Steeds vaker omarmen organisaties open data, ook binnen de overheid. Open data is hip en happening, maar betekent dat dan alles ook maar vrij hergebruikt mag worden? Waar ligt de grens, de spanning en hoe gaan andere landen om met het thema privacy in relatie tot open data?
Het is een combinatie die veel misverstanden oproept: open data en privacy. Ook Just Stam ervaart dat. Binnen het ministerie van Justitie en Veiligheid (voorheen Veiligheid en Justitie) houdt hij zich bezig met vraagstukken op het snijvlak van privacy en veiligheid, vooral in relatie tot allerlei technische ontwikkelingen (zoals big data en drones). “Het eerste misverstand is dat open data zou suggereren dat de privacy van burgers niet in het geding zou zijn. Het omgekeerde is ook niet waar, namelijk dat als het gaat om open data je geen persoonsgegevens openbaar zou mogen maken. Iemand die een boom in zijn achtertuin wil kappen, vraagt een kapvergunning aan. In dat geval is er een wettelijke verplichting voor de gemeente om die aanvraag openbaar te maken. Op dat moment worden ook persoonsgegevens prijsgegeven. Je moet wel altijd nagaan of er een bepaalde rechtsgrond is aan te wijzen die het rechtvaardigt dat data ook open data wordt.”
Als het gaat om de overheid, zijn er volgens Stam drie rechtsgronden te vinden. “De eerste is dat je als overheid toestemming krijgt van de betrokken burger. Het tweede is een wettelijke verplichting, zoals bij een kapvergunning. Het derde is dat je de persoonsgegevens onder omstandigheden tot open data mag maken als het noodzakelijk is voor de uitoefening van een publiekrechtelijke taak. Die laatste is nog het meest spannend. Je moet in die gevallen de noodzaak kunnen aantonen en ook kunnen aantonen dat het proportioneel en subsidiair is. Dan schieten organisaties nog wel eens in de kramp van ‘voldoen we wel aan die eisen?’.”
Spanning
Open data en privacy? Marc de Vries, die onder meer mee heeft gewerkt aan de eerste Richtlijn Hergebruik van de Euro- pese Commissie en voor Geonovum een Witboek heeft geschreven over geo-informatie en privacy, gelooft dat er in de kern zeker spanning zit tussen die twee. “Enerzijds is er angst en onzekerheid over wat wel of niet mag met data, maar anderzijds worden ook steeds vaker de mogelijkheden van open data ontdekt. Mijn ervaring is dat er daarbij af en toe scherp aan de wind wordt gevaren, met name bij het koppelen van gegevens.”
Just Stam is voorzichtig als het gaat om het koppelen van bestanden, zeker als dat gedaan wordt door overheden. “Dat roept allerlei nieuwe privacyvragen op. Als je al datasets combineert, dan zou je een vrij compleet beeld van de burger tot stand kunnen brengen. Dat gaat best ver. Tuurlijk, de Facebooks en de Googles van deze wereld kunnen dat ook, maar dat is een andere vraag dan wanneer de overheid dat zou kunnen.” Marc de Vries ziet ook die lastigheid en pleit voor een soort van scheiding. “Je ontsluit data die op dat moment geen persoonsgegevens zijn, maar het valt niet uit te sluiten dat op termijn daar personen mee geïdentificeerd zouden kunnen worden. Ik vind niet dat de overheid, die oprechte bedoelingen heeft met de ontsluiting van data, de dupe mag worden omdat er anderen zijn die slechte bedoelingen hebben met die data.”
Stam vindt dat het verder ontwikkelen van open data niet los gezien kan worden van hoe die data verwerkt wordt. “We hebben wel spelregels afgesproken over het verzamelen van data, maar spelregels over de analyse daarvan en wat je met die analyseproducten mag doen, zijn er eigenlijk niet. Daar moet je over nadenken. Enerzijds om de kansen van data-analyse te benutten en anderzijds om het vertrouwen van de samenleving te behouden in de wijze waarop de overheid met data van burgers omgaat.”
Belang AVG
De AVG is een afkorting die staat voor de Algemene Ver- ordening Gegevensbescherming en de opvolger is van de Wet bescherming persoonsgegevens (Wbp). De komst van de AVG, die op 25 mei 2018 in werking treedt, betekent dat vanaf die datum in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. Just Stam ziet zeker de impact van de AVG, maar vindt ook dat dat niet moet worden overdreven. “In de AVG keren principes terug die ook al gelden op basis van de Europese privacyrichtlijn uit 1995. Ook de rechtsgronden die ik noemde, worden met wat kleine veranderingen in de AVG gekopieerd. Over het algemeen genomen zijn de burgerrechten als het gaat om privacybescherming in de AVG steviger geworden, ook al omdat toezichthouders straks meer bevoegdheden krijgen en hogere boetes mogen opleggen.”
Ook Marc de Vries ziet in de AVG niet veel nieuws onder de zon. “Mooi is wel de aandacht voor Artikel 9, zoals wij dat op dit moment in Nederland kennen uit de Wbp. Bij Artikel 9 geldt dat het nieuwe gebruik van de ‘persoonsgegevens’ mag, mits niet onverenigbaar. Die afweging zal dus steeds opnieuw gemaakt moeten worden. Daar zit dan ook direct de spanning. Vanuit Geonovum hebben we in 2016 een tool ontwikkeld die gaat over dat Artikel 9. De tool is een hulpmiddel voor overheden om te kijken of zij reeds verzamelde data gebruiken mogen voor een ander doel.”
De Vries zou het prettig vinden als zoiets als de hergebruiktool niet alleen voor overheden beschikbaar is, maar ook voor burgers die een beroep doen op de AVG. “Een dergelijke tool maakt het hopelijk voor burgers allemaal wat begrijpelijker, want zelfs voor mij is de nieuwe verordening vrij ingewikkeld. Ik heb de AVG nu twee keer integraal doorgelezen, maar ik vind het moeilijk.”
Just Stam is het eens met De Vries dat er bestaande of nieuwe instrumenten zouden moeten worden aangereikt, waarmee belanghebbenden een verenigbaarheidstoets kunnen uitvoeren. “In dat kader denken wij vanuit Justitie na over het maken van een soort handleiding voor gegevensbescherming die gestoeld is op de AVG. De gegevensbeschermingswetgeving is al ingewikkeld genoeg, dus laten we mensen ook helpen het wat makkelijker te maken.”
Europese verschillen
Als het gaat om open data scoort ons land redelijk tot goed, maar volgens Marc de Vries blinkt ons land op één punt uit. “Dat zijn de basisregistraties. Die zijn echt van infrastructurele waarde bij het doen aan open data.” Stam is het daar mee eens, maar vindt tegelijk dat Nederland in Europees verband niet de meest open samenleving is. “Met name als je kijkt naar welk type data wij open laten zijn. Neem de Scandinavische landen, met name Zweden of Noorwegen. Zij vinden het als een soort van civiele plicht dat belastingaangiftes van burgers als open data beschikbaar zijn.”
Stam vindt dat frappant. “In Nederland ligt er nog steeds een taboe op het prijs geven van je inkomensgegevens, maar in dat soort landen is het vrij gewoon om die gegevens openbaar te maken. Een interessante vraag is wel hoe zich dat verhoudt tot de komende Europese privacyregels. Zweden is lid van de Europese Unie en zal zich ook moeten houden aan de AVG. Kennelijk is dat voor de EU geen probleem en kan Zweden de noodzaak van die regel aantonen. Overigens moet je wel goed kijken naar gegevens die onder wetgeving hangen waar een specifieke geheimhoudingsbepaling in zit. Zo staat in Artikel 67 van de Algemene wet inzake rijksbelastingen dat de belastingge- gevens van burgers geheim zijn. Of neem de Wet justitiële en strafvorderlijke gegevens of de Wet Politiegegevens. Ook dat zijn voorbeelden van gegevens die het niet mogelijk maken om het tot open data te laten zijn. Het openzetten van data kan niet altijd!”
Relevante link