot geen of minimale schade zal leiden, dient de verwerking te worden toegestaan.240
113. Deze benadering kan op heel wat vlakken een stap in de goede richting betekenen. Eerst en
vooral betekent zij een enorme verlichting van de lasten die op de consumenten wegen. Ook de
237
OESO, “Privacy Expert Group Report on the Review of the 1980 OECD Privacy Guidelines”, OECD Digital Economy Papers 2013, http://dx.doi.org/10.1787/5k3xz5zmj2mx-en, 8. 238
In een gemeenschappelijke bijdrage hebben ook de WP 29 en de Working Party on Police and Justice erkend dat ‘toestemming’ op zijn minst in bepaalde gevallen een onaangepaste grond uitmaakt ter legitimering van de verwerking van persoonsgegevens. Zij verwijzen in deze opinie eerst en vooral naar de situatie waarin er een duidelijk onevenwicht is tussen de betrokkene en de voor de verwerking verantwoordelijke, zoals tussen werknemer en werkgever of tussen onderdaan en publieke autoriteit. Ten tweede wordt er verwezen naar de situatie waarin de gehanteerde praktijk, het business model, de verkoopsrelatie of de technologie te ingewikkeld is voor de consument om te begrijpen waartoe hij toestemt. Bijgevolg raden ook voornoemde adviesorganen aan de vereiste van toestemming te specificeren in toekomstige wetgeving (ARTICLE 29 WORKING PARTY EN WORKING PARTY ON POLICE AND JUSITICE, “The Future of Privacy (WP 168)”, European Commission 2009,17). 239
OESO, “Privacy Expert Group Report on the Review of the 1980 OECD Privacy Guidelines”, OECD Digital Economy Papers 2013, http://dx.doi.org/10.1787/5k3xz5zmj2mx-en, 8; CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection Principles for the 21
st Century”, 10-13; MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 4 en 6.
240 L. MOEREL, “Big Data Protection”, Tilburg University 2014, 55-59; CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection
Principles for the 21st
Century”, 12-14.
53
problemen met betrekking tot het doelgebondenheidsprincipe worden opgelost, doordat de
evenwichtsoefening fase per fase gemaakt dient te worden. De beperkte functie van de
voorwaardelijke toestemming sluit daarnaast ook ultimatums uit. Tot slot heeft de introductie van de
evenwichtsoefening veel meer oog voor het algemeen belang. Deze benadering heeft evenwel ook een
keerzijde. Door het zwaartepunt naar de verzamelaar en/of gebruiker te verplaatsen, rijst de vraag of
zij de lasten van de ondernemingen niet disproportioneel doet toenemen. Wil men verzekeren dat deze
hun taken verantwoord en correct uitvoeren, lijkt het dan ook van groot belang een
verantwoordingsprincipe (infra 65, nr. 151 et seq.) te introduceren: “It was nevertheless clear that
while consent should be deemphasized as a primary means of data protection, this should not be
confused with deemphasizing individual choices or preferences.”241
Dergelijk beginsel is nu in het
Voorstel Algemene Verordening Gegevensbescherming opgenomen.
Empowerment van de betrokkene
114. Anderen zijn van mening dat individuen net meer controle moeten krijgen over hun persoonlijke
data.242
Zo benadrukken Tele en Polonetsky het belang van transparantie en begrijpbaarheid van de
contractuele voorwaarden. Deze zouden met name eenvoudiger en meer gespecificeerd moeten
worden opgesteld.243
Bovendien zouden organisaties informatie moeten meedelen over hun
besluitvorming in de verwerkingsoperaties. Op deze manier hoopt men het evenwicht te herstellen
door consumenten te doen meegenieten van het potentieel dat big data biedt:
“The shift is from empowering individuals at the point of information collection, which
traditionally revolved around opting into or out of seldom read, much less understood
corporate privacy policies, to allowing them to engage with and benefit from information
already collected, thereby harnessing big data for their own personal usage.”244
115. Oud EU-commissaris Neelie Kroes houdt er een gelijkaardige visie op na:
“And by the way – privacy and security safeguards do not just have to be about protecting and
limiting. Data generates value, and unlocks the door to new opportunities: you don't need to
"protect" people from their own assets. What you need is to empower people, give them
control, give them a fair share of that value. Give them rights over their data – and
responsibilities too, and the digital tools to exercise them. And ensure that the networks and
systems they use are affordable, flexible, resilient, trustworthy, secure.”
241
MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 14. 242
N. M. RICHARDS en J. H. KING, “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, (393) 426-427; INTERNATIONAL
WORKING GROUP, “Working Paper on Big Data and Privacy”, 12-13. 243
J. PAVOLOTSKY, “Privacy in the Age of Big Data”, The Business Lawyer 2013, vol. 69(1), (217) 224. 244
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 242.
54
116. Dergelijke aanpak zou het onevenwicht tussen ondernemingen en individuen kunnen
herstellen.245
Bovendien zal dit ongetwijfeld een incentive vormen voor individuen om meer aandacht
te besteden aan het verstrekken van een echte ‘geïnformeerde toestemming’. Wanneer de kost hiervan
evenwel erg hoog is (zoals vandaag de dag het geval is), verzekert dit niet dat zij dit ook effectief
zullen doen. Deze strekking houdt bijgevolg onvoldoende rekening met de onrealistische lasten voor
individuen en ondernemingen. Daarenboven wordt ook het algemeen belang van big data in dergelijke
benadering volledig miskend. Het lijkt met andere woorden betwistbaar dat dergelijke aanpak veel aan
de huidige situatie kan veranderen.
Behoud van de principiële consumentenkeuze
117. Tot slot is ook de visie van de Federal Trade Commission het vermelden waard. Zij behoudt het
principe van consumentenkeuze en -toestemming. Deze keuze moet geboden worden op een tijdstip en
in een context waarin de consument een beslissing maakt met betrekking tot zijn of haar data.
Wanneer men de gegevens wil gebruiken op een wijze die inhoudelijk afwijkt van wat voorspeld was
ten tijde van het verzamelen van de gegevens, of voor het verzamelen van gevoelige gegevens voor
welbepaalde doeleinden, zou bovendien bevestigende uitdrukkelijke toestemming vereist zijn.
Wanneer de praktijken evenwel verenigbaar zijn met de context van de transactie of met de
verhouding tussen de onderneming en de consument, of wanneer zij vereist of bijzonder toegelaten
zijn de door de wet, zou toestemming voor het verzamelen of gebruiken niet noodzakelijk zijn.246
118. Het valt bezwaarlijk te stellen dat een regime waarin toestemming de regel blijft, veel zal
veranderen. De commissie heeft vijf categorieën datapraktijken geïdentificeerd waarin een consument
redelijkerwijze kan verwachten dat data verzameld of gebruikt worden. Gezien de beperkte invulling
van het uitzonderingsregime, zal dit voorstel weinig soelaas brengen voor de gekende problemen.
3.2.2.3 Principes
119. Uit het voorgaande volgt dat de Databeschermingsrichtlijn van toepassing is op het verwerken
van persoonsgegevens. Opdat deze verwerking rechtmatig zou zijn, moet aan een stel voorwaarden
zijn voldaan. Verschillende van deze voorwaarden gaan terug op kernprincipes die in de
Databeschermingsrichtlijn worden vermeld onder de afdeling “beginselen betreffende de kwaliteit van
de gegevens”. De verantwoordelijkheid voor de naleving van de principes ligt op de voor de
245
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 9-10. 246
FEDERAL TRADE COMMISSION, “Protecting Consumer Privacy in an Era of Rapid Change”, FTC Report 2012, http://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf, 35-60.
55
verwerking verantwoordelijke. De meest relevante principes zullen uitvoerig besproken worden. Naar
analogie met de Databeschermingsrichtlijn worden de principes in deze volgorde behandeld:
3.2.2.3.1 Het eerlijk- en rechtmatigheidsprincipe;
3.2.2.3.2 Het doelgebondenheidsprincipe;
3.2.2.3.3 Het dataminimisatieprincipe;
3.2.2.3.4 Het nauwkeurigheidsprincipe;
3.2.2.3.5 Het principe van de beperkte bewaring;
3.2.2.3.6 Het verantwoordingsprincipe.
3.2.2.3.1 Eerlijkheid en rechtmatigheid
120. Artikel 6, 1(a) van de Databeschermingsrichtlijn247
stelt dat persoonsgegevens “eerlijk en
rechtmatig moeten worden verwerkt”. Dit principe impliceert dat persoonsgegevens slechts verzameld
en verwerkt mogen worden door middel van eerlijke en rechtmatige middelen. Bovendien herbevestigt
deze bepaling dat verantwoordelijken niet enkel de Databeschermingsrichtlijn, maar ook andere
wettelijke verplichtingen dienen na te leven.
121. Het eerlijk- en rechtmatigheidsprincipe bestaat uit twee onderdelen: enerzijds dient de
verwerking eerlijk te gebeuren, anderzijds wordt vereist dat zij rechtmatig is. De eerlijkheid van de
verwerking is afhankelijk van de naleving van de transparantieplicht die door de
Databeschermingsrichtlijn wordt ingevoerd. Voor meer informatie wordt verwezen naar pagina 73.
Het rechtmatigheidsprincipe heeft betrekking op het feit dat een verwerking van persoonsgegevens een
inmenging in het fundamentele recht op databescherming uitmaakt. De relativiteit van dit recht
impliceert dat het afgewogen dient te worden ten aanzien van andere fundamentele rechten, waaronder
het recht op vrije meningsuiting. Deze evenwichtsoefening gebeurt aan de hand van een aantal
wettelijk bepaalde criteria.248
Dit onderdeel verdient in het kader van big data geen aandacht en wordt
dan ook verder buiten beschouwing gelaten. Daarnaast is de rechtmatigheid van de verwerking ook
afhankelijk van de toelaatbaarheid ervan, zoals behandeld infra 66, nr. 154 et seq.
3.2.2.3.2 Doelbinding
122. Artikel 6, 1(b) van de Databeschermingsrichtlijn249
bepaalt dat persoonsgegevens
“voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden
verkregen en vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die
247
Respectievelijk art. 4, §1, 1° Databeschermingswet. 248
Zie supra 25, nr. 45. Zie ook EUROPEAN UNION AGENCY, Handbook on data protection law, 62-67. 249
Respectievelijk art. 4, §1, 2° Databeschermingswet.
56
doeleinden. Verdere verwerking van de gegevens voor historische, statistische of
wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de Lidstaten
passende garanties bieden.”
123. Deze bepaling wordt het ‘doelgebondenheidsprincipe’ oftewel ‘purpose limitation’ genoemd.
Doelgebondenheid is een eerste vereiste opdat aan alle andere beginselen betreffende de kwaliteit van
de gegevens250
kan worden voldaan en wordt aldus door de WP29 beschouwd als “a cornerstone of
data protection”.251
Afdeling A van dit hoofdstuk behelst de uitwerking van het principe, bestudeerd
aan de hand van twee essentiële onderdelen. De verenigbaarheid van het doelgebondenheidsprincipe
met big data wordt behandeld in afdeling B. Eventuele mogelijke oplossingen en alternatieven worden
besproken in onderdeel C.
A. Het doelgebondenheidsprincipe in het algemeen
124. De wettigheid van het verwerken van persoonsgegevens is afhankelijk van het doel van deze
verwerking. Dit doelgebondenheidsprincipe bestaat in essentie uit twee grote onderdelen, met name
‘purpose specification’ en ‘compatible use’.252
Purpose specification
125. Het element purpose specification houdt in dat data enkel voor welbepaalde (I), duidelijk
omschreven (II) en gerechtvaardigde (III) doeleinden mogen worden verkregen. Het stelt met andere
woorden grenzen aan de doeleinden waarvoor de data verzameld mogen worden.
(I) Welbepaald
126. Persoonsgegevens mogen enkel voor welbepaalde doeleinden worden verkregen. Bijgevolg is een
verantwoordelijke verplicht de doeleinden vast te leggen voorafgaand aan het verkrijgen van de
informatie. Bovendien mogen persoonsgegevens die niet noodzakelijk, adequaat of relevant zijn voor
deze doeleinden, niet worden bewaard. De vereiste graad van detail is afhankelijk van de context en de
aard van de data, maar over het algemeen moeten de doeleinden duidelijk en specifiek geïdentificeerd
worden. Bijgevolg zullen vage omschrijvingen zoals ‘marketingdoeleinden’ of ‘verder onderzoek’ niet
aanvaard worden. Het is perfect mogelijk dat data worden verkregen voor meerdere doeleinden, maar
250
Hiermee wordt verwezen naar het principe van dataminimisatie, het nauwkeurigheidsprincipe en de vereisten met betrekking tot de periode gedurende dewelke de data wordt bewaard. 251
WP29, “Opinion on purpose limitation”, 4. 252
WP29, “Opinion on purpose limitation”, 11-12.
57
ook dan zal elk doeleinde afzonderlijk voldoende gedetailleerd omschreven moeten worden.253
Persoonsgegevens kunnen daarentegen nooit worden verwerkt voor onbepaalde en/of ongelimiteerde
doeleinden.254
(II) Duidelijk omschreven
127. Het volstaat niet dat de doeleinden van de gegevensverwerking vooraf vastgelegd worden, ze
moeten ook effectief worden geëxpliciteerd. Deze vereiste werd ingevoerd teneinde te vermijden dat
er vage of dubbelzinnige doeleinden zouden worden aangenomen of dat er onenigheid zou ontstaan
over de precieze betekenis en draagwijdte van de bepaalde doelstellingen. Dit komt de transparantie en
voorspelbaarheid ten goede en reduceert het risico dat de verwachtingen van de betrokkene niet
overeenstemmen met die van de verantwoordelijke. Uit onderzoek blijkt bijvoorbeeld dat
consumenten veel meer welwillend zijn persoonsgegevens te delen teneinde de dienstverlening te
verbeteren dan voor marketingdoeleinden.255
Deze vereiste is bijgevolg sterk verweven met het
principe van ‘geïnformeerde toestemming’ doordat het correcte informatie voorop stelt. De wijze
waarop de doeleinden moeten worden meegedeeld, varieert tussen een verklaring aan de bevoegde
toezichthoudende autoriteit en interne documentatie die toegankelijk moet zijn voor inspectie vanwege
de overheid en de betrokkene.256
.
(III) Gerechtvaardigd
128. Een derde voorwaarde met betrekking tot de doeleinden van de gegevenswerking betreft de
wettigheid en rechtvaardigheid ervan. Deze vereiste gaat verder dan datgene wat terug te vinden is in
artikel 7 van de Databeschermingsrichtlijn. Er is met name ook overeenstemming vereist met andere
toepasselijke wetgeving zoals sociaal recht, verbintenissenrecht, consumentenbescherming enzovoort.
Bovendien dient de term ‘wetgeving’ in zijn meest brede betekenis geïnterpreteerd te worden en
kunnen ook gewoontes, ethische codes, contractuele afspraken en de context en feiten van de zaak in
acht genomen worden. Tot slot is het ook van belang te weten dat rechtvaardigheid een dynamisch
begrip is dat onderhevig is aan veranderingen.
129. Verwerking met het oog op direct marketing is niet in se ongerechtvaardigd. Artikel 14(b) van de
Databeschermingsrichtlijn257
is van groot belang in dergelijke situatie. Dit artikel kent met name aan
253
WP29, “Opinion on purpose limitation”, 15-16. 254
EUROPEAN UNION AGENCY, Handbook on data protection law, 68. 255
ORANGE, “The future of digital trust – A European study on the nature of consumer trust and personal data”, LOUDHOUSE, september 2014, http://www.orange.com/en/press/press-releases/press-releases-2014/Consumers-value-their-personal-data-at-170-140-Orange-study-finds, 6. 256
WP29, “Opinion on purpose limitation”, 17-19. 257
Respectievelijk art. 12, §1, lid 3 Databeschermingswet.
58
elke betrokkene een absoluut recht toe zich hiertegen te verzetten. De diverse vormen van het recht
van verzet worden infra 81, nr. 191 et seq. behandeld.
Compatible use
130. Met compatible use wordt bedoeld dat gegevens niet verder verwerkt mogen worden op een
wijze die onverenigbaar is met de oorspronkelijk omschreven doeleinden. Gegevens kunnen soms
echter nuttig blijken voor andere doelen dan diegene waarvoor zij oorspronkelijk verzameld waren, in
het bijzonder in een big data context. Het principe van compatible use verbiedt niet perse deze nieuwe,
afwijkende toepassingen van de persoonsgegevens, maar stelt wel voor elk geval afzonderlijk een
onderzoek naar de toelaatbaarheid van het verder gebruik258
verplicht. Bij het uitvoeren van de toets
dient rekening te worden gehouden met volgende factoren:
de relatie tussen de oorspronkelijke doeleinden en de doeleinden van het verder gebruik;
de context waarin persoonsgegevens bewaard zijn en de redelijke verwachtingen die
betrokkenen zouden mogen hebben omtrent verder gebruik;
de aard van de persoonsgegevens en de impact die verder gebruik zou hebben op de
betrokkene;
de waarborgen geboden door de voor de verwerking verantwoordelijke teneinde eerlijke
verwerking te verzekeren en onaanvaardbare impact op de betrokkene te vermijden.259
131. Ook in het geval van verdere verwerking van de gegevens voor historische, statistische of
wetenschappelijke doeleinden, zal deze test moeten worden uitgevoerd. Deze bijzondere doeleinden
vormen volgens de WP29 geen algemene uitzondering op het doelgebondenheidscriterium en sluiten
bovendien ook geen andere toelaatbare gevallen uit.260
Een voorbeeld van gegevensverwerking voor
statistische doeleinden zijn bijvoorbeeld big data-toepassingen voor marktonderzoek.261
Ook in het
geval van het delen van gegevens met derden zal aan bovenstaande toets voldaan moeten zijn,
aangezien het onthullen op zich vaak een nieuw doeleinde uitmaakt.262
132. Wanneer de doeleinden van het verder gebruik niet verenigbaar zijn met de oorspronkelijke
doeleinden, is verwerking van de gegevens principieel ongerechtvaardigd en dus verboden. In dat
geval kan de verantwoordelijke zich niet baseren op het feit dat de data initieel verworven of verwerkt
werden voor een ander legitiem doel. Aan dit verbod kan ook niet onmiddellijk ontkomen worden
258
Elke verwerking die volgt op het bewaren van data, zowel voor oorspronkelijk meegedeelde doeleinden als voor alle bijkomende, wordt beschouwd als een vorm van verder gebruik en dient dus te voldoen aan het criterium van de verenigbaarheid (WP29, “Opinion on purpose limitation”, 21). 259
WP29, “Opinion on purpose limitation”, 23-27. 260
WP29, “Opinion on purpose limitation”, 28-33. 261
WP29, “Opinion on purpose limitation”, 29. 262
EUROPEAN UNION AGENCY, Handbook on data protection law, 68.
59
door het aannemen van een van de wettelijke gronden in artikel 7 Databeschermingsrichtlijn263
. De
WP29 heeft met name geoordeeld dat artikel 6 en 7264
cumulatieve voorwaarden zijn en er dus aan
beide tegelijkertijd voldaan moet zijn. Uiteraard maakt het verkrijgen van een specifieke, afzonderlijke
toestemming voor het verder gebruik wel een waarborg uit waarmee rekening kan worden gehouden
bij het bepalen van de verenigbaarheid.265
B. Doelgebondenheid in the age of big data
Algemeen
133. Het doelgebondenheidsprincipe en diens hoekstenen zijn zonder enige twijfel problematisch in
big data-gerelateerde contexten. De concepten vertrekken namelijk van het idee dat het mogelijk is
voorafgaandelijk vast te leggen voor welk doel de data gebruikt zullen worden en op grond daarvan
geïnformeerde toestemming te verkrijgen. Deze veronderstelling is absoluut onverzoenbaar met big
data. Een deel van de toegevoegde waarde van big data ligt net in de mogelijkheid nieuwe verbanden
te vinden voor nieuwe potentiële toepassingen van voorheen verzamelde data. Het is perfect mogelijk
dat de doeleinden van het verder gebruik helemaal niks met het oorspronkelijk gebruik te maken
hebben. Zo kunnen gegevens verzameld in de ene context, een tweede leven krijgen in een totaal
andere context.266
Deze vormen van verder gebruik zijn bijgevolg vaak niet te voorspellen maar zijn
desondanks zeer belangrijk en waardevol: “It is aimed precisely at those unanticipated secondary
uses, the “crown jewels” of big data.”267
Uitzonderlijk kan verder gebruik toch worden voorzien,
maar dan niet zonder het volledig uitspitten van de data, wat op zich een strijdige verwerking van
persoonsgegevens kan uitmaken.268
134. Bovendien is het in huidige tijden niet ondenkbaar dat data worden opgeslagen zonder dat ook
maar enig doel voorhanden is, louter en alleen omwille van het feit dat de data later eventueel
bruikbaar zouden kunnen zijn. De onverenigbaarheid van het doelgebondenheidsprincipe met
dergelijke praktijken blijkt ook uit volgende quote:
“These concepts therefore start from the wrong premise. They are trying to hold off the future,
which is impossible to do. It is against the technical imperative. The world will be about big
263
Respectievelijk art. 5 Databeschermingswet. 264
Respectievelijk artt. 4 en 5 Databeschermingswet. 265
WP29, “Opinion on purpose limitation”, 27. 266
Zie ook L. MOEREL, “Big Data Protection”, Tilburg University 2014, 42-43 over information injustice. 267
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 259-260. 268
M. HILDEBRANDT, “Slaves to Big Data. Or Are We?”, IDP Revista de Internet, Derecho y Politica 16 2013, http://works.bepress.com/mireille_hildebrandt/52/, 15.
60
data and the internet of things with sensors collecting data just for the sake of collecting the
data, to detect new correlations in order to develop new services.”269
135. Tot slot maakt ook de complexiteit van het proces de naleving van het
doelgebondenheidsprincipe zo goed als onmogelijk. In de digitale eeuw worden gegevens door
ondernemingen met mekaar gedeeld. Hierdoor is een kluwen van personen met moeilijk
onderscheidbare functies en verantwoordelijkheden ontstaan. Wanneer gegevens worden
overgedragen, verliest de oorspronkelijke entiteit logischerwijs de controle over het doeleinde van het
gebruik.270
Waarborgen
136. Ondanks de problemen die het principe met zich meebrengt, heeft de WP 29 benadrukt dat het
innovatieve potentieel van het verder gebruik en het competitieve gevaar dat gepaard gaat met
openbaarmaking van nieuwe ontdekkingen, geen geldig excuses vormen voor het niet naleven.271
Bijgevolg moet voor elke vorm van verder gebruik in the age of big data deze toets nog steeds worden
uitgevoerd. De toepassing van een van de betrokken factoren die de verenigbaarheid kan stimuleren,
met name de waarborgen geboden door de verantwoordelijke, werd door de WP29 nader bestudeerd
voor big data contexten.
137. In dit kader maakt de WP29 een onderscheid tussen twee mogelijke hypothesen. Hypothese één
betreft de situatie waarin organisaties louter trends en correlaties willen vinden in de informatie. Zo is
het perfect denkbaar dat Colruyt graag wil weten wat haar bestverkopende producten zijn.272
Verder
gebruik zal in dergelijke situaties verenigbaar zijn met het doelgebondenheidsprincipe indien de
organisatie voorziet in functional separation.273
Deze feitelijke scheiding kan bijvoorbeeld geboden
worden door het (pseudo-)anonimiseren en brengt bijgevolg niet veel bijkomende problemen met zich
mee.274
138. In hypothese twee zijn de organisaties uit op informatie over het betrokken individu. Dergelijke
hypothese zou toepassing vinden wanneer Colruyt niet zomaar algemene informatie zou vergaren,
maar effectief kennis wil krijgen van het aankooppatroon van een welbepaalde consument. In dergelijk
269
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 53-54. 270
J. PAVOLOTSKY, “Privacy in the Age of Big Data”, The Business Lawyer 2013, vol. 69(1), (217) 220. 271
ARTICLE 29 WORKING PARTY, “Opinion 1/2008 on data protection issues related to search engines (WP 148)”, European Commission 2008, 19-20. 272
In de veronderstelling dat het gaat om een vorm van verder gebruik en zij die data dus zelf niet voor deze doeleinden heeft vergaard. 273
Voor meer info, zie WP29, “Opinion on purpose limitation”, 30. 274
Voor meer uitleg over anonimisatie en pseudonimisatie, zie supra 39, nr. 79 et seq.
61
geval zijn waarborgen zoals anonimisatie vanzelfsprekend praktisch onmogelijk. Bijgevolg stelt de
WP29 dat onder andere voor tracking en profiling voor doeleinden van directe marketing, behavioural
advertising (voor meer uitleg, zie supra 16, nr. 31 et seq.) of data brokering in principe altijd
geïnformeerde toestemming vereist is. Opdat aan deze vereiste van notice and consent voldaan kan
zijn, voert de WP 29 enkele voorwaarden in. Eerst en vooral benadrukt ze dat consumenten toegang
moeten hebben tot hun profielen. Bovendien moeten ze kennis krijgen van de bronnen en de
beslissende criteria die aanleiding hebben gegeven tot de ontwikkeling ervan. Meer nog, aan
betrokkenen dient ook de mogelijkheid geboden te worden hun informatie te corrigeren of up te daten.
Tot slot verdient het ook aanbeveling de toegang tot de data eenvoudig en draagbaar te maken.
Draagbaarheid van de data vergemakkelijkt het aanpassen van de data, wat dan weer leidt tot
accuratere data en dus tot betere bedrijfsbeslissingen.275
Het komt met andere woorden alle partijen ten
goede.276
Wanneer deze voorwaarden zouden worden toegepast op de Targetzaak (supra 18, nr. 33),
valt er te argumenteren dat, rekening houdend met de wijze waarop de gegevens werden verwerkt en
de afwezigheid van waarborgen, er in dat geval een sterke indicatie van incompatibiliteit was.277
C. Mogelijke oplossingen en alternatieven
139. Uit bovenstaande bespreking blijkt dat hoogdringend tijd is het doelgebondenheidsprincipe te
herzien en het verder te ontwikkelen in lijn met de nieuwe technieken van big data, zodat de
mogelijkheden ten volle kunnen worden benut. Heel wat experts op de Microsoft Global Privacy
Summit waren van mening dat de nieuwe benadering van het doelgebondenheidsprincipe meer moet
focussen op het gebruik van de gegevens dan op het verzamelen ervan. Zij baseren zich hiervoor op
het feit dat de context en de waarde van de persoonsgegevens meestal nog niet gekend zijn op het
ogenblik dat de gegevens verzameld worden. Bijgevolg stellen zij dat het gebruik van de gegevens wel
degelijk aan banden gelegd moet worden, maar niet per se in functie van het vooropgestelde
doeleinde. Het zou dan ook volstaan om het verwerken van gegevens te beperken tot rechtmatige
doeleinden en geschikte toepassingen.278
De vraagt rijst dan wel of de redelijke verwachtingen van de
consument in dergelijke situaties niet volledig miskend worden. Het invoeren van een opt-out
mogelijkheid zou hier soelaas kunnen brengen.
140. Professor Moerel stelt voor het doelgebondenheidsprincipe, en in diens kielzog ook het principe
van dataminimisatie en beperkte bewaring, af te schaffen.279
275
In artikel 18 van het Voorstel Algemene Verordening Gegevensbescherming werd aanvankelijk een recht van gegevensoverdraagbaarheid oftewel dataportabiliteit ingevoerd. Deze bepaling werd na het amendement van het Europees Parlement in 2014 verkort opgenomen in artikel 15, lid 2bis. 276
WP29, “Opinion on purpose limitation”, 46-47. 277
WP29, “Opinion on purpose limitation”, 61. 278
MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 11. 279
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 55.
62
3.2.2.3.3 Dataminimisatie
141. Het doelgebondenheidsprincipe is nauw verbonden met een ander principe, met name het
dataminimisatieprincipe. Dit principe wordt omschreven in artikel 6, 1(c) van de
Databeschermingsrichtlijn280
dat stelt dat persoonsgegevens “toereikend, ter zake dienend en niet
bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij
vervolgens worden verwerkt”. Het principe houdt met andere woorden in dat organisaties verplicht
zijn het verzamelen van persoonsgegevens te beperken tot die gegevens die effectief noodzakelijk zijn
voor het bereiken van hun vooropgestelde doelen. Bovendien zijn zij ertoe gehouden de data te
verwijderen of te anonimiseren wanneer die niet langer gebruikt worden voor de doelen waartoe zij
waren bestemd. Wanneer de data niet worden verwijderd of geanonimiseerd, maakt dit een
onrechtmatige verwerking van persoonsgegevens uit, zelfs indien er door de betrokkene toestemming
werd gegeven.281
Ook wordt van ondernemingen verwacht dat zij strenge policies invoeren met
betrekking tot het bijhouden van persoonsgegevens in identificeerbare vorm.282
Het
dataminimisatieprincipe staat met andere woorden in sterk verband met het principe van de beperkte
bewaring (infra 65, nr. 149 et seq.).
142. Dit principe is, net als zijn voorganger, compleet tegenstrijdig met het big data business model.
Big data gaat gepaard met een zee aan informatie, afkomstig uit variërende bronnen aan een
toegenomen snelheid.283
In dit kader geldt dat, hoe meer data er voorhanden zijn, hoe correcter de
getrokken conclusies zullen zijn. Dit resulteert bijvoorbeeld in een efficiëntere aanpassing van de
salesstrategie van een onderneming naar aanleiding van de nieuw vergaarde kennis. Bovendien zijn de
doeleinden waarvoor de gegevens gebruikt zullen worden, vaak op voorhand niet te voorspellen
(supra 59, nr. 133). Big data is met andere woorden gesteund op het principe van datamaximisatie:
“Big data wants all, nothing less”284
. Dit is logischerwijs compleet onverzoenbaar met de
minimisatieregel in de Databeschermingsrichtlijn, die niet langer de marktnorm lijkt te zijn.
143. Ondanks de onaangepastheid van het principe aan the age of big data, waren de privacyexperten
op de Microsoft Global Privacy Summit van mening het principe in essentie te willen behouden. Zij
achtten evenwel één belangrijke aanpassing noodzakelijk: de relevantie van de gegevens dient niet
langer beoordeeld te worden op het ogenblik van het verzamelen van de gegevens maar op het tijdstip
280
Respectievelijk art. 4, §1, 3° Databeschermingswet. 281
M. HILDEBRANDT, “Slaves to Big Data. Or Are We?”, IDP Revista de Internet, Derecho y Politica 16 2013, http://works.bepress.com/mireille_hildebrandt/52/, 14. 282
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 259. 283
Zie supra 8, nr. 12 et seq. 284
M. HILDEBRANDT, “Slaves to Big Data. Or Are We?”, IDP Revista de Internet, Derecho y Politica 16 2013, http://works.bepress.com/mireille_hildebrandt/52/, 14; INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 6.
63
van het gebruik.285
Dergelijke wijzing is zonder enige twijfel een stap in de goede richting, doordat zij
meer ruimte laat voor het verdere gebruik van gegevens. De vraagt is evenwel of het zinvol blijft
relevantie te beoordelen in functie van de doeleinden van de verwerking, nu deze zo onvoorspelbaar
zijn geworden.
144. Auteurs Cate, Cullen en Mayer-Schönberger geven het principe een nog iets andere invulling. Zij
zijn van mening dat de proportionaliteitstoets enkel moet worden uitgevoerd ten aanzien van
“gegevens die gebruikt worden voor een beslissing die individuen beïnvloedt”. Men hoopt op deze
manier overbodig werk te vermijden.286
Deze aanpak houdt evenwel geen enkele rekening met de
onvoorspelbaarheid van de doeleinden op het ogenblik van het verzamelen van de gegevens.
145. Tene en Polonetsky stellen voor het proportionaliteitsprincipe compleet anders te interpreteren.
Zij zijn voorstander van het baseren van de databeschermingswetgeving op een risicomatrix, waarbij
proportionaliteit gebaseerd moet worden op een afweging van de waarde van de gegevens tegen de
mogelijke privacyrisico’s die met het verwerken gepaard gaan. Zo zou de wettigheid van een
verwerking moeten worden vermoed van zodra de toepassingen ervan voordelig zijn en de risico’s
klein, zelfs indien het individu toestemming weigert te geven of er niet om wordt gevraagd. Dergelijke
aanpak stimuleert enerzijds het uitvoeren van anonimisatie en het implementeren van degelijke
veiligheidsmaatregelen en begrenst anderzijds het gebruik van gegevens tot datgene wat aanvaardbaar
is vanuit zowel een individueel als maatschappelijk standpunt.287
Teneinde dit voorstel effectief te
maken, zal de implementatie van een verantwoordingsprincipe (infra 65, nr. 151 et seq.) evenwel
onontbeerlijk zijn. Dit voorstel sluit logischerwijs ook de toepassing van het principe inzake
geïnformeerde toestemming uit.
3.2.2.3.4 Nauwkeurigheid
146. Artikel 6, 1(d) van de Databeschermingsrichtlijn288
stelt dat persoonsgegevens
“nauwkeurig dienen te zijn en, zo nodig, dienen te worden bijgewerkt; alle redelijke
maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden
waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt, onnauwkeurig of
onvolledig zijn, uit te wissen of te corrigeren”.
147. Een voor de verwerking verantwoordelijke heeft de verantwoordelijkheid zich ervan te
vergewissen dat de data waarover hij beschikt accuraat en up-to-date zijn. De persoonsgegevens
285
MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 10. 286
CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection Principles for the 21st
Century”, 18. 287
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 259-260. 288
Respectievelijk art. 4, §1, 4° Databeschermingswet.
64
mogen met andere woorden niet worden aangewend vooraleer hij hierover redelijke zekerheid heeft.
Om die nauwkeurigheid te verzekeren, voorziet de Databeschermingsrichtlijn een recht voor de
betrokkene op toegang tot en rectificatie, uitwissing of afscherming van de persoonsgegevens.289
In het
kader van de informatieplicht zal melding moeten worden gemaakt van het bestaan van dat recht.
148. In een tijdperk waarin gegevens worden onderworpen aan datamining, waaruit conclusies worden
getrokken en zelfs voorspellingen worden gedaan, is de accuraatheid van data van heel groot belang.
In the age of big data is het eerst en vooral niet ondenkbaar dat volledige profielen worden opgesteld
op basis van informatie vergaard op sociale media. Beslissingen die worden genomen op basis van
dergelijke gegevens zijn echter nooit zo transparant en controleerbaar als beslissingen genomen op
basis van informatie afkomstig uit officiële registers. Dit komt doordat de betrokkenen hier vaak niet
van op de hoogte gebracht worden (information inequality) en big data de context nu eenmaal niet in
acht neemt (information injustice).290
Bijgevolg leveren beslissingen gebaseerd op informatie bedoeld
voor andere doeleinden en verzameld in andere contexten, vaak resultaten op die niet overeenstemmen
met de actuele situatie.291
Bovendien worden in de digitale eeuw gegevens geanalyseerd, conclusies
getrokken en zelfs voorspellingen gedaan. De resultaten van dergelijke analyses worden beïnvloed
door de identiteit en visie van degene die het onderzoek uitvoert. Bijgevolg is ook dit
interpretatieproces voorwerp van fouten, onjuistheden en vooroordelen.292
Het is met andere woorden
van groot belang dat de betrokkene hierover wordt geïnformeerd (v° informatieverplichtingen) en
toegang krijgt (v° recht op toegang). Dergelijke analyses kunnen tot erg gevaarlijke situaties leiden
wanneer men op basis van deze veronderstellingen wordt ingedeeld in kleine categorieën waar men
niet eenvoudig uitgeraakt. De voorspellende analyse wordt zo een perverse self-fulfilling prophecy die
de vastgestelde groepen ten goede komt.293
Dat brengt op zijn beurt een risico op discriminatie met
zich mee.294
In dit kader verwijst professor Moerel ook naar het begrip ‘contextuele privacy’, wat
inhoudt dat datgene wat gedeeld wordt in één context, niet noodzakelijk publiek hoort te zijn in een
andere.295
Dit concept staat uiteraard op gespannen voet met big data, waarin correlaties worden
gevonden tussen en conclusies worden getrokken uit gegevens afkomstig uit diverse databanken en
dus uit verschillende contexten. Bovendien mag uiteraard niet uit het oog verloren worden dat het
gebruiken van informatie voor andere, onverenigbare doeleinden in se onrechtmatig is (supra 58, nr.
130 et seq.).
289
Infra 78, nr. 186 et seq. 290
Voor meer info, zie L. MOEREL, “Big Data Protection”, Tilburg University 2014, 42. 291
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 9. 292
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 271. 293
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 42-43. 294
Supra 15, nr. 28. 295
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 39-41.
65
3.2.2.3.5 Beperkte bewaring
149. Artikel 6, 1(e) van de Databeschermingsrichtlijn296
voorziet dat persoonsgegevens
“in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen
worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden
verzameld of vervolgens worden verwerkt, noodzakelijk is. De Lidstaten voorzien in passende
waarborgen voor persoonsgegevens die langer dan hierboven bepaald voor historische,
statistische of wetenschappelijke doeleinden worden bewaard.”
150. Het principe van de beperkte bewaring impliceert dat persoonsgegevens moeten worden
verwijderd eens de doeleinden zijn gediend. Wanneer personen reeds lange tijd geen gebruik meer
gemaakt hebben van een welbepaald trackingplatform, wordt van de betrokken organisaties verwacht
dat zij deze data gaan verwijderen. Slecht wanneer de betrokkene opnieuw interageert met het
systeem, kunnen opnieuw gegevens worden bewaard (onder de voorwaarden gesteld door de
Databeschermingsrichtlijn).297
Het beginsel van de beperkte bewaring beperkt zich evenwel tot
gegevens in identificeerbare vorm. Het is met andere woorden wel wettig deze gegevens
geanonimiseerd bij te houden, wat ook niet perse zonder problemen is (zie supra 40, nr. 81). Dit
principe vormt een bijzondere toepassing van het dataminimisatieprincipe. Voor een bespreking van
dit begrip wordt dan ook verwezen naar het desbetreffende hoofdstuk.298
3.2.2.3.6 Verantwoording
151. Artikel 6, 2 van de Databeschermingsrichtlijn299
bevat een verwijzing naar de verplichting die op
de verantwoordelijke rust “om voor de naleving van het bepaalde in lid 1 zorg te dragen”. De
verantwoordelijke draagt met andere woorden de verantwoordelijkheid voor het eerbiedigen van alle
voormelde principes.300
Desondanks is van een echt verantwoordingsprincipe in het recht van de
Europese Unie tot op vandaag nog geen sprake. Zo een principe is wel terug te vinden in artikel 14 van
de privacyrichtlijnen van de OESO. Artikel 15 van de herwerkte versie werkt dit principe zelfs verder
uit en legt verantwoordelijken de verplichting op een privacy management programma in te voeren.301
296
Respectievelijk art. 4, §1, 5° Databeschermingswet. 297
O. TENE en J. POLONETSKY, “To Track or “Do Not Track”: Advancing Transparency and Individual Control in Online Behavioral Advertising”, Minnesota Journal of Law, Science & Technology 2011, vol. 13(1), (281) 354. 298
Zie supra 62, nr. 141 et seq. 299
Respectievelijk art. 4, §2 Databeschermingswet. 300
EUROPEAN UNION AGENCY, Handbook on data protection law, 76-77. 301
Zie OESO, “The OECD Privacy Framework”, OECD 2013, http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf, 15-16; MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 14-15.
66
152. De afwezigheid van dit principe heeft tot gevolg dat de Europese databeschermingsprincipes en –
verplichtingen over het algemeen onvoldoende vertaald worden in concrete interne maatregelen en
praktijken. De WP29 heeft haar ontevredenheid hieromtrent reeds meermaals uitgedrukt.302
Zij vindt
dan ook dat het hoogtijd is dat databescherming van theorie naar praktijk evolueert door het invoeren
van een verantwoordingsprincipe. Zo een principe houdt concreet in dat op verantwoordelijken de
verplichting zou rusten passende en effectieve maatregelen te nemen teneinde de toepassing van de
databeschermingswetgeving te verzekeren. Bovendien zouden verantwoordelijken ook ten allen tijde
aan betrokkenen en toezichtsorganen het bewijs moeten kunnen leveren dat dergelijke maatregelen
wel degelijk getroffen zijn.303
Dergelijk principe werd nu ingevoerd in artikel 5(f) van het Voorstel
Algemene Verordening Gegevensbescherming.
3.2.2.4 Regels
153. De principes uit voorgaand hoofdstuk zijn algemeen van aard en werken doorheen het volledige
databeschermingsrecht. Teneinde het databeschermingsniveau binnen de Europese Unie te
harmoniseren, heeft de EU-wetgever ook voorzien in meer gedetailleerde regels. Deze regels worden
in dit hoofdstuk naderbij bekeken. Het hoofdstuk wordt ingedeeld als volgt:
3.2.2.4.1 Regels betreffende de toelaatbaarheid van de gegevensverwerking;
3.2.2.4.2 Regels betreffende de beveiliging van de gegevensverwerking;
3.2.2.4.3 Regels betreffende de transparantie van de gegevensverwerking;
3.2.2.4.4 Regels betreffende het bevorderen van de naleving.
3.2.2.4.1 Toelaatbaarheid van de gegevensverwerking
154. Het respecteren van de databeschermingsprincipes vormt een eerste vereiste opdat de verwerking
van persoonsgegevens rechtmatig zou zijn. Daarnaast moet ook aan een aantal regels betreffende de
toelaatbaarheid zijn voldaan. Deze regels verschillen in functie van de aard van de data: betreft het een
verwerking van doorsnee (A) of gevoelige data (B)?
302
Ook de International Working Group on Data Protection and Telecommunications heeft het belang van dergelijk verantwoordingsprincipe reeds benadrukt in INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 17. 303
Voor meer info, zie ARTICLE 29 WORKING PARTY, “Opinion 3/2010 on the principle of accountability (WP173), European Commission 2010.
67
A. Wettige verwerking van niet-gevoelige data
155. Artikel 7 Databeschermingsrichtlijn304
bevat een exhaustieve opsomming van de gronden waarop
een verwerking van niet-gevoelige gegevens gesteund mag zijn. De verwerking mag met name slechts
geschieden indien:
“a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of
b) de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de
betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van
een verzoek van de betrokkene, of
c) de verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor
de verwerking verantwoordelijke onderworpen is, of
d) de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of
e) de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of die
deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking
verantwoordelijke of de derde aan wie de gegevens worden verstrekt, drager is opgedragen, of
f) de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de
voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden
verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die
aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze richtlijn, niet
prevaleren.”
Een standaard persoonsgegevensverwerking is met andere woorden slechts toelaatbaar wanneer zij op
een van zes wettelijke gronden is gebaseerd. Hierna wordt, wegens het beperkt belang in het kader van
deze scriptie, een kort overzicht van de gronden gegeven.
Toestemming
156. De belangrijkste en meest voorkomende basis van persoonsgegevensverwerking is toestemming
vanwege de betrokkene. Het begrip ‘geïnformeerde toestemming’ brengt erg veel problemen met zich
mee in de context van big data. De precieze inhoud van het begrip en diens problematische verhouding
met big data werd reeds uitgebreid besproken op pagina 46 en volgende.
(Pre-)contractuele relatie
157. Een tweede mogelijke grond voor het wettig verwerken van persoonsgegevens betreft de situatie
waarin de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene
304
Zie ook overweging 30 Databeschermingsrichtlijn; respectievelijk art. 5 Databeschermingswet.
68
partij is. Deze grond dekt ook precontractuele relaties wanneer het verwerken noodzakelijkerwijs
gebeurt op verzoek van de betrokkene.305
Exploitanten van zoekmachines rechtvaardigen hun
handelingen vaak op basis van artikel 7 (b) Databeschermingsrichtlijn. Af en toe verwerken zij
namelijk persoonsgegevens met het oog op gepersonaliseerde advertenties. Zo bewaren ze
zoekgeschiedenissen, gebruikersindelingen en geografische informatie, in de hoop hun inkomsten
dankzij de reclamebusiness te vergroten. De WP 29 is evenwel niet overtuigd van het gebruik van
deze rechtvaardigingsgrond, in het bijzonder voor gebruikers die zich nooit uitdrukkelijk hebben
ingeschreven naar aanleiding van het ontvangen van gedetailleerde informatie over de doeleinden van
de verwerking. Bijgevolg geeft de werkgroep in dergelijke context voorkeur aan het anonimiseren van
de data.306
Wettelijke verplichtingen van de verantwoordelijke
158. Artikel 7 (c) van de Databeschermingsrichtlijn307
acht een gegevensverwerking toelaatbaar
wanneer zij noodzakelijk is om een wettelijke verplichting van de verantwoordelijke na te komen. Dit
artikel heeft, in tegenstelling tot artikel 7 (e)308
, betrekking op verantwoordelijken die actief zijn in de
private sector.309
Vitaal belang van de betrokkene
159. Wanneer dat noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, mogen
persoonsgegevens worden verwerkt. Dergelijke belangen zijn nauw verbonden met het overleven van
de betrokkene en kunnen bijvoorbeeld de basis vormen van het gebruik van gezondheidsgegevens of
gegevens betreffende vermiste personen.310
Algemeen belang en uitoefening van openbaar gezag
160. Niet enkel private ondernemingen, maar ook overheden verwerken persoonsgegevens. Bijgevolg
laat de Databeschermingsrichtlijn toe dat persoonsgegevens worden verwerkt indien dat nodig is ter
vervulling van taken van algemeen belang of ter uitoefening van openbaar gezag.311
305
EUROPEAN UNION AGENCY, Handbook on data protection law, 82. 306
ARTICLE 29 WORKING PARTY, “Opinion 1/2008 on data protection issues related to search engines (WP 148)”, European Commission 2008, 18. 307
Respectievelijk art. 5 (c) Databeschermingswet. 308
Respectievelijk art. 5 (e) Databeschermingswet. 309
EUROPEAN UNION AGENCY, Handbook on data protection law, 82. 310
EUROPEAN UNION AGENCY, Handbook on data protection law, 83. 311
EUROPEAN UNION AGENCY, Handbook on data protection law, 83-85.
69
Gerechtvaardigd belang van anderen
161. Tot slot mogen persoonsgegevens ook verwerkt worden indien dat noodzakelijk is voor het
gerechtvaardigde belang van anderen, waaronder verantwoordelijken. Deze grond is echter niet
onvoorwaardelijk: er wordt met name vereist dat het belang van die derde afgewogen wordt tegen het
belang of de rechten en vrijheden van de betrokkene. Hoe groter de impact op de betrokkene, hoe
meer aandacht er moet worden besteed aan het bieden van aangepaste garanties.312
Het is aan de voor
de verwerking verantwoordelijke om dergelijke evenwichtsoefening uit te voeren. In geval van twijfel,
zal de Belgische Privacycommissie of de rechter hierover oordelen.
162. Gezien de afwezigheid van een concreet verantwoordingsprincipe, wordt deze bepaling door
sommige auteurs aanzien als “a weakness of the legal system, constituting inter alia a possible tool for
the circumnavigation of the legal protection offered to individuals, as well as a loophole in the
protection of those values behind the law”313
. Het hoeft geen betoog dat de verantwoordelijke niet de
meest objectieve en juridisch geschoolde persoon is bij het uitvoeren van dergelijke test. Daarenboven
durven individuen het slechts zelden aan naar de rechtbank te stappen, mede doordat zij zo weinig
kennis hebben over de omvang van de verwerking en de onderliggende technologieën.314
Bijgevolg is
de ex post controle op de naleving van deze bepaling erg beperkt. Ook de vaagheid van de
bewoording, die veel ruimte laat voor interpretatie, maakt het er niet eenvoudiger op.315
Het mag dan
ook niet verbazen dat ondernemingen zoals Google en Facebook ook vormen van adverteren in de
rechtvaardigingsgrond insluiten. Als reactie op deze wanpraktijken hebben verschillende instanties
voorstellen gedaan, zoals het opstellen van beschrijvende voorbeeldenlijsten.316
De WP 29 is van
mening dat het evenwel zinvoller is om, naast de invoering van een concreet verantwoordingsprincipe
(supra 65, nr. 151 et seq.), transparantie te promoten en het publiceren door de verantwoordelijke van
de redenen achter de evenwichtsoefening verplicht te stellen.317
Andere auteurs opperen dat de term
‘belang’ vervangen dient te worden door ‘recht’ (of op zijn minst in die zin moet worden
geïnterpreteerd) waardoor de balans beperkt zou worden tot conflicterende rechten.318
Dergelijke
312
Onder garanties worden onder andere verstaan: strikte beperkingen op hoeveel gegevens er mogen worden verzameld, het onmiddellijk verwijderen van de gegevens na het gebruik, technische en organisatorische maatregelen teneinde functionele scheiding te verzekeren, gepast gebruik van anonimisatietechnieken, aggregatie van gegevens en privacyverbeterende technologieën, maar ook toegenomen transparantie, verantwoordelijkheid en de mogelijkheid om de verwerking te weigeren (ARTICLE 29 WORKING PARTY, “Opinion 6/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC (WP 217)”, European Commission 2014, 42-43). 313
F. FERRETTI, “Data Protection and the Legitimate Interest of Data Controllers: Much Ado about Nothing or the Winter of Rights?”, Common Market Law Review 2014, vol. 51, (843) 858. 314
Ibid. 861. 315
Ibid. 857. 316
Ibid. 864-865. 317
ARTICLE 29 WORKING PARTY, “Opinion 6/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC (WP 217)”, European Commission 2014, 51-54. 318
F. FERRETTI, “Data Protection and the Legitimate Interest of Data Controllers: Much Ado about Nothing or the Winter of Rights?”, Common Market Law Review 2014, vol. 51, (843) 866-867.
70
aanpak zou zonder enige twijfel meer juridische zekerheid en databescherming bieden. De vraag blijft
evenwel of verantwoordelijken nadien geen andere mazen in het net zullen vinden.
B. Wettige verwerking van gevoelige data
163. De verwerking van bepaalde bijzondere categorieën gegevens, gekwalificeerd als ‘gevoelige
data’, is principieel verboden op grond van artikel 8 Databeschermingsrichtlijn. Het betreft met name
“persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de
godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt,
alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen.” Op dit beginsel
bestaan allerlei uitzonderingen en afwijkingen, opgenomen in leden 2 tot 7 van voornoemd artikel. De
belangrijkste uitzondering op het principiële verbod betreft de situatie waarin de betrokkene
uitdrukkelijke toestemming heeft verleend.
164. In de context van big data is het niet ondenkbaar dat er gevoelige persoonsgegevens worden
verwerkt. Bovendien bestaat ook het risico dat men, door het samenleggen van stukjes niet-gevoelige
informatie, toch bij een gevoelig resultaat uitkomt.319
Big data-technieken laten met name toe allerlei
patronen te herkennen die bijvoorbeeld iemands gezondheid, politieke voorkeur of seksuele oriëntatie
zouden kunnen voorspellen. Dit brengt een risico op discriminatie320
met zich mee en vereist bijgevolg
additionele bescherming.321
De WP 29 raadt het verwerken van gevoelige data voor doeleinden van
online reclame op basis van surfgedrag dan ook af. Indien dit toch zou gebeuren, ziet de WP 29 een
expliciete, afzonderlijke en voorafgaande opt-in toestemming als enige mogelijke grond voor het
wettig verwerken van de gegevens.322
165. Professor Moerel is van mening dat het ex ante verbieden van bepaalde vormen van
verwerkingen geen goede zet is. In lijn met de kritiek die wordt geuit op doelbinding, dataminimisatie
en beperkte bewaring, wijst zij erop dat het onmogelijk is te voorspellen welke soorten activiteiten
nooit mogen worden toegelaten, doordat de waarde van big data net in die onvoorziene toepassingen
ligt (supra 59, nr. 133). Bijgevolg stelt zij voor de grond met betrekking tot het gerechtvaardigde
belang323
uit te breiden naar verwerkingen van alle categorieën gegevens, waardoor ook in dergelijke
omstandigheden een evenwichtsoefening tussen de betrokken belangen gevoerd zou moeten worden.
Daarbij zouden de databeschermingsrisico’s moeten worden afgewogen tegen de mogelijke voordelen
319
Het voorbeeld bij uitstek in dit kader is de Targetzaak (zie supra 18, nr. 22). O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 253-254. 320
Supra 15, nr. 28. 321
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 7. 322
WP 29, “Opinion on online behavioural advertising”, 19-20. 323
Art. 7 (f) Databeschermingsrichtlijn en 6(1)(f) Voorstel Algemene Verordening Gegevensbescherming.
71
voor individuen, ondernemingen en de samenleving. Het resultaat van deze proportionaliteitstest kan
verschillen per fase van de verwerking.324
Eenzelfde benadering lijkt ook door de WP 29 te worden
gevolgd.325
3.2.2.4.2 Beveiliging van de gegevensverwerking
166. De EU-wetgever introduceerde beveiliging en vertrouwelijkheid als bijkomende voorwaarden
voor de rechtmatigheid van de gegevensverwerking. Wegens hun onderlinge verbondenheid worden
de twee elementen hierna tezamen behandeld.
167. Artikel 16 van de Databeschermingsrichtlijn326
voert een algemene confidentialiteitsplicht in. Dit
houdt concreet in dat
“een ieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de
verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze
slechts in opdracht van de voor de verwerking verantwoordelijke verwerken, behoudens op
grond van wettelijke verplichtingen.”
Dit artikel heeft met andere woorden betrekking op confidentialiteit in de verhouding tussen de
verantwoordelijke en de verwerker. Dit houdt concreet in dat de verwerker en alle betrokken
medewerkers de persoonsgegevens slechts mogen gebruiken in overeenstemming met de instructies
gegeven door de verantwoordelijke.327
168. Artikel 17 van de Databeschermingsrichtlijn regelt de beveiliging van de gegevensverwerking.
Het eerste lid van het artikel328
stelt dat
“de voor de verwerking verantwoordelijke passende technische en organisatorische
maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging,
hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding
of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk
omvat, dan wel tegen enige andere vorm van onwettige verwerking.”
De veiligheid van de data dient met andere woorden verzekerd te worden op twee verschillende
niveaus. Enerzijds wordt vereist dat de verantwoordelijke beschikt over technisch veilig materiaal.
Hieromtrent zijn allerlei industriële, nationale en internationale standaarden uitgewerkt. Anderzijds
zijn ook interne organisatorische maatregelen onontbeerlijk. Onder deze noemer valt onder andere de
aanstelling van een personal data protection official, het opleiden van het personeel, het regelmatig
324
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 51-52 en 56-59. 325
WP29, “Opinion on purpose limitation”, 25. Cf. supra 37, nr. 72. 326
Respectievelijk art. 16, §3 Databeschermingswet. 327
EUROPEAN UNION AGENCY, Handbook on data protection law, 93-94. 328
Respectievelijk art. 16, §4 Databeschermingswet.
72
uitvoeren van een audit, enzovoort.329
Het vereiste beveiligingsniveau wordt bepaald in functie van de
stand van de techniek, de kosten van de maatregelen en de gevoeligheid van de verwerkte data.330
Wanneer de verwerking gebeurt door een afzonderlijke verwerker, draagt de verantwoordelijke
responsabiliteit voor de keuze van de verwerker en dient de confidentialiteits- en
beveiligingsverplichting opgenomen te worden in de overeenkomst tussen beiden.331
169. Een van gevaren waarmee big data te kampen heeft, is openbaarmaking van de data.332
Het is
vanzelfsprekend dat, hoe meer gegevens er bijgehouden worden, hoe groter het risico is dat deze
bijvoorbeeld verloren gaan of gehackt worden.333
Bovendien zullen ook de gevolgen van een inbreuk
ernstiger zijn wanneer enorme datasets opgeslagen zijn.334
Dit risico neemt nog toe wanneer de
gegevens die worden bijgehouden van gevoelige aard zijn. Daarnaast vereist het implementeren van
bepaalde veiligheidsmaatregelen zoals authenticatieprocedures het verwerken van nog meer
persoonsgegevens, met alle gevolgen van dien. Gezien het feit dat de mogelijke kost voor zowel de
betrokkene als de onderneming bij een data-inbreuk erg hoog ligt, is het van enorm groot belang te
investeren in goed beveiligde systemen.335
Artikel 4, lid 3 van e-Privacyrichtlijn336
voorziet sinds haar
amendering in de verplichting kennis te geven van data-inbreuken (infra 91, nr. 224). Ook het
Voorstel Algemene Verordening Gegevensbescherming besteedt veel aandacht aan de veiligheid van
de gegevens.337
170. Heel wat instanties en auteurs hebben zich voorstander getoond van de introductie van privacy by
design. Dit houdt concreet in dat ondernemingen databescherming moeten promoten doorheen hun
organisaties en dienen in te bouwen in elke fase van het ontwerp en de ontwikkeling van een product.
Privacy by design heeft met andere woorden betrekking op het beheer van de hele levenscyclus van
persoonsgegevens. Op deze manier hoopt men ondernemingen te stimuleren om na te denken over
welke data ze verzamelen, hoe ze deze beveiligen en hoe ze bescherming kunnen inbouwen. Zij zijn
nu eenmaal beter geplaatst om privacy efficiënt te beschermen dan de gebruikers van de diensten
zelf.338
Een verplichting om te voorzien in privacy by design en by default werd uitdrukkelijk
opgenomen in artikel 23 van het Voorstel Algemene Verordening Gegevensbescherming.
329
EUROPEAN UNION AGENCY, Handbook on data protection law, 91-92. 330
Art. 17, lid 1, al. 2 Databeschermingsrichtlijn; respectievelijk art. 16, §4, lid 2 Databeschermingswet. 331
Art. 17, lid 2 en 3 Databeschermingsrichtlijn; respectievelijk art. 16, §§1-2 Databeschermingswet. 332
Supra 14, nr. 27. 333
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 46. 334
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 8. 335
OESO, “30 Years After the OECD Privacy Guidelines”, 22-23. 336
Respectievelijk art. 114/1, §§2-3 Wet Elektronische Communicatie. 337
Infra 108, nr. 266 et seq. 338
Zie onder andere FEDERAL TRADE COMMISSION, “Protecting Consumer Privacy in an Era of Rapid Change”, FTC Report 2012, http://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf, 23-30; INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 16; J. PAVOLOTSKY, “Privacy in the Age of Big Data”, The Business Lawyer 2013, vol. 69(1), (217) 222-223;
73
3.2.2.4.3 Transparantie van de gegevensverwerking
171. De Databeschermingsrichtlijn stelt de rechtmatigheid van de gegevensverwerking ook
afhankelijk van transparantie omtrent die verwerking. De transparantieplicht bestaat uit twee
onderscheiden verplichtingen: een informatieverplichting (A) en een aanmeldingsverplichting (B).
A. Informatieverplichting
172. Artikelen 10 en 11 van de Databeschermingsrichtlijn regelen de informatieverplichtingen die
gelden ingeval persoonsgegevens verwerkt worden. Deze verplichting rust op de verantwoordelijke of
diens vertegenwoordiger, vooraleer de gegevens van de betrokkene verwerkt worden. Aan de
informatieverplichting moet proactief voldaan worden, los van het feit of de betrokkene er interesse in
toont of niet.339
Het voorgaande impliceert dat het geheim of verdoken verwerken van
persoonsgegevens principieel verboden is.340
Artikel 10 van de betrokken Richtlijn341
introduceert de
informatieverplichting voor het geval waarin de informatie wordt verkregen bij de betrokkenen zelf.
Artikel 11 Databeschermingsrichtlijn342
regelt de informatieverstrekking wanneer de gegevens bij een
derde zijn verkregen. Inhoudelijk gezien moeten de betrokkenen minimaal kennis krijgen van de
doeleinden van de gegevensverwerking en van de identiteit en de contactgegevens van de
verantwoordelijke. Bovendien moeten zij op de hoogte gebracht worden van verdere informatie indien
dat noodzakelijk is om tegenover de betrokkene een eerlijke verwerking te waarborgen. Voorbeelden
van verdere informatie kunnen zijn: de (categorieën) ontvangers van de gegevens, het bestaan van een
recht op toegang tot en rectificatie van de gegevens, etc. Deze informatie moet verstrekt worden in
makkelijk verstaanbare taal, aangepast aan de doelgroep van de informatie. De WP 29 heeft zich
voorstander getoond van gelaagde kennisgevingen, zodat elke betrokkene voor zichzelf kan uitmaken
hoeveel informatie hij of zij precies wilt.343
Op deze informatieverplichtingen bestaan echter ook
uitzonderingen. Een eerste algemene uitzondering betreft de situatie waarin de betrokkene reeds
beschikt over de informatie. Een afwijking van artikel 11 Databeschermingsrichtlijn is ook toegelaten
wanneer het verstrekken van de informatie onmogelijk blijkt, onevenredig veel moeite kost of indien
de registratie of verwerking bij wet is voorgeschreven.
ARTICLE 29 WORKING PARTY EN WORKING PARTY ON POLICE AND JUSITICE, “The Future of Privacy (WP 168)”, European Commission 2009, 13-15. 339
EUROPEAN UNION AGENCY, Handbook on data protection law, 96. 340
EUROPEAN UNION AGENCY, Handbook on data protection law, 73-75. 341
Respectievelijk art. 9, §1 Databeschermingswet. 342
Respectievelijk art. 9, §2 Databeschermingswet. 343
ARTICLE 29 WORKING PARTY, “Opinion 10/2004 on More Harmonised Information Provisions (WP 100)”, European Commission 2004 in EUROPEAN UNION AGENCY, Handbook on data protection law, 97.
74
173. De naleving van de informatieverplichting in the age of big data is niet zeer eenvoudig. Eerst en
vooral vinden de meeste gevallen van gegevensverwerking hun oorsprong in de toestemming
verkregen vanwege de betrokkene. In dat geval zijn de hier besproken informatieverplichtingen
logischerwijs nauw verbonden met het problematische begrip ‘geïnformeerde toestemming’. Bijgevolg
zal ook het transparantieprincipe op gespannen voet staan met het begrip big data, en zal ook het
eerbiedigen van deze verplichtingen aanzienlijke lasten met zich meebrengen voor consumenten en
ondernemingen.344
Daarenboven bemoeilijkt de uitwerking van het doelgebondenheidsprincipe ook in
dit kader de naleving van de informatieplicht. Voor een meer gedetailleerde beschrijving van de
problemen wordt verwezen naar het desbetreffende hoofdstuk op pagina 59 et seq. Verder zal ook de
complexiteit van de materie het er niet eenvoudiger op maken. Wanneer de informatie aan de
consument wordt aangereikt in een technische taal vol vaktermen, valt het te betwisten dat dit de
positie van de consument ook maar enigszins verbetert.345
Tot slot wordt de naleving van de
informatieverplichting bemoeilijkt door de aanwezigheid van bedrijfsgeheimen en intellectuele
rechten.346
Hier wordt evenwel niet dieper op ingegaan.
174. Ondanks de moeilijke toepassing van de informatieverplichting, benadrukken heel wat auteurs
het belang ervan.347
Naast de erkenning van het bestaan van databasen, is inzicht in de
doorslaggevende criteria en de logica onderliggend aan het besluitvormingsproces onontbeerlijk voor
het realiseren van een rechtmatige gegevensverwerking. In een eeuw waarin gegevens worden
geanalyseerd, conclusies worden getrokken en zelfs voorspellingen worden gedaan, is het van enorm
belang dat de betrokkene hierover wordt geïnformeerd. Dit laat hen toe de accuraatheid van de
gegevens te controleren, wat vanzelfsprekend het nauwkeurigheidsprincipe ten goede komt. Er mag
met name niet uit het oog verloren worden dat ook algoritmen subjectief zijn, en dus niet altijd
correcte informatie produceren.348
Bovendien zal een verhoogde transparantie ondernemingen
hoogstwaarschijnlijk onder druk zetten onethische en onaanvaardbare verwerkingen te vermijden. Dit
is van bijzonder groot belang in het kader van het verwerken van gevoelige gegevens.349
Tot slot zal
een verhoogde transparantie het vertrouwen in de verwerkende instelling verhogen, waardoor
individuen welwillender zullen zijn om gegevens mee te delen. Dit biedt ruimte voor nieuwe
ontwikkelingen.350
344
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 7. 345
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 263. 346
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 269. 347
N. M. RICHARDS en J. H. KING, “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, (393) 421-422; MICROSOFT GLOBAL
PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 12-13. 348
Supra 15, nr. 28. 349
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 270-272. 350
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 264-268.
75
B. Aanmeldingsverplichting
175. Naast een informatieverplichting, voert de Databeschermingsrichtlijn ook een notificatieplicht in.
Artikel 18 van de Richtlijn351
voorziet met name dat verantwoordelijken principieel aanmelding dienen
te doen van hun geautomatiseerde verwerkingen, met het oog op publicatie. Deze aanmelding dient te
gebeuren bij de bevoegde toezichthoudende autoriteit, in België is dat de Privacycommissie. De
Databeschermingsrichtlijn voorziet echter ook een alternatief: elke verantwoordelijke heeft het recht
een onafhankelijke functionaris voor de gegevensbescherming (personal data protection official) aan
te stellen voor het bijhouden van een register. Afwijkingen of versoepelingen van deze verplichting
zijn mogelijk onder voorwaarden. De minimale inhoud van de aanmelding is opgenomen in artikel 19
van de Richtlijn352
en werd enigszins uitgebreid in de Belgische wetgeving. Vermeldenswaardig in dit
kader zijn de verplichte opname van de doeleinden van de verwerking en van de ontvangers aan wie
de gegevens kunnen worden verstrekt. De publicatie van de aanmeldingen gebeurt in de vorm van een
register dat eenvoudig raadpleegbaar dient te zijn door eenieder.
176. Ook de aanmeldingsverplichting is niet eenvoudig houdbaar in the age of big data. Gezien het
geautomatiseerd karakter van big data, is het vanzelfsprekend dat een aanmelding vereist zal zijn bij
elke nieuwe (of van de oorspronkelijke doeleinden afwijkende) stap in het proces. Net zoals het vragen
van toestemming aan de consument een tijdrovend en kostelijk proces is, zal ook het telkenmale
uitoefenen van de aanmeldingsverplichting onpraktisch zijn. Bovendien steekt ook hier het probleem
van de doelgebondenheid de kop op: in hoeverre is het vandaag de dag nog mogelijk te voorspellen
waarvoor de gegevens exact gebruikt zullen worden? En door wie dan wel? Tot slot is ook het
verplicht vermelden van de ontvangers niet eenvoudig in een systeem waarin gegevens voortdurend
worden doorgesluisd en verkocht. Voor meer uitleg, zie supra het onderdeel over ‘geïnformeerde
toestemming’ en ‘doelgebondenheidsprincipe’.
3.2.2.4.4 Bevordering van de naleving
177. De Databeschermingsrichtlijn bevat een aantal bepalingen die de naleving ervan trachten te
bevorderen. Wegens het beperkt belang in het kader van deze scriptie, volgt hierna slechts een korte
introductie.
178. Eerst en vooral voert artikel 20 Databeschermingsrichtlijn353
een voorafgaand onderzoek door de
toezichthoudende autoriteit in van verwerkingen welke specifieke risico’s inhouden voor de
351
Respectievelijk art. 17 Databeschermingswet. 352
Respectievelijk art. 17, §3 Databeschermingswet. 353
Respectievelijk art. 17bis Databeschermingswet.
76
persoonlijke rechten en vrijheden. Het is aan de lidstaten zelf om uit te maken welke verwerkingen
hiervoor kwalificeren, rekening houdend met het doel of de omstandigheden van de verwerking. Dit
onderzoek kan leiden tot een verbod om welbepaalde verwerkingen uit te voeren of in een bevel om de
kenmerken van de verwerkingen aan te passen.354
179. Verder voorziet artikel 18 van de Databeschermingsrichtlijn355
de mogelijkheid een functionaris
voor de gegevensbescherming aan te wijzen. Zijn taak is er voor te zorgen dat inbreuk op de rechten
en vrijheden van de betrokkenen door de verwerkingen onwaarschijnlijk is. Opdat hij deze taak goed
zou kunnen uitvullen, vereist de Richtlijn een bepaalde mate van onafhankelijkheid.356
180. Tot slot wordt van de lidstaten en de commissie verwacht dat zij op grond van artikel 27
Databeschermingsrichtlijn357
ondernemingen aanmoedigen gedragscodes op te stellen, rekening
houdend met de specifieke kenmerken van de betrokken sectoren, teneinde bij te dragen tot een goede
toepassing van de Richtlijn. De lidstaten dienen te voorzien in een procedure ter evaluatie van de
gedragscodes. De gedragscodes kunnen ter controle worden voorgelegd aan de WP 29.
3.2.2.5 Rechten van de betrokkene en hun handhaving
181. Tot slot kent de Databeschermingsrichtlijn aan betrokkenen enkele bijzondere rechten toe, met
name een recht op toegang tot de gegevens en een recht van verzet. De rechten dienen te verzekeren
dat zij tot op bepaalde hoogte betrokken worden in de verwerking van hun eigen persoonsgegevens.
De handhaving van deze rechten wordt verzekerd door bijstand en toezicht vanwege de bevoegde
autoriteit en door het voorzien van judiciële procedures. Dit hoofdstuk wordt ingedeeld als volgt:
3.2.2.5.1 Recht op toegang tot de gegevens;
3.2.2.5.2 Recht van verzet;
3.2.2.5.3 Onafhankelijk toezicht;
3.2.2.5.4 Rechtsmiddelen en sancties.
3.2.2.5.1 Recht op toegang tot de gegevens
182. Artikel 12 van de Databeschermingsrichtlijn358
voert het recht op toegang tot de
persoonsgegevens in. Dit recht en diens respectievelijke onderdelen worden besproken in afdeling A.
354
EUROPEAN UNION AGENCY, Handbook on data protection law, 100. 355
Respectievelijk art. 17bis Databeschermingswet. 356
EUROPEAN UNION AGENCY, Handbook on data protection law, 100-101. 357
Respectievelijk art. 44, lid 2 Databeschermingswet. 358
Respectievelijk art. 10 Databeschermingswet.
77
Afdeling B behelst een kritische analyse van de problemen die de uitoefening van het recht met zich
meebrengt in the age of big data.
A. Het recht op toegang tot gegevens in het algemeen
183. Artikel 12 van de Databeschermingsrichtlijn359
voert een ruim recht op toegang tot de
persoonsgegevens in. Dit recht omvat met name enerzijds een recht op effectieve toegang tot de
gegevens en anderzijds een recht op rectificatie, uitwissing of afscherming van de gegevens. Van het
bestaan van dergelijke rechten dient melding gemaakt te worden in het kader van de
informatieverplichtingen.360
Recht op effectieve toegang
184. Iedere betrokkene heeft eerst en vooral het recht uitsluitsel te krijgen omtrent het al dan niet
bestaan van verwerkingen van hem betreffende gegevens. Bovendien heeft men, in het bevestigend
geval, recht op informatie over:
de doeleinden van de verwerking;
de betrokken categorieën gegevens;
de gegevens die zijn verwerkt;
de (categorieën) ontvangers aan wie de gegevens worden verstrekt;
beschikbare informatie over de oorsprong van de gegevens;
indien het een geautomatiseerd besluit betreft, de logica die aan de grondslag ligt.361
185. De bedoeling van deze bepaling is zonder meer het vermijden van geheime databases en
opslagplaatsen.362
De informatie zal moeten verstrekt worden in een voor de betrokkene verstaanbare
taal. De verantwoordelijke draagt verantwoordelijkheid voor het bijhouden van deze informatie.
Wanneer bijvoorbeeld de informatie over de oorsprong van de gegevens vernietigd, ondermaats of
afwezig is, komen zowel het rechtmatigheids-363
als verantwoordingsprincipe364
in het gedrang.365
359
Respectievelijk art. 10 Databeschermingswet. 360
Artt. 10 en 11 Databeschermingsrichtlijn; respectievelijk art. 9, §1 en §2 Databeschermingswet. 361
Art. 12(a) Databeschermingsrichtlijn; respectievelijk art. 10, §1 Databeschermingswet. 362
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 267. 363
Supra 55, nr. 120 en 121. 364
Supra 65, nr. 151 et seq. 365
EUROPEAN UNION AGENCY, Handbook on data protection law, 108.
78
Recht op rectificatie, uitwissing en afscherming
186. Overweging 41 van de Databeschermingsrichtlijn stelt dat “een ieder over het recht moet kunnen
beschikken toegang te verkrijgen tot de gegevens die het voorwerp van een verwerking vormen en
hemzelf betreffen, zodat hij zich van de juistheid en de rechtmatigheid van de verwerking ervan kan
vergewissen”. Bijgevolg hebben betrokkenen het recht om, op grond van het onvolledig of onjuist
karakter van hun gegevens, de rectificatie, uitwissing of afscherming ervan te vragen.366
De
uitoefening van het recht op rectificatie komt vanzelfsprekend het nauwkeurigheidsprincipe ten goede.
De afscherming van de gegevens zal voornamelijk gevraagd worden indien het verder gebruik van de
gegevens schade kan toebrengen aan de betrokkene.367
In de uitwissing van de gegevens zit de
voorganger van het zogenaamde ‘right to be forgotten’ of ‘right to oblivion’ van de betrokkene vervat.
EU-commissaris voor Justitie Viviane Reding upgradede dit recht in 2011 tot één van de vier pijlers
waarop de rechten van mensen in verband met hun persoonsgegevens gesteund dienen te zijn. Zij
toonde zich dan ook voorstander van het verder uitbreiden van dit recht, zoals gebeurde in het
Voorstel Algemene Verordening Gegevensbescherming (zie infra 113, nr. 280).368
Hoewel van een
echt ‘right to be forgotten’ tot nu toe nog geen sprake is, interpreteerde het Hof van Justitie het
bestaande recht in het arrest Google Spain en Google369
zeer extensief. Een verzoek van de betrokkene
om zijn of haar gegevens te verwijderen, is vaak gebaseerd op de stelling dat een legitieme grond voor
de gegevensverwerking ontbreekt. Zo is het mogelijk dat de betrokkene zijn of haar toestemming heeft
teruggetrokken of dat de gegevens niet langer nodig zijn voor het vervullen van de doelstelling. In dat
geval is het aan de verantwoordelijke om op grond van het verantwoordingsprincipe het bewijs te
leveren van de wettigheid van de gegevensverwerking.370
187. Indien de data voordien reeds werden doorgespeeld aan derden, heeft de verantwoordelijke de
verplichting hen kennis in kennis te stellen van de rectificatie, uitwissing of afscherming, tenzij dit
onmogelijk blijkt of onevenredig veel moeite kost.371
Ingeval de gegevens bijvoorbeeld reeds op het
internet werden gepubliceerd, is het denkbaar dat men zich op de uitzondering kan beroepen.372
Dan
rest uiteraard nog steeds de vraag of deze openbaarmaking in overeenstemming met de
Databeschermingsrichtlijn heeft plaatsgevonden.
366
Art. 12(b) Databeschermingsrichtlijn; respectievelijk art. 12 Databeschermingswet. 367
EUROPEAN UNION AGENCY, Handbook on data protection law, 111-112. 368
V. REDING, “Your data, your rights: safeguarding your privacy in a connected world”, European Commission 2011, http://europa.eu/rapid/press-release_SPEECH-11-183_en.htm, 2; O. TENE en J. POLONETSKY, “To Track or “Do Not Track”: Advancing Transparency and Individual Control in Online Behavioral Advertising”, Minnesota Journal of Law, Science & Technology 2011, vol. 13(1), (281) 354. Het ‘right to be forgotten’ staat ook in verband met het dataminimisatieprincipe en het principe van de beperkte bewaring (respectievelijk supra 62, nr. 141 et seq. en supra 65, nr. 149 et seq.). 369
HvJ C-131/12, Google Spain en Google, 2014. Voor meer info omtrent het arrest en ‘the right to be forgotten’, zie infra 113, nr. 279 et seq. 370
EUROPEAN UNION AGENCY, Handbook on data protection law, 111. 371
Art. 12(c) Databeschermingsrichtlijn; respectievelijk art. 12, §3 Databeschermingswet. 372
EUROPEAN UNION AGENCY, Handbook on data protection law, 112.
79
B. Het recht op toegang tot gegevens in the age of big data
188. Het recht op toegang tot gegevens is niet eenvoudig uit te oefenen in the age of big data. Deze
moeilijkheid vindt haar oorsprong in talloze problemen. Eerst en vooral dient het verzoek tot toegang
ingediend te worden bij de verantwoordelijke. Zoals supra reeds werd besproken, is het vandaag de
dag niet altijd duidelijk welke speler in de keten precies welke functie en verantwoordelijkheden heeft.
Bijgevolg is het voor een consument niet evident te bepalen tot wie het verzoek gericht moet worden.
Wanneer de verwerker of verantwoordelijke in het buitenland gebaseerd is, brengt dit alleen nog maar
meer problemen met zich mee. Bovendien blijkt uit de praktijk dat de informatie vaak lang op zich laat
wachten, tot weken of maanden van vertragingen toe. Ook worden deze verzoeken vaak afhankelijk
gesteld van allerlei authenticatieprocedures en de betaling van een prijs. Indien de verwerking berust
op de toestemming van de betrokkene, worden de verzoeken vaak afgewimpeld met het excuus dat de
gegevens nog steeds relevant zijn ‘voor de afgesproken doeleinden en binnen de marge van de
redelijke bewaring’.373
Dergelijke zaken vormen vaak een struikelblok voor individuen die door de
hindernissen afgeschrikt worden. Wanneer, in het beste geval, het verzoek toch ingewilligd wordt en
de gegevens meegedeeld worden, strooit de complexiteit van het systeem roet in het eten.
Hedendaagse technologieën zijn zodanig ingewikkeld dat het voor een gemiddelde consument erg
moeilijk of zelfs onmogelijk is te begrijpen hoe deze werken en hoe persoonsgegevens verzameld of
gebruikt worden. Bijgevolg leidt de toegang tot de gegevens niet noodzakelijk tot een hoger niveau
van inzicht.374
Bovendien verzekert de rectificatie, uitwissing of afscherming van de gegevens in de
ene databank, absoluut niet dat dit ook in andere databanken plaatsvindt.375
Tot slot is het ook niet
ondenkbaar dat de verantwoordelijke bepaalde informatie achterhoudt en/of zich verbergt achter
wettelijke uitzonderingen teneinde de waarheid niet te moeten meedelen. Het ligt voor de hand dat
dergelijke moeilijkheden het uitoefenen van het recht op toegang problematisch maken.376
189. Ondanks dat de problematische toepassing ervan in de praktijk, raden heel wat auteurs
organisaties toch aan de toegang tot de gegevens te versoepelen. Zij baseren zich hiervoor op
verschillende argumenten. Dergelijke toegang zou betrokkenen in staat stellen actief deel te nemen aan
de kenniseconomie doordat zij zelf gebruik zouden kunnen maken van de getrokken conclusies.377
Deze vrijheid creëert heel wat ruimte voor innovatie en de ontwikkeling van consumenten-
373
H. GRAUX, J. AUSLOOS en P. VALCKE, “The Right to be Forgotten in the Internet Era”, ICRI Working Paper 2012, http://ssrn.com/abstract=2174896., 10. 374
Dit heeft de International Working Group on Data Protection and Telecommunications er toe geleid te stellen dat transparantie niet voldoende is om eventuele inherente vooroordelen te verhelpen. Bijgevolg zijn ze van mening dat het invoeren van een echt verantwoordingsprincipe van groot belang is teneinde toezicht uit te oefenen op geautomatiseerde besluitvorming (INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 16). 375
OESO, “30 Years After the OECD Privacy Guidelines”, 29. 376
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 7; O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 263. 377
Wanneer men op basis van big data vermoedt dat een welbepaald individu interesse heeft in de aankoop van een welbepaald product, zou men hem kunnen helpen bij het vinden van de goedkoopste prijs.
80
ondersteunende applicaties. Doordat het evenwicht tussen de consumenten en de ondernemingen
hersteld zou zijn, zouden zij zich bovendien minder afzetten tegen big datapraktijken, waardoor zij
minder terughoudend zouden zijn om gegevens mee te delen. Dit vormt dan weer potentieel voor
nieuwe ontdekkingen.378
Tot slot biedt deze toegang individuen ook de kans hun gegevens te
corrigeren. In een eeuw waarin op basis van subjectieve algoritmes gegevens worden geanalyseerd,
conclusies worden getrokken en zelfs voorspellingen worden gedaan, is dat van enorm belang.379
Hierdoor kan ook de onderneming met accuratere data aan de slag, wat vanzelfsprekend de kwaliteit
van haar eigen analyses ten goede komt.
190. Gezien het grote belang van het recht op toegang, wordt de essentie van het recht door alle
auteurs principieel behouden. Sommige van hen geven evenwel wat richtlijnen omtrent de toepassing
ervan. Ondanks de goede bedoelingen van de auteurs, zullen een aantal vragen en problemen
onbeantwoord of onopgelost blijven. Tene en Polonetsky benadrukken eerst en vooral dat toegang
moet worden verstrekt tot gegevens in bruikbare vorm, teneinde het probleem van de complexiteit te
verhelpen. Bovendien erkennen ze dat de toepassing van het recht onrealistische lasten met zich
meebrengt voor de ondernemingen, zoals ook het geval was met het begrip ‘geïnformeerde
toestemming’ (supra 48, nr. 101 et seq.). Bijgevolg zijn ze van mening dat het niveau van de
toegangsrechten bepaald moet worden in functie van de graad van de waarschijnlijkheid van de
identificatie van de betrokken persoon. Andere auteurs stellen voor de verplichting informatie te
verstrekken te beperken tot gegevens die (zullen) worden gebruikt voor een significante activiteit of op
een wijze die een wettelijk beschermd recht aantast.380
Rest de vraag hoe zo een concept dient te
worden geoperationaliseerd. Daarenboven zullen ook strenge authenticatieprocedures en beveiligde
systemen voor het kanaliseren van de gegevens moeten worden opgezet teneinde te verzekeren dat de
gegevens enkel worden bekeken door de desbetreffende persoon. Dit zal ongetwijfeld kosten met zich
meebrengen die zullen moeten worden gedeeld tussen de onderneming en het individu, en ook de
wachttijden zal dit niet ten goede komen.381
Hiermee verwant is het verhoogde risico op data-
inbreuken en lekken doordat ook het aantal toegangspunten tot de informatie stijgt. De auteurs zijn
evenwel van mening dat dit risico opweegt tegenover de voordelen die een consument hierdoor
378
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 264-268. 379
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 15-16; O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 271. 380
MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 14; CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection Principles for the 21
st Century”, 19.
De Federal Trade Commission houdt er een gelijkaardige redenering op na en stelt dat de omvang van toegang proportioneel dient te zijn aan de gevoeligheid van de data en de aard van het gebruik (FEDERAL TRADE COMMISSION, “Protecting Consumer Privacy in an Era of Rapid Change”, FTC Report 2012, http://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf, 64-71). 381
Men moet opletten dat dit principe niet wordt aanzien als een excuus voor zwakker toezicht en handhaving of voor verminderde verantwoordingsverplichtingen in hoofd van de verwerker (MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 14).
81
ervaart. Tot slot zijn Tene en Polonetsky van mening dat een vereenvoudigde toegangsprocedure het
aantal spontane controles vanwege de betrokkene zal doen stijgen, waardoor de naleving verzekerd zal
worden.382
De vraag blijft evenwel of dergelijke positieve evoluties en argumenten voldoende
incentive bieden voor ondernemingen om de bepaling omtrent de toegang tot gegevens sneller en
correcter na te leven. Extra controle en sanctionering lijkt in dit kader niet onverstandig.
3.2.2.5.2 Recht van verzet
191. Naast een recht op toegang tot de gegevens, kent de Databeschermingsrichtlijn aan de betrokkene
ook een recht van verzet toe jegens de verantwoordelijke. Dit recht is echter beperkt tot drie
bijzondere omstandigheden, met name ingeval van geautomatiseerde individuele besluitvorming, een
bijzondere toestand van de betrokkene en verder gebruik voor doeleinden van direct marketing.
Geautomatiseerde individuele besluiten
192. Artikel 15, lid 1 van de Databeschermingsrichtlijn383
voorziet principieel in het recht
“niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn
verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van
een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn
persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te
evalueren.”
Met andere woorden, wanneer persoonsgegevens bepaalde gevoelige materie betreffen, wordt de
betrokkene bijzonder beschermd tegen volledig geautomatiseerde beslissingen genomen op basis van
deze data. De betrokkene heeft in dit geval het recht de besluiten na te zien. Men probeert op deze
manier de ongewenste effecten van de geautomatiseerde besluitvorming te minimaliseren.384
Op dit
principe bestaan twee uitzonderingen, met name wanneer de belangen van de betrokkene niet op het
spel staan doordat de beslissing in zijn of haar voordeel werd genomen, of wanneer zij worden
gewaarborgd door andere passende maatregelen.385
Bijzondere situatie van de betrokkene
193. Betrokkenen hebben geen algemeen recht om zich te verzetten tegen het verwerken van hun
persoonsgegevens. Artikel 14(a) van de Databeschermingsrichtlijn386
voorziet echter in een recht van
382
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 268-270. 383
Respectievelijk art. 12bis, lid 1 Databeschermingswet. 384
EUROPEAN UNION AGENCY, Handbook on data protection law, 112-113. 385
Art. 15, lid 2 Databeschermingsrichtlijn, respectievelijk art. 12bis, lid 2 Databeschermingswet. 386
Respectievelijk art. 12, §1, lid 2 Databeschermingswet.
82
verzet indien de betrokkene beschikt over “zwaarwegende en gerechtvaardigde redenen die verband
houden met zijn bijzondere situatie”. Dit artikel beoogt een evenwicht te vinden tussen de
databeschermingsrechten van individuen enerzijds en de gerechtvaardigde belangen van anderen
anderzijds. Een gerechtvaardigd verzet resulteert in een verbod voor de verantwoordelijke om deze
gegevens verder te verwerken.387
Verder gebruik voor direct marketing
194. Tot slot voorziet artikel 14(b) van de Databeschermingsrichtlijn388
in een absoluut recht voor elke
betrokkene
“zich te verzetten op verzoek en kosteloos, tegen de voorgenomen verwerking van hem
betreffende persoonsgegevens door de voor de verwerking verantwoordelijke persoon met het
oog op direct marketing, of te worden ingelicht voordat persoonsgegevens voor de eerste keer
aan derden worden verstrekt of voor rekening van derden worden gebruikt voor direct
marketing en het recht uitdrukkelijk ter kennis gebracht te krijgen dat hij of zij zich kosteloos
kan verzetten tegen deze verstrekking of dit gebruik van gegevens.”
Ook wanneer het vooropgestelde doeleinde van de gegevensverwerking direct marketing betreft,
beschikt de betrokkene over een recht van verzet. Dit recht dient uitgeoefend te worden voordat de
gegevens ter beschikking worden gesteld van derden. Opdat het recht effectief zou zijn, is
transparantie met betrekking tot het bestaan en de wijze van uitoefening onontbeerlijk.389
Bijgevolg
breidt artikel 9 van de Databeschermingswet de informatieverplichtingen van de verantwoordelijke uit
tot informatie over het bestaan van dit verzetsrecht.
195. Ook in deze context zal het voor een consument niet eenvoudig zijn te bepalen tot wie het
verzoek gericht moet worden (supra 79, nr. 186). Het grootste probleem waarmee het recht van verzet
kampt, is evenwel de naleving van het verzoek. In de praktijk wordt dergelijk verzetsrecht vaak
afgewimpeld, in het bijzonder wanneer de verwerking oorspronkelijk teruggaat op de toestemming
van de betrokkene.390
In het geval waarin de gegevens reeds werden gekopieerd naar een andere
databank, biedt de uitoefening van het recht bovendien geen zekerheid dat de verwerking elders niet
zal plaatsvinden aangezien kennisgeving aan derden niet verplicht wordt gesteld.
387
EUROPEAN UNION AGENCY, Handbook on data protection law, 113-114. 388
Respectievelijk art. 12, §1, lid 3 Databeschermingswet. 389
WP29, “Opinion on purpose limitation”, 35. 390
H. GRAUX, J. AUSLOOS en P. VALCKE, “The Right to be Forgotten in the Internet Era”, ICRI Working Paper 2012, http://ssrn.com/abstract=2174896., 10.
83
3.2.2.5.3 Onafhankelijk toezicht
196. Artikel 28 Databeschermingsrichtlijn voorziet in de verplichte oprichting van een
toezichthoudende autoriteit. De toezichthouder is een nationaal orgaan dat wordt belast met het
toezicht op de toepassing van de bepalingen die ter uitvoering van de Databeschermingsrichtlijn door
de betrokken lidstaat vastgesteld worden. In België werd dit tot uitvoering gebracht door het oprichten
van de Commissie voor de bescherming van de persoonlijke levenssfeer, kortweg Privacycommissie
genoemd. Dier samenstelling en taken werden door de Belgische wetgever verder uitgewerkt in
artikelen 23 tot 36 van de Databeschermingswet. De instelling dient haar taken in volledige
onafhankelijkheid te vervullen.391
Deze onafhankelijkheid moet niet enkel gewaarborgd worden door
het voorziene wettelijk kader, ook de organisatorische structuur moet hiervan getuigen.392
Teneinde
goed toezicht uit te oefenen, beschikt de toezichthoudende autoriteit over onderzoeksbevoegdheden,
effectieve bevoegdheden om in te grijpen en een bevoegdheid om in rechte op te treden.393
In de recent
herwerkte versie van haar Privacyrichtlijnen heeft ook de OESO een toezichtsorgaan
geïntroduceerd.394
3.2.2.5.4 Rechtsmiddelen en sancties
197. Teneinde de effectiviteit van de databeschermingswetgeving te verzekeren, is het van groot
belang te voorzien in rechtsmiddelen en sancties. De handhaving kan verlopen via drie wegen:
verzoeken gericht aan de verantwoordelijke, klachten ingediend bij de toezichthoudende autoriteit en
vorderingen ingesteld bij een rechtbank of hof.
198. Ondanks de brede waaier aan handhavingstechnieken, verwacht de EU-wetgever dat de
betrokkene zich eerst ter uitoefening van zijn eigen rechten tot de verantwoordelijke voor de
verwerking wendt. Indien de betrokkene zich onmiddellijk tot de rechter zou richten, zal deze de
vordering wegens onontvankelijkheid afwijzen.395
Verdere vorm- en procedurevereisten voor het
indienen van dergelijk verzoek werden overgelaten aan het oordeel van de nationale wetgever.396
In
het geval de verantwoordelijke geen tijdig en/of bevredigend antwoord geeft, beschikt de betrokkene
over de mogelijkheid een klacht in te dienen bij de bevoegde toezichthoudende autoriteit als soort van
391
Art. 8(3) Handvest van de Grondrechten van de Europese Unie; art. 16(2) Verdrag betreffende de Werking van de Europese Unie; art. 16, 1, lid 2 Databeschermingsrichtlijn; art. 24, §4, lid 2 Databeschermingswet. 392
EUROPEAN UNION AGENCY, Handbook on data protection law, 116. 393
Art. 28, 3 Databeschermingsrichtlijn. 394
Art. 19(c) in OESO, “The OECD Privacy Framework”, OECD 2013, http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf, 17. 395
Art. 14, §5 Databeschermingswet. 396
EUROPEAN UNION AGENCY, Handbook on data protection law, 119-120.
84
administratieve voorziening.397
De Belgische Privacycommissie kan naar aanleiding van dergelijke
klacht beslissingen, adviezen of aanbevelingen afleveren.398
Tegen deze uitkomst kan judicieel beroep
worden aangetekend door diegene die partij waren bij de toezichthouder.399
Tot slot vereist artikel 22
van de Databeschermingsrichtlijn dat, onverminderd de klachtenprocedure bij de toezichthoudende
autoriteit, een betrokkene de mogelijkheid moet hebben zich te wenden tot een rechter wanneer zijn of
haar databeschermingsrechten geschonden worden. Een zaak kan in uitzonderlijke omstandigheden
direct of indirect voor het Hof van Justitie worden gebracht.400
199. Artikel 24 van de Databeschermingsrichtlijn legt lidstaten de verplichting op passende
maatregelen te garanderen en sancties vast te stellen die gelden bij inbreuk op de ter uitvoering van de
Richtlijn vastgestelde bepalingen. Dergelijke bepaling kent veel vrijheid toe aan nationale wetgevers
bij het bepalen van de toepasselijke remedies en sancties. Het Bureau van de Europese Unie voor
Grondrechten heeft deze vrijheid echter enigszins aan banden gelegd door te bepalen dat de sancties
minimaal aan de vereisten van doeltreffendheid, gelijkwaardigheid, evenredigheid en
afschrikwekkendheid moeten voldoen.401
Artikelen 37 tot 43 van de Databeschermingswet bevatten de
Belgische strafbepalingen.
3.2.3 Conclusie
200. Het moge duidelijk zijn dat de Databeschermingsrichtlijn niet is aangepast aan de noden van de
digitale maatschappij. Heel wat begrippen en principes zijn simpelweg onwerkbaar in een wereld
waarin big data heerst. Teneinde alle problemen duidelijk te verwoorden, wordt de conclusie hierna
grotendeels onderverdeeld volgens de eerder gevolgde structuur.
201. Toepassingsgebied: ratione materiae. Het toepassingsgebied van de Databeschermingsrichtlijn
strekt zich principieel uit tot geautomatiseerde verwerkingen zoals het verzamelen, opslaan, gebruiken
en delen van big data. Een afwijking is voorzien voor activiteiten voor persoonlijke of huishoudelijke
doeleinden door invoering van de huishouduitzondering. Deze uitzondering werd evenwel ingegeven
in een totaal ander tijdperk, wanneer private individuen nog niet zoveel data verspreidden over
zichzelf of anderen. Dit brengt enkele problemen met zich mee, zoals de situatie waarin het delend
individu zelf wordt gekwalificeerd als verantwoordelijke en overeenstemming met de
397
Art. 28, 4 Databeschermingsrichtlijn. 398
Art. 31, §5 Databeschermingswet. 399
EUROPEAN UNION AGENCY, Handbook on data protection law, 121. 400
Direct indien de onwettige gegevensverwerking plaatsvond door een EU-instelling zelf of het gevolg was van een wetgevende akte van de EU, indirect naar aanleiding van een prejudiciële vraag gesteld door een nationale rechter (EUROPEAN UNION AGENCY, Handbook on data protection law, 123-124). 401
EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS, “Opinion of the European Union Agency for Fundamental Rights on the Proposed Data Protection Reform Package”, Publications Office of the European Union 2012, http://fra.europa.eu/sites/default/files/fra-opinion-data-protection-oct-2012.pdf, 27.
85
Databeschermingsrichtlijn dient te verzekeren. Dergelijke kwesties tonen aan dat de
huishouduitzondering niet langer aangepast is aan de noden van de digitale maatschappij en dat het
onvermijdelijk wordt om in de toekomst meer in te zetten op opleiding en bewustzijnsactiviteiten.
202. Toepassingsgebied: ratione loci. De databeschermingswetgeving is tot op de dag van vandaag
grotendeels nationaal van aard. Een beperking van het territoriale toepassingsgebied is in huidige
onbegrensde digitale eeuw evenwel niet langer werkbaar. Het uitwerken van een internationale
standaard lijkt onontbeerlijk.
203. Terminologie: persoonsgegevens. De Databeschermingsrichtlijn vindt toepassing op het
verwerken van gegevens betreffende een geïdentificeerde of identificeerbare persoon. Daartoe dient
rekening te worden gehouden met alle redelijke middelen ter identificatie. De redelijkheid van deze
middelen wordt bepaald aan de hand van criteria waaronder de kost van het identificeren, de bedoeling
van de verantwoordelijke en de technologische mogelijkheden. De enige wijze om aan de toepassing
van de Databeschermingsrichtlijn te ontsnappen, is door het anonimiseren van de betrokken gegevens.
In the age of big data is anonimisatie evenwel quasi-onmogelijk. Gegevens zijn op talloze wijzen
gecombineerd en gedeeld, en data kunnen zo goed als altijd teruggekoppeld worden naar het individu.
Deze gegevens zullen toch onder toepassing van de Databeschermingsrichtlijn vallen. Dergelijke
anonimisatie- en pseudonimisatiemaatregelen dienen evenwel te worden gestimuleerd aangezien zij de
veiligheid van de gegevens ten goede komen. Bijgevolg lijkt het verstandig aan de bestaande criteria
ook een juridische toets te voegen die rekening houdt met het voornemen en de verbintenis van de
betrokkene organisatie om niet tot re-identificatie over te gaan (supra 37, nr. 72).
204. Terminologie: verantwoordelijke en verwerker. In de context van big data kan het niveau en de
aard van de betrokkenheid van een verantwoordelijke en een verwerker erg verschillen, waardoor het
onderscheid tussen deze actoren moeilijk te maken wordt. Dit bemoeilijkt het aanwijzen van de
verantwoordelijke persoon, wat van belang is aangezien de kwalificatie bijkomende verplichtingen
met zich meebrengt onder de Databeschermingsrichtlijn. Op verschillende fora gaan stemmen op om
het onderscheid niet langer te maken.
205. Terminologie: toestemming. Toestemming vanwege de betrokkene is de voornaamste grond voor
het verwerken van persoonsgegevens. Theoretisch gezien dient deze vrij, specifiek, geïnformeerd en
ondubbelzinnig te zijn. In the age of big data wordt toestemming evenwel vaak gevraagd naar
aanleiding van onduidelijke, eindeloos lange en erg ingewikkelde privacy policies. Hierdoor is het
verlenen van toestemming een soort van ondoordachte routine geworden, op basis waarvan
ondernemingen hun verantwoordelijkheid afwijzen. Bovendien hebben individuen vaak niet de
mogelijkheid om gebruik te maken van de dienst indien men niet kiest voor vrijgave van de data. Tot
86
slot staat het algemeen belang onder druk doordat elk individu afzonderlijk de mogelijkheid heeft om
gegevens niet mee te delen. Dergelijke problemen hebben auteurs er toe aangezet aanpassingen te
formuleren. Het meest functionele voorstel tracht de verantwoordelijkheid te verschuiven van
individuen naar de verzamelaars en gebruikers van de data, die de toelaatbaarheid principieel zouden
moeten bepalen door het afwegen van voordelen, nadelen en geboden waarborgen. Afhankelijk van de
uitkomst van de oefening, zou moeten worden bepaald of toestemming in die bijzondere situatie nog
een rol heeft. Dergelijke aanpak vereist de invoering van een verantwoordingsprincipe.
206. Principe: doelbinding, dataminimisatie en beperkte bewaring. Deze principes impliceren dat
gegevens slechts voor welbepaalde, duidelijk omschreven en gerechtvaardigde doeleinden mogen
worden verkregen. Organisaties zijn verplicht het verzamelen van de gegevens te beperken tot diegene
die effectief noodzakelijk zijn voor het bereiken van de vooropgestelde doeleinden. Bovendien mogen
de gegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de oorspronkelijk
omschreven doeleinden en zullen ze moeten worden verwijderd of geanonimiseerd eens de doeleinden
zijn gediend. Dit principe gaat volledig in tegen de natuur van big data, waarbij de toegevoegde
waarde net ligt in onvoorziene toepassingen van voorheen verzamelde data. Bovendien worden data
vandaag de dag vaak opgeslagen zonder dat een doel voorhanden is. Big data is met andere woorden
gesteund op het principe van datamaximisatie. Verschillende auteurs zijn van mening dat
gegevensverwerkingen slechts beperkt zouden moeten worden tot rechtmatige doeleinden en geschikte
toepassingen en dat proportionaliteit gebaseerd moet worden op een afweging van de waarde van de
gegevens tegen de mogelijke privacyrisico’s. Dergelijke aanpak stimuleert het uitvoeren
veiligheidsmaatregelen en begrenst het gebruik van gegevens tot datgene wat aanvaardbaar is.
207. Principe: nauwkeurigheid: Een verantwoordelijke dient te verzekeren dat de data waarover hij
beschikt accuraat en up-to-date zijn. In the age of big data is accuraatheid van enorm belang doordat
het interpretatieproces voorwerp is van fouten, onjuistheden en vooroordelen. Gegevens worden
geanalyseerd, conclusies worden getrokken en zelfs voorspellingen worden gedaan. Indien geen
toezicht wordt gehouden, kan dat aanleiding geven tot incorrecte conclusies en zelfs discriminatie.
208. Principe: verantwoording. Van een echt verantwoordingsprincipe is in het Europese recht tot op
vandaag nog geen sprake. De WP29 heeft haar ontevredenheid hieromtrent reeds meermaals
uitgedrukt. Dit principe zou vermijden dat databescherming dode letter blijft en niet wordt omgezet in
interne maatregelen en praktijken van ondernemingen.
209. Regels: toelaatbaarheid. Een standaard persoonsgegevensverwerking is toelaatbaar wanneer zij
op een van zes wettelijke gronden is gebaseerd. De populairste zijn toestemming vanwege de
betrokkene en het prevaleren van het gerechtvaardigd belang van derden zoals de verantwoordelijke.
87
210. Regels: veiligheid. Confidentialiteit in de verhouding tussen de verantwoordelijke en de
verwerker moet worden verzekerd. Ook veiligheid van de gegevens moet worden gewaarborgd. De
veiligheidsrisico’s zijn aanzienlijk bij big data door de grote hoeveelheden beschikbare gegevens. Heel
wat instanties en auteurs hebben zich voorstander getoond van de introductie van privacy by design.
211. Regels: transparantie. Wanneer persoonsgegevens verwerkt worden, gelden er allerlei
informatieverplichtingen. Het geheim of verdoken verwerken van persoonsgegevens is met andere
woorden verboden. De naleving ervan in the age of big data is evenwel niet zonder problemen. Het
voornaamste probleem situeert zich in de complexiteit van de materie, waardoor informatie vaak
wordt aangereikt in een ingewikkelde, juridische taal die de consument eenvoudig weg niet begrijpt.
Het belang van de transparantieverplichting is evenwel niet te onderschatten. Een verhoogde
transparantie zet ondernemingen onder druk om onethische en onaanvaardbare verwerkingen te
vermijden. Bovendien kan dit het vertrouwen in de instelling verhogen, waardoor individuen
welwillender zullen zijn om gegevens mee te delen, wat dan weer ruimte biedt voor nieuwe
ontwikkelingen. Tot slot herstelt transparantie het evenwicht tussen de onderneming en de consument.
212. Recht op toegang tot en rectificatie en uitwissing van gegevens. Als betrokkene beschikt men
over een recht op effectieve toegang tot de gegevens en over recht op rectificatie, uitwissing of
afscherming van de gegevens. Deze rechten zijn van uiterst groot belang. Zo herstellen zij het
bestaande onevenwicht tussen ondernemingen en consumenten:
“The online company knows the preferences of the transacting individual inside and out,
perhaps better than the individual knows him or herself. It can therefore usurp the entire value
surplus available in the transaction by pricing goods or services as close as possible to the
individual’s reservation price.”402
Het respecteren van het recht kan betrokkenen met andere woorden in staat stellen mee te genieten van
de analyses van hun gegevens. Bovendien herstelt dergelijke toegang ook het vertrouwen in de
instelling. Tot slot biedt deze toegang individuen ook de kans hun gegevens te corrigeren. Hierdoor
kan de onderneming met accuratere data aan de slag, wat vanzelfsprekend de kwaliteit van de analyses
ten goede komt. Het recht op toegang tot gegevens is evenwel niet eenvoudig uit te oefenen in the age
of big data. Eerst en vooral bestaan er een aantal praktische problemen: consumenten slagen er vaak
niet in uit te maken tot wie het verzoek gericht moet worden, lange authenticatieprocedures moeten
doorlopen worden, verzoeken worden afgewimpeld met excuses, enzovoort. Bovendien zijn de
technologieën zodanig ingewikkeld dat toegang tot de gegevens niet noodzakelijk tot een hoger niveau
van inzicht leidt. Tot slot verzekert de rectificatie, uitwissing of afscherming van de gegevens in de
ene databank, niet dat dit ook in andere databanken plaatsvindt.
402
O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 255.
88
213. Recht van verzet. Individuen beschikken over een verzetsrecht ingeval van geautomatiseerde
besluitvorming, bijzondere individuele toestand en verder gebruik voor direct marketing. In de praktijk
wordt dergelijk verzetsrecht vaak afgewimpeld. Kennisgeving aan derden is niet verplicht gesteld.
214. Onafhankelijk toezicht. Een nationale toezichthoudende autoriteit dient verplicht opgericht te
worden. De toezichthouder beschikt over onderzoeksbevoegdheden, effectieve bevoegdheden om in te
grijpen en een bevoegdheid om in rechte op te treden.
215. Rechtsmiddelen en sancties. De handhaving van de Databeschermingsrichtlijn kan verlopen via
drie wegen: verzoeken gericht aan de verantwoordelijke, klachten ingediend bij de toezichthoudende
autoriteit en vorderingen ingesteld bij een rechtbank of hof.
216. Kortom, het volledige geraamte van de Databeschermingsrichtlijn, met inbegrip van definities en
principes, is onaangepast aan de noden van big data. Ook de regels en rechten die daarop verder
bouwen, komen in het gedrang. Het wordt dan ook hoogdringend tijd om de praktijken in
overeenstemming te brengen met de wetgeving en vice versa, wil men vermijden dat er te veel schade
wordt toegebracht aan de privacy van de consument en aan het vertrouwen in de instellingen.
89
3.3 e-Privacyrichtlijn 2002/58/EG en Wet Elektronische Communicatie 2005
3.3.1 Inleiding
217. De opmars van nieuwe communicatienetwerken en digitale technologieën in de laatste decennia
heeft de kans op ongerechtvaardigde inmengingen in de persoonlijke levenssfeer van mensen
aanzienlijk doen toenemen. De Europese wetgever heeft op deze vrees gereageerd door het invoeren
van een meer gedetailleerde en gespecifieerde richtlijn, met name de e-Privacyrichtlijn 2002/58/EG
betreffende het verwerken van persoonlijke data en de bescherming van privacy in de sector van de
elektronische communicatie. Deze Richtlijn werd nadien omgezet in Belgisch recht door aanname van
de Wet Elektronische Communicatie van 2005403
. Verdere technologische ontwikkelingen hebben er
uiteindelijk toe geleid dat de Richtlijn in 2009 werd geüpdatet, met een aantal belangrijke wijzigingen
tot gevolg.
218. Ook in dit deel zullen de Europese en de Belgische bron wegens hun onderlinge samenhang
tezamen worden behandeld. Het hoofdstuk zal slechts een bespreking behelzen van die artikelen die
voor het onderwerp van deze scriptie relevant zijn en die respectievelijk de Databeschermingsrichtlijn
en/of Databeschermingswet specificeren of aanvullen.
3.3.2 Inhoudelijke bespreking
219. De e-Privacyrichtlijn van 2002 tracht een gelijk niveau van bescherming van fundamentele
rechten en vrijheden — met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid —
bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen en
tracht het vrij verkeer van dergelijke gegevens en van elektronische communicatieapparatuur en -
diensten in de Gemeenschap te verzekeren.404
Enkele van deze regels, in het bijzonder de regeling
omtrent cookies, zijn van groot belang voor het gebruik van big data in de marketingsector. Deze
worden hierna besproken.
220. Dit hoofdstuk wordt onderverdeeld in een afdeling 3.3.2.1 met betrekking tot het onderwerp en
het toepassingsgebied van de e-Privacyrichtlijn, en een afdeling 3.3.2.2 die de belangrijkste bepalingen
van de Richtlijn behelst.
403
Wet 13 juni 2005 betreffende de elektronische communicatie, BS 20 juni 2005, geamendeerd door de Wet van 10 juli 2012 (hierna verkort Wet Elektronische Communicatie). 404
Art. 1, lid 1 e-Privacyrichtlijn; respectievelijk art. 1 Wet Elektronische Communicatie.
90
3.3.2.1 Onderwerp en toepassingsgebied
221. De e-Privacyrichtlijn is een bijzondere Europese richtlijn met een specifiek en afgelijnd
toepassingsgebied. Zij regelt met name het verwerken van persoonsgegevens in verband met de
levering van openbare elektronische communicatiediensten over openbare communicatienetwerken in
de Europese Unie, met inbegrip van openbare communicatienetwerken die systemen voor
gegevensverzameling en identificatie ondersteunen.405
Artikel 2(d)406
definieert ‘communicatie’ als
zijnde “informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door
middel van een openbare elektronische-communicatiedienst.” Elektronische communicatie omvat met
andere woorden vaste en mobiele telefonie, fax, internet en televisie. Bijgevolg valt een standaard big
data proces van verzamelen, opslaan, gebruiken en delen van – vaak online – data onder de toepassing
van de Richtlijn. Artikel 1, lid 3 e-Privacyrichtlijn407
bevat enkele uitzonderingen op het
toepassingsgebied van publieke aard en op grond van artikel 15, lid 1 en 1bis van de e-
Privacyrichtlijn408
zijn ook enkele gedeeltelijke uitsluitingen mogelijk.
222. Tot slot is het vermeldenswaardig dat in artikel 1, 2 van de e-Privacyrichtlijn409
uitdrukkelijk
wordt bepaald dat de bepalingen van deze Richtlijn een specificatie van en aanvulling op de
Databeschermingsrichtlijn vormen. Bijgevolg blijft de algemene Databeschermingsrichtlijn van
toepassing op alle zaken die niet bijzonder door de e-Privacyrichtlijn worden geregeld, waaronder de
principes met betrekking tot de kwaliteit van de gegevens, de rechten van de betrokkene en de regels
in verband met veiligheid en betrouwbaarheid van de data (zie supra).410
3.3.2.2 Belangrijkste bepalingen
223. De e-Privacyrichtlijn bevat enkele bepalingen die van groot belang zijn voor de sector van de
elektronische communicatie. Gezien het feit dat big data zich grotendeels op het online niveau situeert,
zullen de bepalingen in verband met telefonische contact buiten beschouwing worden gelaten. Dit
onderdeel zal worden opgedeeld in:
3.3.2.2.1 Beveiliging en vertrouwelijkheid;
3.3.2.2.2 Cookies;
3.3.2.2.3 Ongewenste communicatie.
405
Art. 3 e-Privacyrichtlijn; respectievelijk art. 1 Wet Elektronische Communicatie. 406
Het begrip wordt niet expliciet gedefinieerd in de Wet Elektronische Communicatie. 407
Respectievelijk art. 4 Wet Elektronische Communicatie. 408
Respectievelijk art. 4 Wet Elektronische Communicatie. 409
Een verwijzing naar de Databeschermingswet van 1992 werd opgenomen in talloze artikelen, waaronder art. 110, §1, lid 2; art. 114, §2, lid 1; art. 122, §1, lid 3 Wet Elektronische Communicatie. 410
Overweging 10 e-Privacyrichtlijn.
91
3.3.2.2.1 Beveiliging en vertrouwelijkheid
224. Net zoals de Databeschermingsrichtlijn, benadrukt de e-Privacyrichtlijn het belang confidentieel
en veilig te werk te gaan. Artikel 4 van de Richtlijn411
bevat de beveiligingsverplichting van de
aanbieder van het openbare communicatienetwerk. Artikel 5 e-Privacyrichtlijn412
introduceert
confidentialiteitsverplichtingen voor lidstaten. Voor een gedetailleerde bespreking van deze
verplichtingen, wordt verwezen naar pagina 71, nr. 166 et seq. Wat evenwel afwijkt van de algemene
regeling, is de introductie van een verplichte kennisgeving in geval van een inbreuk in verband met
persoonsgegevens (data breach notification).413
In dat geval dient de aanbieder van de openbare
elektronische communicatiedienst de bevoegde nationale instantie zonder onnodige vertraging in
kennis te stellen. Wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de
persoonsgegevens en persoonlijke levenssfeer van een abonnee of individu, moet ook deze
laatstgenoemde hiervan onverwijld in kennis gesteld worden. Indien de aanbieder evenwel gepaste
technische beschermingsmaatregelen heeft genomen, is kennisgeving van de inbreuk aan abonnee of
individu niet vereist. Alinea 5 van het betrokken artikel bevat de minimale inhoud van de
kennisgeving. De WP 29 en de Europese Commissie hebben zich in de laatste jaren voorstander
getoond van een uitbreiding van de notificatieplicht naar alle verantwoordelijken, los van het feit of zij
al dan niet actief zijn in de sector van de elektronische communicatie.414
Daad werd bij woord gevoegd
door introductie van artikelen 31 en 32 in het Voorstel Algemene Verordening Gegevensbescherming
(infra 108, nr. 267).
3.3.2.2.2 Cookies
225. Het plaatsen en lezen van cookies is een techniek die frequent wordt gehanteerd bij het inzetten
van big data als marketingtool. Tot 2009 gold hieromtrent principieel een opt-out regime. Deze aanpak
was echter niet langer houdbaar nadat uit onderzoek bleek dat de gemiddelde internetgebruiker zich
niet bewust was van het feit dat zijn of haar gedrag gevolgd werd met behulp van cookies. Bijgevolg
introduceerde het vernieuwde lid 3 van artikel 5 van de e-Privacyrichtlijn415
de ‘geïnformeerde
toestemming’ als standaard.
226. Hierna volgt het algemene onderdeel (A), dat betrekking heeft op het toepassingsgebied van de
cookieregeling en de voorwaarden voor de geïnformeerde toestemming. Onderdeel B betreft de
411
Respectievelijk art. 114, §1 Wet Elektronische Communicatie. 412
Omgezet in art. 124 Wet Elektronische Communicatie. 413
Art. 4, lid 3 e-Privacyrichtlijn. 414
ARTICLE 29 WORKING PARTY, “Working Document 1/2011 on the current EU personal data breach framework and recommendations for future policy developments (WP 184)”, European Commission 2011, 9-10 415
Respectievelijk art. 129 Wet Elektronische Communicatie.
92
toepassing van cookies in behavioural advertising in het bijzonder. Tot slot behandelt onderdeel C de
problemen van cookies in the age of big data, net zoals het Do-Not-Track voorstel van de Federal
Trade Commission en het voorstel omtrent privacy by design.
A. Cookies in het algemeen
227. Artikel 5, lid 3 e-Privacyrichtlijn416
regelt het gebruik van cookies in alle omstandigheden417
en
voorziet dat:
“… de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is
opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op
voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn
voorzien van duidelijke en volledige informatie overeenkomstig Richtlijn 95/46/EG, onder
meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van
technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een
communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om
ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker
gevraagde dienst van de informatiemaatschappij deze dienst levert.”
228. Aangezien cookies ‘informatie’ uitmaken418
die wordt opgeslagen in eindapparatuur en nadien,
wanneer de betrokkene een partnerwebsite bezoekt, door de aanbieder van het advertentienetwerk
wordt betreden, vallen zij zonder enige twijfel onder de toepassing van deze bepaling.419
Dit impliceert
dat voorafgaand in principe zowel aan de toestemmingsvereiste als aan de informatieverplichting dient
te worden voldaan. Deze verplichtingen vormen de verantwoordelijkheid van degene die de cookies
plaatst en/of informatie verkrijgt van cookies die reeds zijn opgeslagen zijn in de eindapparatuur van
de betrokkene. Het onderscheid tussen de verantwoordelijke en de verwerker is in dit kader met andere
woorden irrelevant.420
229. De bepaling voorziet evenwel in twee uitzonderingen op deze regeling, die restrictief dienen te
worden geïnterpreteerd. De eerste exceptie heeft betrekking op de situatie waarin de cookie wordt
416
Respectievelijk art. 129, lid 2 Wet Elektronische Communicatie. 417
De WP 29 is van mening dat artikel 5, lid 3 (net als artikel 13) van de e-Privacyrichtlijn een algemene bepaling is die niet enkel toepasselijk is op elektronische communicatiediensten maar ook op alle mogelijke andere diensten, voor zover dergelijke technieken worden gehanteerd (ARTICLE 29 WORKING PARTY, “Opinion 1/2008 on data protection issues related to search engines (WP 148)”, European Commission 2008, 12). 418
Het begrip ‘informatie’ stemt niet noodzakelijkerwijze overeen met het begrip ‘persoonsgegevens’ uit de Databeschermingsrichtlijn. De ratio van deze aanpak wordt door overweging 24 van de e-Privacyrichtlijn gevonden in het feit dat de bescherming wordt geprikkeld door het betreden van “de persoonlijke levenssfeer van de gebruikers die op grond van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden bescherming vereist”, en dus niet door het feit dat de informatie persoonlijk is. 419
WP 29, “Opinion on online behavioural advertising”, 8. 420
WP 29, “Opinion on online behavioural advertising”, 10.
93
gebruikt “met als uitsluitend doel de uitvoering van de verzending van een communicatie over een
elektronisch communicatienetwerk”. Uit de formulering volgt dat het simpelweg gebruiken van
cookies ter ondersteuning, ter versnelling of ter regulering van de verzending niet volstaat. De
verzending moet effectief onmogelijk zijn zonder het gebruik van de cookie. Ten tweede voorziet de
Richtlijn in een uitzondering voor cookies “indien strikt noodzakelijk, om ervoor te zorgen dat de
aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de
informatiemaatschappij deze dienst levert”. Er dient met andere woorden een duidelijk verband te
bestaand tussen de strikte noodzakelijkheid en het verlenen van de gevraagde dienst. Het uitdrukkelijk
vragen van een dienst vereist een positieve actie vanwege de abonnee of gebruiker.421
Verder raadt de
WP 29 aan een derde uitzondering in te voeren voor cookies die zich beperken tot first party
geanonimiseerde gegevens voor statistische doeleinden.422
Third party cookies423
zullen over het
algemeen niet onder deze uitzonderingen vallen omdat zij meestal betrekking hebben op diensten die
niet uitdrukkelijk gevraagd werden door de betrokkene. Het is evenwel het doel en de effectieve
verwerking die finaal doorslaggevend zijn om te bepalen of een cookie al dan niet wordt uitgesloten
van de toestemmings- en informatievereiste. Zo zullen cookies gebruikt voor marketingdoeleinden,
waaronder third party advertising, zelden of nooit van deze verplichtingen kunnen afwijken.424
230. Er mag niet uit het oog verloren worden dat het plaatsen van informatie of het verzamelen van
geplaatste informatie op zich een vorm van gegevensverwerking kan uitmaken, gezien het feit dat zij
individuen kunnen identificeren of identificeerbaar maken.425
In dat geval moet bij het verwerken van
deze gegevens ook de Databeschermingsrichtlijn worden nageleefd en dienen bepaalde waarborgen
ingebouwd te worden. Dit impliceert onder andere dat cookies proportioneel geplaatst moeten worden
in verhouding tot het doel van de betrokken website. Bijgevolg moeten gebruikers zonder meer een
vrije keuze krijgen met betrekking tot cookies die niet noodzakelijk maar slechts bijkomstig zijn voor
het aanbieden van de voornaamste websitedienst.426
Zelfs indien een betrokken cookie uitgesloten
wordt van de vereiste van de geïnformeerde toestemming onder de e-Privacyrichtlijn, is het perfect
denkbaar dat de bepalingen van de Databeschermingsrichtlijn nog nageleefd dienen te worden.
421
ARTICLE 29 WORKING PARTY, “Opinion 4/2012 on Cookie Consent Exemption (WP 194)”, European Commission 2012, 2-5. 422
ARTICLE 29 WORKING PARTY, “Opinion 4/2012 on Cookie Consent Exemption (WP 194)”, European Commission 2012, 10-11. 423
Het begrip third party cookies wordt naargelang de omstandigheden anders ingevuld. In de context van de Europese databeschermingswetgeving verwijst een third party cookie naar een cookie geplaatst door een voor de verwerking verantwoordelijke die niet diegene is die de bezochte website exploiteert. Vanuit het oogpunt van browsers daarentegen, zijn third party cookies cookies geplaatst door websites die behoren tot een ander domein dat het domein van de bezochte website (zoals weergegeven in de adresbalk), los van het feit of de entiteit een afzonderlijke verantwoordelijke is of niet (ARTICLE 29 WORKING PARTY, “Opinion 4/2012 on Cookie Consent Exemption (WP 194)”, European Commission 2012, 4). 424
ARTICLE 29 WORKING PARTY, “Opinion 4/2012 on Cookie Consent Exemption (WP 194)”, European Commission 2012, 9-10. 425
Supra 38, nr. 76. 426
ARTICLE 29 WORKING PARTY, “Opinion 2/2013 providing guidance on obtaining consent for cookies (WP 208)”, European Commission 2013, 6.
94
231. Artikel 5, lid 3 van de e-Privacyrichtlijn427
bepaalt uitdrukkelijk dat voorafgaande toestemming
vereist is voor het plaatsen en lezen van cookies. Deze toestemming wordt op grond van overweging
17 en artikel 2(f) e-Privacyrichtlijn428
onderworpen aan dezelfde voorwaarden als onder de
Databeschermingsrichtlijn, met name vrij, specifiek, geïnformeerd en ondubbelzinnig.429
De WP 29
heeft een opinie gepubliceerd waarin deze condities worden toegepast op cookies in het bijzonder.430
Eerst en vooral vereist de werkgroep dat een website-eigenaar voor het plaatsen van cookies reeds op
de openingspagina toestemming van de betrokkene vraagt. Opdat de betrokkene over een vrije
keuzemogelijkheid zou beschikken, is vereist dat hij of zij geïnformeerd wordt over de verschillende
types cookies en de doeleinden ervan. Ook informatie over eventuele third party cookies, de
vervaldatum van de cookies en de wijze waarop zij kunnen worden aanvaard en/of verworpen, moet
worden inbegrepen. Dit mag evenwel gebeuren op een afzonderlijke pagina zolang op de eerste pagina
een link wordt voorzien.431
Verder is van belang dat websites, vooraleer door de betrokkene
toestemming werd verleend, geen cookies mogen plaatsen of lezen. De timing speelt met andere
woorden een rol. De WP 29 benadrukt ook sterk dat het instemmen met cookies een positieve actie of
ander actief gedrag vereist, op voorwaarde dat de persoon werd ingelicht over de betekenis van die
handeling. De vorm die deze toestemming dient aan te nemen is irrelevant, zolang duidelijk is dat “the
form of these types of user requests are such that the website operator can be confident that the user
has actively requested to engage with the website and (assuming the user is fully informed) does
therefore indeed consent to cookies and that the action is an active indicator of such consent”432
.
Bijgevolg kan de afwezigheid van gedrag nooit gekwalificeerd worden als een geldige toestemming.
Ook wanneer de bezoeker gewoonweg op de openingspagina blijft zonder effectief een handeling te
stellen, valt moeilijk te argumenteren dat ondubbelzinnige toestemming werd gegeven. Tot slot
bepaalt de WP 29 ook dat de gebruiker doorgaans nog steeds de mogelijkheid moet hebben om
gebruik te maken van de website indien hij of zij toestemming voor enkele of alle cookies weigerde.
Indien evenwel een legitiem doel voorhanden is, kan de toegang tot specifieke inhoud toch afhankelijk
gemaakt worden van het plaatsen van cookies.433
427
Respectievelijk art. 129, lid 1, 2° Wet Elektronische Communicatie. 428
Dit artikel werd niet expliciet overgenomen in de Wet Elektronische Communicatie, al bevat deze wel enkele verwijzingen in artikelen waaronder art. 122, §3, 2°, lid 2 en art. 123, §2, 2°, lid 2. 429
Voor meer informatie, zie supra 46, nr. 95 et seq. 430
ARTICLE 29 WORKING PARTY, “Opinion 2/2013 providing guidance on obtaining consent for cookies (WP 208)”, European Commission 2013. 431
ARTICLE 29 WORKING PARTY, “Opinion 2/2013 providing guidance on obtaining consent for cookies (WP 208)”, European Commission 2013, 3. 432
ARTICLE 29 WORKING PARTY, “Opinion 2/2013 providing guidance on obtaining consent for cookies (WP 208)”, European Commission 2013, 4. 433
Overweging 25 e-Privacyrichtlijn; ARTICLE 29 WORKING PARTY, “Opinion 2/2013 providing guidance on obtaining consent for cookies (WP 208)”, European Commission 2013, 5.
95
B. Cookies en behavioural advertising
232. Het gebruik van online identifiers zoals cookies is erg belangrijk voor het voeren van online
reclame op basis van surfgedrag. Cookies worden met name ingezet om informatie over de
karakteristieken en het gedrag van individuen te verzamelen en om de betrokken personen te
beïnvloeden. In haar opinie over behavioural advertising434
is de WP 29 bijzonder ingegaan op de
toepassing van de toestemmings- en informatievereisten in dergelijke context.
233. Met betrekking tot de vereiste voorafgaandelijke toestemming, verzet de werkgroep zich eerst en
vooral tegen het toestemmen door middel van browserinstellingen. Zij is met name van mening dat het
bedrog uitmaakt te veronderstellen dat de passieve houding van de betrokkene (in de zin van het niet-
aanpassen van de instellingen) een duidelijke en ondubbelzinnige indicatie van zijn of haar wensen
inhoudt). Reeds in een eerdere opinie gaf de WP 29 aan dat “the responsibility for [cookie] processing
cannot be reduced to the responsibility of the user for taking or not taking certain precautions in his
browser settings”.435
Browserinstellingen die daarentegen standaard privacybeschermend ingesteld
staan en bijvoorbeeld third party cookies afwijzen tenzij andersluidend, actief gedrag, zijn volgens de
werkgroep wel in staat een geldige toestemming af te leveren. Daarenboven impliceert de
informatieverplichting dat de browser, namens de aanbieder van het advertentienetwerk, alle relevante
informatie in verband met de doeleinden en het verder verwerken moet meedelen.436
Ook het geven
van toestemming via het uitoefenen van opt-out mogelijkheden wordt door de WP 29 als onvoldoende
beschouwd. De oorsprong van deze afwijzing is tweedelig: enerzijds gaat de groep er van uit dat vele
mensen de opt-out mogelijkheden niet benutten doordat ze niet beseffen dat ze hierdoor behavioural
advertising aanvaarden, anderzijds omdat een vermoede of impliciete wil niet overeenstemt met de
vereiste van actieve handeling.437
Als alternatief voor voorgaande technieken, toont de WP 29 zich
voorstander van opt-in toestemmingsmechanismen. Deze vereisen een goedkeurende actie vanwege de
betrokkene vooraleer de cookie wordt verzonden. Omdat opt-in evenwel aanzienlijke praktische
problemen met zich meebrengt (supra 48, nr. 100 et seq.), aanvaardt de werkgroep dat de enkele
toestemming om een cookie te plaatsen, kan impliceren dat gebruikers hiermee aanvaarden dat de
cookie ook effectief wordt gelezen.438
Afzonderlijke toestemming dient dus niet telkens te worden
gevraagd. De WP 29 stelt evenwel enkele voorwaarden tegenover deze soepele opstelling. Zo dienen
de aanbieders van advertentienetwerken de toestemming eerst en vooral in de tijd te beperken. Dit kan
434
WP 29, “Opinion on online behavioural advertising”. 435
ARTICLE 29 WORKING PARTY, “Opinion 1/2008 on data protection issues related to search engines (WP 148)”, European Commission 2008, 20. 436
WP 29, “Opinion on online behavioural advertising”, 13-15. 437
WP 29, “Opinion on online behavioural advertising”, 15-16. 438
Deze aanname vindt ook steun in overweging 25 van de e-Privacyrichtlijn die stelt dat “de informatie en het recht van weigering kan (…), éénmaal gedurende eenzelfde verbinding worden aangeboden en geldt dan ook voor het eventuele verdere gebruik van die programmatuur gedurende volgende verbindingen.”
96
bereikt worden door het beperken van de levensduur van de cookies.439
Ten tweede moet aan
gebruikers de mogelijkheid worden geboden deze toestemming eenvoudig te herroepen. Tot slot wordt
vereist dat de betrokkene regelmatig geïnformeerd wordt over het feit dat het volgen van het
surfgedrag nog steeds plaatsvindt. Dankzij deze aanpak zouden gebruikers niet voortdurend overstelpt
worden met berichten maar wordt de gevraagde toestemming toch verzekerd.440
De verplichting om
toestemming te verkrijgen ligt in de context van online reclame op basis van surfgedrag op de
aanbieder van het advertentienetwerk.441
234. Opdat betrokkenen effectief over een keuzemogelijkheid zouden beschikken, hebben ze behoefte
aan voorafgaande informatie en uitleg. Bij het invoeren van de informatieverplichting heeft de
opsteller van artikel 5, lid 3 e-Privacyrichtlijn442
ervoor gekozen te verwijzen naar het respectievelijke
artikel in de Databeschermingsrichtlijn, met name artikel 10. Dit impliceert dat minimaal de identiteit
van de verantwoordelijke meegedeeld dient te worden. Daarenboven dient de betrokkene
geïnformeerd te worden over (a) het feit de cookie gebruikt zal worden om profielen te creëren; (b) de
soort informatie die daartoe verzameld zal worden; (c) het feit dat de profielen gebruikt zullen worden
om behavioural advertising af te leveren en (d) het feit dat de cookie de identificatie van de gebruiker
over verschillende websites mogelijk zal maken. Deze informatie dient op grond van overweging 25 e-
Privacyrichtlijn te worden aangeboden op een duidelijke, nauwkeurige en zo gebruikersvriendelijk
mogelijke manier. Zodoende volstaat het niet de informatie op te nemen in de algemene voorwaarden
en/of privacyverklaringen van de website. Samenwerking tussen de aanbieder van het
advertentienetwerk en de verdeler zal met andere woorden onontbeerlijk zijn voor het naleven van
deze verplichting, in het bijzonder in het geval de verdeler het IP-adres overdraagt aan de aanbieder.443
C. Cookies in the age of big data
235. Het hoeft geen betoog dat het begrip ‘geïnformeerde toestemming’ ook in de context van cookies
niet onproblematisch is. Gezien de gebruikelijke problemen met betrekking tot de
toestemmingsvereiste en de informatieverplichting, respecteren heel wat website-eigenaars vandaag de
dag de regeling nog niet. Zo komt het nog voor dat cookies worden geaccepteerd door
439
Het koppelen van een houdbaarheidsdatum aan persoonsgegevens kan een handig instrument zijn ter bescherming van gegevens, doordat individuen niet langer bezwaard worden met een actieve rol of verantwoordelijkheid. Het komt er met andere woorden op neer dat “forgetting data becomes a natural default”. Het voorstel heeft evenwel ook een keerzijde. Eerst en vooral is men grotendeels afhankelijk van de goede wil van de gebruikers. Die zullen dergelijke maatregel op vrijwillige basis moeten implementeren. Bovendien lijkt het onrealistisch te verwachten dat individuen telkenmale persoonsgegevens worden verzameld, houdbaarheidsdata gaan opstellen. Tot slot staan dergelijke maatregelen ook niet in de weg aan het kopiëren of decoderen van gegevens (H. GRAUX, J. AUSLOOS en P. VALCKE, “The Right to be Forgotten in the Internet Era”, ICRI Working Paper 2012, http://ssrn.com/abstract=2174896., 8-9). 440
WP 29, “Opinion on online behavioural advertising”, 16-17. 441
WP 29, “Opinion on online behavioural advertising”, 10. 442
Respectievelijk art. 129, lid 1, 1° Wet Elektronische Communicatie. 443
WP 29, “Opinion on online behavioural advertising”, 17-19.
97
browserinstellingen of opt-out mechanismen, wat niet aanvaardbaar is (supra 95, nr. 233). Bovendien
wordt de mogelijkheid om toestemming eenvoudig te herroepen soms geboycot door het plaatsen van
zogenaamde flash cookies, die niet eenvoudig te verwijderen zijn.444
Ook wordt de informatie nog
steeds vaak opgenomen in de algemene voorwaarden van de website. Indien deze regeling behouden
wil worden, lijkt het dan ook belangrijk in te zetten op controle en sanctionering van de overtreders.
Dit is logischerwijs niet eenvoudig aangezien cookies op zo goed als alle websites terug te vinden zijn.
Voor een diepgaandere bespreking van de problemen met betrekking tot de toestemmingsvereiste en
de informatieverplichting, wordt verwezen naar respectievelijk supra 48, nr. 100 et seq. en 73, nr. 171
et seq.
236. Professor Moerel stelt voor de opt-in regeling anders te formuleren. Zij vertrekt van het feit dat
websites vaak 10 tot 20 cookies plaatsen, die verschillen van aard en allemaal een eigen doel voor
ogen hebben. Sommige cookies zullen louter en alleen de gebruikservaring verbeteren, anderen
voorzien in observatie en tracking van de consument. De toestemming wordt echter standaard voor
alle cookies tegelijk gevraagd. Hierdoor gaan websitegebruikers deze vaak in één klik aanvaarden, met
inbegrip van de schadelijke cookies die ze anders niet hadden aanvaard. Het geven van te veel rechten
kan dus perverse effecten hebben.445
Bijgevolg is professor Moerel van oordeel dat een degelijke
standaardsetting veel effectiever is ter bescherming van de persoonsgegevens dan het overlaten van de
invulling aan het eigen oordeel van het individu.446
In haar visie zou de opt-in vereiste beperkt moeten
worden tot de meest schadelijke en verwerpelijke cookies. De precieze inhoud van de
standaardinstelling dient vastgelegd te worden door wetgevers op basis van sociale normen.447
237. Het voorstel van professor Moerel leunt dicht aan bij het zogenaamde Do-Not-Track mechanisme
dat sinds enkele jaren in ontwikkeling is in de Verenigde Staten. Dit instrument zou consumenten door
een opt-out mechanisme eenvoudig in staat moeten stellen te kiezen of zij al dan niet websites willen
toelaten informatie met betrekking tot hun internetactiviteiten te verzamelen en te gebruiken voor
online reclame of andere doeleinden. Het wordt verwacht dat het mechanisme een soort van
hardnekkige instelling wordt, gelijkaardig aan een cookie, op de browser van de consument. Het dient
evenwel benadrukt te worden dat de focus ligt op de tracking van consumenten en niet op het
444
ENISA, “Bittersweet cookies. Some security and privacy considerations”, European Network and Information Security Agency 2011, http://www.enisa.europa.eu/activities/identity-and-trust/privacy-and-trust/library/pp/cookies. 445
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 35-36. 446
In haar opinie met betrekking tot online sociale netwerken heeft de WP 29 zich voorstander getoond van privacyvriendelijke standaardinstellingen. Dit houdt concreet in dat de standaardsetting van profielen de gegevens enkel met vrienden mag delen. Bovendien mogen beslissingen om de toegankelijkheid uit te breiden niet impliciet zijn, bijvoorbeeld door een opt-out voorzien door de verantwoordelijke van het netwerk (ARTICLE 29 WORKING PARTY, “Opinion 5/2009 on Online Social Networking (WP 163)”, European Commission 2009, 7). 447
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 48.
98
onderliggende verzamelen van persoonsgegevens.448
De discussie omtrent het mechanisme is tot op de
dag van vandaag nog lopende.449
Figuur 3: Voorbeelden uit de praktijk van toestemming voor cookies.
3.3.2.2.3 Ongewenste communicatie
238. Een laatste belangrijke bepaling is artikel 13 van de e-Privacyrichtlijn450
. Dit artikel regel
ongewenste communicatie in de sectoren van de automatische oproepapparaten, fax en e-email, met
het oog op direct marketing.451
Voor dergelijke vormen van elektronische communicatie stelt de
Richtlijn de rechtmatigheid principieel afhankelijk van de vereiste van voorafgaande toestemming
(opt-in). De ratio van deze regel is terug te vinden in overweging 40 van de betrokken Richtlijn:
“…De verzending van dergelijke ongewenste commerciële mededelingen kan betrekkelijk
gemakkelijk en goedkoop geschieden en anderzijds een belasting en/of kosten voor de
ontvanger met zich meebrengen. Soms kan het volume van die mededelingen tevens
moeilijkheden voor de elektronische-communicatienetwerken en de eindapparatuur
opleveren. …”
239. Op deze regel bestaat een belangrijke uitzondering: in het kader van een bestaande klantenrelatie
waarin de onderneming reeds een product of dienst aan de consument heeft verstrekt en daarbij zijn of
haar e-mailadres heeft verkregen, heeft diezelfde voor de verwerking verantwoordelijke het recht om
nadien per e-mail gelijkaardige producten of diensten aan te bieden, zonder dat daarvoor toestemming
is vereist. In dat geval dient de consument echter steeds de mogelijkheid te krijgen om zich te
verzetten tegen toekomstige e-mails.452
448
FEDERAL TRADE COMMISSION, “Protecting Consumer Privacy in an Era of Rapid Change”, FTC Report 2012, http://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf, 4-5. 449
Zie onder andere, INTERNATIONAL WORKING GROUP ON DATA PROTECTION AND TELECOMMUNICATIONS, “Working Paper on Web Tracking and Privacy: Respect for context, transparency and control remains essential”, Berlin Privacy Group 2013, http://www.datenschutz-berlin.de/content/europa-international/international-working-group-on-data-protection-in-telecommunications-iwgdpt/working-papers-and-common-positions-adopted-by-the-working-group, 6-7. 450
Respectievelijk art. 122, §3 Wet Elektronische Communicatie. 451
Ook artikel 13 van de e-Privacyrichtlijn wordt door de WP 29 beschouwd als een algemene bepaling die toepasselijk is op alle mogelijke diensten, zolang technieken zoals cookies worden gehanteerd (ARTICLE 29 WORKING PARTY, “Opinion 1/2008 on data protection issues related to search engines (WP 148)”, European Commission 2008, 12). 452
Art. 13, 2 e-Privacyrichtlijn.
99
240. De meer traditionele wijzen van direct marketing, zoals het zenden brieven voor economische,
politieke of liefdadigheidsdoeleinden, vallen buiten de werkingssfeer van voornoemd artikel en dienen
bijgevolg getoetst te worden aan de bepalingen van de algemene Databeschermingsrichtlijn.453
Men
denke in dit kader aan het recht van verzet voorzien in artikel 14(b) van voornoemde Richtlijn.454
3.3.3 Conclusie
241. De e-Privacyrichtlijn regelt het verwerken van persoonsgegevens in de sector van de
elektronische communicatie. Het verwerken van big data gebeurt standaard via het internet, waardoor
zij onder het toepassingsgebied van deze regeling valt. Drie bepalingen bleken in dit kader van belang.
242. De e-Privacyrichtlijn introduceert voor het eerst de verplichte kennisgeving in geval van een
inbreuk in verband met persoonsgegevens (data breach notification). In dat geval dient de
dienstenaanbieder de bevoegde toezichthoudende instantie zonder onnodige vertraging in kennis te
stellen. Wanneer de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor een abonnee of
individu, moet ook deze laatstgenoemde hiervan onverwijld in kennis gesteld worden, tenzij de
aanbieder gepaste technische beschermingsmaatregelen heeft genomen. De WP 29 en de Europese
Commissie zijn voorstander van een uitbreiding van de notificatieplicht naar alle sectoren.
243. Artikel 5, lid 3 van de e-Privacyrichtlijn regelt het gebruik van cookies, welke vaak gehanteerd
worden ten behoeve van behavioural advertising. Deze bepaling stelt het plaatsen en/of lezen van
cookies principieel afhankelijk van het informeren van de betrokkene en het verkrijgen van
toestemming. Op deze verplichtingen bestaan twee uitzonderingen, maar cookies gebruikt voor
marketingdoeleinden zullen zelden of nooit van deze verplichtingen kunnen afwijken. De vereiste
toestemming stemt inhoudelijk overeen met het begrip onder de Databeschermingsrichtlijn. De WP 29
heeft benadrukt dat zij een positieve actie of ander actief gedrag moet zijn. Bijgevolg kan toestemming
niet worden verkregen door browserinstellingen of via het uitoefenen van opt-out mogelijkheden,
maar zal een opt-in toestemmingsmechanisme noodzakelijk zijn. De enkele toestemming om de
cookie te plaatsen kan evenwel impliceren dat deze ook effectief mag worden gelezen. Ook de
informatieverplichting wordt ingevuld overeenkomstig de Databeschermingsrichtlijn. Het volstaat niet
om deze informatie op te nemen in de algemene voorwaarden en/of privacyverklaringen. Gezien de
inhoudelijke overeenstemming met de Databeschermingsrichtlijn, hoeft het geen betoog dat ook
toestemming in de context van cookies de gebruikelijke problemen met zich meebrengt. Bijgevolg is
professor Moerel van oordeel dat een degelijke standaardsetting veel effectiever is dan het overlaten
van de invulling aan het eigen oordeel van het individu. In haar visie zou de opt-in vereiste beperkt
453
WP29, “Opinion on purpose limitation”, 34. 454
Zie supra 82, nr. 194.
100
moeten worden tot de meest schadelijke en verwerpelijke cookies. Dit voorstel leunt dicht aan bij het
zogenaamde Do-Not-Track mechanisme uit de Verenigde Staten.
244. Tot slot regelt artikel 13 van de e-Privacyrichtlijn ongewenste communicatie in de sectoren van
de automatische oproepapparaten, fax en e-email, met het oog op direct marketing (spam). De
Richtlijn stelt de rechtmatigheid principieel afhankelijk van een voorafgaande toestemming. Op deze
regel bestaat een belangrijke uitzondering wanneer een onderneming in het kader van een bestaande
klantenrelatie reeds een product of dienst aan de consument heeft verstrekt en daarbij zijn of haar e-
mailadres heeft verkregen. In dat geval heeft diezelfde verantwoordelijke het recht om nadien per e-
mail gelijkaardige producten of diensten aan te bieden, zonder dat daarvoor toestemming is vereist. De
meer traditionele wijzen van direct marketing vallen buiten de werkingssfeer van voornoemd artikel
en dienen bijgevolg getoetst te worden aan de bepalingen van de algemene Databeschermingsrichtlijn.
101
3.4 Voorstel Algemene Verordening Gegevensbescherming
3.4.1 Inleiding
245. In 2012 heeft de Europese Commissie een belangrijke wijziging van het Europees kader inzake
databescherming voorgesteld. Deze hervorming werd noodzakelijk geacht doordat de wijze waarop
data worden verzameld, opgeslagen, gebruikt en gedeeld sterk werd gewijzigd door technologische
processen en globalisatie. Bovendien hadden de 28 lidstaten de Databeschermingsrichtlijn op
verschillende wijzen geïmplementeerd waardoor er verschillen waren ontstaan in de handhaving. Het
invoeren van een verordening zal volgens de EU een einde stellen aan de huidige fragmentatie en
kostelijke administratieve lasten, wat moet leiden tot kostenbesparingen. Bovendien zou het initiatief
volgens de Europese Commissie helpen het vertrouwen van de consument in online diensten te
herstellen, wat een welkome boost zou vormen voor groei, jobs en innovatie in de Europese Unie.455
Op 12 maart 2014 werd de tekst van het voorstel grondig geamendeerd door het Europees Parlement.
246. Hiernavolgende bespreking is gebaseerd op de meest recente, provisionele versie van de
Verordening en biedt veeleer een opsomming van de verschillen en/of aanvullingen ten aanzien van de
Databeschermingsrichtlijn dan een exhaustief overzicht van de inhoud van de regelgeving. Voor een
meer gedetailleerde bespreking van de zaken die gelijkaardig of identiek zijn aan de
Databeschermingsrichtlijn, wordt sterk aangeraden de desbetreffende onderdelen in hoofdstuk 3.2 te
consulteren.
3.4.2 Inhoudelijke bespreking
247. Net zoals de Databeschermingsrichtlijn, beschermt de Europese Verordening de persoonlijke
levenssfeer van individuen in de Europese Unie ten opzichte van het ongeoorloofd gebruik van hun
persoonsgegevens. Met de introductie van het Voorstel Algemene Verordening Gegevensbescherming
hoopt de EU-wetgever online privacyrechten te versterken en de Europese digitale economie te
stimuleren.456
248. De Verordening introduceert een aantal nieuwe regels, maar bouwt in essentie verder op de
begrippen en principes uit de Richtlijn. Teneinde eenvoudiger door de tekst te kunnen navigeren, zal
in dit hoofdstuk dezelfde onderverdeling en volgorde worden aangehouden als met betrekking tot de
Databeschermingsrichtlijn. In onderdeel 3.4.2.1 van deze bespreking zal het toepassingsgebied van het
455
X, “Commission proposes a comprehensive reform of the data protection rules”, European Commission 2012, http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm. 456
Art. 1 Voorstel Algemene Verordening Gegevensbescherming.
102
Voorstel worden geschetst. Onderdeel 3.4.2.2 bevat een overzicht van de belangrijkste terminologie en
onderdeel 3.4.2.3 volgt met een bespreking van de databeschermingsprincipes. In onderdeel 3.4.2.4
worden de regels van het Voorstel Algemene Verordening Gegevensbescherming nader bestudeerd.
Tot slot beëindigt onderdeel 3.4.2.5 het hoofdstuk met een studie van de rechten van de betrokkene en
de handhaving.
3.4.2.1 Toepassingsgebied
249. Het materieel toepassingsgebied van de Algemene Verordening Gegevensbescherming is zo goed
als identiek aan datgene van de Databeschermingsrichtlijn.457
Het territoriale toepassingsgebied is
evenwel ruimer: ook in het geval de verantwoordelijke niet in de Europese Unie gevestigd is, zal de
Verordening toepassing vinden wanneer de verwerking betrekking heeft op het aanbieden van
goederen of diensten aan of het observeren van individuen in de Europese Unie.458
Dergelijke bepaling
is van belang voor situaties waarin bijvoorbeeld een Amerikaanse verantwoordelijke een profiel
opstelt van een Europese burger, “in het bijzonder om besluiten over hem te nemen of om zijn
persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen.”459
In tijden van
onbegrensd internet is dergelijke bijkomende bescherming zonder enige twijfel mooi meegenomen.
250. Naar aanleiding van de inwerkingtreding van het Voorstel, zal de Databeschermingsrichtlijn
worden ingetrokken.460
Artikel 89 bepaalt dat deze Verordening geen aanvullende verplichtingen met
zich zal meebrengen voor verwerkingen van persoonsgegevens in verband met het verstrekken van
openbare elektronische communicatiediensten voor zover zij op grond van de e-Privacyrichtlijn
onderworpen zijn aan specifieke verplichtingen met dezelfde doelstelling.
3.4.2.2 Terminologie
251. Artikel 4 van het Voorstel Algemene Verordening Gegevensbescherming definieert de begrippen
die voor het verder gebruik van de Verordening relevant zijn. Het artikel is aanzienlijk langer dan in
de Databeschermingsrichtlijn. Hierna volgt een bespreking van de meest relevante begrippen.
3.4.2.2.1 Persoonsgegevens
252. De definitie van ‘persoonsgegevens’ in artikel 4(2) van de Europese Verordening is grotendeels
identiek aan de Databeschermingsrichtlijn. De verwijzing naar ‘een unieke identificatiecode’ doet
457
Art. 2 Voorstel Algemene Verordening Gegevensbescherming. 458
Art. 3, lid 2 Voorstel Algemene Verordening Gegevensbescherming. Zie ook artikel 25 van desbetreffende Verordening. 459
Overweging 21 Voorstel Algemene Verordening Gegevensbescherming. 460
Art. 88 Voorstel Algemene Verordening Gegevensbescherming.
103
vermoeden dat ook online identifiers in het begrip vervat zitten. Dat wordt uitdrukkelijk bevestigd in
overweging 24 van de Verordening, “tenzij deze identificatiemiddelen geen betrekking hebben op een
geïdentificeerde of identificeerbare persoon”. Overweging 23 bevat een exemplaire opsomming van
de middelen ter identificatie die individuen kunnen identificeren of ‘uitkiezen’. Diezelfde overweging
sluit ook anonieme gegevens uit het toepassingsgebied. Daarnaast bevatten artikelen 4(2bis) en 4(2ter)
bevatten nu respectievelijk een definitie van het begrip ‘pseudonieme gegevens’ en ‘geëncrypteerde
gegevens’. Bijgevolg kent het begrip ‘persoonsgegevens’ ook onder de Verordening problemen met
betrekking tot de-anonimisatie en re-identificatie.461
De WP 29 heeft voorgesteld in de Verordening
een algemene verplichting tot anonimisatie of pseudonimisatie op te nemen waar werkbaar en
proportioneel in functie van het doel van de verwerking.462
Dit voorstel werd evenwel niet gevolgd.
3.4.2.2.2 Profilering
253. Het Voorstel Algemene Verordening Gegevensbescherming bevat nu uitdrukkelijk een definitie
van het begrip ‘profilering’, met name:
“iedere automatische wijze waarop persoonsgegevens van een persoon worden verwerkt met
de bedoeling om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn
beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren,
betrouwbaarheid of gedrag te analyseren of te voorspellen”.463
254. Artikel 20 van het Voorstel reguleert profilering. Eerst en vooral voorziet dat artikel in een recht
van verzet voor iedere natuurlijke persoon tegen profilering. Men dient hierover op een uiterst
zichtbare manier geïnformeerd te worden. Lid 2 bepaalt dat profilering slechts mag leiden tot
maatregelen waaraan voor de betrokkene rechtsgevolgen zijn verbonden of tot het aanzienlijk treffen
van de belangen, rechten of vrijheden van de betrokkene464
wanneer dit een uitvoering vormt van een
toestemming, overeenkomst of wettelijke bepaling. Bovendien dienen dergelijke vormen van
profilering een evaluatie door mensenhand te omvatten, met inbegrip van een toelichting van het
besluit dat na dergelijke beoordeling is genomen. Tot slot is profilering die resulteert in discriminatie
of uitsluitend gebaseerd is op bijzondere categorieën gevoelige gegevens, verboden op grond van lid 3.
De verantwoordelijke dient hiertegen doeltreffende bescherming te bieden. Artikel 14(1)(g bis) van
het Voorstel introduceert een transparantieplicht met betrekking tot profilering.
461
Supra 39, nr. 79 et seq. 462
ARTICLE 29 WORKING PARTY, “Opinion 1/2012 on the data protection reform proposals (WP 191)”, European Commission 2012, 11. 463
Art. 4(3bis) Voorstel Algemene Verordening Gegevensbescherming. 464
Overweging 58bis Voorstel Algemene Verordening Gegevensbescherming bepaalt dat “er moet van worden uitgegaan dat profilering die enkel gebaseerd is op de verwerking van pseudonieme gegevens de belangen, rechten of vrijheden van de betrokkene niet in aanzienlijke mate treft. Indien profilering, gebaseerd op een enkele bron van pseudonieme gegevens of op de samenvoeging van pseudonieme gegevens afkomstig van verschillende bronnen, de voor de verwerking verantwoordelijke in staat stelt om pseudonieme gegevens te koppelen aan een specifieke betrokkene, mogen de verwerkte gegevens niet langer als pseudoniem worden beschouwd.”
104
3.4.2.2.3 Verantwoordelijke en verwerker
255. Een identiek onderscheid tussen de voor de verwerking verantwoordelijke en de verwerking
wordt behouden in het Voorstel Algemene Verordening Gegevensbescherming.465
Verschillende
artikelen pogen evenwel tegemoet te komen aan het moeilijke onderscheid tussen de personen in de
big data keten. Zo voorziet artikel 24 uitdrukkelijk dat gezamenlijk voor de verwerking
verantwoordelijken hun respectieve verantwoordelijkheden voor de nakoming van hun verplichtingen
dienen te regelen, met name met betrekking tot de procedures en mechanismen voor de uitoefening
van de rechten van de betrokkene. Indien de verantwoordelijkheid onduidelijk is, zijn de
verantwoordelijken gezamenlijk hoofdelijk aansprakelijk.
256. Het Voorstel verduidelijkt ook de positie en de verplichtingen van de verwerker, met name in
artikel 26. Lid 2 van dat artikel voorziet in allerlei maatregelen die de veiligheid van de gegevens
zouden moeten garanderen in het geval een verwerker de betrokken verwerking uitvoert. Lid 4 van
deze bepaling voorziet dat “wanneer een verwerker persoonsgegevens verwerkt anders dan volgens de
instructies van de voor de verwerking verantwoordelijke, of de bepalende partij wordt met betrekking
tot de doeleinden en middelen van de gegevensverwerking, wordt de verwerker met betrekking tot die
verwerking als een voor de verwerking verantwoordelijke beschouwd waarvoor de in artikel 24
neergelegde regels voor gezamenlijk voor de verwerking verantwoordelijken gelden.” Ondanks het
feit dat het onderscheid tussen beide partijen blijft bestaan, betekent deze aanpassing zonder enige
twijfel een aardige stap in de goede richting voor de rechtszekerheid van de betrokkene.
3.4.2.2.4 Toestemming
257. Toestemming wordt door de Verordening enigszins anders gedefinieerd, met name als “elke
vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene, door
middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem
betreffende persoonsgegevens worden verwerkt”. Door het toevoegen van de begrippen ‘uitdrukkelijk’
en ‘ondubbelzinnige actieve handeling’ wordt benadrukt dat toestemming het akkoord van de
betrokkene met het verwerken van de persoonsgegevens expliciet en duidelijk moet weergeven. De
betrokkene moet zich met andere woorden bewust zijn dat en waarvoor hij toestemming geeft. Dit is
voornamelijk van groot belang voor het uitoefenen van rechten op het internet.466
465
Respectievelijk art. 4(5) en (6) Voorstel Algemene Verordening Gegevensbescherming. 466
ARTICLE 29 WORKING PARTY, “Opinion 8/2012 providing further input on the data protection reform discussions (WP 199)”, European Commission 2012, 7.
105
258. Artikel 7 van het Voorstel introduceert nu op zijn beurt voor het eerst vier wettelijke
voorwaarden waaraan de toestemming moet voldoen teneinde geldig te zijn. Eerst en vooral wordt
voorzien dat bewijslast principieel bij de verantwoordelijke ligt. Ten tweede dient de toestemming
afzonderlijk van andere aangelegenheden gegeven worden in het geval zij berust op een schriftelijke
verklaring. Ten derde stelt de Verordening dat de toestemming even gemakkelijk moet kunnen worden
ingetrokken als ze werd gegeven. De verantwoordelijke moet de betrokkene inlichten indien het
intrekken van de toestemming zou kunnen leiden tot een beëindiging van de dienstverlening of van de
relatie met de verantwoordelijke. Tot slot wordt de toepasselijkheid van het
doelgebondenheidsprincipe benadrukt en wordt uitdrukkelijk bepaald dat de toestemming haar
geldigheid zal verliezen wanneer het oorspronkelijke doeleinde ophoudt te bestaan of zodra de
verwerking van persoonsgegevens niet langer noodzakelijk is voor de uitvoering van het doel
waarvoor de gegevens oorspronkelijk werden verzameld. Iedere bepaling betreffende de toestemming
van de betrokkene die ten dele inbreuk maakt op de Verordening is volledig nietig.
259. De WP 29 heeft zich positief uitgelaten over deze belangrijke verduidelijkingen en versterkingen
van de rechten van individuen.467
Professor Moerel is daarentegen absoluut geen voorstander van de
nieuwe voorwaarden voor de ‘geïnformeerde toestemming’. Zij benadrukt dat er nog steeds te veel
keuzes zullen moeten worden gemaakt door individuen. Deze keuzes vereisen het verwerken van te
veel ingewikkelde informatie, terwijl de voordelen zich op korte termijn voordoen en de kosten op
lange termijn, wat de toepassing van de status quo bias468
in de hand werkt.469
Ondanks de nobele
doelstelling achter deze toevoeging, het empoweren van individuen, lijkt zij alleszins geen oplossing
te bieden voor de vele problemen waar de toepassing van de toestemming onder de
Databeschermingsrichtlijn reeds mee gepaard ging (zie supra 48, nr. 100 et seq.). Het invoegen van de
sanctie van de nietigheid lijkt wel een stap in de goede richting, al zal haar effectiviteit
vanzelfsprekend afhankelijk zijn van de handhaving van de wetgeving.
3.4.2.3 Principes
260. Het Voorstel Algemene Verordening Gegevensbescherming is van toepassing op het verwerken
van persoonsgegevens. Opdat deze verwerking rechtmatig zou zijn, moeten op grond van artikel 5
Verordening een stel beginselen worden gerespecteerd. De principes zijn in essentie identiek aan deze
in de Databeschermingsrichtlijn, al vonden hier en daar wat correcties plaats. Zo wordt het eerlijk- en
rechtmatigheidsprincipe door de Verordening aangevuld met de verplichting de gegevens transparant
467
ARTICLE 29 WORKING PARTY, “Opinion 8/2012 providing further input on the data protection reform discussions (WP 199)”, European Commission 2012, 7. 468
Supra 49, nr. 103. 469
L. MOEREL, “Big Data Protection”, Tilburg University 2014, 51.
106
te verwerken.470
Dergelijke aanvulling lijkt gewenst gezien het grote belang van de
informatieverplichtingen (supra 74, nr. 174) en het recht op toegang tot de gegevens (supra 79, nr.
189). Ook voorziet het Voorstel in een shift van een proportionaliteitsprincipe naar een echt
dataminimisatieprincipe, waardoor het principe wordt verstrakt.471
De principes worden nu ook
aangevuld met een doeltreffendheids- en integriteitsprincipe in leden (e bis) en (e ter).
261. Het enige principe dat een echte verandering heeft ondergaan, is het verantwoordingsprincipe. In
tegenstelling tot de afgezwakte versie in de Databeschermingsrichtlijn, voert de Verordening nu
effectief zo een beginsel in. Dit principe houdt in dat de verantwoordelijke door middel van het
instellen van een passend beleid en passende technische en organisatorische maatregelen de
verantwoordelijkheid draagt ervoor te zorgen en aan te tonen dat de verwerking voldoet aan de
bepalingen van de Verordening.472
Dergelijke verplichtingen worden verder uitgewerkt in artikelen 11,
28, 33 en 35 van het Voorstel.473
Concreet komt het er op neer dat op de verantwoordelijke een
documentatieverplichting rust, in welbepaalde gevallen een voorafgaande privacyeffectbeoordeling
(privacy impact assessment) dient te worden uitgevoerd en in bepaalde omstandigheden een
functionaris voor gegevensbescherming moet worden aangewezen. Daarnaast stelt artikel 11, lid 1 van
de Verordening dat de verantwoordelijke de verplichting heeft te voorzien in beknopt, transparant,
duidelijk en eenvoudig toegankelijk beleid met betrekking tot de verwerking van persoonsgegevens en
de uitoefening van de rechten van de betrokkene. Deze bepaling heeft met andere woorden betrekking
op zogenaamde privacy policies.
3.4.2.4 Regels
262. De definities en principes uit voorgaand hoofdstuk zijn algemeen van aard en werken doorheen
het volledige databeschermingsrecht. Teneinde het databeschermingsniveau binnen de Europese Unie
te harmoniseren, heeft de wetgever ook voorzien in talloze gedetailleerde regels. De belangrijkste
bepalingen worden in dit hoofdstuk naderbij bekeken.
3.4.2.4.1 Toelaatbaarheid van de gegevensverwerking
263. Opdat de verwerking rechtmatig zou zijn onder het Voorstel Algemene Verordening
Gegevensbescherming, moet aan een aantal regels voldaan zijn. Deze verschillen naar gelang de
gevoeligheid van de data.
470
Art. 5(1)(a) Voorstel Algemene Verordening Gegevensbescherming. 471
Art. 5(1)(c) Voorstel Algemene Verordening Gegevensbescherming. 472
Art. 5(1)(f) en 22 Voorstel Algemene Verordening Gegevensbescherming. 473
Overweging 69 Voorstel Algemene Verordening Gegevensbescherming.
107
Wettige verwerking van niet-gevoelige data
264. Artikel 6 van het Voorstel Algemene Verordening Gegevensbescherming bevat een exhaustieve
opsomming van de gronden waarop een verwerking van niet-gevoelige gegevens gesteund mag zijn.
Deze zijn bijna volledig identiek aan degene onder de Databeschermingsrichtlijn. De enige grond die
een aanpassing heeft ondergaan, is die met betrekking tot het gerechtvaardigde belang van anderen.
Daaraan werd nu toegevoegd dat de prevalentie van de behartiging van de gerechtvaardigde belangen
van anderen boven het belang of de grondrechten en de fundamentele vrijheden van de betrokkene,
moet voldoen aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding
met de verantwoordelijke. Overweging 39ter van de Verordening voert een vermoeden in door nu
uitdrukkelijk te bepalen dat “mits het belang of de rechten en vrijheden van de betrokkene niet
prevaleren, moet de verwerking van persoonsgegevens voor direct marketing-doeleinden voor eigen
en soortgelijke producten en diensten of ten behoeve van direct marketing per post worden geacht te
worden uitgevoerd in het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of, in
geval van verstrekking, van de derden waaraan de gegevens worden verstrekt, en te voldoen aan de
redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de
verwerking verantwoordelijke, indien uiterst zichtbare informatie over het recht op bezwaar en over
de bron van de gegevens wordt verstrekt.” De combinatie van de toevoeging van het nieuwe criteria
en de invoeging van het verantwoordingsprincipe impliceert dat de verantwoordelijke principieel de
evenwichtsoefening zal moeten uitoefenen. Deze oefening zal voorwerp zijn van toezicht, handhaving
en judiciële controle, wat zonder enige twijfel een verbetering vormt voor de rechtszekerheid van de
betrokkene. De WP 29 raadt evenwel aan meer Europese richtsnoeren te verstrekken omtrent de
invulling van het begrip teneinde een consistente interpretatie en toepassing te verzekeren.474
Wettige verwerking van gevoelige data
265. De verwerking van bepaalde bijzondere categorieën gegevens, gekwalificeerd als ‘gevoelige
data’, is principieel verboden op grond van artikel 9 van het Voorstel. Het betreft met name
“persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religie
of filosofische overtuiging, seksuele gerichtheid of genderidentiteit, of het lidmaatschap of de
activiteiten van een vakvereniging blijkt, en de verwerking van genetische of
biometrische gegevens of gegevens over gezondheid of seksueel gedrag, administratieve
sancties, uitspraken, strafrechtelijke feiten, verdenkingen, veroordelingen of daarmee verband
houdende veiligheidsmaatregelen”.
Lid 2 van voornoemd artikel bevat allerlei uitzonderingen en afwijkingen.
474
ARTICLE 29 WORKING PARTY, “Opinion 8/2012 providing further input on the data protection reform discussions (WP 199)”, European Commission 2012, 13-14.
108
3.4.2.4.2 Beveiliging van de gegevensverwerking
266. De EU-wetgever heeft bij de redactie van de Verordening Gegevensbescherming bijzonder veel
aandacht besteed aan de beveiliging van de gegevensverwerking. Artikel 26 van het Voorstel voorziet
dat de verantwoordelijke de verantwoordelijkheid draagt voor de keuze van de verwerker. Bovendien
wordt in datzelfde artikel de algemene confidentialiteitsplicht in de relatie tussen de verwerker en de
verantwoordelijke ingevoegd. Deze verplichting houdt concreet in dat de verwerker en alle betrokken
medewerkers de persoonsgegevens slechts mogen gebruiken in overeenstemming met de instructies
gegeven door de verantwoordelijke. Doen zij dat niet, zullen ze op grond van lid 4 van het artikel zelf
als verantwoordelijke voor de verwerking worden beschouwd. De beveiliging van de
gegevensverwerking wordt op haar beurt geregeld door artikel 30 van het Voorstel. Deze bepaling
voert de verplichting in voor de verantwoordelijke en de verwerker om technische en organisatorische
maatregelen te nemen teneinde een passend beveiligingsniveau te waarborgen. Lid 1bis van voormeld
artikel verduidelijkt de elementen die een dergelijk veiligheidsbeleid minimaal dient te omvatten. Op
deze manier tracht men te verzekeren dat alleen gemachtigd personeel toegang heeft tot de
persoonsgegevens, dat de gegevens worden beschermd tegen allerlei vormen van onbedoelde of
onrechtmatige verwerking en dat er effectief een veiligheidsbeleid wordt ingevoerd.475
267. Naast deze bepalingen, die erg gelijkaardig zijn aan degene in de Databeschermingsrichtlijn,
introduceert het Voorstel ook verscheidene nieuwe bepalingen teneinde de veiligheid te waarborgen.
Zo voorzien artikelen 31 en 32 nu uitdrukkelijk in de verplichting melding te maken van een inbreuk
in verband met persoonsgegevens. Het toepassingsgebied van de regeling is met andere woorden niet
langer beperkt tot verwerkingen onder de e-Privacyrichtlijn.476
Daarnaast introduceert artikel 23 van
het Voorstel Algemene Verordening Gegevensbescherming de verplichting voor de verantwoordelijke
en de verwerker om privacy by design en by default in te voeren. Deze concepten worden nader
omschreven in overweging 61: “Het beginsel van gegevensbescherming by design vereist dat
gegevensbescherming wordt ingebouwd gedurende de gehele levenscyclus van de technologie, van het
allereerste ontwerpstadium tot aan de feitelijke uitrol, het gebruik en de uiteindelijke vernietiging
ervan. (…) Het beginsel van gegevensbescherming by default vereist dat privacyinstellingen op
diensten en producten standaard voldoen aan de algemene beginselen van gegevensbescherming,
zoals gegevensminimalisering en beperking van doeleinden.” De introductie van privacy by default
beoogt de lasten van betrokkenen te verkleinen en oneerlijke, onvoorziene of onredelijke
dataverwerkingen tegen te gaan.477
Tot slot voert artikel 33 een privacyeffectbeoordeling in voor
gevoelige verwerkingsactiviteiten. Deze privacy impact assessment is een beoordeling van het effect
475
Art. 30, lid 2 Voorstel Algemene Verordening Gegevensbescherming. 476
Supra 91, nr. 224. 477
V. REDING, “Your data, your rights: safeguarding your privacy in a connected world”, European Commission 2011, http://europa.eu/rapid/press-release_SPEECH-11-183_en.htm 2-3.
109
van de beoogde verwerkingen op de rechten en vrijheden van de betrokkenen, met name hun recht
op bescherming van persoonsgegevens. Door de invoeging van artikel 33 bis van het Voorstel werd nu
ook een nalevingscontrole geïntroduceerd. Verschillende Europese, Amerikaanse en internationale
instanties zijn alvast voorstander van dergelijke maatregelen.478
3.4.2.4.3 Transparantie van de gegevensverwerking
268. Het belang van transparantie omtrent de gegevensverwerking werd supra reeds aangetoond. Ook
in het Voorstel Algemene Verordening Gegevensbescherming worden hieromtrent verschillende
verplichtingen geïntroduceerd, waaronder een informatie- en documentatieverplichting.
Informatieverplichting
269. In artikelen 13bis en 14 wordt de mededelingsverplichting uitgewerkt die de verantwoordelijke
heeft ten opzichte van de betrokkene. Artikel 13bis voorziet in een gestandaardiseerd informatiebeleid.
De informatie die moet worden meegedeeld omvat onder andere (i) of de verzameling of de bewaring
van persoonsgegevens verder gaat dan het minimum noodzakelijk voor elk specifiek doeleinde, (ii) of
de persoonsgegevens worden verwerkt voor andere doeleinden dan deze waarvoor zij werden
verzameld, (iii) of de persoonsgegevens worden verspreid naar commerciële derde partijen of worden
verkocht of verhuurd, en (iv) of de persoonsgegevens worden bewaard in een gecodeerde vorm. Deze
informatie worden aangeboden op goed zichtbare, duidelijk leesbare, eenvoudig begrijpbare en erg
schematische wijze.479
Aan deze informatieverplichting dient te worden voldaan vooraleer de andere
informatie overeenkomstig artikel 14 wordt verstrekt. Het laatstgenoemde artikel is gebaseerd op de
respectievelijke artikelen in de Databeschermingsrichtlijn maar bevat daarnaast ook enkele
aanvullende bepalingen. Zo moet men onder andere geïnformeerd worden over de opslagtermijn van
de gegevens, het recht een klacht in te dienen, met betrekking tot internationale doorgiften, het bestaan
en de gevolgen van profilering en omtrent de logica onderliggend aan de geautomatiseerde
verwerking.480
De informatieverplichting wordt daarenboven licht aangevuld in functie van de persoon
waarbij de persoonsgegevens werden verzameld.481
Ook de mogelijke uitzonderingsbepalingen uit de
Databeschermingsrichtlijn werden overgenomen in lid 5. Op grond van artikel 11 van het Voorstel zal
de informatie op een transparante, eenvoudige, toegankelijke en begrijpelijke wijze worden verstrekt.
478
INTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 16; OESO, “30 Years After the OECD Privacy Guidelines”, 31-32; ENISA, “Privacy considerations of online behavioural tracking”, European Network and Information Security Agency 2012, https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/privacy-considerations-of-online-behavioural-tracking, 20-23; FEDERAL TRADE COMMISSION, “Protecting Consumer Privacy in an Era of Rapid Change”, FTC Report 2012, http://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf, 23-32. 479
Art. 13bis, lid 2 en 3 Voorstel Algemene Verordening Gegevensbescherming. 480
Cf. supra 69, nr. 162. 481
Art. 14, lid 2 en 3 Voorstel Algemene Verordening Gegevensbescherming.
110
270. De verruimde informatieverplichting introduceert de mededeling van onbetwistbaar interessante
informatie. De naleving ervan zal evenwel minstens even problematisch zijn als onder de
Databeschermingsrichtlijn (supra 73, nr. 173). Het enige waar eventueel aan tegemoetgekomen wordt,
is de complexiteit van de materie door de nadruk op het verstrekken van eenvoudige en begrijpbare
informatie. Al valt af te wachten hoe deze verplichting zich vertaalt in de praktijk.
Documentatieverplichting
271. De aanmeldingsverplichting onder de Databeschermingsrichtlijn wordt in de Verordening
vervangen door een documentatieverplichting ex artikel 28. Verantwoordelijken dienen met name “de
regelmatig bijgewerkte documenten die nodig zijn om te voldoen aan de in deze verordening
vastgestelde vereisten” bij te houden. Daarnaast dienen de verantwoordelijke en de verwerker ook de
naam en de contactgegevens van de betrokken entiteiten te documenteren.
272. Gezien het feit dat de documentatie regelmatig bijgewerkt dient te worden, zijn de voornaamste
problemen met betrekking tot de oorspronkelijke aanmeldingsverplichting opgelost. Zo zal het
documenteren zonder enige twijfel eenvoudiger, sneller en goedkoper kunnen verlopen dan het
telkenmale aanmelden van de verwerking bij de toezichthoudende autoriteit. Bovendien dient de
verantwoordelijke ook geen voorspellingen te doen over mogelijke doeleinden of ontvangende
personen. Deze wijziging zal met andere woorden een stap in de goede richting betekenen, op
voorwaarde dat voldoende controle wordt uitgeoefend op de naleving ervan.
3.4.2.4.4 Bevordering van de naleving
273. Het Voorstel Algemene Verordening Gegevensbescherming bevat een aantal bepalingen die de
naleving ervan trachten te bevorderen. Eerst en vooral voert artikel 34 van het Voorstel een
voorafgaand onderzoek in door de functionaris voor gegevensbescherming of, indien er geen is
aangewezen, de toezichthoudende autoriteit, van verwerkingen welke eventueel niet aan de
Verordening voldoen en met name specifieke risico’s inhouden voor de betrokkene. Dit zal het geval
zijn wanneer de privacyeffectbeoordeling dit aangeeft of de functionaris of de toezichthoudende
autoriteit hierop wijst. Dit onderzoek kan leiden tot een verbod om welbepaalde verwerkingen uit te
voeren.482
Verder voorziet artikel 35 van het Voorstel Algemene Verordening Gegevensbescherming
de mogelijkheid een functionaris voor gegevensbescherming aan te wijzen. De aanstelling is verplicht
in de publieke sector en voor welbepaalde ondernemingen in de particuliere sector. In alle andere
482
Art. 34, lid 3 Voorstel Algemene Verordening Gegevensbescherming.
111
situaties bestaat de mogelijkheid zo een functionaris aan te wijzen.483
De functionaris vervult zijn
taken en plichten onafhankelijk.484
Waar artikel 36 van het Voorstel de positie van de functionaris
meer in detail regelt, omschrijft artikel 37 zijn taken. Het takenpakket van de functionaris is zeer breed
en omvat het volledige databeschermingsspectrum: van bewustmaking van de verantwoordelijken en
de verwerkers, over toezicht op privacy by design en de naleving van de documentatieverplichting, tot
het optreden als contactpunt voor de toezichthoudende autoriteit. Tot slot wordt van de lidstaten, de
toezichthoudende autoriteiten en de commissie verwacht dat zij op grond van artikel 38 van het
Voorstel ondernemingen aanmoedigen gedragscodes op te stellen of te laten goedkeuren, teneinde bij
te dragen tot een goede toepassing van de Verordening. De gedragscodes kunnen ter controle worden
voorgelegd aan de toezichthoudende autoriteit en in voorkomend geval aan de Europese Commissie.485
3.4.2.5 Rechten van de betrokkene en hun handhaving
274. Tot slot kent de Europese Verordening aan betrokkenen enkele bijzondere rechten toe. Artikel
10bis van het Voorstel bevat de algemene beginselen betreffende die rechten en biedt een opsomming:
“Dergelijke rechten omvatten onder meer de verstrekking van duidelijke en gemakkelijk te
begrijpen informatie over de verwerking van hun persoonsgegevens, de rechten van toegang,
rectificatie en uitwissing van persoonsgegevens, het recht om gegevens te verkrijgen, het recht
om bezwaar te maken tegen profilering, het recht om bezwaar te maken bij de bevoegde
gegevensbeschermingsautoriteit en om gerechtelijke procedures aan te spannen om zijn of
haar rechten af te dwingen evenals het recht op schadevergoeding ten gevolge van een
onrechtmatige verwerking.”
275. Artikel 12 van de Verordening verplicht de verantwoordelijke te voorzien in procedures en
mechanismen ter uitoefening van de rechten van de betrokkene, met inbegrip van middelen om
verzoeken waar nodig elektronisch in te dienen, een termijn voor het beantwoorden van verzoeken en
de plicht om niet-optreden te motiveren. Lid 4 van het artikel benadrukt dat de uitoefening van de
rechten gratis moet zijn, tenzij de verzoeken duidelijk buitensporig zijn. In dat geval rust de bewijslast
op de verantwoordelijke.
276. Deze rechten trachten te verzekeren dat betrokkenen tot op bepaalde hoogte betrokken worden in
de verwerking van hun eigen persoonsgegevens. De handhaving wordt gewaarborgd door bijstand en
toezicht vanwege de bevoegde autoriteit en door het voorzien van judiciële procedures. De
483
Art. 35, lid 4 Voorstel Algemene Verordening Gegevensbescherming. 484
Art. 36, lid 2 Voorstel Algemene Verordening Gegevensbescherming. 485
Art. 38, lid 2 en 3 Voorstel Algemene Verordening Gegevensbescherming.
112
verschillende rechten en hun handhavingstechnieken worden hierna besproken, met uitzondering van
het recht op informatie, dat supra op pagina 109 et seq. werd behandeld.
3.4.2.5.1 Recht op toegang tot de gegevens
277. Artikel 15 van het Voorstel Algemene Verordening Gegevensbescherming voert het recht op
toegang tot de persoonsgegevens in. Deze bepaling is gebaseerd op artikel 12, a) van de
Databeschermingsrichtlijn, waaraan nieuwe elementen zijn toegevoegd. Zo moet de betrokkene door
de verantwoordelijke worden gewezen op de opslagtermijn, het recht van rectificatie, het recht van
uitwissing en het recht een klacht in te dienen. De informatie moet worden verstrekt in duidelijke en
eenvoudige taal.486
Daarnaast werd ook het oorspronkelijke artikel 18 van het Voorstel, geschrapt en
heringevoerd in artikel 15, lid 2bis. Deze bepaling verleent de betrokkene het recht op
gegevensoverdraagbaarheid of dataportabiliteit. Concreet komt het er op neer dat men het recht heeft
om gegevens van het ene elektronische verwerkingssysteem naar het andere over te dragen, zonder
daarbij belemmerd te worden door de persoon bij wie de gegevens zijn weggehaald. Teneinde de
toegang verder te verbeteren, voorziet het artikel dat deze gegevens ontvangen moeten worden in een
interoperabel en algemeen gebruikt elektronisch formaat. De International Working Group on Data
Protection in Telecommunications is een absolute voorstander van dit recht. Zij is van mening dat
dergelijk recht zal vermijden dat consumenten verstrikt raken in diensten met onaanvaardbare
algemene voorwaarden. Op termijn zou dit moeten leiden tot de ontwikkeling van meer
privacyvriendelijke diensten.487
3.4.2.5.2 Recht op rectificatie, uitwissing en afscherming
278. Artikel 16 van het Voorstel bevat het recht op rectificatie van persoonsgegevens die onjuist zijn.
Daarnaast heeft men op grond van deze bepaling ook het recht onvolledige informatie te laten
aanvullen, onder andere door het afleggen van een corrigerende verklaring. Artikel 17 voorziet in het
recht op uitwissing van gegevens. Dit welbekende ‘right to be forgotten’ is een nadere uitwerking en
invulling van het in artikel 12, b) Databeschermingsrichtlijn vervatte recht (infra). Ook zit in lid 4 van
datzelfde artikel 17 een soort recht op afscherming vervat, met name het recht om in bepaalde gevallen
de verwerking te laten beperken. Tot slot bepaalt artikel 13 van de Verordening dat “de voor de
verwerking verantwoordelijke stelt iedere ontvanger aan wie gegevens zijn doorgegeven op de hoogte
van elke overeenkomstig de artikelen 16 en 17 uitgevoerde rectificatie of elk wissen van gegevens,
tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.”
486
Voor een bespreking van het vernieuwde recht op toegang, zie infra 115, nr. 283. 487
NTERNATIONAL WORKING GROUP, “Working Paper on Big Data and Privacy”, 16.
113
279. Het recht op uitwissing heeft reeds op heel wat aandacht kunnen rekenen in de rechtsleer. Het
belang van het ‘right to be forgotten’ werd voor het eerst erkend in het arrest Google Spain en
Google488
van het Hof van Justitie. In dat arrest bevestigde het Hof dat een individu op grond van
artikel 12, b) Databeschermingsrichtlijn het recht heeft aan een zoekmachine te vragen links te
verwijderen die gegevens betreffende hem bevatten, indien deze onnauwkeurig, ontoereikend, niet ter
zake dienend of bovenmatig zijn.489
Dit recht is evenwel niet beperkt tot zoekmachines, en kan worden
uitgeoefend in alle omstandigheden waarin de voorwaarden zijn vervuld.490
Het Hof benadrukte
evenwel dat het recht op uitwissing geen absoluut recht is, maar altijd afgewogen moet worden tegen
andere fundamentele rechten, waaronder het recht op vrije meningsuiting.491
Bijgevolg moet dit
evenwicht geval per geval worden onderzocht, afhankelijk van de aard van de betrokken informatie en
de gevoeligheid ervan voor het privéleven van de betrokkene en van het belang dat het publiek erbij
heeft om over deze informatie te beschikken, wat met name wordt bepaald door de rol die deze
persoon in het openbare leven speelt.492
De nationale databeschermingsautoriteit zal hier controle op
kunnen uitoefenen.493
De WP 29 heeft recent meer richtlijnen verstrekt omtrent de uitoefening van het
recht op uitwissing in dergelijke contexten.494
280. Uit voorgaande alinea blijkt dat het recht op uitwissing reeds vervat zit in de
Databeschermingsrichtlijn. Het Voorstel Algemene Verordening Gegevensbescherming versterkt dit
principe en tracht de rechtszekerheid te verbeteren: “I want to explicitly clarify that people shall have
the right – and not only the "possibility" – to withdraw their consent to data processing. The burden of
proof should be on data controllers – those who process your personal data. They must prove that they
need to keep the data rather than individuals having to prove that collecting their data is not
488
HvJ C-131/12, Google Spain en Google, 2014. De zaak gaat terug op een klacht tegen een Spaans nieuwsblad en tegen Google Spain en Google Inc. bij de Spaanse databeschermingsautoriteit. De eiser in kwestie beklaagde zich over het feit dat de aankondiging van de openbare verkoop van zijn afgenomen woning terug te vinden was in de zoekresultaten van Google. Hij was van mening dat dit zijn privacy schond doordat de procedure reeds jaren geleden werd opgelost en de verwijzing naar hem dus volledig overbodig was. Zijn eis was tweedelig: enerzijds wou hij dat het nieuwsblad verplicht werd de pagina te verwijderen of te anonimiseren, anderzijds eiste hij dat Google Spain of Google Inc. verplicht zou worden zijn persoonsgegevens te verwijderen, zodat hij niet langer zou voorkomen in de zoekresultaten. De Spaanse rechtbank stelde een aantal prejudiciële vragen aan het Europese Hof van Justitie. Het Hof oordeelde dat de exploitant van een zoekmachine verplicht is de koppelingen naar door derden gepubliceerde wegpagina’s waarop informatie over deze persoon te vinden is, te verwijderen. Deze verplichting geldt ook indien deze naam of deze informatie niet vooraf of gelijktijdig van deze wegpagina’s is gewist en, in voorkomend geval, zelfs wanneer de publicatie ervan op deze webpagina’s op zich rechtmatig is. Hierdoor zijn de gegevens nog steeds toegankelijk maar niet langer alomtegenwoordig, wat volstaat ter bescherming van de rechten van burgers. Bijgevolg diende de inhoud van de onderliggende krant niet gewijzigd te worden. 489
HvJ C-131/12, Google Spain en Google, 2014, para 92. 490
ARTICLE 29 WORKING PARTY, “Guidelines on the Implementation of the Court of Justice of the European Union Judgment on “Google Spain and Inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González C-131/12 (WP 225)”, European Commission 2014, 8. 491
HvJ C-131/12, Google Spain en Google, 2014, para 85. 492
HvJ C-131/12, Google Spain en Google, 2014, para 81. 493
Infra 116, nr. 285. 494
Zie ARTICLE 29 WORKING PARTY, “Guidelines on the Implementation of the Court of Justice of the European Union Judgment on “Google Spain and Inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González C-131/12 (WP 225)”, European Commission 2014.
114
necessary.”495
Het recht om gegevens te laten wissen kan met name uitgeoefend worden jegens de
verantwoordelijke in vijf situaties: (1) het verwerken zou een inbreuk vormen op het
doelgebondenheidsprincipe, (2) de toestemming werd ingetrokken of de toegestane opslagtermijn
werd overschreden, (3) het recht op verzet werd uitgeoefend, (4) een rechtbank heeft tot uitwissing
besloten, en (5) de verwerking is illegaal. Wanneer de persoonsgegevens door de verantwoordelijke
openbaar zijn gemaakt zonder wettelijke rechtvaardiging, is deze verplicht alle nodige maatregelen te
nemen om de gegevens eveneens door derden te laten wissen.496
Bovendien impliceert de uitoefening
van dit recht niet alleen een uitwissing van de gegevens door de verantwoordelijke zelf, maar ook van
koppelingen naar en kopieën of reproducties van die gegevens bij derden.497
Er bestaan evenwel ook
een aantal uitzonderingen op het recht, teneinde misbruik te voorkomen. Zo zal de verantwoordelijke
de gegevens mogen bewaren indien dit noodzakelijk is ter bescherming van het recht op vrijheid van
meningsuiting, voor redenen van algemeen belang op het gebied van de volksgezondheid, voor
historische, wetenschappelijke of statistische doeleinden en ter voldoening van een wettelijke
verplichting.498
281. Het recht fungeert als een soort vangnet tegen onvoorziene privacyproblemen. Het mag dan ook
niet verbazen dat het vaak geprezen wordt omwille van talloze kwaliteiten. Hieronder valt onder
andere: het in staat stellen van individuen om het gebruik van gegevens permanent te evalueren, het
bieden van versterkte individuele controle over identiteit en reputatie, het houden van efficiënte
toezicht op het doelgebondenheidsprincipe en het verbeteren van de verantwoordelijkheid van de
verantwoordelijken. De introductie van het recht op uitwissing herstelt met andere woorden het
onevenwicht tussen ondernemingen en consumenten. Er wordt gehoopt dat dit een incentive zal bieden
voor verantwoordelijken om meer privacyvriendelijke privacy policies aan te nemen.499
282. Het kan evenwel niet anders dan dat er ook kritiek wordt geuit op het recht op uitwissing.
Sommige auteurs zijn van mening dat de introductie van het recht een chilling effect zal hebben op het
gebruik van het internet binnen de Europese Unie. Dergelijke zware verantwoordelijkheden zouden
preventieve censuur stimuleren en innovatie tegenwerken.500
Anderen benadrukken de technische
tekortkomingen van het recht: “In such an open system it is not generally possible for a person to
locate all personal data items (exact or derived) stored about them; it is difficult to determine whether
a person has the right to request removal of a particular data item; nor does any single person or
495
V. REDING, “Your data, your rights: safeguarding your privacy in a connected world”, European Commission 2011, http://europa.eu/rapid/press-release_SPEECH-11-183_en.htm 2. 496
Overweging 54 en art. 17, lid 2 Voorstel Algemene Verordening Gegevensbescherming. 497
Art. 17, lid 1 Voorstel Algemene Verordening Gegevensbescherming. 498
Art. 17, lid 3 Voorstel Algemene Verordening Gegevensbescherming. 499
H. GRAUX, J. AUSLOOS en P. VALCKE, “The Right to be Forgotten in the Internet Era”, ICRI Working Paper 2012, http://ssrn.com/abstract=2174896., 13. 500
H. GRAUX, J. AUSLOOS en P. VALCKE, “The Right to be Forgotten in the Internet Era”, ICRI Working Paper 2012, http://ssrn.com/abstract=2174896., 15-16; O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013, 252.
115
entity have the authority or jurisdiction to effect the deletion of all copies.”501
Nog andere auteurs
wijzen op de problematische toepassing van de huishouduitzondering. In dat geval kan men zich met
name niet op het recht op uitwissing beroepen jegens diegene die de uitzondering geniet.502
Tot slot
mag ook niet uit het oog verloren worden dat het recht op uitwissing in de meeste gevallen slechts ex
post zal worden uitgeoefend, met andere woorden nadat de schade werd berokkend.503
283. Los van het voorgaande, vormen het recht op toegang tot gegevens en het recht op rectificatie en
uitwissing in grote mate een vooruitgang ten opzichte van hun voorgangers onder de
Databeschermingsrichtlijn.504
Eerst en vooral wordt het dankzij artikel 24 eenvoudiger te bepalen tot
wie het verzoek gericht moet worden. Bovendien wordt er dankzij artikel 12, lid 2 Verordening
tegemoetgekomen aan de lange wachttijden. Ook zullen er naar aanleiding van lid 4 van diezelfde
bepaling geen excessieve bedragen meer kunnen worden gevraagd. De regeling in artikel 17, lid 1bis
voorziet in een oplossing voor de authenticatieprocedures. Verder verzekert de toevoeging in artikel
17 dat de uitwissing ook gebeurt voor koppelingen naar, kopieën of reproducties van de gegevens. Tot
slot tracht lid 1 van artikel 15 te verzekeren dat de informatie duidelijk en eenvoudig wordt
weergegeven. Een aantal mindere puntjes strooien evenwel roet in het eten. Zo valt het te betreuren dat
de bepaling met betrekking tot authenticatie van de betrokkene niet werd opgenomen in het algemene
artikel 12, aangezien dit ook een probleem is waarmee het recht op toegang heeft te kampen.
Bovendien wordt er in datzelfde artikel vage terminologie gebruikt, wat de deur openzet voor
misbruik. Daarnaast blijft de toepassing van het recht op toegang zware lasten met zich meebrengen
voor de ondernemingen. Voldoende controle op de naleving zal met andere woorden noodzakelijk
zijn, temeer om te vermijden dat de verantwoordelijke bepaalde informatie achterhoudt en/of zich
verbergt achter wettelijke uitzonderingen.
3.4.2.5.3 Recht van verzet
284. Artikel 19 van de Verordening Gegevensbescherming kent aan de betrokkene een recht van
bezwaar toe jegens de verantwoordelijke. Dit verzetsrecht is beperkt tot bepaalde situaties die niet
volledig overeenstemmen met deze onder de Databeschermingsrichtlijn. In het geval de verwerking
steunt op de bescherming van de vitale belangen van de betrokkene of de vervulling van een taak van
algemeen belang of openbaar gezag, kan een betrokkene zich principieel tegen de verwerking
501
ENISA, “The right to be forgotten – between expectations and practice”, European Network and Information Security Agency 2012, https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/the-right-to-be-forgotten, 8. 502
B-J. KOOPS, “Forgetting Footprints, Shunning Shadows. A Critical Analysis of the “Right To Be Forgotten” in Big Data Practice”, Tilburg Law School Legal Studies Research Paper Series 2011, http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1986719, (229) 238. 503
Ibid. 241-246. 504
Cf. supra 79, nr. 186.
116
verzetten. Dit recht moet evenwel plaats ruimen indien de verantwoordelijke legitieme gronden
aantoont die zwaarder wegen. In het geval de verwerking noodzakelijk werd geacht voor de
behartiging van de gerechtvaardigde belangen van anderen, wordt de betrokkene bijzonder beschermd
en kan die zich ten allen tijde, zonder enige motivering of met een specifiek doel, verzetten tegen de
verwerking. Tot slot heeft ook iedere natuurlijke persoon het recht bezwaar te maken tegen profilering
op grond van artikel 20 Verordening. Wanneer een bezwaar gegrond verklaard wordt, mogen de
persoonsgegevens niet langer voor de in het bezwaar omschreven doeleinden worden verwerkt.505
Een
uitdrukkelijk recht van verzet voor verwerkingen met oog op direct marketing, zoals het geval was
onder de Databeschermingsrichtlijn, wordt niet langer voorzien.
3.4.2.5.4 Onafhankelijk toezicht
285. Artikel 46 van de Verordening voorziet in de verplichte oprichting van een onafhankelijke
toezichthoudende autoriteit. Voor België is dat de reeds bestaande Privacycommissie. Deze
commissies worden door de introductie van het éénloketsysteem vanaf heden ook bevoegd voor
verwerkingen van de belangrijkste vestiging die in meer dan één lidstaat is gevestigd, teneinde een
uniforme toepassing te garanderen.506
Artikel 52 van het Voorstel regelt de taken van de
toezichthouder. Daaronder vallen: horen en onderzoeken van klachten, bevorderen van de bekendheid
van risico’s, regels, garanties en rechten bij het publiek, samenwerking met de Europese Commissie,
enzovoort. Teneinde goed toezicht uit te oefenen, beschikt de toezichthoudende autoriteit over
onderzoeksbevoegdheden, effectieve bevoegdheden om in te grijpen en een bevoegdheid om in rechte
op te treden.507
De Verordening bevat uitdrukkelijke regels betreffende verplichte wederzijdse
bijstand, waaronder gevolgen voor het niet-naleven van een verzoek van een andere toezichthouder508
.
Zij introduceert ook een consistentiemechanisme teneinde eenheid in toepassing te verzekeren
wanneer verwerkingsoperaties betrekking hebben op betrokkenen in verschillende lidstaten.509
Bij
artikel 64 wordt het Europees Comité voor Gegevensbescherming opgericht, ter vervanging van de
WP 29. Haar taken werden opgenomen in artikel 66 van het Voorstel.
3.4.2.5.5 Rechtsmiddelen en sancties
286. Teneinde de effectiviteit van de databeschermingswetgeving te verzekeren, is het van groot
belang in te zetten op voorzieningen, aansprakelijkheid en sancties. Het Voorstel Algemene
Verordening Gegevensbescherming heeft een zeer welkome uitbreiding en versterking van de
505
Art, 19, lid 4 Voorstel Algemene Verordening Gegevensbescherming. 506
Art. 54bis Voorstel Algemene Verordening Gegevensbescherming. 507
Art. 53 Voorstel Algemene Verordening Gegevensbescherming. 508
Art. 55 Voorstel Algemene Verordening Gegevensbescherming. 509
Art. 56 Voorstel Algemene Verordening Gegevensbescherming.
117
handhavingsmogelijkheden met zich meegebracht. Naast de verzoeken gericht aan de
verantwoordelijke naar aanleiding van het uitoefenen van een van de supra behandelde rechten,
beschikt men over de mogelijkheid om klacht in te dienen en om beroep in rechte in te stellen.
287. De betrokkene beschikt eerst en vooral over het recht om een klacht in te dienen bij de
toezichthoudende autoriteit, indien hij van mening is dat de verwerking van zijn persoonsgegevens
niet aan de Verordening voldoet. Daarnaast hebben ook alle organen, organisaties en verenigingen die
in het openbaar belang handelen, het recht om een klacht in te dienen namens een of meer
betrokkenen510
, of om, onafhankelijk van een klacht van een betrokkene, een klacht in te dienen in het
geval van een inbreuk op de Verordening.511
Ten tweede voorziet artikel 74 van het Voorstel in de
mogelijkheid om tegen een toezichthoudende autoriteit judicieel beroep in te stellen. Ook het recht om
een beroep in te stellen teneinde de toezichthouder te verplichten aan een klacht gevolg te geven,
wordt uitdrukkelijk geviseerd. Op grond van artikel 75 beschikt men ten derde ook over een recht van
beroep bij de rechter tegen een verantwoordelijke of verwerker. De gemeenschappelijke voorschriften
voor gerechtelijke procedures zijn opgenomen in artikel 76 van het Voorstel.
288. Naar aanleiding van een administratieve klachtenprocedure of een judicieel beroep, zijn
verschillende vormen van genoegdoening mogelijk. Artikel 77 behandelt het recht op vergoeding en
aansprakelijkheid indien er schade werd geleden als gevolg van een onrechtmatige verwerking of een
strijdige handeling. Dit recht werd uitgebreid tot schade veroorzaakt door verwerkers. In het geval
meer dan één verantwoordelijke of verwerker bij de verwerking betrokken is, zijn deze allen
hoofdelijk gehouden tot de schade, tenzij zij beschikken over een overeenkomst in de zin van artikel
24 Verordening (supra) of wanneer een van hen aantoont dat de schade hem niet toerekenbaar is.
Artikel 78 verplicht lidstaten om inbreuken op de Verordening te bestraffen en toe te zien op de
implementatie ervan. Tot slot acht artikel 79 elke toezichthoudende autoriteit bevoegd om
administratieve sancties op te leggen. Er wordt nu uitdrukkelijk bepaald dat de sanctie in elke zaak
doeltreffend, evenredig en afschrikwekkend moet zijn. Lid 2bis van datzelfde artikel bepaalt dat
eenieder die de verplichtingen onder de Verordening niet naleeft, ten minste gesanctioneerd dient te
worden met een schriftelijke waarschuwing in geval van een eerste en niet-opzettelijke niet-naleving,
met regelmatige, periodieke gegevensbeschermingsaudits of met een boete tot 100 000 000 euro of tot
5% van de jaarlijkse wereldwijde omzet in geval van een onderneming, afhankelijk van wat hoger is.
510
Cf. supra 69, nr. 162. Ook op dit vlak zal de Verordening Gegevensbescherming een grote vooruitgang betekenen. 511
Art. 73 Voorstel Algemene Verordening Gegevensbescherming.
118
3.4.3 Conclusie
289. De Europese Commissie stelde in 2012 de Algemene Verordening Gegevensbescherming voor.
Het hoopte hiermee een fundamentele hervorming teweeg te brengen van het Europese
databeschermingslandschap. Dit werd nodig geacht vanwege talloze technologische veranderingen,
waaronder de opkomst van big data, en door de inconsistente implementatie van de
Databeschermingsrichtlijn doorheen de Europese landen.
290. Het Voorstel introduceert een aanzienlijk aantal bijzonder interessante bepalingen, waaronder:
Een voorwaardelijke uitbreiding van het territoriale toepassingsgebied tot verantwoordelijken
die niet in de Europese Unie gevestigd zijn (artikel 23).
Een regeling met betrekking tot profilering, met inbegrip van: een verzetsrecht, het bijzonder
reguleren van profilering die leidt tot maatregelen waaraan voor de betrokkene rechtsgevolgen
zijn verbonden of tot het aanzienlijk treffen van de belangen, rechten of vrijheden van de
betrokkene en een verbod op profilering die resulteert in discriminatie of uitsluitend gebaseerd
is op bijzondere categorieën gevoelige gegevens (artikel 20).
Een regeling met betrekking tot gezamenlijk voor de verwerking verantwoordelijken ter
bescherming van de rechten van de betrokkene (artikel 24).
Een vermoeden dat wanneer een verwerker de instructies van de verantwoordelijke niet
opvolgt, of deze zelf vastlegt, als verantwoordelijk moet worden beschouwd (artikel 26, lid 4).
Een voorwaardelijke toestemming, waaronder: i) uitdrukkelijke toestemming, ii) bewijslast bij
de verantwoordelijke, iii) mogelijkheid tot intrekking, en iv) verlies van geldigheid in
welbepaalde situaties. Wanneer de toestemming inbreuk maakt op de Verordening, wordt
voorzien in een nietigheidssanctie (artikel 7).
Een verantwoordingsprincipe waardoor de verantwoordelijke de verantwoordelijkheid draagt
om een passend beleid in te stellen en om passende technische en organisatorische
maatregelen te nemen, en deze ook aan te tonen (Art. 5(1)(f) en 22).
Een regeling met betrekking tot privacy policies (artikel 11).
Een uitdrukkelijke verplichting melding te maken van data-inbreuken (artikelen 31 en 32).
Een verplichting voor de verantwoordelijke en de verwerker om privacy by design en by
default in te voeren (artikel 23).
Een verplichting om voorafgaand aan gevoelige verwerkingsactiviteiten een privacy impact
assessment uit te voeren (artikel 33).
Een uitbreiding van de informatieverplichting met een gestandaardiseerd informatiebeleid,
waaraan op goed zichtbare, duidelijk leesbare, eenvoudig begrijpbare en uiterst schematische
wijze moet worden voldaan (artikel 13bis).
119
Een uitbreiding van de informatieverplichting met informatie over de opslagtermijn van de
gegevens, het bestaan en de gevolgen van profilering en omtrent de logica onderliggend aan
de geautomatiseerde verwerking (artikel 14).
Een verplichting voor de publieke sector en welbepaalde ondernemingen in de particuliere
sector om een functionaris voor gegevensbescherming aan te wijzen. In alle andere gevallen
bestaat de mogelijkheid (artikel 35 t.e.m. 37).
Een verplichting voor de verantwoordelijke om te voorzien in procedures en mechanismen ter
uitoefening van de rechten van de betrokkene, met inbegrip van: elektronische verzoeken, een
beantwoordingstermijn een motiveringsplicht ingeval van niet-optreden en een regeling van de
kosten (artikel 12).
Een uitbreiding van het recht op toegang tot nieuwe informatie die moet worden verstrekt in
duidelijke en eenvoudige taal (artikel 15).
Een recht om gegevens van het ene elektronische verwerkingssysteem naar het andere over te
dragen, zonder daarbij belemmerd te worden door de persoon bij wie de gegevens zijn
weggehaald (artikel 15, 2bis).
Een uitbreiding van het recht op uitwissing tot: i) vijf situaties, ii) derden indien de gegevens
openbaar zijn gemaakt zonder wettelijke rechtvaardiging, en iii) koppelingen naar en kopieën
of reproducties van die gegevens bij derden (artikel 17). Het recht wordt zowel geprezen als
bekritiseerd (supra 114, nr. 281 en 282).
Een uitbreiding van het takenpakket van de toezichthouder en allerlei maatregelen die de
uniformiteit onder de bevoegde instanties verzekeren (artikel 46 et seq.).
Een uitbreiding en versterking van de handhavingsmogelijkheden. Collectieve procedures
worden mogelijk gemaakt (artikel 73 t.e.m. 75).
Een uitdrukkelijke invoeging van het recht op schadevergoeding en een regeling van de
aansprakelijkheid (artikel 77).
Een uitdrukkelijke bepaling dat de toezichthoudende autoriteit administratieve sancties kan
opleggen en hoge sancties voor het niet-naleven van de Verordening (artikel 79).
291. Uit voorgaande opsomming wordt duidelijk dat het Voorstel Algemene Verordening
Gegevensbescherming talloze interessante en waardevolle nieuwigheden introduceert. Ondanks de
goede bedoelingen van de Europese Wetgever, bouwen deze artikelen verder op dezelfde fundamenten
als de Databeschermingsrichtlijn. Het mag dan ook niet verbazen dat onder de Verordening talloze
problemen opduiken met betrekking tot het begrip ‘persoonsgegevens’, toestemming als voornaamste
verwerkingsgrond en het principe van doelbinding, dataminimisatie en beperkte bewaring. Ook het
Voorstel is met andere woorden niet aangepast aan de noden van het leven in the age of big data.
120
121
CONCLUSIE
292. De centrale vraag doorheen dit werk heeft betrekking op de verhouding tussen big data en
privacy. Er werd met name nagegaan wat er precies onder de noemer big data wordt verstaan, welke
wettelijke bescherming ertegen wordt geboden in de Europese Unie en of deze wetgeving is aangepast
aan de noden van de digitale samenleving. Hierna volgen de belangrijkste bevindingen.
293. Big data is niet eenvoudig te definiëren doordat het niet tastbaar is en louter een verzamelnaam
vormt voor allerlei kenmerken en technieken. Big data heeft met name betrekking op grote
hoeveelheden diverse gegevens, die aan een enorme snelheid circuleren en verwerkt worden. Deze
gegevens zijn in omloop binnen ondernemingen en tussen ondernemingen onderling. Ze worden
geanalyseerd, er worden conclusies uit getrokken en op basis daarvan worden voorspellingen gedaan.
294. Dat soort afgeleide informatie kan in talloze sectoren een grote meerwaarde betekenen. Zo wordt
zij onder andere als marketingtool gehanteerd voor het toezenden van gepersonaliseerde reclame.
Dergelijke diensten zijn op maat gemaakt en zijn dan ook bijzonder doeltreffend. Het feit dat deze
verwerkingen betrekking hebben op persoonsgegevens, leidt er evenwel toe dat zij regelmatig als een
inmenging in het fundamentele recht op databescherming worden ervaren. Dit recht wordt expliciet
erkend in de Europese Unie en vindt uiting in talloze wetgevende akten.
295. Het zwaartepunt van de databeschermingswetgeving ligt vandaag de dag nog steeds in de
Databeschermingsrichtlijn. Deze richtlijn is van toepassingen op verwerkingen van gegevens met
betrekking tot een geïdentificeerde of identificeerbare persoon. Opdat deze persoonsgegevens kunnen
worden verwerkt, dienen zij te voldoen aan enkele belangrijke principes, waaronder doelbinding,
dataminimisatie en beperkte bewaring. Bovendien is hun verwerking slechts toelaatbaar indien men
over een rechtmatigheidsgrond beschikt. De meest gehanteerde is de ‘geïnformeerde toestemming’
vanwege het betrokken individu. Als daaraan is voldaan, mogen dergelijke gegevens verwerkt worden
volgens bepaalde regels, waaronder transparantie en veiligheid van de gegevensverwerking. Tot slot
beschikt de betrokkene in dat geval over een recht op toegang tot de gegevens en een recht van verzet.
296. De e-Privacyrichtlijn is een specifieke richtlijn die gegevensverwerkingen in verband met
openbare communicatiediensten regelt. Haar belang bevindt zich voornamelijk in de regeling van
cookies. Voor het plaatsen en/of lezen van cookies dient vooraf informatie te worden verstrekt en moet
op basis daarvan geïnformeerde toestemming worden gegeven. Aan deze verplichtingen zal slechts
voldaan zijn indien aan de websitegebruiker een opt-in mogelijkheid wordt geboden. Verder voorziet
de Richtlijn in de verplichte mededeling van inbreuken en bevat zij een regeling inzake spam.
122
297. Het Voorstel Algemene Verordening Gegevensbescherming voegt een aantal interessante zaken
toe aan de databeschermingswetgeving. Eerst en vooral voert het een verantwoordingsprincipe in,
waardoor verantwoordelijken nu effectief de verantwoordelijkheid dragen voor het regelmatig
uitvoeren van de gegevensverwerkingen. Ook worden verantwoordelijken nu verplicht gesteld privacy
doorheen het hele proces te verzekeren en als standaard in hun verwerkingen in te bouwen (privacy by
design en default). Verder worden ook grenzen gesteld aan de toestemming, die vanaf de
inwerkingtreding voorwaardelijk zal zijn. Bovendien hebben het recht op toegang tot en rectificatie en
uitwissing van gegevens grote verbeteringen ondergaan en zijn de transparantieverplichtingen
uitgebreid met interessante info. Tot slot wordt ook de judiciële handhaving versterkt door organen,
organisaties en verenigingen het recht te geven een klacht in te dienen, zelfs los van een betrokkene.
298. Ondanks de verbeteringen die de Verordening met zich mee heeft gebracht, bouwt zij in essentie
verder op dezelfde begrippen en principes als de Databeschermingsrichtlijn. En daar ligt nu net het
probleem. Talloze problemen steken de kop op wanneer het hierboven geschetste beschermingsstelsel
wordt getoetst aan de karakteristieken van het leven in the age of big data. De voornaamste problemen
zijn:
De definitie van het begrip ‘persoonsgegevens’ is onaangepast omdat zij geen rekening houdt
met het hoge risico op de-anonimisatie en re-identificatie dat vandaag de dag bestaat door de
onderlinge verbondenheid van alle gegevens en databanken.
Toestemming is niet langer gewenst als voornaamste grond voor het verwerken van gegevens
doordat zij onrealistische lasten met zich meebrengt, individuen voor ultimatums zet en geen
rekening houdt met het algemeen belang.
De principes van doelbinding, dataminimisatie en beperkte bewaring zijn onhoudbaar in een
tijdperk waarin het liefst zo veel mogelijk gegevens worden bijgehouden voor onvoorspelbare
toepassingen op een niet te voorzien punt in de tijd.
Belangrijke elementen zoals transparantie omtrent de gegevensverwerking, nauwkeurigheid
van de data en het recht op toegang staan onder druk door praktische problemen zoals de
zware lasten die de naleving met zich meebrengt voor ondernemingen, de complexiteit van de
materie en moeilijke authenticatieprocedures.
299. Na voorgaande kritische studie mag het niet verbazen dat het uiteindelijke antwoord luidt dat de
huidige databeschermingswetgeving niet langer voldoet ter bescherming tegen praktijken zoals big
data. Een fundamentele hervorming van het regime is onontbeerlijk wil men het innovatieve potentieel
van big data tot bloei laten komen zonder het recht op databescherming en privacy te verloochenen.
123
300. Een ultieme oplossing voor het probleem bestaat niet. Bovendien dient ook het nieuwe regime
voldoende flexibiliteit aan de dag te leggen, wil men vermijden dat ook dat stelsel binnen enkele jaren
aan hervorming toe is. Hierna volgen enkele aanbevelingen, geformuleerd naar aanleiding van eerder
vermelde ideeën en meningen van professionelen512
in de materie:
M.b.t. persoonsgegevens: Voeg een juridische toets toe aan het identificeerbaarheidscriterium.
Dit impliceert dat anonimisatie niet noodzakelijkerwijs technisch onmogelijk moet zijn, ook
de juridische onmogelijkheid moet hiervoor in aanmerking komen. Dit impliceert dat ook
derden met wie de gegevens gedeeld worden, contractueel verboden zouden moeten worden
om tot re-identificatie over te gaan. De contractuele verbintenis dient aan voorwaarden te
worden onderworpen en er moet controle zijn op de overeenkomsten, bijvoorbeeld door
voorlegging aan de nationale privacycommissie.
M.b.t. toestemming: Toestemming kan niet langer de voornaamste grond zijn voor het
verwerken van persoonsgegevens. Introduceer het ‘gerechtvaardigd belang’ als de centrale
basis. Voor elke fase van de verwerking, met inbegrip van verzamelen en delen, zou door de
verantwoordelijke een proportionaliteitstoets moeten worden uitgevoerd, waarbij de voordelen
voor het individu, de onderneming en de samenleving worden afgewogen tegen de risico’s
eraan verbonden voor de betrokkene. Rekening moet worden gehouden met geboden
waarborgen, waaronder privacy by design, pseudonimisatie, het spontane naleven van
dataminimisatie of eventuele gesloten overeenkomsten. Dergelijke maatregelen worden
hiermee dus gestimuleerd. In functie van de uitkomst van de balans, kan toestemming drie
rollen toegewezen krijgen: i) geen rol (blijft beperkt tot uitzonderlijke toepassingen zoals het
voorspellen van epidemieën), ii) een beperkte rol in de zin van een opt-out (wanneer de balans
overhelt naar de voordelen zonder uiterst overtuigend te zijn), iii) een belangrijke rol in de zin
van een opt-in (wanneer de bescherming van de betrokkene doorslaggevend is). Het
verwerken van persoonsgegevens voor marketingdoeleinden, zoals tracking van de klant aan
de hand van erg persoonlijke gegevens, zou in laatste categorie moeten worden onderverdeeld.
Voor cookies zou deze oefening zich moeten uiten in standaardinstellingen. Het verminderde
belang van de toestemming in dergelijk systeem zou diens uitholling moeten tegengaan, maar
teneinde op veilig te spelen, dienen bijkomende voorwaarden gesteld te worden. Voorbeelden
kunnen zijn: beperking in de tijd van de toestemming, uitdrukkelijke toestemming, nietigheid
van de toestemming gegeven naar aanleiding van een onduidelijke privacy policy. Bovendien
is controle op de uitoefening van de balansoefening onontbeerlijk. Strenge sancties moeten
voor handen zijn.
512
De visies van deze auteurs werden in het bijzonder gevolgd: O. TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013 en L. MOEREL, “Big Data Protection”, Tilburg University 2014.
124
M.b.t. doelbinding, dataminimisatie en beperkte bewaring: Schaf deze af wegens hun
complete onaangepastheid en beperkte functionaliteit. Het volstaat dat de gegevens eerlijk en
rechtmatig moeten worden verwerkt o.b.v. art. 5, lid 1(a) Verordening.
M.b.t. transparantie, recht op toegang en nauwkeurigheid: Deze elementen zijn van niet te
onderschatten belang en moeten dan ook sterk benadrukt worden teneinde de huidige
informatieasymmetrie een halt toe te roepen. Het lijkt verstandig de verplichtingen te
verruimen naarmate uit de evenwichtsoefening blijkt dat de risico’s voor het individu
toenemen. Bovendien moet opnieuw worden benadrukt dat de informatie in een duidelijke en
begrijpbare taal moet worden gegeven. Hier moet toezicht op worden gehouden en sancties
moeten beschikbaar zijn. Een betere naleving leidt tot een meer bewuste betrokkene en maakt
dus ruimte voor meer handhaving (indien dat nog nodig zou zijn).
301. Aangezien het recht evenwel traag reageert op veranderingen, zullen ook andere mechanismen
nodig zijn: “Privacy cannot be ensured solely by regulatory oversight by government agencies;
instead, effective protection of privacy also requires companies to respect the privacy of individuals by
making privacy protection an ordinary but inegral part of the way they do business.”513
Bijgevolg zijn
technische maatregelen zoals privacy by design en by default zeer welkome toevoegingen.
302. Tot slot is het ook van belang in te zetten op publiek bewustzijn en meer opleiding over privacy
en de waardevolle toepassingen van persoonsgegevens. Dit kan een meerwaarde betekenen voor zowel
individuen, beleidsmakers, wetgevers, ondernemingen als media.514
513
N. M. RICHARDS en J. H. KING, “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, (393) 430-431. 514
Zie bv. MICROSOFT GLOBAL PRIVACY SUMMIT, ”Notice and Consent in a World of Big Data”, 8; ENISA, “Privacy considerations of online behavioural tracking”, European Network and Information Security Agency 2012, https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/privacy-considerations-of-online-behavioural-tracking, 18; OESO, “30 Years After the OECD Privacy Guidelines”, 35-36.
125
BIBLIOGRAFIE
WETGEVING
Verdrag voor de bescherming van individuen met betrekking tot de automatische verwerking van
persoonlijke gegevens van 28 januari 1981, CETS, nr. 108.
Verordening nr. E120003 van de Europese Commissie van 25 januari 2012 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en
betreffende het vrije verkeer van die gegevens,
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-
0212+0+DOC+XML+V0//EN&language=EN, geamendeerd door het Europees Parlement op 12 maart
2014 (verkort Voorstel Algemene Verordening Gegevensbescherming).
Richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en
betreffende het vrije verkeer van die gegevens, Pb.L. 23 november 1995, afl. 281, 31 (verkort
Databeschermingsrichtlijn).
Richtlijn nr. 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de
verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector
elektronische communicatie, Pb.L. 31 juli 2002, afl. 201, 37, geamendeerd door Richtlijn
2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (verkort e-
Privacyrichtlijn).
Wet 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking
van persoonsgegevens, BS 18 maart 1993, geamendeerd door de Wet van 11 december 1998 (verkort
Databeschermingswet).
RECHTSPRAAK
HvJ C-101/01, Lindqvist, 2003.
HvJ C-92/09 en C-93/09, Volker en Markus Schecke GbR en Hartmut Eifert v. Land Hessen, 2010.
HvJ C-70/10, Scarlet Extended, 2011.
HvJ C-131/12, Google Spain en Google, 2014.
RECHTSLEER
ARTICLE 29 WORKING PARTY EN WORKING PARTY ON POLICE AND JUSITICE, “The Future of Privacy
(WP 168)”, European Commission 2009, 28 p.
ARTICLE 29 WORKING PARTY, “Guidelines on the Implementation of the Court of Justice of the
European Union Judgment on “Google Spain and Inc v. Agencia Española de Protección de Datos
(AEPD) and Mario Costeja González C-131/12 (WP 225)”, European Commission 2014, 8 p.
ARTICLE 29 WORKING PARTY, “Opinion 1/2008 on data protection issues related to search engines
(WP 148)”, European Commission 2008, 28 p.
126
ARTICLE 29 WORKING PARTY, “Opinion 1/2010 on the concepts of “controller” and “processor” (WP
169)”, European Commission 2010, 33 p.
ARTICLE 29 WORKING PARTY, “Opinion 1/2012 on the data protection reform proposals (WP 191)”,
European Commission 2012, 32 p.
ARTICLE 29 WORKING PARTY, “Opinion 15/2011 on the definition of consent (WP 187)”, European
Commission 2011, 38 p.
ARTICLE 29 WORKING PARTY, “Opinion 2/2010 on online behavioural advertising (WP 171)”,
European Commission 2010, 24 p. (verkort WP 29, “Opinion on online behavioural advertising”).
ARTICLE 29 WORKING PARTY, “Opinion 2/2013 providing guidance on obtaining consent for cookies
(WP 208)”, European Commission 2013, 6 p.
ARTICLE 29 WORKING PARTY, “Opinion 3/2010 on the principle of accountability (WP173),
European Commission 2010, 19 p.
ARTICLE 29 WORKING PARTY, “Opinion 3/2013 on purpose limitation (WP 203)”, European
Commission 2013, 45, 70 p. (verkort WP 29, “Opinion on purpose limitation”).
ARTICLE 29 WORKING PARTY, “Opinion 4/2007 on the concept of personal data (WP 136)”, European
Commission 2007, 26 p. (verkort WP 29, “Opinion on the concept of personal data”).
ARTICLE 29 WORKING PARTY, “Opinion 4/2012 on Cookie Consent Exemption (WP 194)”, European
Commission 2012, 12 p.
ARTICLE 29 WORKING PARTY, “Opinion 5/2009 on Online Social Networking (WP 163)”, European
Commission 2009, 13 p.
ARTICLE 29 WORKING PARTY, “Opinion 5/2014 on Anonymisation Techniques (WP 216)”, European
Commission 2014, 37 p.
ARTICLE 29 WORKING PARTY, “Opinion 6/2014 on the notion of legitimate interests of the data
controller under Article 7 of Directive 95/46/EC (WP 217)”, European Commission 2014, 68 p.
ARTICLE 29 WORKING PARTY, “Opinion 8/2012 providing further input on the data protection reform
discussions (WP 199)”, European Commission 2012, 45 p.
ARTICLE 29 WORKING PARTY, “Opinion 10/2004 on More Harmonised Information Provisions (WP
100)”, European Commission 2004, 9 p.
ARTICLE 29 WORKING PARTY, “Statement on Statement of the WP29 on the impact of the
development of big data on the protection of individuals with regard to the processing of their personal
data in the EU (WP 221)”, European Commission 2014, 3 p.
ARTICLE 29 WORKING PARTY, “Statement on the role of a risk-based approach in data protection legal
frameworks (WP 218)”, European Commission 2014, 4 p.
ARTICLE 29 WORKING PARTY, “Working Document 1/2011 on the current EU personal data breach
framework and recommendations for future policy developments (WP 184)”, European Commission
2011, 12 p.
ARTICLE 29 WORKING PARTY, “Working document on a common interpretation of Article 26(1) of
Directive 95/46/EG of 24 October 1995 (WP 114)”, European Commission 2005
127
ARTICLE 29 WORKING PARTY, “Working document on Privacy on the Internet – An Integrated EU
Approach to Online Data Protection (WP 37)”, European Commission 2000, 99 p.
BAKOWSKI, P., “Big data: opportunities and privacy concerns”, European Parliamentary Research
Service 2014,
http://www.europarl.europa.eu/RegData/bibliotheque/briefing/2014/140771/LDM_BRI(2014)140771_
REV1_EN.pdf, 2 p.
BELGISCHE PRIVACYCOMMISSIE, “Bescherming van persoonsgegevens in België”, Privacycommissie,
s.d., http://www.privacycommission.be/sites/privacycommission/files/documents/bescherming-van-
persoonsgegevens-in-belgie.pdf, 26 p.
CALLCENTER WOORDENBOEK, http://www.callcenterwoordenboek.nl/woordenboek/direct-marketing
CATE, F. H., CULLEN, P. en MAYER-SCHÖNBERGER, V., “Data Protection Principles for the 21st
Century”, Oxford Internet Institute 2014,
http://www.oii.ox.ac.uk/publications/Data_Protection_Principles_for_the_21st_Century.pdf, 24 p.
(verkort CATE, CULLEN en MAYER-SCHÖNBERGER, “Data Protection Principles for the 21st Century”).
CATE, F. H., en MAYER-SCHÖNBERGER, V., “Notice and Consent in a World of Big Data”, Microsoft
Global Privacy Summit Summary Report and Outcomes 2012,
http://idpl.oxfordjournals.org/content/3/2/67.abstract, 23 p. (verkort MICROSOFT GLOBAL PRIVACY
SUMMIT, ”Notice and Consent in a World of Big Data”).
CONSTINE, J., “How Big Is Facebook’s Data? 2.5 Billion Pieces Of Content And 500+ Terabytes
Ingested Every Day”, TechCrunch 2012, http://techcrunch.com/2012/08/22/how-big-is-facebooks-
data-2-5-billion-pieces-of-content-and-500-terabytes-ingested-every-day/.
DAVENPORT, T. H. en J. DYCHÉ, J. “Big Data in Big Companies”, International Institute for Analytics
2013, http://www.sas.com/reg/gen/corp/2266746, 31 p.
DE MONTJOYE, Y-A., HIDALGO, C. A., VERLEYEN, M. en BLONDEL, V. D., “Unique in the Crowd: The
privacy bounds on human mobility”, Scientific Reports 2013, 5 p.
ENISA, “Bittersweet cookies. Some security and privacy considerations”, European Network and
Information Security Agency 2011, http://www.enisa.europa.eu/activities/identity-and-trust/privacy-
and-trust/library/pp/cookies, 16 p.
ENISA, “Privacy considerations of online behavioural tracking”, European Network and Information
Security Agency 2012, https://www.enisa.europa.eu/activities/identity-and-
trust/library/deliverables/privacy-considerations-of-online-behavioural-tracking, 27 p.
ENISA, “The right to be forgotten – between expectations and practice”, European Network and
Information Security Agency 2012, https://www.enisa.europa.eu/activities/identity-and-
trust/library/deliverables/the-right-to-be-forgotten, 16 p.
EUROPEAN DATA PROTECTION SUPERVISOR, “Privacy and competitiveness in the age of big data: The
interplay between data protection, competition law and consumer protection in the Digital Economy”,
European Union 2014,
https://secure.edps.europa.eu/EDPSWEB/webdav/shared/Documents/Consultation/Opinions/2014/14-
03-26_competitition_law_big_data_EN.pdf, 38 p.
EUROPEAN PARLIAMENT, “Data Protection Day: the challenge of keeping your personal information
safe”, European Parliament 2014, http://www.europarl.europa.eu/news/en/news-
room/infographics?ref=20140127IFG33903.
128
EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS, “Opinion of the European Union Agency for
Fundamental Rights on the Proposed Data Protection Reform Package”, Publications Office of the
European Union 2012, http://fra.europa.eu/sites/default/files/fra-opinion-data-protection-oct-2012.pdf,
34 p.
EUROPEAN UNION AGENCY FOR FUNDAMENTAL RIGHTS en COUNCIL OF EUROPE, Handbook on
European data protection law, Luxemburg, Publications Office of the European Union, 2014, 14-21
(verkort EUROPEAN UNION AGENCY, Handbook on data protection law), 201 p.
EUROPESE COMMISSIE, “Naar een bloeiende data-economie”, European Commission 2014,
http://ec.europa.eu/transparency/regdoc/rep/1/2014/NL/1-2014-442-NL-F1-1.Pdf, 14 p.
EXECUTIVE OFFICE OF THE PRESIDENT, “Big Data: Seizing opportunities, preserving values”, The
White House 2014,
http://www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_5.1.14_final_print.pdf,
79 p.
FEDERAL TRADE COMMISSION, “Protecting Consumer Privacy in an Era of Rapid Change”, FTC
Report 2012, http://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-
report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf, 74
p.
FERRETTI, F., “Data Protection and the Legitimate Interest of Data Controllers: Much Ado about
Nothing or the Winter of Rights?”, Common Market Law Review 2014, vol. 51, 843-868.
FTC, “FTC Charges Deceptive Privacy Practices in Googles Rollout of Its Buzz Social Network”,
FTC 2011, http://www.ftc.gov/news-events/press-releases/2011/03/ftc-charges-deceptive-privacy-
practices-googles-rollout-its-buzz.
GARSIDE, W. en COX, B. Big Data Storage For Dummies, Chichester, John Wiley & Sons Ltd, 2013,
50 p.
GARTNER, “IT Glossary”, Gartner 2014, http://www.gartner.com/it-glossary/.
GRAUX, H., AUSLOOS, J. en VALCKE, P., “The Right to be Forgotten in the Internet Era”, ICRI
Working Paper 2012, http://ssrn.com/abstract=2174896.
HAYS, C. L., “What Wal-Mart Knows About Customers’ Habits”, The New York Times 2004,
http://www.nytimes.com/2004/11/14/business/yourmoney/14wal.html?_r%20=0&_r=0.
HILDEBRANDT, M., “Slaves to Big Data. Or Are We?”, IDP Revista de Internet, Derecho y Politica
16 2013, http://works.bepress.com/mireille_hildebrandt/52/, 21 p.
HILL, K., “How Target Figured Out A Teen Girl Was Pregnant Before Her Father Did”, Forbes 2012,
http://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-
before-her-father-did/.
IBM, “Top Three Myths about Big Data Security”, IBM Corporation 2012,
http://resources.idgenterprise.com/original/AST-
0112387_Top_3_Myths_about_Big_Data_Security.PDF, 16 p.
129
ICC COMMISSION ON E-BUSINESS, IT AND TELECOMS, “ICC Respons to the European Commission
Consultation on the Legal Framework for the Fundamental Right to Protection of Personal Data”, ICC
2009,
http://ec.europa.eu/justice/news/consulting_public/0003/contributions/organisations_not_registered/int
ernational_chamber_of_commerce_icc_en.pdf, 10 p.
IMG BIG DATA HUB, “The Four V’s of Big Data”, IMG 2013,
http://www.ibmbigdatahub.com/infographic/four-vs-big-data.
INTERNATIONAL WORKING GROUP ON DATA PROTECTION IN TELECOMMUNICATIONS, “Working
Paper on Big Data and Privacy – Privacy principles under pressure in the age of Big Data analytics”,
Berlin Privacy Group 2014, http://www.datenschutz-
berlin.de/attachments/1052/WP_Big_Data_final_clean_675.48.12.pdf, 18 p. (verkort INTERNATIONAL
WORKING GROUP, “Working Paper on Big Data and Privacy”).
INTERNATIONAL WORKING GROUP ON DATA PROTECTION AND TELECOMMUNICATIONS, “Working
Paper on Web Tracking and Privacy: Respect for context, transparency and control remains essential”,
Berlin Privacy Group 2013, http://www.datenschutz-berlin.de/content/europa-
international/international-working-group-on-data-protection-in-telecommunications-iwgdpt/working-
papers-and-common-positions-adopted-by-the-working-group, 8 p.
IT ENCYCLOPEDIA, http://whatis.techtarget.com/definition/data-broker-information-broker.
JAMES, L., “Addressing Big Data analytics with SQL Server 2012: Q&A with chief Yellowfin
architect Peter Damen”, Yellowfin 2012, http://www.yellowfinbi.com/YFCommunityNews-
Addressing-Big-Data-analytics-with-SQL-Server-2012-Q-A-with-chief-Yellowfin-arch-120139.
KOKOTT, J., en SOBOTTA, C., “The distinction between privacy and data protection in the
jurisprudence of the CJEU and the ECtHR”, International Data Privacy Law 2013, vol. 3(4), 222-228.
KOOPS, B-J., “Forgetting Footprints, Shunning Shadows. A Critical Analysis of the “Right To Be
Forgotten” in Big Data Practice”, Tilburg Law School Legal Studies Research Paper Series 2011,
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1986719, 229-256.
KOOPS, B. J., “Privacy, informatieveiligheid en een onzichtbare medaille”, Taskforce Bestuur &
Informatieveiligheid Dienstverlening 2014,
https://pure.uvt.nl/portal/files/4387703/Koops_2014_privacy_en_informatieveiligheid_BID.pdf, 8 p.
KROES, N., “The data gold rush”, European Commission 2014, http://europa.eu/rapid/press-
release_SPEECH-14-229_en.htm.
KUNEVA, M., “Keynote Speech - Roundtable on Online Data Collection, Targeting and Profiling”,
European Commission 2009, http://europa.eu/rapid/press-release_SPEECH-09-156_en.htm, 6 p.
MANYIKA, J., CHUI, M., BROWN, B., BUGHIN, J., DOBBS, R., ROXBURGH, C. en BYERS, A. H., “Big
data: The next frontier for innovation, competition and productivity”, McKinsey Global Institute 2011,
http://www.mckinsey.com/insights/business_technology/big_data_the_next_frontier_for_innovation,
20 p.
MAYER – SCHÖNBERGER, V. en CUKIER, K., Big Data. A Revolution That Will Transform How We
Live, Work and Think, Canada, John Murray Publishers, 2013, 256 p.
MCDONALD, A. M. en CRANOR, L. F., “The Cost of Reading Privacy Policies”, Journal of Law and
Policy for the Information Society 2008,
http://moritzlaw.osu.edu/students/groups/is/files/2012/02/Cranor_Formatted_Final.pdf, 540-565.
130
MICHIELS, F., “Big brother, kassa 7”, De Morgen: Reporter, 9 november 2013.
MILLIGAN, R. B. en SALINAS, D. J., “The Big Data Revolution: Should The Internet Learn To
Forget?”, Trading Secrets 2013, http://www.tradesecretslaw.com/files/2013/05/The-Big-Data-
Revolution.pdf, 22 p.
MOEREL, L., “Big Data Protection – How to Make the Draft EU Regulation on Data Protection Future
Proof”, Tilburg University 2014, http://www.debrauw.com/wp-content/uploads/NEWS%20-
%20PUBLICATIONS/Moerel_oratie.pdf, 63 p. (verkort L. MOEREL, “Big Data Protection”, Tilburg
University 2014).
OESO, “Privacy Expert Group Report on the Review of the 1980 OECD Privacy Guidelines”, OECD
Digital Economy Papers 2013, http://dx.doi.org/10.1787/5k3xz5zmj2mx-en, 12 p.
OESO, “The Evolving Privacy Landscape: 30 Years After the OECD Privacy Guidelines”, OESO
Digital Economy Papers 2011, http://dx.doi.org/10.1787/5kgf09z90c31-en, 49 p. (verkort OESO, “30
Years After the OECD Privacy Guidelines”).
OESO, “The OECD Privacy Framework”, OECD 2013,
http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf, 154 p.
OFFICE OF THE MINISTER FOR JUSTICE AND EQUALITY, “Discussion paper on data protection”,
Informal Justice and Home Affairs Ministers’ Meeting Dublin 2013,
http://www.eu2013.ie/media/eupresidency/content/documents/FINAL-Discussion-paper-on-data-
protection-for-Informal-JHA-Council.doc, 3 p.
ORANGE, “The future of digital trust – A European study on the nature of consumer trust and personal
data”, LOUDHOUSE, september 2014, http://www.orange.com/en/press/press-releases/press-releases-
2014/Consumers-value-their-personal-data-at-170-140-Orange-study-finds, 6 p.
ORANGE, “The future of digital trust – A European study on the nature of consumer trust and personal
data”, LOUDHOUSE, februari 2014, http://www.orange.com/en/press/press-releases/press-releases-
2014/New-research-identifies-increasing-trust-tension-among-European-consumers-in-how-
organisations-use-their-personal-data, 6 p.
PAVOLOTSKY, J., “Privacy in the Age of Big Data”, The Business Lawyer 2013, vol. 69(1), 217-225.
RABAEY, M., “Na de lekken, het boek: ‘The Guardian’-journalist Luke Harding”, De Morgen,
Reporter, 8 februari 2014, 1-3.
REDING, V., “Data protection reform: restoring trust and building the digital single market”, European
Commission 2013, http://europa.eu/rapid/press-release_SPEECH-13-720_en.htm, 6 p.
REDING, V., “Your data, your rights: safeguarding your privacy in a connected world”, European
Commission 2011, http://europa.eu/rapid/press-release_SPEECH-11-183_en.htm 4 p.
RICHARDS, N. M, en KING, J, H., “Big Data Ethics”, Wake Forest Law Review 2014, vol. 49, 393-432.
RUBENSTEIN, I. S., “Big Data: The End of Privacy or a New Beginning?”, International Data Privacy
Law 2013, vol. 3(2), 74-87.
SAADATI, R. en CHRISTIE, A., “Big data, big issues? The battle between regulation and
commercialisation”, Internet Law Bulletin 2013, vol. 16(3), 67-70.
131
SCHWARTZ, P. M. en SOLOVE, D. J., “The PII Problem: Privacy and a New Concept of Personally
Identifiable Information”, New York University Law Review 2011, vol. 86(6), 1814-1894.
SELLAND, C., “The growth of Big Data, the demand for Data Scientists and the power of
Community”, Vertica 2012, http://www.vertica.com/2012/12/16/big-data-the-demand-for-data-
scientists-and-the-power-of-community.
SICULAR, S., “Gartner’s Big Data Definition Consists of Three Parts, Not to Be Confused with Three
“V”s”, Forbes 2013, http://www.forbes.com/sites/gartnergroup/2013/03/27/gartners-big-data-
definition-consists-of-three-parts-not-to-be-confused-with-three-vs/.
SWOYER, S., “Big Data – Why the 3 Vs Just Don’t Make Sense”, The Data Warehousing Institute for
Business Intelligence and Data Warehousing 2012, http://tdwi.org/articles/2012/07/24/big-data-4th-
v.aspx.
TENE, O. en POLONETSKY, J., “Big Data for All: Privacy and User Control in the Age of Analytics”,
Northwestern Journal of Technology and Intellectual Property 2013, vol. 11(5), 239-273 (verkort O.
TENE en J. POLONETSKY, “Big Data for All”, NJTIP 2013).
TENE, O. en POLONETSKY, J., “To Track or “Do Not Track”: Advancing Transparency and Individual
Control in Online Behavioral Advertising”, Minnesota Journal of Law, Science & Technology 2011,
vol. 13(1), 281-357.
TNS OPINION & SOCIAL, “Special Eurobarometer 359 – Attitudes on Data Protection and Electronic
Identity in the European Union”, European Conmission 2011,
http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf, 329 p.
VALENTINO-DEVRIES, J., SINGER-VINE, J. en SOLTANI, A., “Websites Vary Prices, Deals Based on
Users’ Information”, The Wall Street Journal 2012, http://www.retailgeeks.com/wp-
content/uploads/2012/12/2012_1223_Websites-Vary-Prices.pdf.
VAN WIJK, L., “Google weet veel over u, data brokers nog veel meer”, De Verdieping Trouw 2014,
http://www.trouw.nl/tr/nl/5133/Media-technologie/article/detail/3664173/2014/05/30/Google-weet-
veel-over-u-data-brokers-nog-veel-meer.dhtml.
WORKING PARTY ON SECURITY AND PRIVACY IN THE DIGITAL ECONOMY, “Protecting Privacy in a
Data-driven Economy: Taking Stock of Current Thinking”, OESO 2014,
http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=dsti/iccp/reg%282014%293
&doclanguage=en, 23 p.
WORLD ECONOMIC FORUM, “Personal Data: The Emergence of a New Asset Class”, World Economic
Forum 2011, http://www3.weforum.org/docs/WEF_ITTC_PersonalDataNewAsset_Report_2011.pdf,
40 p.
WORLD ECONOMIC FORUM, “Unlocking the Value of Personal Data: From Collection to Usage”,
World Economic Forum 2013,
http://www3.weforum.org/docs/WEF_IT_UnlockingValuePersonalData_CollectionUsage_Report_20
13.pdf, 33 p.
WU, F., “Big data threats”, Future of Privacy Forum 2013, http://www.futureofprivacy.org/big-data-
privacy-workshop-paper-collection, 122 p.
X, “Commission proposes a comprehensive reform of the data protection rules”, European
Commission 2012, http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm.
http://www.vertica.com/2012/12/16/big-data-the-demand-for-data-scientists-and-the-power-of-community
132
X, “ING wil klantinformatie leveren aan bedrijven”, De Morgen 2014,
http://www.demorgen.be/economie/ing-wil-klantinformatie-leveren-aan-bedrijven-a1808445/.
YOUTUBE, “One Hour Per Second”, YouTube 2012, http://www.onehourpersecond.com/
FIGURENLIJST
Figuur 1: Een grafisch overzicht van de wereldwijde groei van data ..................................................... 9
Figuur 2: De big data value chain ......................................................................................................... 42
Figuur 3: Voorbeelden uit de praktijk van toestemming voor cookies chain ......................................... 98
