Je hebt het misschien wel al meegemaakt: je zoekt goedkope vliegtuigtickets, maar besluit er toch geen te kopen. Je sluit je computer af en checkt je Facebook op je gsm; en wat zie je daar op je Facebook feed? Reclame voor goedkope vliegtuigtickets. Dit illustreert mooi hoe bedrijven big data gebruiken om hun advertenties zo gericht mogelijk te kunnen implementeren. Met behulp van slimme software worden klantengegevens geanalyseerd om zo het gedrag van klanten te voorspellen. Op die manier tracht men de marketingcampagnes te optimaliseren om beter in te spelen op vraag en aanbod van de producten of diensten. Maar welk effect heeft dit nu op het recht op privacy?
Big data vs. privacy
Een veelvoorkomend probleem is dat individuen vaak niet op de hoogte zijn van het gebruik van hun gegevens door bedrijven en overheden. Vaak wordt er toestemming gegeven, bijvoorbeeld via het aanvaarden van een cookie pop-up, zonder dat men echt beseft hoe ver het gebruik van gegevens kan gaan.
Het geven van toestemming zonder stil te staan bij de gevolgen is één ding, maar het gebeurt nog vaak dat bedrijven gegevens verwerken zonder dat ze daar toestemming voor hebben. Dit vormt uiteraard een inbreuk op het recht op privacy van elk individu.
GDPR: dé oplossing of een appeltje voor de dorst?
Wie privacy zegt, zegt tegenwoordig GDPR. De GDPR spreekt nergens letterlijk over big data, maar heeft wel tal van clausules die relevant zijn in de context van big data analyse, zoals o.a. de definitie van profilering of het begrip ‘minimale gegevensverwerking’.
Minimale gegevensverwerking
Één van de beginselen inzake verwerking van persoonsgegevens die de GDPR aanhaalt, is dat van minimale gegevensverwerking. Dit wil zeggen dat enkel persoonsgegevens verzameld mogen worden die toereikend zijn, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Dit is eigenlijk het tegenovergestelde van wat big data doet, want big data probeert zoveel mogelijk gegevens te verzamelen. Er is dus absoluut een spanningsveld tussen big data en het principe van minimale gegevensverwerking. Het is nog afwachten hoe deze spanning verder gaat evolueren.
Profilering
Zoals eeder al werd aangehaald, voorziet de GDPR in een specifieke regeling met betrekking tot profilering van personen. Dit is elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.
De GDPR stelt namelijk dat een persoon niet onderworpen mag worden aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit indien daar rechtsgevolgen of andere gevolgen aan verbonden zijn.
Er zijn echter wel uitzonderingen voorzien. Geautomatiseerde besluitvorming is toegestaan indien het noodzakelijk is voor de uitvoering van de overeenkomst, indien een wettelijke bepaling het toestaat of indien de betrokkene uitdrukkelijke toestemming heeft gegeven.
Bij het geven van uitdrukkelijke toestemming komen we weer terug op de bedenking die we in het begin van deze blog maakten, namelijk dat veel mensen toestemming geven zonder er bij stil te staan waarvoor ze die toestemming geven. Gelukkig geeft de GDPR ook recht van bezwaar, wat inhoudt dat de betrokkenen te allen tijde het recht heeft om bezwaar te maken tegen de verwerking van zijn persoonsgegevens.
Conclusie
Enkele essentiële kenmerken van big data-technieken zijn moeilijk te verenigen met het recht op privacy. Wat echter moet vermeden worden is een loopgravenoorlog met het (kleine) individu langs de ene kant en de grote economische en onmisbare spelers langs de andere kant.
De regelgever staat hierbij voor een uitdaging die wezenlijk niet anders is dan wat het recht en de rechtsregels reeds sinds mensenheugenis doen: het creëren van een zekere orde in de chaos door een kader te schetsen waarbinnen schijnbaar tegengestelde belangen kunnen afgewogen worden. De EU doet hier met de GDPR haar best, maar worstelt toch ook met de snelle ontwikkelingen op technologisch gebied. Het is dus afwachten hoe de spanning tussen big data en privacy verder evolueert.
Meer weten over big data en privacy, twijfel niet om ons te contacteren op hallo@dejuristen.be!
Geschreven door Tiara Beelprez en Johanna Coppens, Legal Advisers deJuristen, en Kris Seyen, Partner deJuristen