De Algemene Verordening Gegevensbescherming ‘schuurt’ met het Nederlandse open-geodatabeleid, met name waar het om het gebruik van BAG-gegevens gaat. Dat valt echter met aanvullende wetsbepalingen op te lossen.
Vanaf mei 2018 is een nieuwe Europese verordening van kracht voor de bescherming van persoonsgegevens. Omdat personen door geo-informatie steeds vaker aan andere informatie gelinkt kunnen worden, ontstond de vraag of de nieuwe wetgeving ook impact heeft op het gebruik van geo-data door de Nederlandse overheid. En dan vooral met betrekking tot de basisregistraties. Een werkgroep heeft zich over deze vraag gebogen en constateert dat de nieuwe regels in sommige opzichten inderdaad lijken te schuren met het Nederlandse open-geodatabeleid. Maar dat ze tegelijkertijd ruimte bieden om bestaande onduidelijkheden rond de basisregistraties op nationaal niveau te regelen. Het advies van de werkgroep is om die ruimte te benutten.
Marc de Vries en Bastiaan van Loenen, beiden als adviseur aan Geonovum verbonden, maakten deel uit van de werkgroep. Samen met vertegenwoordigers van het Kadaster, Dataland, BZK, het CBS, IenM, EZ, VNG en RWS hebben zij gekeken naar de gevolgen van de Algemene Verordening Gegevensbescherming (AVG) voor het functioneren van de basisregistraties. Hun bevindingen zijn samengevat in een rapport dat eind vorig jaar gepubliceerd werd. De meer technische en juridische gevolgen van de AVG voor het geo-werkveld hebben De Vries en Van Loenen nader toegelicht in een artikel dat verschijnt in de eerstvolgende editie van het vakblad Geo-Info. Vanuit beleidsmatige invalshoek betogen zij dat de AVG kansen biedt om op nationaal niveau hiaten in te vullen die onder de huidige Wet bescherming persoonsgegevens (Wbp) ook al tot onduidelijkheid leiden.
Wat verandert er door de AVG?
Maar allereerst een korte blik op veranderingen die de AVG met zich meebrengt. Voor iedereen die persoonsgegevens aanlegt of beheert, zullen de regels, ten opzichte van de huidige situatie onder de Wbp, een stuk strakker worden. Onder de noemer van ‘accountability’ moeten de verantwoordelijke datahouders straks expliciet kunnen aantonen dat de verwerking van de persoonsgegevens in overeenstemming is met de regels uit de AVG. Dataverantwoordelijken moeten ook gaan voldoen aan de principes van gegevensbescherming ‘by design’ en ‘by default’. Kortgezegd verplicht dit de datahouder voor iedere nieuwe verwerking de bescherming van persoonsgegevens vanaf het begin in het ontwerpproces mee te nemen. Daarnaast worden dataverantwoordelijke overheden verplicht een PIA (privacy impact assessment) uit te (laten) voeren en moeten zij een Functionaris Gegevensbescherming (FG) aanstellen. Het zijn enkele voorbeelden van nieuwe verplichtingen die de AVG introduceert.
“Voor iedereen die zich met geodata bezighoudt, was nu de prangende vraag of deze nieuwe regels ook op hen van toepassing zouden zijn”, legt De Vries uit. “Een duidelijke vraag met een minder duidelijk antwoord. Laten we in ieder geval beginnen met de vaststelling dat de AVG geen nieuw licht werpt op de vraag wanneer geodata persoonsgegevens worden. Het begrip ‘persoonsgegeven’ blijft een open definitie die naar de omstandigheden van het geval ingevuld moet worden. Maar natuurlijk kun je er niet omheen dat sommige locatiegegevens, vooral bij koppeling met andere gegevens, kunnen leiden tot identificatie van personen. In dat geval zouden de regels van de AVG dus gevolgd moeten worden.”
Waar raakt de AVG de basisregistraties?
Over de volle breedte van het geo-werkveld kan dit verschillende soorten consequenties hebben. Maar wat betekent het specifiek voor de geo-basisregistraties, de grote verzamelingen van geo-informatie die de afgelopen jaren zo cruciaal zijn geworden voor het goed functioneren van de Nederlandse overheid? “Vanuit de werkgroep hebben wij gekeken naar de invloed van de AVG op de BRT, BGT, BRO en de BAG”, vertelt Van Loenen. “En eigenlijk kom je al snel tot de conclusie dat drie van de vier grote basisregistraties niet zo identificerend zijn, maar dat het bij de BAG (Basisregistraties Adressen en Gebouwen) wel degelijk tot onduidelijkheid, en dus tot discussie kan leiden. Strikt genomen is een adres misschien geen persoonsgegeven. Maar het is natuurlijk wel heel makkelijk om uit te vinden wie op een adres woont, en daarmee kun je dus ook de BAG gebruiken om informatie over dat adres te koppelen aan personen.”
Het is wel heel makkelijk om uit te vinden wie op een adres woont
De Vries vult aan: “En als je dan moet concluderen dat er sprake is van persoonsgegevens, dan gaan vanuit de AVG allerlei verplichtingen gelden voor de partij die de gegevens verwerkt. Dat is in het geval van de BAG het Kadaster en de gemeenten die leverancier zijn van de brondata. En voor hen zou dat gevolgen hebben. Het zou betekenen dat, bijvoorbeeld, het Kadaster moet gaan bijhouden aan wie data zijn verstrekt. En het zou betekenen dat het Kadaster verantwoordelijk is voor al het opvolgende gebruik. Als iemand de volledige BAG downloadt en er misbruik van maakt, dan is in theorie het Kadaster nog steeds daarvoor verantwoordelijk. Dit mechanisme werkt door in alle opeenvolgende schakels. Dat kan zich snel verspreiden en daar zit dus een groot probleem. Dat is ook de angst van de registratiehouders. De BAG is daarmee het beste voorbeeld van waar het beleid van open geodata dat aan de basisregistraties ten grondslag ligt, botst met de AVG.”
Hoe nu verder?
Toch is vijf jaar geleden in Nederland besloten en wettelijk geregeld dat de BAG-data open data zijn. En dat deze data, ook adresgegevens, hergebruikt mogen worden. “De baten van de BAG hebben zich ook al bewezen in de samenleving” benadrukt De Vries. “Denk de BAG eens weg, waar haal je dan alle adressen van Nederland vandaan? Je zou de BAG in dat opzicht kunnen vergelijken met treinrails. Als die rails er niet meer liggen, hebben we met zijn allen een groot probleem.”
“Het dilemma is duidelijk”, concludeert Van Loenen. “Aan de ene kant hebben we onze ambities en onze huidige wetgeving rond het gebruik en hergebruik van open geodata. En aan de andere kant is er nu een AVG die zegt dat we helemaal niet zoveel mogen doen met persoonsgegevens. En dat de verantwoordelijkheid van datahouders feitelijk oneindig is. Hoe nu verder?”
Welke ruimte biedt de AVG?
Tot zover het slechte nieuws. Het goede nieuws is dat de AVG ook ruimte voor oplossing biedt. “In principe hoeft een verordening niet te worden omgezet in Nederlandse regelgeving”, legt De Vries uit. “Een verordening werkt direct vanuit zichzelf en laat, anders dan bij richtlijnen, geen ruimte voor het vertalen van Europese wetgeving in nationale wetgeving. Maar bij deze verordening zit wel degelijk ruimte die door nationale wetgevers kan worden ingevuld. Daar zit de complicatie, maar ook de kans. Zo stelt de AVG bijvoorbeeld dat daar waar het publieke belang nadrukkelijk gediend wordt, het toegestaan is aanvullende nationale wetgeving te ontwikkelen.”
“Ook de risk-based approach in de AVG biedt ruimte”, vult Van Loenen aan. “Heel eenvoudig samengevat komt het erop neer dat een gegeven weliswaar een persoonsgegeven kan worden, maar dat de verantwoordelijke datahouder vooral moet nadenken over de vraag wat de reële risico’s voor misbruik zijn. In dat licht bezien wordt duidelijk dat een collectie met gedetailleerde mailinggegevens iets anders is dan een verzameling van openbare adresgegevens waar iedereen baat bij heeft.”
“Natuurlijk kan het zo zijn dat de openbare adresgegevens zijn hergebruikt om aan de gedetailleerde mailinglijst toe te voegen”, vervolgt De Vries. “Maar willen we dan dat de bronhouder van die openbare adresgegevens ongelimiteerd verantwoordelijk is voor het hergebruik? En dat terwijl ze feitelijk geen beschikkingsmacht meer hebben over de data nadat deze vrijgegeven zijn. Natuurlijk wil niemand dat en daarom doet de werkgroep een oproep tot het maken van een principiële keuze waarmee de onduidelijkheid rond de verantwoordelijkheid van bronhouders wordt weggenomen.”
Bepaling opnemen in sectorale regelingen?
Concreet stelt de werkgroep voor om in de sectorale regelingen, zoals de wet op de BAG, BGT en dergelijke, een bepaling op te nemen waarbij ‘het doen aan open data’ een wettelijke grondslag is voor iedere volgende rechtmatige verwerking. De Vries: “Wij vinden dat, in lijn met de ‘risk-based approach’ uit de AVG, een bronhouder de risico’s moet inventariseren en duidelijk kenbaar moet maken. In dit geval gaat het dan om de vraag: kan geo-informatie een persoonsgegeven worden? Zo ja, dan moet er als het ware een soort bijsluiter bij de gegevens geleverd worden. Maar als dat op een zorgvuldige wijze is gedaan, dan zou de bronhouder verder ook vrijgesteld moeten zijn voor opvolgend gebruik waarbij deze data mogelijk voor verboden doeleinden worden gebruikt. Het alternatief is dat deze bronhouders tot in de lengte der dagen rekening moet houden met wetsovertredende hergebruikers, waar ze goed beschouwd zich niet tegen kunnen wapenen. En mocht er door opvolgend gebruik een overtreding worden begaan, dan moet díe overtreding bestraft worden, en niet de leverancier van de open brondata.”
“Het voordeel van een dergelijke bepaling zal in ieder geval meer duidelijkheid scheppen rond de verantwoordelijkheid van de bronhouders van de geo-basisregistraties”, vindt ook Van Loenen. “En die duidelijkheid is hard nodig als we het potentieel van open geodata maximaal willen benutten.” De Vries afsluitend: “De AVG biedt een kans om een keuze te maken en het te regelen. Dus laten we dat ook doen.”
Eens in de zoveel jaar worden de sectorale regelingen geëvalueerd. Vanuit praktisch oogpunt beveelt de werkgroep aan deze wijzigingen bij de eerstvolgende wetsevaluaties mee te nemen.
Rob Burkhard is parttime werkzaam bij Geonovum als communicatieadviseur en redacteur.
Een BAG-adres is m.i. gewoon geen persoonsgegeven. Een woonadres wel, maar dat is een BRP-gegeven.. Raar dat ze niet gekeken hebben naar de enige GEO basisregistratie die wél persoonsgegevens bevat, de BRK.
Geachte,
De persoonsgegevens zoals het Kadaster die verstrekt in bv een splitsingsakte zijn dermate gedetailleerd op persoonlijk nivo (bv nummer van een identiteitsbewijs, geboortedatum, hypotheek actes) dat dit in flagrante strijd lijkt te zijn met de AVG van mei 2018.
Gelukkig zijn splitsingsaktes van jaren her en beslist niet up to date. Maar toch leuk dat ik de geboorte datum van die toen al vervelende buurvrouw kan inzien.
Graag een adequate reactie.
Feit blijft dat privacy-aspecten aan de weg kunnen staan aan het ‘open maken’ van overheidsdata.
Zie o.a. de ‘Handreiking bij openen van data’ van het MinBZK.