Menu

Opiniestuk: voorzorg en risico in de Algemene Verordening Gegevensbescherming

Op een aantal plaatsen in de Algemene verordening gegevensbescherming (AVG) wordt gesproken in termen van risico. In deze opinie gaat het met name om ‘het risico voor de rechten en vrijheden van natuurlijke personen’ in de artikelen 23 (wettelijke grondslag voor inperking van het rechten en plichten AVG), 24 (algemene verplichtingen van de verantwoordelijke), 25 (gegevensbescherming door ontwerp en standaardinstellingen), 32 (beveiliging), 33 en 34 (datainbreuk), 35 (gegevensbeschermingseffectbeoordeling).

01-01-1970 - door Mireille Hildebrandt

Je kunt de term ‘risico’ hier op verschillende manieren lezen, en de verleiding is groot om aan een kwantitatieve benadering te denken naar analogie met de risicoanalyse afkomstig uit de zogenaamde operations research (toegepaste besliskunde). Die benadering houdt in dat via wiskundige technieken in kaart wordt gebracht hoe groot de kans is dat zich bepaalde inbreuken voordoen en hoe groot de inbreuk waarschijnlijk zal zijn. Operations research is ook de bakermat van de cybernetica, die ziet op het uitoefenen van controle op afstand. De mantra daar is dat controle bereikt kan worden middels (1) het vaststellen van standaarden, (2) het monitoren van gedrag dat aan die standaarden zou moeten voldoen en (3) voor zover afwijkingen worden gemeten, het beïnvloeden van dat gedrag. Niet helemaal toevallig is dat ook de manier waarop in de Anglo-Amerikaanse wereld wordt gedacht over ‘regulering’: dat wil zeggen het proberen gedrag te beïnvloeden door middel van het stellen van regels.

Als jurist heb ik daar moeite mee. Wet- en regelgeving is niet zomaar een poging om gedrag te beïnvloeden, maar een manier om democratisch gelegitimeerde normen te voorzien van rechtsgevolg. En dat laatste is veel meer dan een kwestie van gedragsbeïnvloeding. Aan rechtsregels stellen we een aantal kwaliteitseisen die zich niet eenduidig laten kwantificeren, maar schending daarvan heeft wel degelijk rechtsgevolg, bijvoorbeeld nietigheid, ongeldigheid of aansprakelijkheid.

De cybernetische opvatting van de risicoanalyse klinkt ernstig en objectief, maar ik vrees dat iedereen die zich verdiept heeft in de aard van rechten en vrijheden van individuen zich op het hoofd zal krabben. Hier lijkt zich een categoriefout voor te doen of een verkeerd genre gekozen te worden. Aantasting van rechten en vrijheden laat zich zeker wel door kwalitatieve waarschijnlijkheid duiden, maar niet door pseudoaccuratesse op basis van numerieke maatstaven. Het is heel goed mogelijk om te voorzien – en te beargumenteren– dat het op massale schaal verwerken van gegevens van online impressie- en klikgedrag met als doel het optimaliseren van advertentie-inkomsten zal leiden tot aantasting van verschillende fundamentele rechten (privacy, non-discriminatie, vrijheid van informatie). En je zou zelfs in bepaalde gevallen kunnen voorzien dat zo’n inbreuk aanzienlijk of gewoon groot is, dan wel de kans daarop aanmerkelijk dan wel zeer hoog. Maar modelletjes ontwerpen die zo’n kans inkleuren tot 68 procent of de inbreuk zelf op 43 procent is vergelijkbaar met astrologie en orakeltaal, juist vanwege de suggestie van accuratesse die immer uit de lucht is gegrepen. Rechten en vrijheden laten zich nu eenmaal niet op die wijze kwantificeren.

Als het gebruik van de term risico niet kan worden begrepen in de zin van kwantitatieve risicomodellen, dan is het zaak om nog eens goed naar de AVG te kijken. Het gaat eigenlijk steeds om een verplichting om te voorzien dat de verwerking waarschijnlijk leidt tot aantasting van rechten en vrijheden en vervolgens om een verplichting tot het nemen van de nodige maatregelen. Een van die maatregelen kan zijn om af te zien van de verwerking. Het gaat hier dus eigenlijk om het voorzorgbeginsel. Wie bij voorbaat ‘gelooft’ dat meer data tot meer innovatie leidt, die dan ook bij voorbaat lovenswaardig wordt bevonden, zal daarin een groot probleem zien. Wie meent dat de bewijslast voor het inzetten van datagestuurde systemen ligt bij degene die het in de markt zet of gebruikt, zal opgelucht ademhalen. Zeker wanneer inbreuken op rechten en vrijheden verwacht mogen worden, is voorzorg aan de orde.

Risico nemen maakt deel uit van het vrije ondernemerschap, maar dat geldt niet voor het nemen van risico met andermans rechten en vrijheden.

Om steeds op de hoogte te zijn van de laatste wetgeving en actuele ontwikkelingen binnen privacy, persoonsgegevens en gegevenswerking, kunt u terecht bij het tijdschrift Privacy & Persoonsgegevens, waarin dit opiniestuk verschenen is. 

Ook interessant

Recht

Privacy & Persoonsgegevens: functionaris voor de gegevensbescherming: Cahier | 2de editie

Frankie Schram

Bestel

Recht

Big Data Rapport

Cliff Beeckman
Frank De Smet
Dieter Verhaeghe

Bestel

Recht

Codex algemene verordening gegevensbescherming

Dirk De Bot

Bestel

Recht

Reeks Privacy & Persoonsgegevens

Frankie Schram

Bestel