Menu

Opiniestuk: voorzorg en risico in de Algemene Verordening Gegevensbescherming

Op een aantal plaatsen in de Algemene verordening gegevensbescherming (AVG) wordt gesproken in termen van risico. In deze opinie gaat het met name om ‘het risico voor de rechten en vrijheden van natuurlijke personen’ in de artikelen 23 (wettelijke grondslag voor inperking van het rechten en plichten AVG), 24 (algemene verplichtingen van de verantwoordelijke), 25 (gegevensbescherming door ontwerp en standaardinstellingen), 32 (beveiliging), 33 en 34 (datainbreuk), 35 (gegevensbeschermingseffectbeoordeling).

01-01-1970 -

Je kunt de term ‘risico’ hier op verschillende manieren lezen, en de verleiding is groot om aan een kwantitatieve benadering te denken naar analogie met de risicoanalyse afkomstig uit de zogenaamde operations research (toegepaste besliskunde). Die benadering houdt in dat via wiskundige technieken in kaart wordt gebracht hoe groot de kans is dat zich bepaalde inbreuken voordoen en hoe groot de inbreuk waarschijnlijk zal zijn. Operations research is ook de bakermat van de cybernetica, die ziet op het uitoefenen van controle op afstand. De mantra daar is dat controle bereikt kan worden middels (1) het vaststellen van standaarden, (2) het monitoren van gedrag dat aan die standaarden zou moeten voldoen en (3) voor zover afwijkingen worden gemeten, het beïnvloeden van dat gedrag. Niet helemaal toevallig is dat ook de manier waarop in de Anglo-Amerikaanse wereld wordt gedacht over ‘regulering’: dat wil zeggen het proberen gedrag te beïnvloeden door middel van het stellen van regels.

Als jurist heb ik daar moeite mee. Wet- en regelgeving is niet zomaar een poging om gedrag te beïnvloeden, maar een manier om democratisch gelegitimeerde normen te voorzien van rechtsgevolg. En dat laatste is veel meer dan een kwestie van gedragsbeïnvloeding. Aan rechtsregels stellen we een aantal kwaliteitseisen die zich niet eenduidig laten kwantificeren, maar schending daarvan heeft wel degelijk rechtsgevolg, bijvoorbeeld nietigheid, ongeldigheid of aansprakelijkheid.

De cybernetische opvatting van de risicoanalyse klinkt ernstig en objectief, maar ik vrees dat iedereen die zich verdiept heeft in de aard van rechten en vrijheden van individuen zich op het hoofd zal krabben. Hier lijkt zich een categoriefout voor te doen of een verkeerd genre gekozen te worden. Aantasting van rechten en vrijheden laat zich zeker wel door kwalitatieve waarschijnlijkheid duiden, maar niet door pseudoaccuratesse op basis van numerieke maatstaven. Het is heel goed mogelijk om te voorzien – en te beargumenteren– dat het op massale schaal verwerken van gegevens van online impressie- en klikgedrag met als doel het optimaliseren van advertentie-inkomsten zal leiden tot aantasting van verschillende fundamentele rechten (privacy, non-discriminatie, vrijheid van informatie). En je zou zelfs in bepaalde gevallen kunnen voorzien dat zo’n inbreuk aanzienlijk of gewoon groot is, dan wel de kans daarop aanmerkelijk dan wel zeer hoog. Maar modelletjes ontwerpen die zo’n kans inkleuren tot 68 procent of de inbreuk zelf op 43 procent is vergelijkbaar met astrologie en orakeltaal, juist vanwege de suggestie van accuratesse die immer uit de lucht is gegrepen. Rechten en vrijheden laten zich nu eenmaal niet op die wijze kwantificeren.

Als het gebruik van de term risico niet kan worden begrepen in de zin van kwantitatieve risicomodellen, dan is het zaak om nog eens goed naar de AVG te kijken. Het gaat eigenlijk steeds om een verplichting om te voorzien dat de verwerking waarschijnlijk leidt tot aantasting van rechten en vrijheden en vervolgens om een verplichting tot het nemen van de nodige maatregelen. Een van die maatregelen kan zijn om af te zien van de verwerking. Het gaat hier dus eigenlijk om het voorzorgbeginsel. Wie bij voorbaat ‘gelooft’ dat meer data tot meer innovatie leidt, die dan ook bij voorbaat lovenswaardig wordt bevonden, zal daarin een groot probleem zien. Wie meent dat de bewijslast voor het inzetten van datagestuurde systemen ligt bij degene die het in de markt zet of gebruikt, zal opgelucht ademhalen. Zeker wanneer inbreuken op rechten en vrijheden verwacht mogen worden, is voorzorg aan de orde.

Risico nemen maakt deel uit van het vrije ondernemerschap, maar dat geldt niet voor het nemen van risico met andermans rechten en vrijheden.

Om steeds op de hoogte te zijn van de laatste wetgeving en actuele ontwikkelingen binnen privacy, persoonsgegevens en gegevenswerking, kunt u terecht bij het tijdschrift Privacy & Persoonsgegevens, waarin dit opiniestuk verschenen is. 

Ook interessant

Recht

Reeks Privacy & Persoonsgegevens | Print + Digitaal

Frankie Schram

Bestel

Recht

Privacy en gegevensbescherming van de werknemer in de private en publieke sector (P&P)

Koen Naert

Bestel

Recht

Privacy en Gedragsverandering (P&P)

Kurt Penninck

Bestel

Recht

Privacy & Persoonsgegevens: De cookieregelgeving voor overheden en bedrijven

Bart Van den Brande
Matthias Vandamme

Bestel

Recht

Privacy & Persoonsgegevens: Cahier: GDPR in vraag & antwoord

Tom De Schepper
Miet Remans
Ward Van Hal

Bestel

Recht

Tijdschrift Privacy & Persoonsgegevens

Frederic Debusseré
Vincent Dooms
Isabel Plets
Laura De Boel
Griet Verhenneman
Niels Diels

Bestel