Hoe persoonsgegevens te beschermen als anonimisering niet meer te garanderen is?

Wat vandaag een dataset is zonder persoonsgegevens of met geanonimiseerde gegevens, hoeft dat morgen niet meer te zijn. Door de bredere beschikbaarheid van open data en nieuwe technologieën kunnen gegevens eenvoudig worden gecombineerd met andere gegevens. Zo kan de dataset in enkele seconden veranderen in een dataset met gegevens die wel naar personen zijn te herleiden. De vraag of de Algemene Verordening Gegevensbescherming (AVG) op een specifieke dataset van toepassing is, hangt zodoende steeds minder af van de gegevens zelf en juist meer van wat iemand er mee doet. Het Tilburg Institute for Law, Technology and Society onderzocht, in opdracht van het WODC, hoe wetgeving kan reageren op deze niet te stuiten ontwikkelingen.

Als een dataset persoonsgegevens bevat dan geldt de Algemene Verordening Gegevensbescherming (AVG): strenge Europese regels over wat er wel en niet mag bij de verwerking van gegevens die over personen gaan. Voor de verwerking van niet-persoonsgegevens heeft de EU andere regels vastgesteld, waarbij juist het vrije verkeer van die gegevens belangrijk is. De juridische beoordeling of een dataset wel of geen persoonsgegevens bevat, betekent dus een verschil in regels die bijna 180 graden van elkaar afwijken.

Juridische status kan steeds wisselen

Het onderzoek laat zien dat de vaststelling of de AVG van toepassing is steeds complexer wordt. Dat komt vooral door technologische ontwikkelingen, die voor steeds meer mensen bereikbaar en bruikbaar zijn, zoals Big Data, deep learning en quantum computing (krachtige en intelligente computers die heel snel informatie kunnen verwerken). En door de brede wens om overheidsinformatie beschikbaar te stellen voor hergebruik (open data). Door deze ontwikkelingen wordt het steeds makkelijker om persoonsgegevens af te leiden uit datasets die op het eerste gezicht geen persoonsgegevens lijken te bevatten. Of om anonieme datasets te de-anonimiseren. De juridische status van data is dus niet meer een kwestie van wel of geen persoonsgegevens. Door het delen en bewerken van data kan die status namelijk steeds wisselen.

Meerdere scenario’s mogelijk voor wettelijk regime

Zowel de literatuur als de geraadpleegde experts wijzen allemaal in dezelfde toekomstrichting: anonimisering en juridische categorisering wordt steeds moeilijker en de status van gegevens zal steeds meer afhankelijk zijn van de inspanningen van de verwerkingsverantwoordelijke. Bij de vraag hoe het wettelijk regime op deze ontwikkelingen kan reageren is vooral bepalend welk doel de wetgever nastreeft met het beschermen van persoonsgegevens. Is dat puur beschermen of juist kaders bieden om gegevens te kunnen verwerken? Moeten alleen individuele belangen worden beschermd of ook groeps- en maatschappelijke belangen? Is het idee van bescherming het best gediend door beperkingen, of kan er soms juist meer gegevensverwerking nodig zijn om de belangen van individuen en/of de samenleving zo goed mogelijk te dienen? Is het beter om een open en contextueel kader te maken voor het gebruiken van gegevens of zijn daarvoor strikte en duidelijke regels nodig? De onderzoekers schetsen meerdere scenario’s waaruit vijf globale strategieën zijn af te leiden voor de toekomst, van een extra streng beschermingsregime tot een regime waarbij beschermingsvraagstukken steeds per situatie bekeken moeten worden.