PRIVACY-ASPECTEN VAN OPEN DATA

Transcriptie

1 PRIVACY-ASPECTEN VAN OPEN DATA Miletić, Wilko Studentnummer: Capita selecta Informatierecht : open data Master Informatierecht Faculteit der Rechtsgeleerdheid / Instituut voor Informatierecht, Universiteit van Amsterdam Aantal woorden: , exclusief voetnoten en referenties Final Datum: 1 juni 2013

2 Inhoudsopgave 1 Inleiding Inleiding Hergebruikrichtlijn en open data Big data Open data meets big data Dataprotectierichtlijn en Wet bescherming persoonsgegevens Hoofdvraag Methodiek Inleiding Populatie Steekproef Open data en de Dataprotectierichtlijn / Wbp Dataprotectierichtlijn Het begrip persoonsgegeven Doelbinding Automatische verwerkingen en gebruiksmogelijkheden Open data als persoonsgegevens Conclusie Privacy-afwegingen bij openbaarmaken Inleiding Casus 1: BAG-gegevens Casus 2: Kentekenregister Het beleid rondom open data Conclusie Openbaarheid versus privacy Conclusie Referenties Literatuur Rechtspraak Overige bronnen

3 1 Inleiding 1.1 Inleiding De informatie-economie is nog altijd volop in beweging. Er komt steeds meer data beschikbaar 1, en bovendien wordt het steeds beter mogelijk die data op een zinvolle manier te ontsluiten. In deze paper zullen deze twee ontwikkelingen worden besproken, toegespitst op open data. Vervolgens zal een kritische juridische analyse worden gedaan met betrekking tot de gevolgen van deze ontwikkelingen voor gegevensbescherming en informationele privacy. 1.2 Hergebruikrichtlijn en open data In 2003 werd de Europese hergebruikrichtlijn aangenomen. 2 Deze richtlijn is in Nederland geïmplementeerd in de Wet openbaarheid van bestuur. 3 Hiermee is een beweging ingezet naar een overheid die actief datasets openbaar maakt. De openbaar gemaakte data wordt vaak open data genoemd. Zowel op nationaal als op Europees niveau worden open data portals opgezet, waar burgers overheidsdata kunnen inzien en gebruiken. 4 Belangrijke drijfveren achter deze grootschalige openbaarmakingen zijn dat de beschikbaarstelling van overheidsdata een positief effect zou moeten hebben op innovatie, de economie en ook de democratie. 5 Open data maakt het mogelijk om innovatieve informatieproducten te creëren en om de overheid te controleren. Vooral de Europese Commissie blijkt veel potentie in open data te zien. Deze schat dat er 40 miljard per jaar verdiend kan worden met open data. 6 De hergebruikrichtlijn en de daaruit voortvloeiende praktijk van open data zorgt ervoor dat er steeds meer data beschikbaar komt waarop analyses kunnen worden uitgevoerd. In deze paper zal uitsluitend worden gefocust op openbare overheidsinformatie, die bijvoorbeeld via beschikbaar is. 1.3 Big data Big data is een populaire term voor het feit dat er steeds meer data elektronisch beschikbaar komt, en (vooral) dat deze informatie steeds beter toegankelijk wordt gemaakt. 7 Er zijn veel bedrijven die zich specialiseren in het ontwerpen van nieuwe zoekalgoritmen, waarmee het (beter) mogelijk wordt om bruikbare informatie te destilleren uit een veelvoud van grote databases. Zonder dergelijke algoritmen gebeurt het al snel dat men te maken krijgt met een information overload zo n grote hoeveelheid gegevens, dat geen mens er zinvolle informatie uit kan halen. De nieuwe, intelligente algoritmen maken het mogelijk dat steeds meer databanken op een zinvolle manier aan elkaar kunnen worden gekoppeld en dat nauwkeurige voorspellingen en analyses gedaan kunnen worden omtrent allerlei mogelijke zaken. Vanuit een bedrijfstechnisch oogpunt is dit zeer waardevol, omdat dergelijke analyses gebruikt kunnen worden om een bedrijf (of overheid) zo efficiënt mogelijk in te richten. Een goed voorbeeld hiervan is een onderzoek van de Amerikaanse Food and Drug Administration (FDA). In dit onderzoek zijn gegevens van zoekmachines en sociale media gebruikt om (voorheen onbekende) The Economist, Welcome to the yotta world, 17 november 2011, Richtlijn 2003/98/EG van het Europees Parlement en de Raad van 17 november 2003 inzake het hergebruik van overheidsinformatie. Art. 11a t/m 11i Wob. Zie ook de Wet implementatie richtlijn inzake hergebruik van overheidsinformatie, Stb. 2006, 25. Onder andere: en Zie bijvoorbeeld Huijboom & Van den Broek 2011, Derclaye 2008 en Aanbeveling CM/Rec(81)19 van het Comité van Ministers van de Raad van Europa (25 november 1981) on the access to information held by public authorities. Op de grondslagen van openbaarheid van overheidsinformatie wordt verder zeer uitgebreid ingegaan in Janssen 2010, p COM(2011) 882 final, p. 2. Zie voor meer achtergrondinformatie bijvoorbeeld Manyika e.a

4 bijwerkingen van medicijnen (of combinaties van medicijnen) te identificeren. 8 Dit kan artsen helpen om veiliger medicatie toe te dienen aan patiënten. Zoekalgoritmen kunnen ook worden gebruikt voor meer controversiële zaken, bijvoorbeeld om zoveel mogelijk informatie over personen bij elkaar te zoeken, te interpreteren en op een heldere manier te presenteren. Er ligt dus een zeker risico op de loer voor de (informationele) privacy van burgers. Het wordt immers steeds gemakkelijker om indirecte gegevens over iemand te verzamelen en daarmee voorspellingen te doen. Van de Amerikaanse FBI is bekend dat er een computersysteem wordt ontwikkeld dat in staat is de sociale media te volgen, patronen te ontdekken in de berichten, en verdachte activiteit te monitoren. 9 Met name door dit soort grootschalige monitor-praktijken heerst er flinke controverse rondom big data Open data meets big data Er zijn dus twee ontwikkelingen gaande. Aan de ene kant is er de ontwikkeling dat er in alle lagen van de overheid steeds meer data toegankelijk worden gemaakt via internet. Aan de andere kant wordt die data steeds beter ontsloten. Deze ontwikkelingen grijpen op elkaar in: door de open-data-beweging wordt de totale hoeveelheid beschikbare data vergroot. Het behulp van big data-technieken is het mogelijk die data op een zeer geavanceerde manier te ontsluiten. Uiteraard is dit waardevol, maar er kunnen ook vraagtekens bij worden gezet. Een van de zaken die zou moeten worden onderzocht, is in hoeverre dit gevolgen heeft voor de informationele privacy van burgers. Een en ander kan worden verduidelijkt met een voorbeeld. In de BAG 11 is informatie opgenomen over panden, waaronder het bouwjaar en de oppervlakte. Deze informatie is openbaar. 12 Met slechts mijn adresgegevens is te vinden dat ik woon in een pand uit 1930 van 97 m 2. In combinatie met kennis over huizenprijzen in Amsterdam zijn weer aannames te doen over mijn inkomen. 13 Nu is dit op zich niet nieuw: ook voorheen was het mogelijk naar een adres te fietsen en te schatten hoe groot zo n pand is. Wat wel nieuw is, is de geringe hoeveelheid moeite die het kost om een dergelijke analyse uit te voeren voor miljoenen adressen tegelijk. Voor websites als Pipl, die van allerlei bronnen persoonsgegevens verzamelen en bundelen, kan dergelijke informatie zeer interessant zijn om te vermelden. Op deze manier worden op zichzelf onschuldige gegevens in verband gebracht met een persoon, waardoor deze onschuldige gegevens deel gaan uitmaken van een rijk profiel van iemand. Aan de hand van dit eenvoudige voorbeeld is geïllustreerd dat het openbaarmaken van de BAG indirect gevolgen kan hebben voor de persoonlijke levenssfeer. Het is verwonderlijk dat in de eerder genoemde hergebruikrichtlijn geen specifieke regels zijn gesteld met betrekking tot persoonsgegevens. Er wordt slechts geregeld dat de het niveau van bescherming van individuen met betrekking tot het verwerken van persoonsgegevens intact wordt gelaten door de richtlijn. 14 Wat dit zou betekenen in een concreet geval, zoals bovenstaande voorbeeld, wordt echter niet direct duidelijk. Ook in de Memorie van Toelichting van de Nederlanse implementatiewet wordt volstaan met een summiere verwijzing naar de Wet bescherming persoonsgegevens Markoff Een kleine greep uit enkele kwaliteitsmedia: Lohr 2013, Chatterjee 2013, Ohm Uit juridische kring: Rubinstein Basisregistratie Adressen en Gebouwen. Bijvoorbeeld via Overigens is in dit voorbeeld nog niet te achterhalen of deze aanname ook echt klopt. Immers, het gebruik onder studenten is dat er een pand wordt gedeeld met meerdere huisgenoten, waardoor de oppervlakte per persoon in feite beperkter is dan wordt aangenomen. Art. 1 lid 4 hergebruikrichtlijn. Kamerstukken II 2004/05, 30188, nr. 3. 4

5 1.5 Dataprotectierichtlijn en Wet bescherming persoonsgegevens De Europese Dataprotectierichtlijn 16 stelt regels voor de verwerking van persoonsgegevens. De Dataprotectierichtlijn is in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (hierna: Wbp). Het doel van de richtlijn is (onder meer) het beschermen van de persoonlijke levenssfeer door het reguleren van het verwerken van persoonsgegevens. 17 Hierbij wordt met name aandacht gevestigd op geautomatiseerde verwerkingen en het feit dat vorderingen in technologie verwerking en uitwisseling van persoonsgegevens steeds gemakkelijker maken. 18 Het voorbeeld in de voorgaande paragraaf toont aan dat de BAG gegevens bevat die op het eerste gezicht vrij onschuldig lijken, maar in combinatie met andere gegevens kunnen leiden tot verrijking van een profiel van een persoon. Dit doet vermoeden dat de BAG binnen de scope van de richtlijn valt. Als dat zo is, dan zou dat betekenen dat de verwerking van gegevens uit de BAG is onderworpen aan de regels van de richtlijn. Dit brengt bijvoorbeeld met zich mee dat de verwerker verplicht is om de gegevens op verzoek van de betrokkene te verbeteren. 19 Omdat in de hergebruikrichtlijn nauwelijks aandacht wordt besteed aan de bescherming van de persoonlijke levenssfeer, is het de vraag of overheden zich wel voldoende realiseren dat het openbaarmaken van datasets in sommige gevallen invloed zou kunnen hebben op de bescherming van de persoonlijke levenssfeer. Met name nieuwe technologieën maken het mogelijk dat gegevens al snel binnen de scope van de regelingen omtrent gegevensbescherming vallen. 1.6 Hoofdvraag In deze paper zal worden onderzocht of er wel rekening is gehouden met dergelijke privacy-aspecten van de openbaarmaking van grote hoeveelheden overheidsdata. De hoofdvraag luidt: moet er bij het openbaarmaken van overheidsinformatie meer aandacht komen voor de bescherming van persoonsgegevens? De volgende deelvragen zullen aan de orde komen: Vallen openbare datasets binnen de scope van de Wbp? Voldoet de openbaarmaking van overheidsinformatie aan de eisen van de Wbp? Is er bij besluiten tot openbaarmaking van overheidsinformatie discussie geweest over mogelijke privacybezwaren? Wat zijn de grondslagen achter de openbaarmaking van overheidsinformatie? Moet een zeker privacy-risico worden geaccepteerd, gelet op deze grondslagen? Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Overwegingen 2 en 3 in de preambule van de Dataprotectierichtlijn. Overweging 4 in de preambule van de Dataprotectierichtlijn. Art. 12 sub b Dataprotectierichtlijn, art. 36 lid 1 Wbp. 5

6 2 Methodiek 2.1 Inleiding De hoeveelheid data die wordt openbaar gemaakt door de overheid, is groot. Het is ondoenlijk om alle datasets te onderzoeken op conformiteit met de regels omtrent gegevensbescherming. Daarom wordt gebruik gemaakt van een steekproef om enkele datasets te onderzoeken. Met deze uitkomsten is het mogelijk aannames te doen over de rest van de populatie. Dit onderzoek volgt dus een inductieve aanpak. 2.2 Populatie Op alle niveaus van bestuurslagen wordt overheidsinformatie openbaar gemaakt. De Europese Unie heeft een open-data-portal op Enkele voorbeelden van datasets die hier worden openbaargemaakt, zijn AirBase 20, gegevens over de productie van boter 21 en gegevens over de productie van afval. 22 De Nederlandse overheden maken hun data beschikbaar via Enkele voorbeelden van datasets die hier te vinden zijn, zijn het Kentekenregister 23, het Nationaal Wegenbestand 24 (NWB) en de Basisregistratie Adressen en Gebouwen 25 (BAG). Voor dit onderzoek zijn slechts de gegevens relevant, die op de een of andere manier invloed kunnen hebben op de persoonlijke levenssfeer van een persoon. De te onderzoeken populatie wordt daarom afgebakend naar gegevens, die direct of indirect iets kunnen zeggen over een persoon. Gegevens over de productie van boter of afval vallen hier dus duidelijk buiten. 2.3 Steekproef Uit deze populatie zijn drie gegevensbestanden gekozen op basis van een doelgerichte steekproef. 26 Dit houdt in dat casus zijn gekozen die zich het beste dienen voor het beantwoorden van de hoofdvraag. Hiermee is het mogelijk om evident irrelevante gegevensbestanden, zoals de gegevens over de boterproductie, buiten beschouwing te laten. De steekproef vertoont dus een bias. Hierdoor zijn de resultaten slechts beperkt te generaliseren naar de rest van de populatie. Dit wordt gerechtvaardigd doordat het doel van dit onderzoek niet is om een statistisch representatief beeld te scheppen van eventuele privacykwesties, maar om een illustratie te geven van mogelijke privacy-inbreuken die kunnen spelen bij open data Casus 1: BAG-gegevens De Basisregistratie Adressen en Gebouwen, kortweg BAG, is al genoemd in de inleiding. Hier is onder meer in vastgelegd wat de exacte schrijfwijze is van een adres, welk huisnummer bij welk pand hoort, wat dat pand voor functie heeft (bv. woning, bedrijfsruimte), hoe groot het pand is en wat het bouwjaar van het pand is. De grondslag van de BAG is de Wet BAG 27. De gegevens in de BAG zijn openbaar en voor iedereen beschikbaar. De openbaarmaking van de gegevens geschiedt op grond van art. 32 lid 1 Wet BAG Casus 2: Kentekenregister Het Kentekenregister wordt bijgehouden door de Dienst Wegverkeer (RDW). Een deel van het kentekenregister is online te raadplegen via < Hierin kan een willekeurig kenteken Gegevens over luchtkwaliteit door heel Europa: Saunders, Lewis & Thornhill 2004, p Wet basisregistraties adressen en gebouwen, Stb. 2008, 39. 6

7 worden ingevoerd, en het systeem toont diverse gegevens over het voertuig dat bij dat kenteken hoort: onder andere het merk van het voertuig, de cilinderinhoud, hoeveel eigenaren het voertuig heeft gehad en milieuprestaties. De naam van de eigenaar is wel opgenomen in het register, maar wordt niet via de genoemde website openbaar gemaakt Casus 3: Luchtkwaliteit De Europese Unie houdt van alle lidstaten nauwkeurige gegevens bij omtrent luchtkwaliteit. De luchtkwaliteit wordt gemeten door vele meetstations, verspreid door Europa. Via een portal kunnen meetgegevens van overal in Europa worden opgevraagd over bijvoorbeeld de gemeten hoeveelheid fijnstof en bekende uitstootgassen als NO x en SO 2. De gegevens beslaan de periode vanaf 1991 tot het heden, waardoor ook de effecten van milieubeleid zichtbaar worden. 7

8 3 Open data en de Dataprotectierichtlijn / Wbp 3.1 Dataprotectierichtlijn In 1995 is de Europese Dataprotectierichtlijn aangenomen. De achtergrond van deze richtlijn is dat het steeds gemakkelijker en goedkoper wordt om gegevens over personen op te slaan en verder te verwerken. 28 Ongebreideld gebruik van dergelijke gegevens zou leiden tot een inbreuk op de persoonlijke levenssfeer. 29 Daarom is er gekozen voor Europese (minimum-)harmonisatie om de verwerking van persoonsgegevens te reguleren. Deze richtlijn is in Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (hierna: Wbp). In beginsel moeten alle verwerkingen van persoonsgegevens voldoen aan de regels van de richtlijn, dus ook de verwerkingen die plaatsvinden in het kader van open data. 30 Het is dus eerst van belang om een goed begrip te hebben van de term persoonsgegeven. Vervolgens wordt geëvalueerd of de drie casus uit de steekproef onder dit begrip vallen, en daarmee dienen te voldoen aan de richtlijn. 3.2 Het begrip persoonsgegeven De term persoonsgegeven wordt gedefinieerd in art. 2 sub a van de richtlijn. Onder persoonsgegeven moet worden verstaan iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. De Artikel 29-werkgroep heeft zich in een opinie uitgelaten over de vier kernelementen in deze definitie, namelijk (1) iedere informatie (2) betreffende (3) een geïdentificeerde of identificeerbare (4) natuurlijke persoon. 31 In de komende subparagrafen wordt kort besproken wat de Artikel 29-werkgroep onder deze elementen verstaat Iedere informatie Het eerste element in de definitie van een persoonsgegeven is iedere informatie. Deze term duidt erop dat bedoeld is om een breed concept van persoonsgegevens te hanteren en dat er dus een ruime interpretatie moet plaatsvinden. Het gaat om allerlei soorten informatie over een persoon, zowel objectief vastgestelde informatie (bv: Kees is 1,81 meter lang) als subjectieve informatie (bv: Kees is goed in zijn werk). 32 Art. 1 lid 1 van de richtlijn bepaalt dat de richtlijn betrekking heeft op fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer (cursief toegevoegd). Dit duidt erop dat de richtlijn niet alleen het recht op persoonlijke levenssfeer beschermt, maar dat de EUwetgever met de richtlijn ook andere rechten heeft willen beschermen. Hieruit maakt de Artikel 29- werkgroep op dat persoonsgegevens zijn niet alleen data zijn die het privéleven stricto sensu betreffen, maar ook andersoortige informatie betreffende een natuurlijke persoon. 33 Volgens de MvT op de Wbp is het minimumvereiste dat het gaat om gegevens die, gezien de context waarin ze worden verwerkt, mede bepalend zijn voor de wijze waarop een persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld. 34 Het wordt hiermee duidelijk dat een persoonsgegeven niet altijd gevoelige informatie hoeft te bevatten zoals een strafblad, bankgegevens of seksuele geaardheid. Het gaat daarentegen om een zeer breed scala aan gegevens, die persoonsgegevens kunnen zijn mits wordt voldaan aan de overige drie elementen van de definitie van een persoonsgegeven. Dit betekent dus dat de overheid niet kan volstaan met de constatering dat er geen gevoelige informatie in een dataset is verwerkt, en dat het dus niet om persoonsgegevens kan gaan. In feite zal iedere dataset moeten worden onderworpen aan de overige elementen van een persoonsgegeven voordat kan worden uitgesloten dat er sprake is van een persoonsgegeven en dat daarom de Dataprotectierichtlijn en de Wbp niet van toepassing zijn Overweging 4. Overweging Article 29 Working Party, Opinion 03/2013 on purpose limitation, WP 203, 2 april 2013, p. 35. Article 29 Working Party, Opinion 4/2007 on the concept of personal data, WP 136, 20 juni Article 29 Working Party, Opinion 4/2007 on the concept of personal data, WP 136, 20 juni In de opinie wordt een voorbeeld gegeven van het gedrag van een dokter met betrekking tot het voorschrijven van medicijnen. Uit de uitgeschreven recepten kan informatie worden afgeleid over het (werk)gedrag van een specifieke dokter. Kamerstukken II 1997/98, 25892, nr. 3, p

9 De minimumeis gegevens die, gezien de context waarin ze worden verwerkt, mede bepalend zijn voor de wijze waarop een persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld in de MvT kan al snel worden gehaald bij de drie casus uit de steekproef: verzekeringsmaatschappijen plegen allerhande informatie te gebruiken (voor zover toegestaan) om risico s te bepalen en aan de hand daarvan een verzekeringspremie te berekenen. Op die manier worden de gegevens gebruikt om (de premie van) een persoon te bepalen. Met de gegevens uit de BAG kan een verzekering bijvoorbeeld bepalen hoe dichtbij of ver weg de buren wonen en aan de hand daarvan een inschatting doen over het risico op inbraak. Uit het kentekenregister is rechtstreeks het gewicht en bouwjaar van een auto te halen, wat mede bepalend is voor de premie. Ook de gegevens over luchtkwaliteit hebben potentie om invloed te hebben op de hoogte van de ziektekostenverzekeringspremie. Een ongezonde lucht zorgt voor meer longklachten en daarmee hogere ziektekosten. 35 Een ziektekostenverzekeraar zou dus kunnen differentiëren naar woonplaats van de verzekerde: een grotere luchtvervuiling zorgt voor een hogere premie. Let wel: het gaat om een mogelijkheid. Het hoeft niet aangetoond te worden dat een bepaald gebruik zich ook daadwerkelijk voordoet. Alle drie de casus, dus de BAG, het kentekenregister en de gegevens over luchtkwaliteit, voldoen dus in ieder geval aan het eerste criterium: iedere informatie Betreffende Het element betreffende houdt in dat er een zekere relatie moet zijn tussen de informatie en een persoon. Vaak betekent dit dat de informatie iets zegt over die persoon. Het medisch dossier van een huisarts over een bepaald persoon is zegt duidelijk iets over die persoon. Het betreffende-element is echter niet altijd zo eenvoudig vast te stellen. Er is vaak sprake van informatie die iets zegt over een object. De Werkgroep noemt als voorbeeld informatie over de prijs van een huis. Dit zegt iets over een object (het huis), maar indirect ook iets over een persoon, namelijk de eigenaar van dat huis, omdat hiermee aannames kunnen worden gedaan over bv. de hoeveelheid belasting die die persoon betaalt. Het is dus niet noodzakelijk dat de informatie is gefocust op een persoon om te voldoen aan het betreffende-element. Het is dus mogelijk dat data wordt opgeslagen die niet is bedoeld is om informatie betreffende een persoon te bevatten, maar desondanks toch kan worden aangemerkt als informatie betreffende een persoon. Voor open data betekent dit, dat het enkele feit dat een registratie zich focust op objecten, nog niet betekent dat geen sprake kan zijn van persoonsgegevens. De BAG-casus lijkt sterk op het huizenprijzen-voorbeeld van de Werkgroep. De BAG bevat informatie over de grootte en bouwjaar van een pand. Op het eerste gezicht gaat het om gegevens die iets zeggen over een object, namelijk een pand. Bij nadere beschouwing kan echter worden vastgesteld dat deze gegevens toch iets over een persoon zeggen, bijvoorbeeld over de eigenaar van het pand (daarmee kan iets worden gezegd over zijn vermogen) en over de bewoner(s) (daarmee kan iets worden gezegd over hun inkomen). Eenzelfde redenering gaat op voor het kentekenregister. De Europese luchtvervuilingsgegevens kunnen iets zeggen over de leefomgeving van een persoon en daarmee iets over zijn gezondheid Geïdentificeerde of identificeerbare Gegevens vallen pas binnen de definitie van persoonsgegeven, als die gegevens betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat een persoon binnen een zekere groep kan worden onderscheiden van de rest van de groep. Het gebruik van de term identificeerbare duidt erop dat het niet noodzakelijk is dat een persoon reeds is geïdentificeerd, maar dat het voldoende is als dat in de toekomst mogelijk is. 36 Het gaat ook hier om een zeer ruim begrip Identifiers Het identificeren van een persoon gebeurt doorgaans met een zogenaamde identifier. Een goed voorbeeld is het burgerservicenummer (BSN). Dit is een uniek nummer, toegekend aan iedere Nederlandse staatsburger. Met dit nummer kunnen overheidsinstanties gemakkelijk en precies twee personen met de naam J. Jansen onderscheiden. Een identifier hoeft niet de vorm aan te nemen van een uniek nummer. Als er in een bepaalde groep slechts één persoon aanwezig is met bruin haar en blauwe ogen, dan is het gegeven bruin haar en WHO Europe, Particulate matter air pollution: how it harms health, Fact sheet EURO/04/05, 14 april CBP 16 februari 2001, z , p. 4. 9

10 blauwe ogen voldoende om de bedoelde persoon te identificeren. Een combinatie aan gegevens kan dus ook een unieke identifier opleveren. 37 Een en ander hangt wel sterk af van de context: de achternaam Jansen in woonplaats Amsterdam levert 464 treffers op in de Telefoongids, terwijl er slechts één Miletić te vinden is. De laatste combinatie is dus (bijna) uniek en heeft een groot identificerend vermogen, terwijl Jansen uit Amsterdam zonder aanvullende informatie eigenlijk nauwelijks een persoonsgegeven kan worden genoemd Unieke combinaties als identifier en de rol van de techniek Verder geldt dat hoe meer data er beschikbaar is, hoe groter de kans is dat er een unieke combinatie te vinden is. Het openbaarmaken van informatie vergroot dus de kans op een treffer. In de praktijk is overigens al snel sprake van een unieke combinatie: onderzoek in de VS wijst uit dat de combinatie van postcode, leeftijd en geslacht in 87 procent van de gevallen uniek is. 38 De mate van identificeerbaarheid hangt nauw samen met technische mogelijkheden. In overweging 26 van de preambule van de richtlijn wordt geanticipeerd op technologische vooruitgang. Gesteld wordt dat moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs [ ] in te zetten zijn om genoemde persoon te identificeren (cursief toegevoegd). Wat redelijk is, hangt af van onder andere de stand der techniek. Als een bepaald middel voorheen erg moeilijk of kostbaar was om te gebruiken, kan dat reden zijn om aan te nemen dat dat middel niet redelijkerwijs in te zetten is. Wordt, door technologische vooruitgang, het betreffende middel veel goedkoper en aantrekkelijker, dan kan het op een bepaald moment wel redelijkerwijs in te zetten zijn. Om deze reden is het dus mogelijk dat een bepaald gegeven eerst geen persoonsgegeven was, maar nu wel. De technologische vooruitgang heeft bijvoorbeeld gezorgd voor steeds betere zoekalgoritmen (zie de inleiding over big data). Hiermee kan geanonimiseerde data weer gedeanonimiseerd worden door het zoeken van unieke patronen en het toepassen van geavanceerde kansberekeningen. 39 Dit wordt re-identification genoemd. Anonimisering van gegevens is dus niet zwart/wit, maar er bestaan vele verschillende grijstinten van anonimisering. 40 Een ander voorbeeld is een menselijke hoofdhaar. Voordat DNA was ontdekt, had een haar slechts een klein identificerend vermogen omdat het hooguit de haarkleur van een persoon kon aangeven. Sinds de ontdekking van DNA is men echter in staat een haar met vrijwel 100% nauwkeurigheid te matchen met een persoon. 41 Een haar heeft dus door de technologische vooruitgang een groot identificerend vermogen gekregen, terwijl het voorheen nauwelijks bruikbaar was om een persoon mee te onderscheiden. Sinds de ontdekking van DNA zijn ook de kosten om een test uit te voeren afgenomen, wat maakt dat een DNA-test steeds gemakkelijker inzetbaar is. Dit betekent dus ook, dat een DNA-test steeds sneller binnen het bereik komt van een redelijkerwijs in te zetten middel Verantwoordelijkheid van de verstrekker Tot slot wordt in de MvT op de Wbp een belangrijke opmerking geplaatst over de verantwoordelijkheid van de verstrekker (de verantwoordelijke) van de informatie: 42 [ ] de verantwoordelijke [zal] zich [ ] moeten afvragen of de bewuste gegevens in handen van de ontvanger al dan niet als identificeerbaar zullen moeten worden aangemerkt. Bepalend is wat in de gegeven situatie redelijkerwijs mag worden verwacht. Naarmate een verstrekker over meer mogelijkheden beschikt om de risico s van identificatie door de ontvanger te voorzien of te beperken, mag van hem in dit opzicht meer zorgvuldigheid worden verwacht. De verstrekker van informatie, in dit geval de overheid, moet dus rekening houden met de mogelijkheden van de ontvanger om de gegevens te gebruiken als persoonsgegevens. In dit geval worden datasets in beginsel ter beschikking gesteld aan iedereen. De overheid moet dus rekening houden met de state of the art Deze redenering wordt ondersteund door HvJ EG, 6 november 2003, nr. C-101/2001 (Lindqvist). Ohm 2010, p Zie Ohm 2010 voor een uitgebreide behandeling van deze problematiek. M.i. een zeer lezenswaardig artikel. Zie ook Internet Society, The New PII: Privacy Impacting Information, 27 februari 2013 (paneldiscussie), Behalve bij een eeneiige tweeling. Kamerstukken II 1997/98, 25892, nr. 3, p

11 technieken om personen te identificeren uit een dataset. Sterker nog: de Werkgroep wijst erop dat rekening moet worden gehouden met toekomstige technieken die het mogelijk kunnen maken dat een persoon wordt geïdentificeerd Casus Bij het toepassen van dit criterium op de BAG-gegevens kan al snel de conclusie worden getrokken dat een pand meestal één eigenaar heeft en daarom een duidelijk identificerend vermogen heeft. In combinatie met gegevens uit het Kadaster is eenvoudig te achterhalen wat de naam is van de eigenaar van een pand. Vervolgens is aan de hand van her en der verspreide NAW-gegevens te achterhalen of de eigenaar zelf in het pand woont, of dat er andere mensen dan de eigenaar wonen (bv. huurders). Hetzelfde geldt voor het kentekenregister. De naamsgegevens van eigenaren weliswaar niet openbaar 43, maar vaak is het niet al te moeilijk om iemands kenteken te achterhalen. Zo is het niet ongebruikelijk dat trots een foto van een auto wordt geplaatst op iemands Facebook-pagina, of dat een auto herkenbaar op de achtergrond van een andere foto staat, of dat er een auto met foto wordt aangeboden op Marktplaats. Met tekstherkenningssoftware (OCR) is het kenteken uit te lezen, waardoor de link kan worden gelegd tussen de auto, de kenmerken van de auto, en de eigenaar. In een brief aan de Tweede Kamer van de minister van Justitie in 1999 werd bevestigd dat een kenteken, net als een telefoonnummer, een persoonsgegeven kan zijn. Dit zal wel enigszins afhankelijk zijn van de context. 44 Een algemeen telefoonnummer van een groot bedrijf is geen persoonsgegeven, maar een mobiel nummer dat slechts door één persoon wordt gebruikt is dat wel. Het criterium geïdentificeerd of identificeerbaar is moeilijker toe te passen op de database over luchtkwaliteit. Het is lastig in te zien hoe gegevens over luchtkwaliteit kunnen leiden tot de identificatie van een persoon. De gegevens zijn daarvoor te algemeen. De BAG en de RDW bevat gegevens over objecten die doorgaans toebehoren aan één of enkele personen, maar het is niet in te zien hoe gegevens over de luchtkwaliteit kunnen worden herleid naar een persoon. Daarom moet de conclusie worden getrokken, dat de gegevens over luchtkwaliteit geen persoonsgegevens zijn, omdat niet wordt voldaan aan het identificeerbaarheidcriterium Natuurlijke persoon Tot slot is voor een persoonsgegeven vereist, dat de gegevens betrekking hebben op een (levende) natuurlijke persoon. Gegevens over rechtspersonen zijn dus in beginsel geen persoonsgegevens. De Artikel 29-werkgroep wijst er echter op dat sommige rechtspersonen direct terug te voeren zijn naar natuurlijke personen. Een rechtspersoon die in handen is van één persoon zonder personeel is feitelijk gelijk te stellen met de eigenaar van de rechtspersoon. Ook gegevens over een rechtspersoon met dezelfde naam als een natuurlijke persoon zijn in zekere mate te herleiden tot een natuurlijke persoon. De BAG en het kentekenregister bevatten gegevens over panden resp. voertuigen. Deze kunnen zowel in het bezit zijn van een natuurlijke persoon als van een rechtspersoon. Het zal dus van de precieze situatie afhangen of een gegeven uit een van deze registraties betrekking heeft op een natuurlijke persoon, en daarmee of dat gegeven kan Het toekennen van het label persoonsgegeven aan kentekens en technische voertuiginformatie lijkt wellicht wat vergezocht. De volgende fictieve, maar niet onrealistische casus kan illustreren hoe deze gegevens gebruikt kunnen worden als persoonsgegevens. Op een druk kruispunt in Amsterdam wordt een eenzame fietser op een haar na te pletter gereden door de bestuurder van een grote zwarte Audi. De fietser is zodanig geschrokken en boos dat hij het er niet bij wil laten zitten. Het kenteken heeft hij niet helemaal kunnen onthouden, maar het begon met ZB8. Met behulp van het kentekenregister zoekt de fietser naar zwarte Audi s, waarvan het kenteken begint met ZB8. Dit resulteert in 8 treffers. Onder die 8 treffers zijn er 3 sportwagens, die kunnen afvallen omdat het duidelijk om een grote auto ging. De overige 5 kentekens worden nader onderzocht. Dankzij openbare foto s op Twitter en Facebook, in combinatie met tekstherkenningssoftware kunnen de 5 kentekens worden gelinkt met accounts op sociale media. Eén van deze accounts is van Marten Maessen. Marten woont in Hoofddorp, niet ver van Amsterdam en een van zijn hobby s is lekker scheuren. Op de foto s is de auto te zien die de fietser bijna had geraakt. In de Telefoongids blijkt één treffer voor Maessen te zijn, en de fietser besluit langs te gaan op het adres. Eenmaal daar gekomen herkent hij direct de auto die hem bijna raakte en in een vlaag van resterende woede besluit hij de auto een behandeling te geven met een losliggende stoeptegel Zie het volgende hoofdstuk. Kamerstukken II 1998/99, 25892, nr. 9, p

12 worden aangemerkt als persoonsgegeven. Gegevens over luchtkwaliteit kunnen worden gebruikt om iets te zeggen over (de gezondheid van) een natuurlijke persoon. Dit kan dus nooit betrekking hebben op een rechtspersoon. Alle drie de casus uit de steekproef voldoen dus mogelijk, afhankelijk van de omstandigheden, aan de natuurlijke persoon-eis. 3.3 Doelbinding Als blijkt dat een bepaald gegeven voldoet aan de definitie van een persoonsgegeven, dan betekent dat niet dat het gegeven niet mag worden verwerkt. Het betekent evenwel, dat de verwerking zal moeten voldoen aan enkele voorwaarden. Een zeer belangrijke voorwaarde wordt de doelbinding (ook wel: purpose limitation) genoemd. De Dataprotectierichtlijn en de Wbp vereisen dat persoonsgegevens uitsluitend mogen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardige doeleinden. 45 De verwerking van persoonsgegevens moet dus een uitdrukkelijk doel dienen. Bovendien mag de verwerking niet verder gaan dan voor dat doel noodzakelijk is. 46 Dit betekent dat een webwinkel adresgegevens kan verwerken, met als doel het mogelijk maken van het leveren van het artikel. Buiten dit doel mogen de gegevens niet worden verwerkt of gebruikt. Het versturen van reclame naar het postadres van de klant valt buiten het doel en is daarom in dit geval in strijd met art. 9 Wbp. Hergebruik van overheidsinformatie en doelbinding zijn een bijzondere combinatie. Hergebruik wordt gedefinieerd als het gebruik voor andere doelen dan het oorspronkelijke doel. 47 Hergebruik staat dus bijna per definitie haaks op de doelbinding. Dit is een discussie op zich, die hier verder niet behandeld zal worden. 48 In hoofdstuk 4 wordt gefocust op hoe de doelbinding precies uitpakt bij de BAG en bij het kentekenregister, waarbij zal blijken dat er in de praktijk wel om deze schijnbare tegenstelling heen kan worden gewerkt. 3.4 Automatische verwerkingen en gebruiksmogelijkheden De Artikel 29-werkgroep benadrukt dat bescherming van persoonsgegevens met name noodzakelijk is bij geautomatiseerde verwerkingen. Handmatige verwerkingen zijn minder risicovol, om de eenvoudige reden dat automatische verwerking het mogelijk maakt om zeer grote hoeveelheden data aan elkaar te koppelen tegen relatief geringe kosten. 49 Handmatige verwerking is vele malen kostbaarder. Er zal gerichter moeten worden gezocht naar informatie. Daarom is de wijze van verwerking ook relevant bij de beoordeling van de toepasselijkheid van de Dataprotectierichtlijn en de Wbp. Dit aspect was aan de orde bij een tweetal CBP-adviezen inzake insolventieregisters. 50 Insolventieregisters bestaan en zijn openbaar omdat dit een vereiste is voor het soepel lopen van het economisch verkeer. Het doel van de verwerking is dus gelegen in het soepel laten verlopen van het economisch verkeer, door uitvoering te geven aan de Faillissementswet. Het zoeken in een insolventieregister via <rechtspraak.nl> is vrij beperkt, waardoor het praktisch onmogelijk is het gehele register te downloaden en daarmee automatische analyses uit te voeren. Het CBP acht deze verwerking met beperkingen aanvaardbaar. Bistro 51 wilde vervolgens enkele van deze beperkingen opheffen, waardoor het register beter doorzoekbaar zou worden. Het CBP achtte de opheffing van enkele van deze beperkingen wel aanvaardbaar, maar plaatst hierbij de nodige kanttekeningen. Het CBP waarschuwt dat het wel noodzakelijk is dat er zekere beperkingen in de zoekfunctie aanwezig moeten blijven, want: een toegang zonder beperkingen zou een gebruik van de persoonsgegevens mogelijk kunnen maken, dat veel verder gaat dan nodig is voor het doel van de publicaties. 52 Een zoekfunctie zonder beperkingen zou het Art. 7 Wbp; art. 6 lid 1 sub b Dataprotectierichtlijn. Art. 9 en 11 Wbp; art. 6 lid 1 sub e Dataprotectierichtlijn. Art. 2 lid 4 Hergebruikrichtlijn. Zie hiervoor Article 29 Working Party, Opinion 03/2013 on purpose limitation, WP 203, 2 april Article 29 Working Party, Opinion 4/2007 on the concept of personal data, WP 136, 20 juni 2007, p. 5. CBP 2 september 2003, z en CBP 9 februari 2005, z Bureau Internetsystemen en Toepassingen Rechterlijke Organisatie, tegenwoordig Spir-it. Dit is het ICT-bedrijf voor de Rechtspraak en is belast met de technische uitvoering van bv. CBP 9 februari 2005, z

13 mogelijk maken dat iemand het gehele register downloadt. Op deze manier zou ongebreideld kunnen worden gezocht en geanalyseerd in de dataset. De gegevens zouden voor veel meer doeleinden gebruikt kunnen worden dan puur het uitvoeren van de Faillissementswet. Dit zou in strijd komen met de doelbinding, en het principe van verwerking die niet verder gaat dan noodzakelijk voor het uitvoeren van het verwerkingsdoel. Uit deze adviezen blijkt dat er verschillende gradaties van openbaarmaken bestaan. Het openbare register met zoekbeperkingen wordt aanvaardbaar geacht, maar het downloaden van de gehele dataset niet. De aanvaardbaarheid van het publiceren van een dataset hangt dus mede af van de gebruiksmogelijkheden. In dit kader is het interessant dat juist wordt gepromoot dat open data zo toegankelijk mogelijk moet zijn en aan zo weinig mogelijk beperkingen moet worden onderworpen. 53 Op die manier worden de gebruiksmogelijkheden gemaximaliseerd, maar daarmee ook de potentiële inbreuk op de privacy. 3.5 Open data als persoonsgegevens Uit de precisering van de definitie van persoonsgegeven uit de Dataprotectierichtlijn blijkt dat er eerder sprake is van persoonsgegevens dan men in het normale spraakgebruik zou verwachten. Het gaat om een zeer breed begrip, waar veel soorten gegevens onder kunnen vallen. Wat betekent dit voor open data? Allereerst moet worden opgemerkt dat het niet betekent dat de gegevens niet verwerkt mogen worden, indien sprake is van persoonsgegevens. Het betekent evenwel, dat de bepalingen van de Dataprotectierichtlijn en de Wbp in acht moeten worden genomen bij het verwerken ervan. De classificering als persoonsgegeven is dus zeer relevant en kan grote gevolgen hebben voor de openbaarmaking van datasets door de overheid. Het feit dat een bepaald register reeds (rechtmatig) openbaar is, brengt nog niet met zich mee dat de Wbp zich niet verzet tegen het integraal ter beschikking stellen van de dataset. Dit blijkt uit de CBP-adviezen over het insolventieregister. Het beschikbaar stellen van een integrale dataset, zonder enige beperking in feitelijke gebruiksmogelijkheden kan in strijd zijn met de Wbp. Om te worden aangemerkt als persoonsgegeven, is vereist dat het gaat om gegevens betreffende een natuurlijk persoon. Dit element moet ruim worden opgevat. Daarom kan het niet kan worden uitgesloten dat een dataset, die primair is gefocust op objecten, onder het bereik van de Wbp kan vallen. De BAG en het kentekenregister zijn primair gefocust op panden resp. voertuigen, maar hiermee kan nog niet worden uitgesloten dat het register onder de werking van de Wbp valt. Het moeilijkste, maar meest interessante element is die van de identificeerbaarheid. De mate van identificeerbaarheid hangt af van technologische ontwikkelingen (inclusief toekomstige ontwikkelingen) en de context waarin een dataset wordt openbaar gemaakt. De eerder genoemde big data-ontwikkeling maakt het steeds beter mogelijk om personen te identificeren met behulp van uiteenlopende en grote datasets. Bovendien wordt de data (in beginsel) beschikbaar gesteld aan iedereen en zonder enige (zoek)beperking. Dit heeft tot gevolg dat de overheid rekening moet houden (zou moeten houden) met de allernieuwste technologische ontwikkelingen en alle mogelijke gebruiksvormen van de data. De kans wordt steeds groter dat een dataset informatie bevat die direct of indirect kan leiden tot identificatie van een persoon. De BAG-gegevens zijn met slechts een woonadres te koppelen aan een persoon, en ook de gegevens uit het kentekenregister kunnen gemakkelijk in verband worden gebracht met een persoon. Daarentegen bevat de Europese luchtkwaliteitdatabase geen gegevens die direct of indirect kunnen leiden tot de identificatie van een persoon. Daarom bevat de AirBase geen persoonsgegevens. 53 Bijvoorbeeld Kamerstukken II 2010/11, 32802, nr

14 3.6 Conclusie In dit hoofdstuk is aangetoond dat het beslist niet ondenkbaar is dat openbare datasets kunnen vallen onder de definitie van persoonsgegeven uit de Dataprotectierichtlijn en de daaruit voortvloeiende Wbp. Als wordt vastgesteld dat het openbaarmaken van een bepaalde dataset valt onder een verwerking van persoonsgegevens, dan heeft dat niet tot gevolg dat de dataset niet openbaar mag worden gemaakt. Wel zal dan moeten worden voldaan aan de eisen die de Wbp stelt aan verwerkingen van persoonsgegevens. Het is echter de vraag of de beleidsmakers wel stil hebben gestaan bij eventuele dataprotectie-aspecten. Dit zal in het komende hoofdstuk aan de orde komen. 14

15 4 Privacy-afwegingen bij openbaarmaken 4.1 Inleiding In het voorgaande hoofdstuk is vastgesteld dat de BAG en het kentekenregister mogelijk persoonsgegevens bevatten. De Europese database met gegevens luchtkwaliteit, AirBase, bevat geen persoonsgegevens en zal verder buiten beschouwing blijven. In dit hoofdstuk zal de totstandkoming van de BAG en het kentekenregister worden onderzocht. Hierbij ligt de focus de keuze om de datasets openbaar te maken. Is daarbij voldoende aandacht geweest voor het feit dat het om verspreiding van persoonsgegevens gaat? 4.2 Casus 1: BAG-gegevens De grondslag voor het openbaarmaken van de gegevens uit de BAG is art. 32 lid 1 sub b Wet BAG. Hierin is geregeld dat een ieder recht heeft op inzage in de gegevens van de BAG. Het Kadaster is hiervoor verantwoordelijk. In de Memorie van Toelichting op de Wet BAG 54 blijkt een kort hoofdstuk te zijn opgenomen over de bescherming van persoonsgegevens. Hierin wordt in lijn met het voorgaande hoofdstuk erkend dat sprake kan zijn van persoonsgegevens en dat dus dient te worden voldaan aan de Wbp. In de MvT wordt ingegaan op de doelbinding (art. 7 Wbp), het zorgvuldigheidsbeginsel (art. 6 Wbp) en het recht op inzage en correctie van persoonsgegevens (art. 35, 36 Wbp) Doelbinding In art. 3 Wet BAG wordt het doel van de BAG bepaald: het aan eenieder beschikbaar stellen van de [ ] gegevens over adressen en gebouwen. Door deze ruime formulering mag er veel gebeuren met de gegevens, en voldoet de openbaarmaking van de BAG aan art. 7, 9 en 11 Wbp Zorgvuldigheidsbeginsel, waarschuwingsplicht Art. 6 Wbp vereist dat persoonsgegevens op een behoorlijke en zorgvuldige wijze dienen te worden verwerkt. De wetgever heeft zich gerealiseerd dat de BAG gegevens bevat, die gekoppeld met andere gegevens persoonsgegevens kunnen zijn en dat het niet is uitgesloten dat een afnemer de data kan opwaarderen naar persoonsgegevens. Dat betekent dat een afnemer zich óók moet conformeren aan de Wbp, en dus bijvoorbeeld moet voldoen aan de doelbinding. In hoeverre draagt de verstrekker van de gegevens verantwoordelijkheid voor wat er daarna met de data gebeurt? In de MvT wordt uitgegaan van een waarschuwingsplicht van de verstrekker, op basis van het zorgvuldigheidsbeginsel: 55 Overigens wordt er vanuit gegaan dat voor de verstrekker van gegevens in elk geval op grond van het zorgvuldigheidsbeginsel een waarschuwingsplicht geldt. De verstrekker moet de afnemer ervan op de hoogte stellen dat indien de gegevens uit de basisregistraties adressen en gebouwen al dan niet in combinatie met andere gegevens kunnen worden herleid tot een natuurlijk persoon, daarmee sprake is van een verwerking van persoonsgegevens en dat deze verwerking onderworpen is aan de daarvoor geldende normen die uit de wetgeving voortvloeien. Opmerkelijk genoeg is deze waarschuwingsplicht niet wettelijk vastgelegd. In de documentatie voor afnemers van de BAG 56 is überhaupt niets te vinden over het aspect van persoonsgegevens, laat staan een waarschuwing. De waarschuwingsplicht wordt dus alleen genoemd in de MvT, en wordt verder niet geoperationaliseerd. Het is daarom de vraag of de verstrekking van BAG-gegevens door het Kadaster wel voldoet aan het zorgvuldigheidsbeginsel, zoals in de MvT wordt betoogd Kamerstukken II 2006/07, 30968, nr. 3. Kamerstukken II 2006/07, 30968, nr. 3, p. 18. Diverse documenten op 15

16 4.2.3 Overig Verder is in de MvT aandacht besteed aan enkele rechten uit de Wbp, zoals het recht op inzage en correctie van persoonsgegevens (art. 35 en 36 Wbp; art. 38 Wet BAG). Hiervoor hoeven geen nieuwe procedures in het leven te worden geroepen, omdat inzage en correctie sowieso al bij het BAG-systeem hoorden. Interessanter is dat art. 32 lid 3 Wet BAG de bevoegdheid creëert om bij AMvB beperkingen te stellen aan de beschikbaarstelling van de BAG-gegevens, ter bescherming van de persoonlijke levenssfeer van personen van wie herleidbare gegevens zijn opgenomen in de BAG. Van deze bevoegdheid is vooralsnog geen gebruik gemaakt Conclusie De voorzichtige conclusie van deze paragraaf is dat de bescherming van persoonsgegevens in de BAG formeel wel is geregeld, maar dat er in de praktijk niet voldoende rekening mee wordt gehouden. De waarschuwingsplicht uit de MvT lijkt niet te zijn geoperationaliseerd, en de bevoegdheid om beperkingen te stellen aan het gebruik van BAG-gegevens die tevens persoonsgegevens zijn, is niet gebruikt. Wel zijn het recht op inzage en het recht op correctie geregeld en geoperationaliseerd. Hiervoor zijn geen bijzondere procedures ingericht, omdat een inzage- en correctieprocedure al in het BAG-systeem was verwerkt, los van de bescherming van persoonsgegevens. Het gaat hier dus niet om een echte inspanning om de BAG te laten voldoen aan de Wbp, maar om een toevallige gunstige bijkomstigheid. Ook de doelbinding is zodanig ruim en voor de hand liggend geformuleerd dat het in feite is gereduceerd tot een formaliteit, en dat er nauwelijks sprake is van een oprechte inspanning om bescherming van persoonsgegevens na te streven. Het lijkt erop dat de bescherming van persoonsgegevens geen echte prioriteit heeft gehad bij het inrichten van de BAG-voorzieningen. Het feit dat de BAG gedeeltelijk voldoet aan de Wbp lijkt meer het resultaat van toeval dan van echte inspanning. 4.3 Casus 2: Kentekenregister Het kentekenregister is de informele naam van wat formeel de Basisregistratie Voertuigen heet. 57 De grondslag voor het register is te vinden in art. 41a-46 van de Wegenverkeerswet 1994 (hierna: WVW). De Dienst Wegverkeer (hierna: RDW) is bronhouder van deze registratie (art. 42 lid 2 WVW) Gevoelige en niet-gevoelige gegevens Voor dit onderzoek is van belang dat in de WVW onderscheid wordt gemaakt tussen gevoelige en nietgevoelige gegevens (art. 42a lid 1 WVW). Gevoelige gegevens worden alleen verstrekt aan overheidsorganen ter uitvoering van de publieke taak (art. 43 lid 1 WVW) of aan andere organisaties in enkele specifiek bepaalde gevallen (art. 43 lid 2 en lid 3 WVW). Deze gevoelige gegevens zijn dus niet voor een ieder toegankelijk en vallen daarmee buiten de scope van dit onderzoek, dat zich focust op openbare overheidsdata. 58 De niet-gevoelige gegevens zijn daarentegen wél voor een ieder toegankelijk op grond van art. 43 lid 4 WVW. Daarom is het interessant om te onderzoeken wat die niet-gevoelige gegevens precies zijn. Krachtens art. 42a lid 4 WVW kan bij AMvB worden bepaald wat gevoelige en niet-gevoelige gegevens zijn. Van deze bevoegdheid is gebruik gemaakt in het Kentekenreglement. 59 In art. 7 lid 2 van het Kentekenreglement zijn drie categorieën gegevens genoemd, die als gevoelig worden aangemerkt. Onder sub a vallen gegevens, die persoonsgegevens vormen in de zin van de Wbp. Sub b verwijst naar gegevens die afbreuk kunnen doen aan de concurrentiepositie van een onderneming en sub c naar gegevens die mogelijk Aangezien zelfs de bronhouder van de basisregistratie, de RDW, spreekt van het kentekenregister acht ik het aanvaardbaar om ook de term kentekenregister te blijven gebruiken. Overigens heeft het CBP vorig jaar kritisch geoordeeld over de praktijk van verstrekking van gevoelige gegevens door de RDW. Zie CBP, Onderzoek naar de controle door de Dienst Wegverkeer op de online verstrekking van persoonsgegevens uit het kentekenregister aan beroepsbeoefenaren, z , 29 juni 2012, Stb. 1994,

17 autodiefstal gemakkelijker maken. Alle gegevens die niet onder een van deze drie categorieën vallen, zijn niet-gevoelige persoonsgegevens (art. 7 lid 3 Kentekenreglement). Welke gegevens precies als gevoelig moeten worden aangemerkt, is geregeld in de Beleidsregels gevoelige gegevens kentekenregister. 60 Hierin wordt herhaald dat persoonsgegevens in de zin van de Wbp in ieder geval gevoelige gegevens zijn. Nader uitgewerkt gaat het hier om evidente persoonsgegevens, zoals NAWgegevens, BSN en bankrekeningnummer. Impliciet wordt hiermee gezegd dat een kenteken, merk en model van een voertuig en technische kenmerken van een voertuig geen persoonsgegevens zijn en dus zonder beperkingen openbaar mogen worden gemaakt. 61 Mijns inziens gaan de beleidsregels uit van een te enge opvatting van de term persoonsgegeven. In het voorgaande hoofdstuk is vastgesteld dat de term persoonsgegeven ruim moet worden opgevat en dat het niet alleen gaat om naam- en adresgegevens. Ook is beargumenteerd dat de openbare gegevens uit het kentekenregister wel degelijk persoonsgegevens kunnen zijn. Daarom strookt de interpretatie van de term persoonsgegeven in de beleidsregels niet art. 1 lid 1 sub a Wbp. Dit levert een vreemde situatie op: nietgevoelige gegevens zijn per definitie geen persoonsgegevens (art. 7 lid 3 jo. art. 7 lid 2 sub a Kentekenreglement), maar door de beleidsregels worden toch enkele persoonsgegevens als niet-gevoelig aangemerkt. De beleidsregels zijn dus in strijd met het Kentekenreglement. Sowieso is het opmerkelijk dat de RDW zelf beleidsregels opstelt over wat wel en niet persoonsgegevens zijn. Niets wijst erop dat het CBP hierbij is geraadpleegd Doelbinding Voor de gevoelige gegevens is in art. 42 lid 4 WVW is een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde voor de verwerking geformuleerd, waarmee wordt voldaan aan art. 7 Wbp. 62 Een vergelijkbare bepaling voor niet-gevoelige gegevens ontbreekt. Dat is niet vreemd, omdat niet-gevoelige gegevens formeel per definitie geen persoonsgegevens zijn (art. 7 lid 3 jo. art. 7 lid 2 sub a Kentekenreglement). Doordat de beleidsregels in strijd zijn met het Kentekenreglement (zie vorige subparagraaf) ontstaat er een situatie waarin persoonsgegevens worden verwerkt, zonder dat wordt voldaan aan de doelbinding. De verwerking van de persoonsgegevens, die in de beleidsregels als niet-gevoelig zijn geclassificeerd, is daarom in strijd met de Wbp Conclusie Bij het kentekenregister is men ervan uitgegaan dat technische voertuiggegevens geen persoonsgegevens kunnen zijn. Daarom worden deze gegevens aangemerkt als niet-gevoelig en mogen deze gegevens aan een ieder worden verstrekt. De wetgever en de RDW hebben hierbij een enge definitie van het begrip persoonsgegeven gehanteerd, terwijl uit het vorige hoofdstuk juist bleek dat die term ruim moet worden geïnterpreteerd. Door deze discrepantie ontstaat een situatie waarin de RDW persoonsgegevens openbaar maakt, terwijl dat in strijd is met de Wbp Stcrt. 2009, 21. De overige twee categorieën van gevoelige gegevens laat ik buiten beschouwing. Art. 42 lid 4 WVW luidt: Het verzamelen van de gegevens [ ] geschiedt voor de volgende doeleinden: a. voor een goede uitvoering van het bepaalde bij of krachtens deze wet en voor de handhaving van de bij of krachtens deze wet gestelde voorschriften, b. voor een goede uitvoering van het bepaalde bij of krachtens de Wet op de motorrijtuigenbelasting 1994, de Wet op de belasting van personenauto s en motorrijwielen 1992, de Wet belasting zware motorrijtuigen, de Wet aansprakelijkheidsverzekering motorrijtuigen, de Wet bereikbaarheid en mobiliteit, dan wel andere wettelijke regelingen ten aanzien van motorrijtuigen of aanhangwagens en voor de handhaving van het bepaalde bij of krachtens die wettelijke regelingen, en c. om overheidsorganen te voorzien van gegevens uit het kentekenregister voor zover zij aangeven deze gegevens nodig te hebben voor een goede uitoefening van hun publieke taak. 17

18 4.4 Het beleid rondom open data Op de open-data-portal van de Rijksoverheid is informatie opgenomen om overheidsorganisaties voor te lichten over open data. Zo is er bijvoorbeeld een handleiding voor publieke instanties om te vast te stellen of een bepaalde gegevensbank beschikbaar mag worden gemaakt voor hergebruik. 63 Hierin wordt tamelijk uitgebreid ingegaan op de problematiek van persoonsgegevens in overheidsdata. Enkele veelzeggende citaten: 64 De aanwezigheid van persoonsgegevens is by far de belangrijkste uitzondering waar het Open Data aangaat. Immers, persoonsgegevens zitten massaal, dwars door alle soorten overheidsinformatie heen. Daarnaast is het denkbaar dat er weliswaar geen direct tot personen herleidbare gegevens zijn, maar dat men met een combinatie van gegevens wel personen kan identificeren. In ons digitale tijdperk heeft deze weigeringsgrond een nieuwe dimensie gekregen. Gegevens op het Internet kunnen niet alleen overal 24 uur per dag geraadpleegd worden, ze zijn ook vindbaar, koppelbaar met andere gegevens en bovendien moeilijk te verwijderen. Daardoor kan de mate van inbreuk zwaarder worden. Na bespreking van de criteria voor het persoonsgegeven: Kortom, de Wbp zal snel van toepassing zijn, omdat een gegeven ook snel een persoonsgegeven is. Uit het stuk wordt ook duidelijk dat men zich realiseert dat open data zich moeizaam verhoudt met de doelbinding: Voor wat betreft het beschikbaar stellen voor hergebruik in het kader van Open Data zijn vooral de bepalingen met betrekking tot de zogenaamde doelbinding en het verdere gebruik van gegevens relevant [ ]. Op grond van artikel 7 Wbp moet bij verwerking van persoonsgegevens sprake zijn van een vooraf bepaald doel en moet aan de eisen van rechtmatigheid en kwaliteit zijn voldaan. Verder gebruik van gegevens (zoals hergebruik) is mogelijk voor zover dit gebruik in overeenstemming is met het doel waarvoor ze zijn verzameld, dit op de voet van artikel 9 Wbp. Hiervoor moet in beginsel bij ieder soort hergebruik, voor ieder doel een afweging plaatsvinden. Het met zo min mogelijk voorwaarden ter beschikking stellen van gegevens voor hergebruik zonder expliciet en specifiek doel in het kader van Open Data beleid verhoudt zich uiteraard zeer slecht met deze doelbindingsuitgangspunten. Toch is het stuk overwegend optimistisch: Het is dus niet zo dat zodra er sprake is van een persoonsgegeven, het einde oefening moet zijn. Ook binnen de grenzen van de Wbp is onder voorwaarden nog steeds veel mogelijk. Deze enigszins weggestopte pagina op de open-data-portal slaat mijns inziens de spijker op zijn kop en komt overeen met alle eerdere bevindingen uit dit onderzoek. Het is opvallend dat de inzichten wel op deze pagina staan beschreven, maar in de casus van de BAG en het kentekenregister niet lijken te zijn uitgevoerd door middel van een betere conformiteit aan de Wbp

19 4.5 Conclusie In dit hoofdstuk is onderzocht welke afwegingen er zijn gemaakt bij de besluiten tot openbaarmaking van overheidsinformatie. Specifiek is gekeken naar de BAG en het kentekenregister. Bij de BAG heeft de bescherming van persoonsgegevens een zekere rol gespeeld in de wetsgeschiedenis. Bepaald is dat de verstrekker van de gegevens de afnemers moet waarschuwen dat de BAG-gegevens persoonsgegevens kunnen zijn en dat de verdere verwerking van de gegevens in overeenstemming moet zijn met de Wbp. Deze waarschuwing is echter nergens te vinden. Verder is geen gebruik gemaakt van de bevoegdheid om bij AMvB beperkingen te stellen ter bescherming van persoonsgegevens. De conclusie is dat bij de bescherming van persoonsgegevens wel een zekere rol heeft gespeeld bij de totstandkoming van de BAG, maar in de uitvoeringspraktijk is daarvan weinig terug te vinden. Behalve de BAG is ook het kentekenregister onderworpen aan een nader onderzoek. Het kentekenregister heeft vrij uitgebreide bepalingen over de bescherming van persoonsgegevens. Dit is te verklaren doordat het kentekenregister ook evidente persoonsgegevens bevat, zoals naam- en adresgegevens. Het kentekenregister kent twee verstrekkingsregimes. Zogenaamde gevoelige gegevens worden in beginsel alleen verstrekt aan overheidsinstanties ter uitvoering van de publieke taak. Rondom deze gevoelige gegevens is veel geregeld met betrekking tot de bescherming van persoonsgegevens. Zo wordt bijvoorbeeld voldaan aan de doelbinding van de Wbp. De tweede categorie gegevens in het register zijn de niet-gevoelige gegevens. Deze mogen vrijelijk worden verstrekt. In beleidsregels van de RDW is bepaald welke gegevens als gevoelig en niet-gevoelig moeten worden aangemerkt. Opmerkelijk is dat hierbij niet wordt aangesloten bij de definitie van de term persoonsgegeven van de Wbp. Dit heeft tot gevolg dat enkele persoonsgegevens ten onrechte worden geclassificeerd als niet-gevoelig. Deze persoonsgegevens worden verwerkt, zonder dat daardoor een doel is geformuleerd of dat aan de andere eisen van de Wbp wordt voldaan. Het kentekenregister is dus voor een deel in strijd met de Wbp. Tot slot wordt gekeken of er op de open-data-portal van de Rijksoverheid melding wordt gemaakt van mogelijke problemen met de bescherming van persoonsgegevens. Dit blijkt inderdaad zo te zijn, en blijkt ook grotendeels overeen te komen met de bevindingen uit het vorige hoofdstuk. De overheid is dus wel goed op de hoogte van potentiële privacy-bezwaren van open data. De conclusie van dit hoofdstuk is dat de BAG en het kentekenregister niet voldoen aan de eisen die de Wbp stelt. De BAG voldoet niet aan het zorgvuldigheidsbeginsel, doordat de waarschuwingsplicht nergens is geoperationaliseerd. Bij het kentekenregister is nog te veel is gedacht aan persoonsgegevens in enge zin. Er lijkt nog weinig rekening te zijn gehouden met de voortschrijdende techniek, die het mogelijk maakt steeds meer gegevens aan elkaar te koppelen en daarmee de nodige context te creëren die nodig is om te kunnen spreken van een persoonsgegeven. Uit een handleiding op de open-data-portal blijkt echter wel dat de Rijksoverheid voldoende kennis heeft van deze potentiële bezwaren. Het is de vraag waarom deze kennis niet is ingezet bij het opzetten van de BAG en het kentekenregister. 19

20 5 Openbaarheid versus privacy In het voorgaande hoofdstuk is vastgesteld dat de Nederlandse overheid vrij gul is met het verstrekken van gegevens uit de BAG en het kentekenregister. Hierin schuilt een zeker privacyrisico. De openbaarmaking levert de samenleving echter ook veel op, zoals meer mogelijkheden om de overheid te controleren en daarmee de democratie te vergroten. 65 Hoeveel privacy mag er worden geofferd ten gunste van openbaarheid, of andersom? In de literatuur wordt dit dilemma aangeduid met een strijd tussen utility en privacy. 66 Een grotere mate van data-anonimisatie (en daarmee: privacy) brengt met zich mee, dat de data voor minder doeleinden gebruikt kan worden. Aan de ene kant van de discussie staat bijvoorbeeld Paul Ohm. Ohm is universitair hoofddocent aan de Universiteit van Colorado en is gespecialiseerd in privacy. Hij schetst een schrikbeeld van een database of ruin, waarin zeer veel gekoppelde informatie is opgenomen over personen. 67 Die informatie kan worden gebruikt om mensen af te persen, te bedreigen, te discrimineren en te bestelen. 68 De Artikel 29-werkgroep waarschuwt bovendien dat big data kan leiden tot vooroordelen, sociale uitsluiting, en (vergroting van) economische ongelijkheid. 69 Big data is voor privacy een recipe for disaster, aldus Ohm. 70 Ohm pleit voor een moment van bezinning, en het vertragen van de ontwikkelingen die privacy kunnen schaden. Zo zou er een halt moeten komen aan de ontwikkeling dat er steeds meer gegevens worden verzameld. 71 Aan de andere kant van het spectrum staan voorvechters voor zoveel mogelijk openheid. Een hiervan is Fiona Stanley. Stanley is epidemiologiste en wijst op de grote potentieel van open data om de volksgezondheid op een hoger niveau te brengen. 72 Zij betoogt dat de wereldbevolking recht heeft op the highest attainable standard of health 73 en dat het bereiken van dit grotere goed enige offering van eigenbelang (i.e. privacy) vereist. 74 De Europese Commissie geeft tegenstrijdige signalen. Enerzijds wordt openheid gepredikt 75, anderzijds wordt het belang van privacy benadrukt. 76 Bescherming van persoonsgegevens is zelfs een EU-grondrecht. 77 Waar moet precies de balans komen te liggen? De Europese Commissie lijkt vooralsnog niet bereid te zijn om de vingers te branden aan deze fundamentele vraag. In het voorstel voor wijziging van de hergebruikrichtlijn 78 worden privacy en de bescherming van persoonsgegevens in het geheel niet genoemd. Wel worden allerhande voordelen van openbaarmaking belicht: het bijdragen aan economische groei, het scheppen van banen, het vergroten van de mogelijkheden tot controle door de burger en zo het vergroten van de democratie en innovatie. In het wijzigingsvoorstel wordt wel verwezen naar technologische ontwikkelingen 79, maar niet naar de mogelijke impact daarvan op privacy. De onduidelijkheid rondom privacy-aspecten in de hergebruikrichtlijn wordt ook onderkend in het LAPSI-rapport omtrent privacyaspecten van open data. 80 Hierin wordt onder andere gesteld dat er in de hergebruikrichtlijn in ieder geval meer verwijzingen moeten worden opgenomen naar de dataprotectierichtlijn. 81 Mijns inziens is dat een goed beginpunt, maar vroeg of laat zal de Commissie zich op een fundamenteler niveau moeten uitlaten over de vraag waar de balans ligt tussen utility en privacy Zie bijvoorbeeld COM(2011) 882 final en Meijer, Curtin & Hillebrandt 2012 voor meer voordelen van open data. Ohm 2010, p Ohm 2010, Ohm Ohm 2010, p Article 29 Working Party, Opinion 03/2013 on purpose limitation, WP 203, 2 april 2013, p Ohm The Economist, Welcome to the yotta world, 17 november 2011, Stanley Constitution of the World Health Organization, Stanley 2010, p Bijvoorbeeld in COM(2011) 882 final. Bijvoorbeeld in COM(2012) 9 final. Art. 8 Handvest van de grondrechten van de Europese Unie. COM(2011) 887 final. Overweging 4 van de preambule. LAPSI, Policy Recommendation N. 4: Privacy and personal data protection. idem, p. 15 e.v. 20