Big Data
Big Data is een verzamelnaam voor allerlei verschillende technieken. Deze technieken hebben met elkaar gemeen dat zeer grote hoeveelheden gegevens worden geanalyseerd om hier vervolgens conclusies uit te kunnen trekken. De onderliggende data kunnen bestaan uit bijvoorbeeld gegevens van klanten, maar bijvoorbeeld ook uit wetenschappelijke of statistische gegevens.
Aandachtspunten
Juridisch zijn er enkele aandachtspunten bij Big Data. In dit bericht licht ik er twee uit, namelijk die uit het privacyrecht en het databankenrecht. Daarnaast zijn er nog wel andere aandachtspunten, zoals die ook bij andere IT-projecten spelen.
Privacyrecht
Voor wat betreft het privacyrecht is de grote vraag of er persoonsgegevens worden verwerkt of niet.
Wanneer er in het het geheel geen persoonsgegevens worden verwerkt, dan is de privacywetgeving niet van toepassing op Big Data. Let wel: gegevens worden al snel als persoonsgegevens beschouwd. Het gaat niet alleen om voor de hand liggende / intuitief aanvoelende gegevens als voor- en achternaam, maar ook om zaken als kentekens, IP-adressen, klantnummers en andere gegevens die tot een persoon zijn te herleiden. Zie voor meer details de opinie 4/2007 (pdf) van de artikel 29 werkgroep.
Worden er wel persoonsgegevens verwerkt, dan betekent dit dat de betreffende verwerking zal moeten voldoen aan alle eisen uit het privacyrecht. Het voert voor dit artikel wat te ver om op al die eisen in te gaan. Ik licht er enkele uit:
- grondslagvereiste: de wet vereist dat er een grondslag is om persoonsgegevens te verwerken (artikel 8 Wbp). Van de zes in de wet genoemde grondslagen kunnen er bij veel Big Data toepassingen maar twee van toepassing zijn: gerechtvaardigd belang of toestemming van de betrokkene. Juist vanwege de grootschaligheid van Big Data is maar de vraag of een gerechtvaardigd belang aanwezig is en of het belang van de betrokkene niet prevaleert (dit zal afhangen van waarvoor Big Data precies wordt gebruikt). Dat betekent dat moet worden teruggevallen op toestemming. Toestemming zal vaak echter niet vooraf gevraagd zijn. Voor de goede orde: dat iemand zelf iets op Internet zet wil niet zeggen dat daarmee toestemming is gegeven die gegevens voor Big Data te gebruiken.
- doelbinding: gegevens mogen niet worden verwerkt voor doeleinden die onverenigbaar zijn met het verzameldoel (artikel 9 Wbp). Dat roept de vraag op wat het verzameldoel van de gegevens was. Ook is de vraag of dat doel destijds kenbaar is gemaakt aan de betrokkene (artikel 33/34 Wbp). Het is best denkbaar dat het doel van Big Data zo ver afligt van het verzameldoel, dat de verwerking voor Big Data toepassingen niet is toegestaan.
- bijzondere persoonsgegevens: het regime bij het verwerken van bijzondere persoonsgegevens is nog strenger. Het verwerken van dergelijke gegevens in het kader van Big Data zal niet snel toegestaan zijn. Onder bijzondere persoonsgegevens worden overigens verstaan gegevens omtrent godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
- beveiliging: de extra informatie die uit Big Data analyses rolt zou wel eens gevoelig van aard kunnen zijn of anderszins tot risico's voor de betrokkenen kunnen leiden wanneer de gegevens op straat kunnen komen te liggen. Gezien die risico's moet Big Data ook Big Security met zich mee brengen.
Als gezegd zijn er nog wel meer eisen waaraan in het kader van de privacywetgeving zal moeten worden voldaan. Ter illustratie zou u onze privacycheck eens kunnen doorlopen om zelf te toetsen of uw Big Data toepassing aan deze eisen voldoet. Voeren die eisen te ver, dan zullen de gegevens moeten worden geanonimiseerd (zodat de privacywet niet van toepassing is).
Databankenrecht
Big Data gaat over het bij elkaar brengen van gegevens uit verschillende bronnen. Het is goed denkbaar dat die bronnen zijn aan te merken als beschermde databank in de zin van de Databankenwet. Hoewel het databankenrecht zeker nog de nodige juridische vragen oproept, betekent dit dat het overnemen van de volledige databank in beginsel toestemming vereist van de producent van die databank. Wanneer de toestemming ontbreekt kan de rechthebbende in rechte een verbod vorderen op het gebruik van de overgenomen gegevens en de schade die is geleden door de overname op de inbreukmaker verhalen. Ook komen de volledige proceskosten bij een dergelijke zaak in beginsel voor rekening van de verliezer.
Ten slotte
Tot zover enkele juridische aandachtspunten bij Big Data. Gelet op de actualiteit van het thema zullen we hier ongetwijfeld nog wel vaker over bloggen. Houd deze website in de gaten.