Ook zal de AVG niet kunnen voorkomen dat bedrijven en overheden hun machtspositie ten opzichte van individuen steeds verder kunnen uitbreiden. Dat is de kern van het betoog in mijn proefschrift Big data, big risks, big power shifts, verdedigd op 12 september 2019 in Leiden.

In vier wetenschappelijke artikelen, gepubliceerd tussen 2014 en 2018, benaderde ik de gevolgen van big data voor risico’s en machtsverhoudingen uit verschillende invalshoeken. Denk daarbij aan de mogelijkheid voor consumenten om mee te kunnen beslissen over de inhoud van privacyovereenkomsten met bijvoorbeeld Google, Facebook en bouwers van apps, en de te verwachten effectiviteit van het verbod op de verwerking van bijzondere persoonsgegevens.

Ja, doe maar

In beginsel ben je vrij om zelf te kiezen met wie je een contract sluit. Maar vaak als je niet akkoord gaat met allerlei voorwaarden van een aanbieder, dan is je telefoon of televisie niet meer ‘smart’ of kun je die populaire app of website niet gebruiken. De inhoud van die voorwaarden stellen fabrikanten, verkopers of dienstverleners eenzijdig vast. Hoeveel vrijheid heb je dan nog? Toch vindt de AVG zo’n overeenkomst in beginsel voldoende om verwerking van persoonsgegevens rechtmatig te maken.

Natuurlijk geeft de AVG ons  ‘beginselen inzake de verwerking van persoonsgegevens’. Denk daarbij aan rechtmatigheid, transparantie en doelbinding. Maar als individuele consument kun je die beginselen moeilijk afdwingen. Je kunt naar de rechter om je contract te laten toetsen, maar dat kost tijd en geld – en dan nog: had je de tijd om de voorwaarden te lezen en kon je ze begrijpen?

De AP (of andere toezichthouders) zijn er ook niet als de kippen bij om contracten te toetsen aan die beginselen, ook al omdat ze in nogal algemene termen zijn opgesteld met veel ruimte voor interpretatie. En bovendien, we willen met onze tijd mee: de smartphone maakt het leven voor velen een stuk aangenamer en eenvoudiger. Zo gaan we tezamen jaarlijks met miljoenen contracten akkoord.

Waarom mag dat eigenlijk van de AVG? Die verordening kwam tot stand in Brussel, waar lobby’s van grote bedrijven van oudsher veel meer invloed hebben dan belangengroepen van consumenten of burgers. Debatten in het Europees Parlement zijn moeilijk te volgen en krijgen weinig persaandacht. Het wetgevingsproces in de EU speelt zich bovendien deels achter gesloten deuren af. Burgers hebben zo minder mogelijkheden om het stemgedrag van hun parlementariërs te zien of te beïnvloeden. Zo werd de AVG een compromis tussen de belangen van het individu – bescherming – en van het bedrijfsleven, dat vooral voordeel heeft van het vrije verkeer van persoonsgegevens. Al met al zijn we er als consumenten die zelf willen bepalen waarmee we akkoord gaan, bekaaid vanaf gekomen.

Andere wetten aanspreken

Gelukkig wordt de consument ook beschermd door andere regels, zoals een verbod op oneerlijke algemene voorwaarden, en een verbod op oneerlijke handelspraktijken. Met behulp van een rechtsvergelijking stelde ik vast dat die bescherming vaak meer mogelijkheden biedt voor consumenten dan de AVG. In theorie zou die bescherming ook van toepassing zijn op overeenkomsten over de verwerking van persoonsgegevens. Echter, in de praktijk pakt dat vaak anders uit, bijvoorbeeld omdat bijzondere regels vóór algemene regels gaan – en de AVG is in dergelijke gevallen de bijzondere regel.

Uiteraard wil dat niet zeggen dat de bescherming van de AVG niets voorstelt. Zo zijn bedrijven als Google en Microsoft inmiddels al meerdere malen gedwongen om hun diensten aan te passen aan Europese regels. Het recht op verwijdering van zoekresultaten en aanpassingen van het volgen van gebruiksgedrag in Windows 10 en Office zijn twee aansprekende voorbeelden. Een groot aantal consumenten zal er baat bij kunnen hebben. Zo krijg je in Windows 10 inmiddels iets meer grip op wat Microsoft met persoonsgegevens kan doen. Google moet onder het vergeetrecht zoekresultaten aanpassen. Maar deze resultaten kunnen de machtsverschuivingen die big data met zich meebrengt bij lange na niet ongedaan maken.

Voorbeeld milieuwetgeving

Toch heeft big data ook voordelen en de opkomst ervan lijkt sterk op veel andere technologische ontwikkelingen zoals bijvoorbeeld in de chemie. Omgaan met de nadelen van de vooruitgang doen we met de AVG dan ook niet voor het eerst. De ontwikkeling van milieuwetgeving over de laatste decennia laat goed zien hoe samenlevingen kunnen reageren op de risico’s van de vooruitgang. De sociologie en de technische wetenschappen hebben belangrijke bijdragen geleverd. Wetenschappers als Ulrich Beck en Charles Perrow hebben de processen van risicoperceptie en -acceptatie theoretisch onderbouwd. Andere auteurs onderzoekers hebben de risico’s van de techniek goed op een rijtje gezet en manieren aangedragen waarmee je ze ‘in de hand zou kunnen houden’.

Ik vind het een gemiste kans dat deze kennis niet gebruikt is bij het bepalen van de risico’s van de verwerking van persoonsgegevens. De opstellers van de AVG – maar ook van alle voorgangers daarvan – waren duidelijk bezorgd over mogelijk misbruik van persoonsgegevens, maar hebben dat nooit uitdrukkelijk en in detail opgeschreven.

Niet alleen was het moeilijk om de richting van technologische ontwikkelingen te voorspellen. Ook was er flink verschil in opvattingen tussen Europa en de Verenigde Staten, die hun belangrijke economische banden willen behouden maar voortdurend problemen hebben met het onderling persoonsgegevens uitwisselen.

Het is dus wel te begrijpen dat er weinig heil werd verwacht van specifieke verbodsbepalingen. In plaats daarvan kwam men uit op algemene beginselen waaraan iedere toepassing zou moeten worden getoetst op het moment dat ze werd ingevoerd. Bovendien was de ontwikkeling van regels over data al ingezet voordat Beck en Perrow hun belangrijkste werk over risico’s publiceerden.

Gevoelige persoonsgegevens?

Een van de beste voorbeelden van verschillende opvattingen tussen Europa en de VS over de risico’s is de verwerking van bijzondere – of gevoelige – persoonsgegevens: etniciteit, religieuze opvatting, seksuele voorkeur enzovoorts. In de OECD bereikten de VS en Europa geen overeenstemming over de vraag of dat gevaarlijk is. Maar in Europa was men eensgezind: wel gevaarlijk.

 De AVG is dan ook streng: je mag deze gegevens niet verwerken behalve als de AVG uitdrukkelijk zegt dat het mag. Maar welke nadelige gevolgen op die manier moeten worden afgewend, blijft onuitgesproken. Dat zou nog tot daaraan toe zijn als het verbod op het verwerken van deze gegevens echt alle nadelige gevolgen kon voorkómen – maar dat is zelfs met zo’n formulering van ‘mag niet, tenzij’ helemaal niet het geval.

Het is bovendien goed mogelijk om gevoelige gegevens af te leiden uit niet-gevoelige gegevens. Denk maar eens aan de bonuskaart van mensen die geen varkensvlees kopen en nooit op zaterdag boodschappen doen; of aan mensen wier telefoon vaak op vrijdagmiddag op één bepaalde plek is, tegelijk met een heleboel andere telefoons.

En zoekmachines kunnen ook een redelijk goed beeld vormen van wat mensen bezighoudt, zoals plotseling opduikende lichamelijke ongemakken. Dat je deze gegevens kunt achterhalen is niet zomaar een ’leuk weetje’ – het blijkt volgens de theorie van complexe systemen een fundamentele eigenschap van menselijke samenlevingen (groepsgedrag), maar ook van het menselijk lichaam (lichamelijke respons op bijvoorbeeld infectieziekten).

Geen hypotheek voor jou

Je zou met een beetje goede wil en een grote dataset dus vrij eenvoudig groepen mensen kunnen aanwijzen die een zogenoemd gevoelig kenmerk met elkaar gemeen hebben. Sterker nog: AI-algoritmen kunnen dit ook zónder goede wil en zonder kennis van welk gevoelig kenmerk dan ook. Oftewel: het kan zomaar gebeuren dat een bepaalde groep mensen maar moeilijk een hypotheek kan krijgen zonder dat ook maar iemand – ook de bank niet! – weet dat al die mensen een gevoelig kenmerk met elkaar gemeen hebben. ‘Computer says no’ tegen steeds dezelfde categorie mensen. Het effect daarvan is moeilijk te onderscheiden van moedwillige discriminatie.

Opnieuw is enige nuancering op zijn plaats: dat de AVG geen specifieke risico’s identificeert, maakt het mogelijk om de voorschriften ‘technologisch neutraal’ toe te passen. Dit draagt bij aan een rustig wetgevingsklimaat, waarin innovatie niet steeds in de kiem wordt gesmoord, de of de AVG snel gedateerd raakt. Aan de andere kant is het jammer dat niet is voortgebouwd op de sociologische kennis over de beheersing van technische risico’s.

Abstracte regels komen te vroeg

Uiteindelijk heb ik geconcludeerd dat de tijd nog niet rijp is voor de zeer abstracte benadering van de AVG. De risico’s van big data verdienen een maatschappelijk debat dat – op dit moment althans – afhankelijk moet zijn van de context. De belangen en risico’s van groepen consumenten, werknemers en studenten verschillen bijvoorbeeld sterk van elkaar naar gelang de context van de verwerking van hun persoonsgegevens.

Gelukkig hebben deze mensen meestal al de mogelijkheid om in hun specifieke context mee te praten over zaken die hen aangaan. De Consumentenbond, vakbonden en de studentenvertegenwoordigingen in het onderwijs zouden goede partijen zijn om namens consumenten, studenten of leerlingen te onderhandelen over wat wel of niet acceptabel is op het gebied van big data.

Het gaat om begrippen die al heel lang worden gebruikt en die iedereen kan begrijpen. “Goed werkgeverschap” bijvoorbeeld of “oneerlijke voorwaarden” zijn nog steeds bruikbaar als maatstaf voor wat een werkgever of  marktpartij mag doen, óók als het over persoonsgegevens gaat. Met die begrippen is het dus zeer goed mogelijk om de risico’s van big data te bespreken zonder dat je moet vervallen in AVG-jargon, dat voor de meeste mensen vreemd is.

Ook het kiezen en beoordelen van geschikte maatregelen gaat beter met begrippen waar iedereen vertrouwd mee is. Context-specifieke handhaving van deze afspraken voor dataverwerking (door bijvoorbeeld de ACM of de Inspectie SZW) is waarschijnlijk effectiever dan het toezicht in alle branches volledig aan één partij (zoals de AP) over te laten.

Nog geen bigdatawet

Voor een ‘algemene verordening’ zoals de AVG lijkt mij de tijd pas rijp als de risico’s van big data toepassingen voldoende inzichtelijk zijn geworden voor alle betrokken partijen. Vanwege de nog steeds stormachtige ontwikkelingen op dit gebied zou het goed kunnen dat daar nog wat tijd overheen gaat.

Zo is pas sinds kort duidelijk dat big data ook een rol speelt in het bespelen van de publieke opinie en zelfs het beïnvloeden van verkiezingen. En het gebruik van big data in de medische wereld is grotendeels onontgonnen terrein.

De EU claimt dat de AVG voor de komende decennia klaar is om risico’s op dit gebied het hoofd te bieden. Op basis van mijn onderzoek heb ik voldoende reden om daar ernstig aan te twijfelen.