Doel en middel: innovatie, big data en privacy

Een doel is welbepaald, wanneer het (1.) voorafgaand aan de verwerking is bepaald en (2.) voldoende duidelijk is. Het tijdstip van bepaling is belangrijk. Dit blijkt momenteel uit de voor veel persoonsregistraties verplichte melding bij de Autoriteit Persoonsgegevens. Als het doel opgenomen in het meldingsformulier niet strookt met het werkelijke doel van de verwerking, is de verantwoordelijke in overtreding. Aanpassing van de melding is dan geboden. Per 25 mei 2018 vervalt de meldplicht opgenomen in de Wbp, maar ook het Vrijstellingsbesluit (voor bijvoorbeeld de eenvoudige personeelsadministratie). De verantwoordelijke zal dan verplicht zijn een registratie aan te houden van alle dataverzamelingen met persoonsgegevens; ook die nu niet gemeld hoeven worden bij de AP op grond van het Vrijstellingsbesluit. En in die registratie moet de verantwoordelijke ook het doel van de verwerking opnemen.

In de praktijk blijkt het lastig om continue innovatie te verenigen met het vereiste van een voorafgaand omschreven doel. Een nog vrij eenvoudig voorbeeld is bijvoorbeeld het aanhouden van een geautomatiseerd personeelsdossier (standaard) en het matchen daarvan met bijvoorbeeld een crediteurenadministratie om te controleren of medewerkers van een onderneming belang kunnen hebben bij leveranciers van de organisatie. Het koppelen van de bestanden is technisch gezien vrij eenvoudig. Maar de normale doeleinden voor het aanhouden van een personeelsregistratie en van een crediteurenadministratie zijn zelden omschreven als het signaleren of opsporen van mogelijk onethisch of frauduleus gedrag c.q. het voorkomen van belangentegenstellingen. Dus voordat die koppeling tot stand wordt gebracht, zal eerst een melding moeten worden gedaan bij de Autoriteit Persoonsgegevens (lees na 25 mei 2018: de registratie aangepast) en waar een ondernemingsraad actief is (of moet zijn), zal deze een instemmingsrecht hebben.

Het is niet moeilijk in te denken hoeveel een koppeling tussen voertuigvolgsystemen, afwezigheids- en verzuimregistraties, toegangscontroles en cameracontroles, pinpas- en creditcardgebruik en smartphones (o.a. locatie, maar ook surfgedrag) kan betekenen voor een individu. Probeer daar maar eens een welbepaald en gerechtvaardigd doel voor te vinden. Natuurlijk kunnen die gegevens worden gebruikt voor het specifiek en zeer gericht aanbieden van bepaalde producten of diensten aan de desbetreffende persoon (wat op zich positief kan worden beoordeeld), maar ook voor het in kaart brengen en houden van gedragingen voor heel andere, wellicht minder goede intenties. En daar wil de wetgever ons nu tegen in bescherming nemen.

Ook goedbedoelde innovatie kan dus worden opgehouden door het vereiste van een vooraf omschreven, duidelijk doel. Er zijn wel oplossingen denkbaar in de formulering om bepaalde toekomstige ontwikkelingen te vatten in de beschreven doeleinden, maar het blijft steeds afwegen  waar de grens ligt. En welke organisatie wil dat nu niet goed doen? Lees ook mijn blog Privacy-by-intent.

Dit vereiste betekent dat het doel van de verwerking schriftelijk moet zijn vastgelegd. Dat moet bij zowel de meldplichtige als de vrijgestelde databestanden, die onder de Wbp vallen. Het schriftelijkheidsvereiste mag weliswaar ruim opgevat worden (een digitaal register is ook goed), maar voor de toezichthouder zal duidelijk moeten zijn welke doeleinden voor welke dataverzamelingen golden op welk moment. Een registratie die achteraf manipuleerbaar is, voldoet waarschijnlijk niet aan dit vereiste. En het is aan de verantwoordelijke om dat aan te tonen en inzichtelijk te houden en te maken. Een ‘logboek’ per dataverzameling is dan ook onvermijdelijk.

In de praktijk blijkt dat zowel ondernemers als overheidsinstellingen het lastig vinden de administratie goed op orde te houden. Maar net zoals uit de normale administratie altijd de financiële rechten en plichten van een onderneming moeten blijken, zal een verantwoordelijke de registratie van door de Wbp en AVG bestreken databestanden op orde moeten hebben, zodat daar op ieder gewenst moment de rechten en plichten op grond van de Wbp uit kunnen worden afgeleid.

Doeleinden zijn gerechtvaardigd, wanneer sprake is van de aanwezigheid van een ‘grondslag’. Er zijn zes wettelijke grondslagen op grond van de Wbp (geparafraseerd):

1. Ondubbelzinnige toestemming van de betrokkene
2. Noodzakelijk voor de voorbereiding of uitvoering van een overeenkomst
3. Noodzakelijk om een wettelijke verplichting van de verantwoordelijke na te komen
4. Noodzakelijk voor een vitaal belang van de betrokkene
5. Noodzakelijk voor een goede vervulling van een publiekrechtelijke taak door een bestuursorgaan
6. Noodzakelijk ter behartiging van een gerechtvaardigd belang van de verantwoordelijke of een derde aan wie de gegevens worden verstrekt, tenzij het recht op privacy zwaarder weegt.

In een volgende blog meer over de inhoud en grenzen van deze grondslagen. In de praktijk (en de rechtspraak) zien we regelmatig dat de toestemming van de betrokkene in een min of meer lang verleden heeft plaatsgevonden en niet meer actueel is; of dat de belangenafweging genoemd sub f niet duidelijk is gemaakt of door technische ontwikkelingen niet meer opgaat. Het resultaat is dat de verantwoordelijke in overtreding is.

Onder de AVG lijkt iets meer ruimte te ontstaan voor innovatie: wanneer de doeleinden van de verwerking wijzigen, hoeft geen nieuwe rechtvaardiging te worden gevonden, indien het nieuwere doel verenigbaar is met het oorspronkelijke doel.

Het verwerken van persoonsgegevens vraagt om welbepaalde, uitdrukkelijke en gerechtvaardigde doeleinden. Dit lijken vage begrippen, maar er zijn wel degelijk vuistregels voor de invulling. Doelomschrijvingen moeten een goede balans tussen bescherming van de privacy van betrokkenen en innovatie bieden, maar bescherming van de privacy gaat uiteindelijk voor.  Verder blijkt uit dit vereiste dat innovatie soms aanpassing van doelomschrijvingen vergt. En daarmee is ook de brug naar privacy by design geslagen. Maar dat komt in een volgende blog aan de orde.