De essentie van onze privacywetgeving is ‘surprise minimisation’. Verras mensen zo min mogelijk met gegevensverzamelingen en nieuw gebruik daarvan buiten de context waarin die gegevens werden verzameld, en houdt daarbij vast aan de internationaal erkende privacy-principes. Big data staat echter voor iets anders. Dit fenomeen is gericht op ‘surprise maximisation’. Licht grote hoeveelheden data uit hun context en koppel deze aan onnavolgbare wiskundige formules, om zo nieuwe en veelal totaal onverwachte verbanden vast te stellen. Organisaties die zich hiermee bezighouden staan voortdurend bloot aan de verleiding om onze privacy-principes te verwaarlozen.
Wij moeten daarom op zoek naar de voorwaarden waaronder big data-analyses gebruikt mogen worden, zonder onze privacy-principes te verkwanselen en zonder essentiële elementen van onze menswaardigheid te verliezen. De wettelijke privacy-principes zijn bedoeld om ongebreidelde verzameling en gebruik van persoonsgegevens tegen te gaan: wees transparant over de data die je verzamelt en gebruikt (transparantie); gebruik data niet voor een ander doel dan waarvoor je deze hebt verzameld (doelbinding); gebruik niet meer data dan noodzakelijk voor het doel (dataminimalisatie).
Big data lijken prachtige kansen te bieden om uiteenlopende dreigingen en problemen het hoofd te bieden. Zo is het mogelijk om epidemieën te voorspellen, verkeersstromen te regelen en onze energie-efficiency te verbeteren. Dit wordt anders wanneer mensen op grond van profielen die uit big data zijn gedestilleerd, anders worden behandeld. De inzet van big data kan daarmee leiden tot een vorm van ‘digitale predestinatie’, waarbij wij gehinderd zullen worden in onze vrije ontwikkeling en ontplooiing.
Op basis van verzamelde gegevens worden, nu al, keuzes voor mij gemaakt. Bijvoorbeeld welke aanbiedingen ik krijg en welke niet, welke informatie ik te zien krijg en welke niet. Bekend voorbeeld is dat winkelketen Target door het combineren van data wist dat een tienermeisje zwanger was en daarop gebaseerde aanbiedingen deed. Dit zonder dat zij ooit zwangerschaps- of babyspullen had gekocht en zonder dat haar vader ervan wist. Die ging op hoge poten naar Target om te vragen waarom zijn dochter deze aanbiedingen kreeg.
Het is tijd voor een maatschappelijk debat over privacybescherming bij big data. Wat mij betreft moet dat debat niet alleen gaan over de grenzen aan het gebruik van persoonsgegevens, maar vooral ook over de grenzen aan het verzamelen van persoonsgegevens. Want anders voorkom je niet dat de gegevens buiten hun context – voor een heel ander dan het oorspronkelijke verzameldoel – worden gebruikt. Of dat de verzamelde data via een beveiligingslek op straat komen te liggen.
Voordat je gaat verzamelen, moet je je afvragen: heb ik deze gegevens nodig en verzamel ik niet meer dan nodig? Een debat over de grote kansen en risico’s van big data is noodzakelijk, zodat wij optimaal gebruik kunnen maken van het fenomeen zonder dat dat ten koste gaat van de vrije ontplooiing van individuen.
De bescherming van persoonsgegevens is niet voor niets een Grondrecht.
Jacob Kohnstamm is voorzitter van het College bescherming persoonsgegevens (CBP).
