Overheden, gemeenten in het bijzonder, zien in toenemende mate de waarde van hun data. Deze waarde zit vooral in het vinden van nieuwe toepassingen, waarbij koppeling - vaak op basis van geo-locaties - centraal staat. In veel gevallen betreft het een nieuw gebruik van al verzamelde data, waaronder persoonsgegevens. Maar mag dat ook?
De ‘persoonsgegevens hergebruiktool’ die Geonovum recent ontwikkelde, helpt deze vraag gefundeerd en systematisch te beantwoorden.
Het koppelen van data uit verschillende bronnen door middel van locatie-informatie schept ongekende mogelijkheden, maar sleept ook geo-informatie het privacydomein binnen. Om de dialoog tussen deze, voorheen gescheiden, werelden op gang te brengen, publiceerde Geonovum begin 2015 het Witboek ‘Privacy op zijn Plaats, tussen willen weten en wetten’. “Een van de belangrijkste conclusies uit dat Witboek was dat informatie/geoprofessionals vaak geen idee hebben wat zij wel en niet met de persoonsgegevens in hun data mogen doen”, aldus Rob van de Velde, directeur van Geonovum. “Dat leidt er toe dat mensen óf dingen stiekem doen óf er vanaf blijven. Er bleek dan ook een grote behoefte te bestaan aan praktische hulpmiddelen die informatie/geoprofessionals zouden helpen de vertaalslag te maken van de vrij abstracte privacyregels, naar de toepassing in de praktijk.”
Vraag vanuit gemeenten
Waar nu precies de behoefte zat was best nog wel een zoektocht, zo zegt Marc de Vries, die samen met Bastiaan van Loenen (TU Delft) en Iris van de Kerk (nu Rijkswaterstaat), voor Geonovum de tool ontwikkelde. “Als eerste hebben wij een rondje gemaakt langs gemeenten met de vraag waar nu echt het probleem zat. Al snel kwamen wij erachter dat het niet zozeer ging om het aanleggen van nieuwe dataverzamelingen. Daar zijn de regeltjes wel helder en is goed beschreven wat wel of niet kan. De problemen doen zich vooral voor bij al verzamelde data die, op basis van geo-informatie, steeds vaker aan elkaar kan worden gekoppeld en op die manier een nieuwe bestemming krijgt.”
“In de praktijk ziet dat er vaak zo uit: een wethouder met ambities en gelovend in de kracht van nieuw gebruik van data, wil graag inzicht krijgen in verbanden en patronen die nu nog niet zichtbaar zijn. Denk bijvoorbeeld aan verbanden tussen criminaliteitscijfers en gegevens over de aanwezigheid van straatverlichting. Of cijfers over betaalde sociale uitkeringen en de hoeveelheid afval per huishouden. Zijn verzoek komt uiteindelijk bij degene die in staat is dit soort koppelingen te maken. Vaak is dat de (geo-)informatieprofessional. Die vraagt zich vervolgens, geheel terecht, af of dit wel mag, maar ontbeerde tot voor kort iets praktisch waarmee hij uit de voeten kon.”
Wet bescherming persoonsgegevens
In de nieuwe tool draait alles om de Wet bescherming persoonsgegevens (Wbp), en dan specifiek om artikel 9 uit die wet. Kort gezegd staat daar dat ‘persoonsgegevens die voor doel A verzameld zijn niet voor doel B gebruikt mogen worden op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen’. Om deze mogelijke ‘onverenigbaarheid’ vast te stellen, is een vijftal elementen van belang: de verwantschap tussen het oude en nieuwe doel, de aard van de gegevens, de gevolgen voor de betrokkenen, de wijze waarop de gegevens zijn verkregen en de aanwezigheid van passende waarborgen. “Allemaal vrij abstract”, aldus Marc de Vries. “Daarom hebben we die vijf elementen doorvertaald in een aantal stellingen, waarop twee antwoorden mogelijk zijn: ja of nee. Dat zorgt ervoor dat de toetsing van de voorgenomen ‘herbestemming’ van het gebruik van de persoonsgegevens al vrij snel concreet en praktisch wordt. Na invulling van de vragen levert dat ‘scores’ op de vijf elementen op. Daar is ook weer een advies aan gekoppeld, mochten de scores te laag blijken te zijn.”
Klik voor vergroting
Dat het vooral gemeenten zijn waarop de tool zich richt, en niet zo zeer provincies, waterschappen of het Rijk, heeft te maken met de specifieke rol van gemeenten. “Mede door de decentralisaties in diverse domeinen zitten gemeenten het dichtst bij de burgers en als gevolg daarvan zijn zij het die dan ook vooral met persoonsgegevens werken”, zo schetst De Vries, die het noodzaak vindt dat de tool geschreven is in een taal die ook niet-juristen begrijpen. “Veelal zijn de gebruikers informatiespecialisten, bijvoorbeeld geo-informatiespecialisten of data-analytici. Ook moet je denken aan ‘eigenaren’ van data (met name afdelingen die in de uitvoering persoonsgegevens verzamelen).
‘Tool is het begin van een proces’
Alhoewel de tool snel concreet wordt en geschreven in een taal die begrijpelijk is, waarschuwt De Vries dat het instrument niet gezien moet worden als ‘allesbepalend’. Volgens hem is het invullen van de tool slechts het begin van het proces. “Het helpt bij het beantwoorden van de voorvragen en geeft een eerste, maar wel gefundeerde indicatie over wat wel of niet mag als het gaat om het herbestemmen van reeds verzamelde persoonsgegevens. Een logische vervolgstap is een terugkoppeling naar de beleidsverantwoordelijke en een gesprek met de privacyexpert in de organisatie.”
Of gemeenten de privacytool nu wel of niet gebruiken, het hebben en naleven van privacyregels vindt Marc de Vries van groot belang. “Hoe abstract die regels ook zijn, ik geloof er stellig in. Bescherming van privacy is gewoon nodig. Uiteindelijk gaat het ook over de verhouding tussen overheid en burger, over de informatieposities die je ten opzichte van elkaar inneemt. Wat is toegelaten en wat niet? In toenemende mate weet de overheid zoveel over haar burgers. Omdat dit kruipend gaat, realiseren we ons dat niet altijd. Tegelijkertijd kun je die beweging niet meer stoppen, maar zorg er dan wel voor dat er waarborgen ingebouwd zijn. Hopelijk kan deze tool daarbij helpen.”
Relevante links
Bestudeer toch vooral ook eens de GDPR. Daar is kortgeleden positief over besloten (EU). Over twee jaar gaat-ie in. Dat lijkt me al weer een veel betere basis…