In de uitzending van Buitenhof van 31 december 2017 ging het over 'Smart Cities'. Tijdens de uitzending kwam regelmatig de vraag op: wie is "eigenaar" van de data die wordt verzameld door alle smart devices? In deze blog het antwoord en andere aandachtspunten bij de Smart City.
Geen eigendom op data, want data zijn niet fysiek
Om maar meteen met de deur in huis te vallen: er bestaat niet zoiets als eigendom op data. Eigendom heb je volgens de Nederlandse wet op een 'zaak' (zie artikel 5:1 BW) en zaken zijn 'stoffelijke objecten' (zie artikel 3:2 BW). Data zijn niet te vast pakken, dus zij voldoen niet aan dit criterium.
Ook niet anderszins rechthebbende op data
Naast eigenaar van zaken kun je ook rechthebbende zijn ten aanzien van vermogensrechten. Het punt is echter: data kun je niet toe-eigenen, vermogensrechten wel. Simpeler gezegd: als ik een kopie van data maak, dan heb ik een kloon van het bronbestand gemaakt en is de oorspronkelijke houder van de data er niks slechter op geworden.
Of zoals prof. mr. H.J. Snijders zo mooi schrijft in zijn noot in de NJ bij het arrest van de Hoge Raad van 6 februari 1998:
Ik moge verwijzen naar Recht en computer (H. Franken) 1997, p. 43–44 en Goederenrecht (H.J. Snijders) 1997, nr. 28 met nadere bronaanduiding en — wat de rechtspraak betreft — HR 3 december 1996, NJ 1997, 574 (‘tH), een uitspraak van de strafkamer, die ook civielrechtelijk de spijker op de kop slaat door ten aanzien van het begrip goed te overwegen dat ‘als een wezenlijke eigenschap’ moet ‘worden beschouwd dat degene die de feitelijke macht daarover heeft deze noodzakelijkerwijze verliest, indien een ander zich de feitelijke macht erover verschaft’ en dat computergegevens deze eigenschap ontberen en dus ook niet ‘toegeëigend’ kunnen worden.
En het databankenrecht dan?
Een verzameling van data kan wel worden beschermd door het databankenrecht. Daarvoor is vereist dat sprake is van een substantiële investering in het verkrijgen en verzamelen van data (en het onderhouden van die dataset). De investeringen die gepleegd zijn in het creëren van de data mogen echter niet meetellen. Beschermd is de moeite die is gestoken in het bij elkaar brengen van bestaande data.
Het databankenrecht roept echter veel vragen op in relatie tot 'smart cities':
- Het is maar zeer de vraag of de gegevens die door allerlei devices in de stad worden gemeten moeten worden gezien als (onbeschermde) bestaande data (de sensor legt vast wat er toch al is) of als (beschermde) nieuwe data (de sensor creëert data).
- Het is de vraag wie eigenlijk de producent is van de data (de private aanbieder van 'smart city' techniek of de financierende overheid?). In vervolg daarop is de vraag of overheden wel voldoende risicodragend zijn om als producent van een databank gezien te kunnen worden.
- Als overheden zich al op het databankenrecht zouden willen beroepen, moeten ze gelet op artikel 8 lid 2 Databankenwet zich dat recht in ieder geval voorbehouden.
Met andere woorden: het databankenrecht is niet ondenkbaar in de context van 'smart cities'. Toch zal er vermoedelijk heel wat af te dingen zijn op partijen die zich op het databankenrecht beroepen. Om die discussies te vermijden spreek je bij een smart city liefst vooraf af dat niemand zich op het databankenrecht zal beroepen.
Het gaat in feite om beschikbaarheid van de data
Terug naar de basisvraag. De discussie wordt wat vertroebeld vanwege de begrippen 'eigendom' en 'rechthebbende'. Het eigenlijk doel is veelal dat de data vrijelijk beschikbaar is (open data).
Dat doel bereik je niet door te spreken over 'eigendom', maar door afspraken te maken over de feitelijke toegang tot en beschikbaarheid van die data. Vandaar ook dat bijvoorbeeld in de GIBIT-voorwaarden diverse artikelen zijn opgenomen waarin dat wordt geregeld. Ook zouden open data licenties vooraf van toepassing kunnen worden verklaard, waarin in de kern staat dat (a) partijen data beschikbaar stellen en (b) afzien van claims op IE-rechten.
Een echt Smart City is een Open Data City
Een Smart City werkt pas echt goed als de verschillende "smart" devices ook werkelijk met elkaar kunnen "praten" en elkaars data mogen hergebruiken en over en weer verrijken. Dan ontstaat een vliegwieleffect waarbij er meerwaarde ontstaat in het aan elkaar koppelen van al die gegevens.
Voorbeeld. Als een lantaarnpaal die luchtvervuiling meet kan interacteren met de computer die het verkeer meet en de verkeerslichten op een kruising beheert, dan kunnen die twee apparaten samen zorgen voor een goede balans tussen verkeersdoorstroming en luchtvervuiling door de verkeerslichten steeds anders in te stellen.
Oftewel: echt slimheid ontstaat als de data vrijelijk gebruikt kan worden. En dat maakt het eens te meer belangrijk om goede afspraken te maken
Open Data City moet geen Big Brother City worden
Een Open Data City waar alle data aan elkaar wordt gekoppeld kan zich ook ontpoppen als een stad waar alles en iedereen continu gevolgd wordt.
Als iedere lantaarnpaal of andere slimme lamp het Wifi-signaal van de smartphone van iedere betrokkene meet en opslaat, dan ontstaat in feite een gigantische database waarin iedere voetstap van iedere burger in terug te vinden is.
Op een dergelijke grote schaal worden zoveel gegevens verwerkt, dat herleidbaarheid tot het individu waarschijnlijk eenvoudig is. De gegevens kwalificeren dan als persoonsgegevens. En er zal dan (dus) moeten worden voldaan aan de eisen van het privacyrecht.
Een dergelijke vorm van grootschalig observeren van burgers is waarschijnlijk überhaupt niet toegestaan onder het privacyrecht. Het Hof van Justitie heeft immers niet voor niks de dataretentierichtlijn vernietigd waarbij telecomgedrag van burgers op grote schaal werd gevolgd (en gedrag van burgers buiten meten gaat m.i. verder dan alleen maar hun internetgedrag).
En als een dergelijke grootschalige database met persoonsgegevens al is toegestaan, dan moet onder andere rekening worden gehouden met:
- de uitdaging iedere burger voorafgaand aan de metingen enkele A4's aan informatie te geven (transparantiebeginsel, artikel 13/14 AVG);
- een oplossing te bedenken waardoor de burger zich kan onttrekken aan de metingen (artikel 21/22 AVG);
- het aanleggen van een uitgebreid verwerkingsregister waarin o.a. terug komt wie er allemaal ontvanger is van de data (artikel 30 AVG);
- het verplicht uitvoeren van een gegevensbeschermingseffectbeoordeling/DPIA (artikel 35 lid 3 sub c AVG);
- het verplicht aanstellen van een functionaris gegevensbescherming (artikel 37 lid 1 sub b AVG).
Aan al die eisen voldoen roept veel vragen op. Het is juridisch eenvoudiger om vooraf al de keuze te maken om juist geen persoonsgegevens te verwerken.
Let wel dat zelfs een IP-adres of een MAC-adres van een telefoon al een persoonsgegeven kan zijn. Dat is echter zeker niet per definitie het geval, de rechtbank Utrecht heeft immers al geoordeeld dat individualiseerbaarheid van gegevens (singling out) onvoldoende is om van persoonsgegevens te kunnen spreken (en het Hof van Justitie in feite ook, door de vraag over IP-adressen te beantwoorden). De Autoriteit Persoonsgegevens blijft waarschijnlijk echter nog wel even volhouden dat singling out al voldoende is om van persoonsgegevens te spreken en pakt o.a. Wifi-trackende bedrijven aan. Denk dus niet te makkelijk over anonimiseren.
Smart, open en privacyvriendelijk
Een juridisch correcte slimme stad verenigt al die voorgaande uitgangspunten op een handiger manier. Een juridisch correcte slimme stad is dus Smart, Open en privacyvriendelijk. Dat is niet eenvoudig, maar zeker niet onmogelijk.
Vragen?
Heeft u vragen over de bescherming van gegevens of het uitrollen van een slimme stad? Neem dan gerust contact met ons op.
