{{messages[0][0]}}

Wat hebben Blockchain en Big Data met Privacy gemeen?



Wat hebben Blockchain en Big Data met Privacy gemeen?

Spoiler: Helemaal niets. Blockchain en Big Data kunnen niet voldoen aan de huidige en de nieuwe Privacyregels.

Er is nieuwe Europese privacywetgeving op komst. Kort en goed worden de regels nog strenger.

Dit inzicht kreeg ik dankzij een steengoede cursus gegeven door Friederike van der Jagt van Hunter Legal.  

Het verwerken van persoonsgegevens moet onder meer:

1) rechtmatig, behoorlijk en transparant zijn,

2) voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel zijn,

3) beperkt worden tot wat echt noodzakelijk is,

4) de persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk voor het doel waarvoor ze verkregen zijn, en moeten daarna worden vernietigd;

5) de beveiliging van persoonsgegevens moet gewaarborgd zijn door passende technische en organisatorische maatregelen.

Een verwerking is daarnaast alleen rechtmatig als een beroep kan worden gedaan op een van de wettelijke rechtvaardigingsgronden, zoals het feit dat:

1) er toestemming is gegeven, of

2) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst, of

3) je kan aantonen dat je een gerechtvaardigd belang hebt om de gegevens te verwerken dat zwaarder weegt dan de inbreuk op de privacy van degene van wie je persoonsgegevens verwerkt

Er zijn meer rechtvaardigingsgronden, maar deze drie  zijn voor bedrijven al snel het meest relevant.

Nog even inzoomen op de Toestemming

Toestemming moet kunnen worden aangetoond en moet “vrijelijk”, “geïnformeerd” en “specifiek” zijn. Concreet betekent dit dat je over bewijs moet beschikken dat je een klant of gebruiker adequaat hebt geïnformeerd of wat je met zijn/haar persoonsgegevens doet  en hij/zij  vervolgens uit vrije wil hiermeeheeft ingestemd. Ten slotte moet het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm worden gedaan en in duidelijke en eenvoudige taal zijn opgesteld.

En op Vrijelijk

Wat “vrijelijk” is hangt af van het geval. Een veelgestelde vraag is of dit wel kan in arbeidsverhoudingen?  Het antwoord op deze vraag is nee: omdat er sprake is van een afhankelijkheidsrelatie tussen de werkgever en de werknemer wordt de toestemming  niet echt als “vrij” gezien. De werknemer zal zich in veel gevallen niet durven permitteren om geen toestemming te geven. Je zal dan een beroep moeten doen op een van de andere rechtvaardigingsgronden.

Ten slotte kan een toestemming altijd ingetrokken worden. 

Blockchain en Privacy

Een van de drijvende principes van Blockchain-technologie is juist dat de gegevens in een block onveranderbaar worden vastgelegd, voor altijd. Daar is juist de theorie dat alleen technologie onomstotelijk een transactie vast kan leggen, en dat we daarvoor dus niet moeten vertrouwen op handelingen van derden zoals banken. Maar wat nu als er persoonsgegevens in zo’n block zitten? Die mogen niet langer worden bewaard dan noodzakelijk en is het wel de bedoeling dat alle deelnemers aan de blockchain deze gegevens kunnen zien?

En hoe zit het met het  “recht op rectificatie” en het “recht op gegevenswissing”. Dit zijn hoekstenen van de (nieuwe) privacywetgeving.

Onjuiste of onvolledige gegevens mogen door een betrokkene worden gecorrigeerd of worden aangevuld. Ook mogen er dus gegevens worden verwijderd omdat die niet meer relevant zijn. Dit is zijn “recht op rectificatie”.

Daarnaast heeft een betrokkene “het recht op wissing en vergetelheid”. Als gegevens niet langer nodig zijn voor de doeleinden waarvoor zij werden verzameld dan mag de betrokkene de verwerker verzoeken de gegevens te wissen. Dit zijn slechts voorbeelden. Er zijn nog meer omstandigheden waarbij een betrokkene gebruik mag maken van deze rechten.

Dit alles is niet meer mogelijk als er persoonsgegevens in een blockchain zijn vastgelegd. Informatie vastgelegd in de Blockchain kan dus nooit voldoen aan de nieuwe privacywetgeving.

Big Data en Privacy

Big Data is vooral een buzzword, waar in de praktijk nog niet heel veel bedrijven mee bezig zijn. Maar de bedrijven die het gebruiken zijn vaak heel groot en beschikken ook over heel veel data.

Het doel van big data-analyses is vaak het automatisch genereren van “profielen”. Met de data die wij achterlaten maken grote (en kleine) Tech-bedrijven een profiel van de betrokkene. Dit kan vrij onschuldig zijn. Denk aan de suggestie van Bol.com voor een bladhark na aanschaf van een grasmaaier. Maar kan ook verregaande gevolgen hebben zoals een duurdere autoverzekering, omdat je in een buurt woont waar veel inbraken plaats vinden.

Profilering op basis van big data is soms toegestaan als er maar uitdrukkelijke toestemming is gegeven, óf dat de profilering noodzakelijk is voor het uitvoeren van een overeenkomst.

Maar de grootschalige wijze waarop Google, Facebook en consorten onze data analyseren en organiseren in profielen lijkt simpelweg onverenigbaar met de (nieuwe) privacywetgeving. Maar, dikke kans dat ze ons allemaal om toestemming gaan vragen en dat wij gewoon op “JA” klikken…

Een ander punt is dat big data uitgaat van het verzamelen van zoveel mogelijk gegevens en is vaak van tevoren niet duidelijk wat de resultaten van de analyses zullen zijn en wat je dus daadwerkelijk met de data kan. De privacywetgeving gaat juist uit van dataminimalisatie waarbij je vooraf hebt bepaald wat je met de data gaat doen.

En nu?

En nu niks eigenlijk. De Europese Commissie wil nieuwe technologie niet meteen de nek omdraaien door nieuwe wetgeving, terwijl iedereen weet dat ze onverenigbaar is. Het is een status quo. Wel wordt er dus met twee maten gemeten, wat altijd slecht is als het over wetgeving gaat. Want de Autoriteit Persoonsgegevens kan wel boetes uitdelen. En flinke ook. Overtreding van de hier genoemde rechten en plichten kan vanaf 25 mei 2018 boetes tot 20 miljoen opleveren of 4% van de wereldwijde jaaromzet van de overtreder. Ook kunnen de bestuurders persoonlijk aansprakelijk gesteld worden. Ook nu al kunnen voor overtredingen van de huidige wetgeving boetes tot EUR 820.000,- of 10% van de jaaromzet van een onderneming worden opgelegd.

 

Voetnoot: beetje flauw, maar je kunt hier dus geen rechten aan ontlenen. Het is ook niet compleet. Je kunt geen complete to-do list vinden om privacy compliant te worden. Het is een soort best effort wetgeving. We kunnen je wel helpen om jouw specifieke business te helpen en die best efforts om te zetten in zinvolle en overzichtelijke (interne) procedures.

MEER BERICHTEN