Wednesday, March 12, 2014

Een goed Big Data plan heeft geen toestemming nodig

Big data
Deze week stond het nieuws bol van de 'Big Data'-plannen van ING om data-analyses te gaan uitvoeren op de betalingsgegevens van hun klanten om zo de klant te voorzien van mogelijk interessante aanbiedingen van bedrijven. ING haastte zich te benadrukken dat die analyse alleen met de uitdrukkelijke toestemming van de klant zou gebeuren ('opt-in'). Ook het College Bescherming Persoonsgegevens (CBP) benadrukte in zijn eerste reactie dat de plannen van ING uitsluitend toelaatbaar waren als de klant toestemming had gegeven voor de analyses. Je zou dus zeggen dat het met de plannen van ING wel goed zit. Als de klant toestemming geeft, mag het. Einde discussie! Iedereen tevreden.

Of toch niet.....? Uit de vele negatieve reacties, zowel in de pers als op social media, bleek dat veel mensen niet gediend waren van de plannen van de ING. Je zou kunnen zeggen: "Waar zeuren die mensen over? Als ze niet mee willen doen, dan geven ze toch gewoon geen toestemming?" In die visie is toestemming een panacee; een toverwoord dat in een klap alles goed maakt. Die visie is fundamenteel onjuist.

Artikel 8 van de Wet Bescherming Persoonsgegevens (WBP) bevat 'rechtvaardigingsgronden'. Een rechtvaardigingsgrond vormt niet alleen de juridische basis onder je verwerking, maar bevat ook de maatschappelijk-ethische argumenten voor je verwerking. Artikel 8 WBP bevat zes van die rechtvaardigingsgronden: toestemming, uitvoering van een contractuele verplichting, uitvoering van een wettelijke plicht, bescherming van de vitale belangen van de betrokkene, de uitvoering van een publieke taak en het gerechtvaardigd belang van het bedrijf of van een derde. Hoewel toestemming als eerste in het rijtje staat, weten doorgewinterde privacy-professionals dat toestemming eigenlijk alleen bedoeld is voor zaken die je op geen van de vijf andere gronden kan rechtvaardigen. Een laatste redmiddel dus.

Maar daar komt, zeker bij Big Data, ook een ander principe van bescherming van persoonsgegevens om de hoek kijken: de doelbinding. Dat beginsel zegt dat je de persoonsgegevens alleen voor andere dingen mag gebruiken als die andere dingen verenigbaar zijn met het doel waarvoor die gegevens zijn verzameld. Daarbij spelen de redelijke verwachtingen van de klant een belangrijke rol. Doe je dingen die de klant redelijkerwijs niet van jou zou kunnen verwachten, dan doorkruisen jouw plannen waarschijnlijk het doelbindingsbeginsel. Dat soort plannen kan je alleen rechtvaardigen met de toestemming van de klant.

Toestemming is een juridische oplossing. Het creëert een papieren schijnwerkelijkheid dat het wel goed zit met de verwerking van de persoonsgegevens. Toestemming is dan vooral een afweer tegen claims dat het niet goed zit met de verwerking. Maar juist als er geen andere (lees: betere) rechtvaardigingsgrond is voor je Big Data plan, ontbeert zo'n plan intrinsieke voordelen, zowel voor de consument als voor het bedrijf. En in de perceptie van de klant is het belang van het bedrijf dan al snel groter dan het belang voor de consument. De klant ziet zich niet meer als klant, maar als melkkoe en verliest het vertrouwen in het bedrijf. Ethici spreken in zo'n geval over het ontbreken van een equal distribution of benefits and burdens. Een bedrijf moet zich bij de verwerking van persoonsgegevens dus altijd afvragen wat er voor de klant in zit. Zeker als het kennelijke doel is om het nut te vergroten. En dat is heel vaak het geval als je het over de verwerking van klantgegevens voor Big Data doeleinden hebt.

Regels voor bescherming van persoonsgegevens zijn in essentie niets anders dan een mechanisme om belangen tegen elkaar af te wegen. Enerzijds zijn daar de (fundamentele) belangen van de klant: privacy, reputatie, veiligheid, non-discriminatie, rechtvaardige behandeling, autonomie, identiteit en menselijke waardigheid. Deze belangen zijn meestal gediend bij het niet of zo beperkt mogelijk verwerken van persoonsgegevens. En als het dan toch gebeurt, met alle noodzakelijke waarborgen daaromheen. Aan de andere kant staan de veiligheid van derden (de staat, het bedrijf, andere mensen, etc), de handhaving van regels en maatschappelijke normen, het kunnen stellen van vertrouwen in mensen en het maximeren van nut. Tot dat laatste behoort ook het nut voor de klant zelf (denk aan personalisatie van diensten en het doen van aanbiedingen op basis van Big Data analyses). En dat is nu precies waar bedrijven goed in zouden moeten zijn: hun klanten zo'n goed aanbod doen, dat vrijwel alle klanten vinden dat de waarde/nut ervan opweegt tegen het stukje privacy dat ze daarmee inleveren.

Zo zouden bedrijven ook naar hun Big Data plannen moeten kijken: "Is mijn Big Data plan met klantgegevens zo goed, dat klanten er geen nee tegen willen zeggen?" Dit vereist echter een grote mate van transparantie over wat je als bedrijf eigenlijk wil gaan doen met de klantgegevens. Het bedrijf moet daarbij alles op tafel leggen, open en eerlijk. En dan niet alleen aangeven hoe de (privacy)belangen van de klant juridisch worden beschermd, maar ook welke feitelijke beschermingsmaatregelen zijn genomen (bijv. anonimisering) en wat de voor- en nadelen van de Big Data-verwerking zijn voor de klant. En dat mogen geen loze praatjes zijn (window dressing), maar echte maatregelen en echte voordelen.

Als je dus goed hebt nagedacht over je Big Data plannen, de nodige maatregelen hebt genomen om de belangen van de klant te beschermen en open en eerlijk communiceert over de voor- en nadelen voor de klant, dan heb je in principe voldaan aan de eisen van het gerechtvaardigd belang zoals vereist door artikel 8 sub f WBP. En daarmee is je verwerking behoorlijk en zorgvuldig en in overeenstemming met de wet, de hoofdregel van de WBP. Voldoe je niet aan die eisen en heb je dus toestemming van de klant nodig, zou het dan niet beter zijn om dan maar helemaal van je Big Data plan af te zien?

Een 'gerechtvaardigd belang'-aanbod aan de klant moet immers veel beter zijn dan een 'opt-in'-aanbod, omdat de default-positie ín dat geval is dat zijn gegevens worden verwerkt tenzij hij daar bezwaar tegen maakt ('opt-out'). Dat vereist, zoals gezegd, een rechtvaardiging die intrinsiek is gelegen in het plan zelf en voor de klant als zodanig herkenbaar is. Door toestemming te vragen zeg je dus eigenlijk tegen de klant: "Mijn plan voor de verwerking van jouw persoonsgegevens is niet in jouw belang". Dat is een boodschap die geen enkel bedrijf wil communiceren naar zijn klanten.