Risico’s big data niet goed in kaart gebracht bij AVG
In 2018 werd de Algemene Verordening Gegevensbescherming (AVG) van toepassing, de wet die de rechten en vrijheden van individuele burgers moet beschermen tegen de risico’s van de verwerking van persoonsgegevens. Maar intussen is het fenomeen big data aan een flinke opmars bezig. Promotie op 12 september.
Michiel Rhoen studeerde toegepaste natuurkunde en hield zich in zijn werk als brandweerofficier bezig met de beheersing van technologische risico's. Ten behoeve van zijn baan begon hij aan de studie Nederlands Recht, die hij in 2013 afrondde. 'Ongeveer in diezelfde periode deed het begrip big data zijn intrede bij het grote publiek en de discussie ging vrijwel meteen over de risico’s daarvan voor onder meer de privacy. Daarbij ging het vooral ook over de machtspositie die grote bedrijven konden opbouwen doordat zij over bijna iedereen profielen kunnen maken', vertelt Rhoen. 'Die profielen zijn gebaseerd op steeds meer persoonsgegevens die tijdens alledaagse bezigheden worden verzameld, zoals met je vrienden praten, de krant lezen of muziek luisteren. Iedereen heeft er dus dagelijks meerdere keren mee te maken.' Tegelijkertijd werd ook een eerste tekst gepubliceerd van wat later de AVG is geworden. 'Ik was benieuwd in hoeverre de AVG zoals die toen werd voorgesteld, het risico van big data zou omschrijven en wat eraan zou worden gedaan.'
Waar ligt de grens tussen data en big data?
'De grens tussen data en big data is niet zo duidelijk te trekken. De eerste zorgen over big data in Europa stammen al uit de jaren 70 van de vorige eeuw, toen overheden de bevolkingsadministratie gingen digitaliseren. Big data is eigenlijk vooral het gevolg van automatisering. Zodra je ergens een computer voor gebruikt, levert die computer jou data. Maar tegelijkertijd genereert die computer ook data over wat je aan het doen bent, die gegevens heten metadata. En het aantal computers dat metadata genereert is misschien groter dan je denkt: als je bijvoorbeeld het internet, mobiele telefoon of een smart TV gebruikt, maak je verbinding met soms wel tientallen andere computers en die genereren allemaal ook weer data over wat je aan het doen bent. Metadata kan zeer effectieve profielen opleveren omdat ze gaan over wanneer, hoe en zelfs met wie je online actief bent. En iedereen die een stukje van het internet beheert, kan metadata verzamelen. Soms is dat zelfs verplicht omdat de wetgever wil kijken wie wanneer met wie heeft gemaild als er bijvoorbeeld een misdrijf is gepleegd.'
Tijdens zijn promotieonderzoek bekeek Rhoen in hoeverre de AVG is gebaseerd op bestaande wetenschappelijke opvattingen over het omgaan met technologische risico's en sterke machtsposities. 'Daarbij heb ik vooral situaties onderzocht waarbij een consument akkoord gaat met de verwerking van zijn persoonsgegevens. Denk daarbij aan de talloze 'ik ga akkoord'-vinkjes die je moet zetten bij het bezoeken van een website.' Rhoen vergeleek de AVG met onder meer milieuwetgeving, die ook over het reguleren van technologische risico’s gaat, en met wetgeving over consumentenbescherming. 'Ook heb ik, samen met een onderzoeker van de faculteit Bètawetenschappen van de Universiteit Utrecht, onderzocht of de anti-discriminatiebepalingen in de AVG geschikt zijn om automatische discriminatie door algoritmen met kunstmatige intelligentie te voorkomen, te ontdekken of aan te pakken.'
Mensen die dingen met elkaar gemeen hebben kun je vaak herkennen aan de data die ze genereren, legt Rhoen uit. Iemand die een supermarkt heeft, zal bijvoorbeeld kunnen zien dat er groepen mensen zijn die nooit varkensvlees kopen en wie een zoekmachine op het internet heeft, kan bijhouden wie er allemaal zoekt op de symptomen van griep of een geslachtsziekte. 'Zelfs als je niet speciaal zoekt naar mensen met een bepaalde religie of een bepaalde ziekte, kan een algoritme toch opmerken dat een groep mensen anders is dan andere groepen. Dat algoritme is er natuurlijk niet voor niets: dat moet een beslissing nemen over bijvoorbeeld de volgende advertentie die je online te zien krijgt. Als mensen die in een bijzondere groep vallen ineens benadeeld worden ten opzichte van mensen die niet in die groep vallen, kan het zijn dat die mensen worden gediscrimineerd.'
De AVG verbiedt om gegevens over gezondheid, religie of seksuele voorkeur rechtstreeks op te slaan. 'Maar nu er over bijna al je bezigheden data en metadata wordt verzameld kan een algoritme, zelfs als dat alleen neutrale data gebruikt, onverhoopt toch een groep mensen die een gevoelig kenmerk met elkaar delen over één kam scheren. Dit blijkt een fundamentele eigenschap van menselijke samenlevingen te zijn, en de AVG houdt daar niet zodanig rekening mee dat je discriminatie steeds kunt voorkomen of ontdekken.'
Onderliggende bedoeling AVG niet duidelijk
De AVG mag dan bedacht zijn om risico's voor de rechten van mensen te beperken, Rhoen stelt dat hij niet heeft kunnen achterhalen dat de wetgever een goed beeld had van wat die risico's dan wel zijn en hoe ze moeten worden aangepakt. 'Geen van de modellen over risico’s en machtsverhoudingen die ik heb onderzocht, is aanwijsbaar toegepast in de AVG. Daarmee wijkt de AVG af van regels over consumenten- of milieubescherming. Dat is opmerkelijk.'
Rhoen verwacht daarom dat het moeilijk is om vast te stellen hoe goed de AVG nou eigenlijk werkt: als je niet weet wat je nou precies wilt voorkomen, hoe bepaal je dan of dat gelukt is? 'Als je over een aantal jaren wilt kijken of de AVG misschien zou moeten worden verbeterd, kan het dus best zijn dat er geen goede manier is om vast te stellen wat er dan beter moet. Natuurlijk worden er ook rechtszaken gevoerd over de AVG. Dan doet zich een soortgelijk probleem voor. Als onduidelijk is wat de onderliggende bedoeling is, wordt ook de uitleg en toepassing van de regels lastig. In de rechtspraktijk leidt dat onvermijdelijk tot ingewikkelde juridische discussies.'
De onderzoeker hoopt met zijn proefschrift een betekenisvolle bijdrage te leveren aan de discussies over het privacy- en gegevensbeschermingsrecht, 'een belangrijk rechtsgebied dat de komende jaren in ontwikkeling zal blijven'.
Prof. dr. mr. G.J. Zwenne over het onderzoek van Michiel Rhoen:
'De AVG is gebaseerd op uitgangpunten die zich maar moeizaam verhouden met de ontwikkelingen die we nu zien als het gaat om big data en machine learning. Er zijn dan ook serieuze vragen over de effectiviteit en de uiterste houdbaarheidsdatum van de nieuwe privacyregels. Michiel's proefschrift biedt kaders voor de beantwoording daarvan.'
Tekst: Floris van den Driesche
Mail de redactie