Privacycommissie wil big data aan regels onderwerpen

‘De meeste big data-analyses en toepassingen van algoritmes zijn vaak niet gebaseerd op een duidelijk wettelijk kader’, schrijft de Privacycommissie in haar gloednieuwe Big Data-rapport, dat Knack kon inkijken. De Commissie formuleert 33 aanbevelingen.

Het argument dat big data géén risico vormen voor persoonsgegevens omdat enkel gewerkt wordt met anonieme data, veegt de Privacycommissie resoluut van tafel. ‘Er zijn niet altijd afdoende garanties voorhanden die de mogelijkheid van heridentificatie volledig uitsluiten.’

Gecodeerde of geanonimiseerde gegevens beschouwen als een sluitende waarborg voor de privacy, is volgens de commissie niet altijd correct. ‘Onderzoekers hebben de afgelopen jaren herhaaldelijk aangetoond dat zelfs zogezegd geanonimiseerde of gecodeerde data zonder veel moeite tot specifieke individuen te herleiden zijn met het daarbij horende risico op heridentificatie.’ Denk aan de analyse van je aankoopgedrag, het tracken van je telecommunicatie of het volgen van je online activiteit met behulp van cookies: het risico van heridenficatie loert telkens om de hoek. De Privacycommissie beveelt dan ook aan om waarborgen in te bouwen dat er geen pogingen worden ondernomen tot heridentificatie, ‘bijvoorbeeld door koppeling met andere datasets’.

Opgelet met Facebook-likes

Nog een waarschuwing: niet-gevoelige persoonsgegevens of ogenschijnlijk onschadelijke gegevens kunnen volgens de Privacycommissie potentieel worden omgezet in gevoelige persoonsgegevens. ‘Uit publiek beschikbare Facebook-“likes” zou bijvoorbeeld een computermodel kunnen worden opgesteld dat op accuratere wijzere de persoonlijkheid van een persoon kan beschrijven dan mogelijk is voor vrienden, collega’s, echtgenoten of familie. Ook seksuele oriëntatie, etniciteit, religieuze en politieke overtuigingen en het gebruik van verslavende middelen zoals alcohol, tabak en drugs kan automatisch en accuraat uit de likes worden afgeleid. Big data-analyses van dagdagelijkse gegevens -verzorgingsproducten, maat van aangekochte kleding, locatiegegevens, financiële transacties- kunnen dikwijls met succes een correlatie aantonen met bijvoorbeeld gezondheidsgegevens -zoals ziekte, zwangerschap, kans op overlijden- of een criminaliteitsfenomeen.’

Juridisch bewijsmateriaal

Het is volgens de Privacycommissie ‘van groot belang’ dat er een wettelijke regeling komt die bepaalt hoe en wanneer het resultaat van data mining en statistische analyses door de overheid al dan niet kan gebruikt worden als juridisch bewijsmateriaal, om beslissingen te nemen in individuele dossiers -bijvoorbeeld bij de aanpak van fraude of bij ordehandhaving.

Het rapport verwijst ook naar bestaand onderzoek waaruit blijkt dat datamining een ‘ineffectieve methode’ zou kunnen zijn om terroristen, georganiseerde misdaad of mensensmokkel op te sporen. De reden? ‘Deze fenomenen hebben vaak een onvoldoende regelmatig karakter.’ Zeker wanneer de overheid big data inzet in het kader van criminaliteitsbestrijding en ordehandhaving moeten toezichthouders de wenselijkheid en efficiëntie onderzoeken. De Privacycommissie pleit dan ook voor een ‘versterkte technische en statistische capaciteit’ bij onder meer het Comite P en het Comite I, de controleorganen van de politie- en inlichtingendiensten.

Bijzondere opsporingsmethodes

Modellen zoals “predictive policing” en fraudeopsporing aan de hand van correlaties moeten volgens de Privacycommissie behandeld worden als buitengewone opsporingsmethodes. Ook daar moet een nieuw wettelijk kader voor komen. ‘Anders is er geen garantie dat de techniek op een maatschappelijk verantwoorde wijze wordt ingezet. (…) Voor predictive policing zou bijvoorbeeld expliciet kunnen worden voorzien dat het Controle Orgaan voor het Beheer van de Politionele Informatie een specifieke controleopdracht krijgt om de wenselijkheid en efficiëntie van het i-Politie project van de Federale Politie te beoordelen.’