Big Data-analyse en het (on)recht voor de daaraan onderworpen consument : een vergelijkend onderzoek tussen de Verenigde Staten en Nederland

Big Data-analyse en het (on)recht voor de daaraan

onderworpen consument

Een vergelijkend onderzoek tussen de Verenigde Staten en Nederland

Datum: 26 juni 2018

Naam: Joeri Koen Mokkink

Studentnummer: 10724176

Begeleider: dhr. prof. dr. E.E.O. Roos Lindgreen Bachelorscriptie – definitieve versie

Universiteit van Amsterdam Bsc Economie en Bedrijfskunde 10951 woorden

Verklaring eigen werk

Hierbij verklaar ik, Joeri Mokkink, dat ik deze scriptie zelf geschreven heb en dat ik de volledige verantwoordelijkheid op me neem voor de inhoud ervan.

Ik bevestig dat de tekst en het werk dat in deze scriptie gepresenteerd wordt origineel is en dat ik geen gebruik heb gemaakt van andere bronnen dan die welke in de tekst en in de referenties

worden genoemd.

De Faculteit Economie en Bedrijfskunde is alleen verantwoordelijk voor de begeleiding tot het inleveren van de scriptie, niet voor de inhoud.

Abstract:

Big Data is populair. Een groeiend aantal bedrijven maakt gebruik van Big Data-analyse. Het blijkt dat bedrijven die Big Data implementeren succesvoller zijn dan hun concurrenten. Het gebruik van Big Data kent echter gevaren voor de privacy van consumenten. De gegevensbescherming kan in gevaar komen, het is onduidelijk wie eigenaar is van persoonsgegevens en er bestaat een risico op discriminatie. In dit onderzoek worden, aan de hand van rechtsvergelijking en literatuuronderzoek, de juridische implicaties van het gebruik van Big Data voor de Verenigde Staten en Nederland geïdentificeerd en vergeleken. Het recht blijkt in beide landen niet te kunnen voorzien in voldoende bescherming voor de consument zonder het gebruik van Big Data-analyse in te perken. In de Verenigde Staten staat het recht het gebruik van Big Data-analyse in grote mate toe, waardoor effectieve privacybescherming voor de consument in bepaalde gevallen ontbreekt. Nederland kent daarentegen een omvangrijk recht op privacybescherming. Dit heeft tot gevolg dat Big Data-analyse wordt beperkt.

Inhoudsopgave

1 Inleiding ... 3

2 Big Data, gebruik en problemen... 4

2.1 Het begrip Big Data ... 4

2.2 Het gebruik van Big Data ... 5

2.3 De problemen van Big Data ... 7

3 Algemene opmerkingen over het Europese recht ... 9

4 Gegevensbescherming ... 11 4.1 Verenigde Staten... 11 4.2 Nederland ... 13 4.3 Intercontinentale datastromen ... 16 4.4 Vergelijking ... 17 5 Eigendomsrecht ... 18 5.1 Verenigde Staten... 18 5.2 Nederland ... 21 5.3 Vergelijking ... 23 6 Discriminatie ... 24 6.1 Verenigde Staten... 24 6.2 Nederland ... 26 6.3 Vergelijking ... 29 7 Conclusie ... 30 8 Bibliografie ... 32

1 Inleiding

“Without big data analytics, companies are blind and deaf, wandering out onto the Web like deer on a freeway.” twitterde Geoffrey Moore in 2012 al om het belang van Big Data-analyse te duiden. Het blijkt dat bedrijven die Big Data-analyse toepassen beter presteren dan hun concurrenten (McAfee & Brynjolfsson, 2012). Het aantal bedrijven dat gebruik maakt van Big Data-analyse is de laatste jaren dan ook flink gestegen. Uit onderzoek van Dresner Advisory Services (2017) blijkt dat in 2017 53 procent van de bedrijven gebruik maakte van Big Data-analyse, tegenover 17 procent in 2015. Slechts 11 procent van de ondervraagde bedrijven heeft geen plannen om het in de toekomst te implementeren. Het stijgende gebruik van Big Data-analyse heeft een grote invloed op het dagelijks leven van consumenten. Het bepaalt de kans op het krijgen van onder andere leningen, werk, huisvesting en onderwijs (Citron & Pasquale, 2014).

Tegenover de mogelijkheden die Big Data biedt, staan echter ook gevaren. Een voorbeeld hiervan is het recente datalek bij Facebook. Privégevoelige informatie van 87 miljoen gebruikers van het social media platform werd door data-analysebedrijf Cambridge Analytica verkregen, zonder dat Facebook en haar gebruikers daar van op de hoogte waren (Kuchler, 2018). Dit voorbeeld staat symbool voor een breder probleem. Het gebruik van Big Data brengt verschillende vraagstukken met betrekking tot databeveiliging en privacy met zich mee (Bertino, 2015). Big Data-analyse hangt nauw samen met de verwerking van persoonsgegevens. Door het Data-analyseren van likes op Facebook kan met grote nauwkeurigheid de geaardheid, het ras en de politieke voorkeur van een individu worden geschat (Kosinski, Stillwell, & Graepel, 2013). Het gebruik van deze informatie door bedrijven kan individuen persoonlijk raken.

De ontwikkeling van het recht blijft veelal achter bij technologische ontwikkelingen. Hierdoor is het recht vaak niet in staat om deze ontwikkelingen effectief te reguleren. Dit probleem wordt ook wel omschreven als het pacing problem (Marchant, 2011). In hoeverre het recht voorziet in bescherming voor de consument bij de technogische ontwikkeling van Big Data-analyse is onduidelijk.

De internationale datastroom is groot en blijft groeien. In 2014 werd elke seconde ongeveer 15 duizend gigabyte data uitgewisseld tussen Europa en de Verenigde Staten, terwijl de mogelijke capaciteit op meer dan 166 duizend gigabyte per seconde wordt geschat (Meltzer, 2014). De Verenigde Staten en Nederland kennen totaal verschillende rechtssystemen. In de Verenigde Staten bestaat voor de staten een grote vrijheid in wetgeving, terwijl het recht in Nederland door een grote mate van uniformiteit wordt gekenmerkt. Daarnaast bestaat er ook een fundamenteel andere opvatting over de idee van privacybescherming. In de Verenigde Staten komt privacywetgeving voort uit een afweging tussen belangen van enerzijds privacybescherming en anderzijds een

effectieve economische bedrijfsvoering, terwijl in Nederland privacybescherming als een fundamenteel mensenrecht wordt gezien (EY, 2015). Het is daarom interessant om te onderzoeken hoe deze verschillende systemen trachten te voorzien in de regulering met betrekking tot problemen die Big Data-analyse met zich meebrengt.

Centraal in dit onderzoek staat dan ook de vraag: Wat zijn de juridische implicaties van het gebruik

van Big Data ten aanzien van de privacybescherming van de daaraan onderworpen consument en hoe verschillen deze implicaties tussen Nederland en de Verenigde Staten? Om een antwoord te kunnen geven op dit vraagstuk

wordt een vergelijkend onderzoek tussen de Verenigde Staten en Nederland uitgevoerd met betrekking tot drie onderwerpen: gegevensbescherming, eigendom en discriminatie. Hiertoe wordt per onderwerp het relevante recht, de leemtes daarin, en de in de literatuur besproken mogelijkheden om deze op te vullen geanalyseerd.

De rest van dit onderzoek is als volgt opgezet. In paragraaf 2 wordt het begrip Big Data nader toegelicht en wordt uiteengezet hoe Big Data gebruikt kan worden en welke problemen dat met zich mee kan brengen. In paragraaf 3 wordt een korte toelichting gegeven op het gebruik van Europees recht in het onderzoek. Vervolgens wordt in de vierde, vijfde en zesde paragraaf de problemen betreffende respectievelijk gegevensbescherming, eigendom en discriminatie geanalyseerd. Tot slot wordt in de zevende paragraaf een conclusie getrokken doormiddel van de beantwoording van de onderzoeksvraag.

2 Big Data, gebruik en problemen

2.1 Het begrip Big Data

Het begrip Big Data kent geen eenduidige definitie. De term vat een groot concept samen. Waar vroeger data relatief eenvoudig op te slaan en te interpreteren waren, is er de afgelopen jaren een ontwikkeling geweest die de complexiteit van dataopslag en -verwerking in grote mate heeft doen toenemen. Deze ontwikkeling wordt vaak beschreven door een aantal kenmerken die zijn toegekend aan Big Data. Laney (2001) ontwikkelde de traditionele 3 V’s; volume, velocity en variety. Inmiddels hebben anderen vele additionele kenmerken ontwikkeld, zoals veracity, value, variability en

visualization (Mikalef, Pappas, Krogstie, & Giannakos, 2017).

Volume is de eerste van de drie door Laney (2001) geïntroduceerde traditionele V’s. Het

heeft betrekking op de groeiende hoeveelheid data. In het jaar 2000 was de totale omvang van data wereldwijd nog 0,8 zettabyte, naar schatting is dit in 2020 gegroeid tot 35 zettabyte (Mohanty, Bhuyan, & Chenthati, 2015). Voor 2025 is zelfs een schatting gemaakt van 165 zettabyte (Reinsel, Gantz, & Rydning, 2017). Ter vergelijking, een zettabyte is evenveel als een triljoen gigabyte. Het kenmerk volume zit in de naam Big Data verscholen, en is ook een van de belangrijkste eigenschappen.

De tweede traditionele eigenschap betreft variety, ofwel de variëteit aan data (Laney, 2001). Dit hangt samen met de omvang. Niet alleen de hoeveelheid data over bestaande onderwerpen groeit, maar ook het aantal onderwerpen waar data over beschikbaar zijn. Traditionele data zijn gestructureerd en bestaan veelal uit tabellen. Big Data is grotendeels ongestructureerd en veel moeilijker te analyseren. Voorbeelden van ongestructureerde data zijn content geüpload op social media, metingen van sensoren en GPS gegevens (McAfee & Brynjolfsson, 2012).

Velocity is het derde traditionele kenmerk waardoor Big Data zich van traditionele data

onderscheidt. Big Data is snel in twee opzichten. Enerzijds biedt het de mogelijkheid in real time inzichten in data te verschaffen. Zo kunnen bijvoorbeeld social media posts onmiddellijk geanalyseerd worden om het gevoel over een bepaald onderwerp onder de gebruikers te ontdekken (George, Osinga, Lavie, & Scott, 2016). Anderzijds heeft het begrip velocity ook betrekking op de toenemende snelheid waarin de data verouderd raken (Mikalef et al., 2017).

Van alle additionele eigenschappen is Veracity is de meest genoemde. Het refereert aan de mate van betrouwbaarheid. Inherent aan Big Data is een mate van onzekerheid. Ondanks de vele mogelijkheden die de combinatie van kenmerken van Big Data met zich meebrengen zullen verzamelde data nooit correcte toekomstvoorspellingen garanderen (Schroeck, Shockley, Smart, Romero-Morales, & Tufano, 2012). Zoals Schroeck et al. (2012) stellen: “De enige zekerheid over onzekerheid is dat het niet zal verdwijnen.”

2.2 Het gebruik van Big Data

Ruwe data op zichzelf zijn waardeloos. Door het toepassen van een data-analyse worden verbanden ontdekt. De data verworden hierdoor tot actionable knowledge, kennis die nodig is om een zo optimaal mogelijke beslissing te kunnen maken (Degli Esposti, 2014). Big Data is zettabytes groot en grotendeels ongestructureerd. Daarom kan niet worden volstaan met traditionele analysemethoden. Geavanceerde en unieke methoden zijn benodigd voor zowel opslag als analyse (Chen, Chiang, & Storey, 2012). Er kunnen drie categorieën van Big Data-analyse worden onderscheiden: descriptive analysis, predictive analysis en prescriptive analysis (Sivarajah, Kamal, Irani, & Weerakkody, 2017).

Descriptive analysis, ook wel patroonanalyse, betreft het statistisch analyseren van historische

gegevens om daar patronen en relaties uit te filteren (Rehman, Chang, Batool, & Wah, 2016). Traditioneel stelt men eerst een hypothese op die aan de hand van een statistische analyse op de dataset wordt getest. In tijden van Big Data is het opstellen van een hypothese niet langer nodig. Big Data-analyse onderscheidt zich van de traditionele analyse doordat nog onbekende verbanden door de analyse worden ontdekt (Mayer-Schönberger & Cukier, 2013, p. 55).

Vervolgens kan deze informatie worden gebruikt voor een predictive analysis. Dit kan worden omschreven als het analyseren van data met het doel om het gedrag van individuen te voorspellen (Finlay, 2014, p. 3). Twee verschillende technieken kunnen worden gebruikt om een voorspellende analyse uit te voeren. Eén mogelijkheid is om de resultaten uit de historische gegevens te extrapoleren naar de toekomst. De andere mogelijkheid is het voorspellen van de toekomst aan de hand van verbanden tussen afhankelijke en onafhankelijke variabelen (Gandomi & Haider, 2015).

De derde categorie van de Big Data-analyse is de prescriptive analysis. Aan de hand van de inzichten die zijn gecreëerd in de voorspellende analyse, kunnen door de prescriptieve analyse mogelijke besluiten en resultaten daarvan worden geanalyseerd (Sivarajah et al., 2017). Het besluitvormingsproces wordt hierdoor geoptimaliseerd. Uit onderzoek blijkt dat bedrijven die besluiten nemen op grond van data-analyse productiever zijn dan organisaties die dit niet doen (Brynjolfsson, Hitt, & Kim, 2011). In figuur 1 wordt aan de hand van een schematische weergave inzichtelijk gemaakt hoe de analysecategorieën optimaal benut kunnen worden.

Figuur 1: Big data analysemethoden (Sivarajah et al., 2017)

De analyse van Big Data kan aan de hand van het volgende voorbeeld worden verduidelijkt. Reeds in de jaren ’80 van de twintigste eeuw werden door banken al analysemethoden gebruikt om te bepalen of een lening verschaft werd aan een potentiele klant. Zo werd bijvoorbeeld geweigerd leningen te verstrekken aan consumenten die in bepaalde postcodegebieden woonden waarvan uit historische gegevens bleek dat leningen vaak niet volgens de voorwaarden werden afbetaald. Dit wordt ook wel red lining genoemd (Bert Herman Maria Custers, 2016, p. 17). Door Big Data-analyse

kan dit principe tegenwoordig veel breder worden uitgeoefend. Bijvoorbeeld door het Internet of Things. Het principe hiervan is dat veel apparaten data verzamelen door sensoren en deze via een internetconnectie doorsturen naar een cloud database. Bijvoorbeeld een horloge dat hartslag en beweging meet, een smartphone die locatiegegevens bijhoudt en een auto die acceleratie en remkracht meet. Door Big Data-analyse kunnen vele verbanden worden ontdekt die gecorreleerd zijn met het al dan niet naar de gestelde voorwaarden afbetalen van een lening. Zo ontstaat een uitgebreid risicoprofiel aan de hand waarvan beslissingen kunnen worden gemaakt.

2.3 De problemen van Big Data

Verwerking van Big Data heeft vaak betrekking op persoonsgegevens, informatie die herleidbaar is naar een individu. Ondanks dat data ogenschijnlijk anoniem lijken, kan door de reeds beschreven eigenschappen van Big Data en de analyse daarvan toch informatie worden gevonden die herleidbaar is naar individuele personen (Aakster & Keur, 2012). Met het gebruik van Big Data komen dus bepaalde rechten van de consument in het geding.

2.3.1 Gegevensbescherming

Het gebruik van Big Data kan gevaren voor de gegevensbescherming van consumenten met zich meebrengen. Big Data-analyse biedt de mogelijkheid om persoonsgegevens te creëren in plaats van ze te verzamelen bij de consument. Daardoor bestaat het gevaar dat consumenten niet weten dat, en waarvoor, hun gegevens worden gebruikt. Dit kan worden verduidelijkt aan de hand van een voorbeeld uit een artikel in de New York Times (Duhigg, 2012). Target, een Amerikaanse winkelketen, verzamelt op alle mogelijke manieren data over klanten. Aan de hand van deze data maken zij klantprofielen. Door het toepassen van een voorspellende analyse op deze gegevens kwamen zij tot de conclusie dat een klant zwanger was. De klant ontving op grond van deze voorspelling advertenties van babyproducten. De vader van de klant deed zijn beklag, omdat hij van mening was dat Target zijn tienerdochter aanspoorde om zwanger te worden. Een aantal dagen later bleek dat Target een juiste voorspelling had gemaakt en de vrouw inderdaad zwanger was. Target creëerde privacygevoelige persoonlijke informatie en gebruikte deze voor marketingdoeleinden zonder dat de klant in kwestie hiervan op de hoogte was.

Daarnaast is er het risico tot openbaring van de data. Vroeger bleven datalekken beperkt tot de kleine hoeveelheden data. Tegenwoordig is dat anders. Door de ontwikkeling van Big Data zijn er veel grotere hoeveelheden en variëteiten aan data opgeslagen. Finlay (2014, p. 97) merkt op dat de account- en beveiligingsgegevens van alle creditcards in het Verenigd Koninkrijk op één smartphone kunnen worden opgeslagen. Dit is mogelijk door nieuwe technieken die op

veiligheidsgebied vaak nog niet volledig ontwikkeld zijn, waardoor Big Data systemen kwetsbaar zijn voor datalekken (Jasmien César & Debussche, 2017). De komst van Big Data heeft dus invloed op gegevensbescherming, zowel op het gebied van dataverzameling, datagebruik als dataopslag. 2.3.2 Eigendom

Een ander vraagstuk dat relevant is voor Big Data is het eigendomsrecht. Eigendom brengt bepaalde bevoegdheden met zich mee. Is men bijvoorbeeld eigenaar van één fiets, dan is men exclusief bevoegd om de fiets te gebruiken, aan te passen, te verkopen of zelfs te vernietigen. Op het moment dat de fiets verkocht wordt, komen de bevoegdheden toe aan de nieuwe eigenaar en kan de oude eigenaar deze rechten niet meer uitoefenen, er is tenslotte maar een fiets. Dit veelgebruikte eigendomsconcept stamt uit de Romeinse tijd en blijkt niet meer toegesneden te zijn op tijden van Big Data (Hoeren, 2014). Big Data bestaat uit een cluster van uiterst variërende data en is niet fysiek aanwezig. Daarnaast kan het relatief eenvoudig gereproduceerd worden, waardoor niet een entiteit de exclusieve macht heeft. Het maakt duidelijk dat het eigendomsbegrip niet een-op-een toe te passen is op Big Data. Een eenduidige internationale norm waaruit blijkt wie eigenaar is van persoonsgegevens ontbreekt (Ritter & Mayer, 2017).

De markt voor Big Data groeit. Waar de wereldwijde marktomzet in 2017 151 miljard dollar bedroeg, wordt verwacht dat dit in 2020 meer dan 210 miljard dollar zal zijn (International Data Corporation, 2017). Deze handel, in combinatie met de absentie van duidelijkheid over het eigendom van Big Data, resulteert in een situatie waarin de grootste en machtigste partijen feitelijk de macht over persoonsgegevens opeisen (Malgieri, 2016).

2.3.3 Discriminatie

Big Data-analyse is een veelgebruikt middel om tot betere besluitvorming te komen. Het gebruik ervan kent echter ook een keerzijde: het kan leiden tot discriminatie. Door Big Data-analyse kunnen nieuwe verbanden worden gevonden, die gebaseerd zijn op correlatie (Mayer-Schönberger & Cukier, 2013, p. 55). Door correlatie kan slechts worden vastgesteld dat er een verband is. Het zegt niets over een verklaring van het verband. Indien correlatie wordt verward met causaliteit, dus het ‘wat’ met het ‘waarom’, ontstaat een onjuist oorzaak-gevolg verband. Door deze verwarring kan Big Data-analyse leiden tot assumpties die feitelijk onjuist blijken te zijn (Bart Herman Maria Custers, 2013).

Daarnaast zijn algoritmes, die in Big Data-analyse worden gebruikt om beslissingen te maken, niet objectief. Ze vertegenwoordigen bepaalde keuzes, aannames en het gedachtengoed van de ontwerpers (Dwork & Mulligan, 2013). Het is daardoor mogelijk dat het gebruik algoritmen

stereotypen en vooroordelen versterkt (International Working Group on Data Protection in Telecommunications, 2014).

Een derde probleem ligt bij de data zelf. Een eigenschap van Big Data-analyse is dat steekproeven steeds groter worden, zo niet worden vervangen door de gehele populatie (Mayer-Schönberger & Cukier, 2013, p. 26). Een grote groep mensen heeft echter geen toegang tot de technologische middelen waarmee Big Data verzameld wordt, waardoor zij niet in de populatie gerepresenteerd worden, en de besluitvorming aan hen voorbij gaat (Lerman, 2013).

Indien een Big Data-analyse tekortkomingen kent, zoals in deze paragraaf beschreven, kan het tot gevolg hebben dat de beslissingen die op grond hiervan worden gemaakt een onterecht onderscheid maken tussen individuen of groepen, en daarmee discriminatie tot gevolg heeft. Door discriminatoire aspecten in het ontwerp van het algoritme te verwerken kan intentioneel gediscrimineerd worden, bijvoorbeeld door consumenten te classificeren in groepen waaraan goederen of services worden aangeboden, of juist aan worden onthouden (Turow, 2012). Tekortkomingen waardoor discriminatie ontstaat, komen echter veel vaker per abuis in de analyse terecht, waardoor deze het erg complex wordt om ze te identificeren (Barocas & Selbst, 2016).

3 Algemene opmerkingen over het Europese recht

3.1 Het Europese recht in Nederland

In dit onderzoek zal, bij de bespreking van het Nederlandse recht, met enige regelmaat Europese regelgeving worden aangehaald. Dat het Europees recht van grote invloed is op de Nederlandse rechtsstaat, bleek voor het eerst in het Van Gend en Loos-arrest1_{. Het Europese Hof van Justitie}

(hierna: HvJ) erkende in dit arrest dat individuen in bepaalde gevallen bij de nationale rechter een rechtstreeks een beroep kunnen doen op de bepalingen uit de Europese verdragen (primair Europees recht), mits deze duidelijk en onvoorwaardelijk zijn, en geen aanvullende maatregelen vereisen. Dit wordt de rechtstreekse werking van het Europese recht genoemd (EUR-Lex, 2015). De vrij algemene bepalingen uit de Europese verdragen worden uitgewerkt in secundair recht. De belangrijkste instrumenten hiervoor zijn de verordening en de richtlijn (Bovens & Yesilkagit, 2005). De verordening heeft, net als de verdragsbepalingen, rechtstreekse werking. Dat werd al in 1971 door het HvJ bevestigd in het Politi-arrest2 _{en blijkt ook uit de tekst van de verdragsbepaling waarin}

de verordening wordt beschreven3_{. Een richtlijn verplicht de lidstaten een bepaald resultaat te}

1 _{HvJ EU 5 februari 1963, C-26/62, ECLI:EU:C:1963:1 (Van Gend en Loos v Administratie der Belastingen).} 2 _{HvJ EU 14 december 1971, C-43/71, ECLI:EU:C:1971:122 (Politi).}

bereiken, maar de vorm en middelen om dit te bereiken staan de lidstaten vrij4_{. Een richtlijn heeft}

daarom slechts rechtstreekse werking onder bepaalde voorwaarden. In het Van Duyn-arrest5 _heeft

het HvJ bepaald dat een individu zich rechtstreeks kan beroepen op een richtlijn indien lidstaten deze niet tijdig hebben omgezet in nationaal recht en de in de richtlijn opgenomen bepalingen onvoorwaardelijk, voldoende nauwkeurig en duidelijk zijn. Naast de leer van de rechtstreekse toepassing is ook de voorrangsleer van belang. In het Costa/E.N.E.L.-arrest6 _{heeft het HvJ bepaald}

dat het Europese recht boven het nationale recht staat. Het nationale recht van lidstaten mag niet in strijd zijn met het Europese recht. Is dit toch het geval, dan prevaleert het Europese recht. Dit geldt voor zowel primair als secundair Europees recht (Eur-Lex, 2010).

3.2 Europese Privacybescherming

In dit onderzoek speelt de Algemene Verordening Gegevensbescherming (hierna: AVG) een hoofdrol. Deze verordening is de opvolger van de in 1995 ingevoerde databeschermingsrichtlijn7

die in Nederland tot nationaal recht omgezet was in de Wet bescherming persoonsgegevens (hierna: Wbp). De AVG trad op 24 mei 2016 al in werking, maar werd door een overgangsperiode van twee jaar pas op 24 mei 2018 van toepassing. De AVG is een uitwerking van het grondrecht van de bescherming van persoonsgegevens zoals neergelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie.

Het doel van de verordening is om natuurlijke personen te beschermen in verband met de verwerking en het verkeer van persoonsgegevens.8 _{Persoonsgegevens worden gedefinieerd als alle}

informatie over een geïdentificeerde of een, zowel direct als indirect, identificeerbare natuurlijke persoon.9 _{Deze persoon wordt de betrokkene genoemd. Het begrip verwerken komt in de AVG}

een ruime betekenis toe, het ziet onder andere op handelingen als verzamelen, gebruiken, structureren, verspreiden en verwijderen.10 _{In de praktijk kan elke handeling die op data wordt}

verricht dus worden aangemerkt als verwerking. Zowel de opdrachtgevers van de gegevensverwerking (de verwerkingsverantwoordelijke) als de feitelijke verwerkers van de informatie (de verwerker) moeten de AVG naleven bij het verwerken van persoonsgegevens van alle consumenten in die zich in de Europese Unie begeven.11 _{De vestigingsplaats van de}

verwerkingsverantwoordelijke of de verwerker en de locatie waar de verwerking plaatsvindt, zijn

4 _{Artikel 288 van het Verdrag betreffende de werking van de Europese Unie.}

5 _{HvJ EU 4 december 1974, C-41-74, ECLI:EU:C:1974:133 (Yvonne van Duyn v Home Office).} 6 _{HvJ EU 15 juli 1964, C-6-64, ECLI:EU:C:1964:66 (Flaminio Costa v E.N.E.L.).}

7 _{Richtlijn 95/46/EG.} 8 _{Artikel 1, eerste lid, AVG.} 9 _{Artikel 4, eerste lid, AVG.} 10 _{Artikel 4, tweede lid, AVG.} 11 _{Artikel 2 AVG, artikel 3 AVG.}

irrelevant. De AVG is dus een alomvattende wet, die in alle situaties waarin bedrijven persoonsgegevens van consumenten verwerken moet voorzien. Het is voor bedrijven van groot belang om zich aan de wetgeving te houden. Indien een overtreding van de bepalingen uit de AVG geconstateerd wordt kunnen boetes oplopen tot 20 miljoen euro, of indien hoger, vier procent van de totale wereldwijde jaaromzet.12

4 Gegevensbescherming

4.1 Verenigde Staten

De Verenigde Staten kennen geen algemene privacywetten op federaal niveau. Het is aan de staten zelf om privacywetgeving te implementeren. Wel bestaan er federale wetten voor bepaalde risicosectoren, zoals de zorgsector en de financiële sector. Deze wetten zijn ontworpen om de specifieke risico’s in de betreffende sector te reguleren (Podesta, Pritzker, Moniz, Holdren, & Zients, 2015). De ratio achter dit systeem is dat de markten databescherming grotendeels zelf kunnen reguleren (Moerel, 2014). Deze zelfregulatie verwezenlijkt zich in user policies die betrekking hebben op persoonsgegevens (in de Verenigde Staten vaak aangeduid als personally identifiable

information). De gehanteerde invulling van het begrip persoonsgegevens, en daarmee het bereik van

het gebruikersbeleid, varieert echter. Volgens Schwartz en Solove (2011) kunnen de definities van persoonsgegevens in Verenigde Staten in drie categorieën worden ingedeeld, die zij als volgt hebben gedefinieerd. De eerste benadering is de tautologische benadering. Volgens deze benadering bestaan persoonsgegevens uit informatie die een persoon identificeert. Het betreft een cirkelredenatie, waardoor op grond van deze benadering moeilijk een onderscheid kan worden gemaakt tussen persoonsgegevens en niet-persoonsgegevens. De tweede categorie is de non-public benadering, die publiekelijk toegankelijke gegevens en louter statistische gegevens uitsluit van het begrip, en daarmee van de betreffende wetgeving. De tekortkoming van deze benadering is dat het slechts gegevens uitsluit, maar niet duidelijk wordt wat wél geclassificeerd kan worden als persoonsgegevens. De derde categorie is de specific type benadering, waarbij gegevens geclassificeerd worden als persoonsgegevens indien ze in een vooraf opgestelde lijst staan. De reikwijdte van privacywetgevingen in de Verenigde Staten variëren dus niet alleen door territorium en sector, maar ook door de benadering van het begrip persoonsgegevens.

4.1.1 Sectorwetgeving: HIPAA

Een belangrijke sectorale privacywet op federaal niveau is de Health Insurance Portability and

Accountability Act (hierna: HIPAA) uit 1996. De wet heeft betrekking op de zorgsector. Het doel

van de wet is het vinden van een juiste balans tussen enerzijds vertrouwelijkheid van gezondheidsinformatie en anderzijds de belangen voor de samenleving bij het verkrijgen, gebruiken en openbaar maken van deze gegevens, zowel voor organisaties in de publieke als in de private sector (Tovino, 2016).

De wet kent privacybescherming, vastgelegd in de HIPAA Privacy Rule. Zorgverleners mogen in beginsel geen medische persoonlijke gegevens van cliënten gebruiken of verspreiden, tenzij de Privacy Rule anders bepaalt of de cliënt daar toestemming voor geeft.13 _{Indien er wel}

medische gegevens worden verspreid, moeten deze worden geanonimiseerd.14 _{Ook hebben de}

cliënten het recht op wijziging van foutieve informatie.15 _{De HIPAA kent echter geen recht voor}

cliënten om hun persoonlijke medische informatie te laten verwijderen (Tovino, 2016). De Privacy

Rule betreft een zogenaamd downstream model. Dat wil zeggen dat het uitsluitend ziet op de

verwerking en verspreiding van reeds verzamelde data. Alle handelingen die betrekking hebben op het verzamelen van data vallen dus niet binnen het bereik van de Privacy Rule (Terry, 2014a).

Daarnaast kent de HIPAA ook informatiebeveiliging, geregeld in de HIPAA Security Rule. In deze Rule zijn verschillende maatregelen opgenomen met betrekking tot het opslaan van data. Hiermee wordt getracht persoonlijke medische informatie niet in handen van niet-medische organisaties te laten komen (Terry, 2014a). Indien er toch een datalek plaatsvindt, moet daar op grond van de HIPAA Notification Breach Rule melding van worden gedaan bij de getroffen individuen, de media en bij de Minister van Volksgezondheid en Sociale Zaken.16 _{Indien een van}

de Rules wordt geschonden door een organisatie die onder het bereik van de HIPAA valt, kan er een civielrechtelijke boete worden opgelegd die kan oplopen tot anderhalf miljoen dollar per jaar.17

In tijden van Big Data worden medische profielen niet meer exclusief samengesteld en gebruikt door zorgverleners. Consumenten creëren zelf enorme hoeveelheden data die medisch relevant zijn, zoals online zoektermen naar bepaalde ziektesymptomen, aankoopgegevens van (zelfzorg)geneesmiddelen of sensordata van activity trackers. Door het analyseren van deze data, kunnen medische profielen over individuen worden samengesteld terwijl dit buiten het bereik van de HIPAA valt (Terry, 2012). De meningen over de vraag in hoeverre dit een probleem vormt zijn verdeeld. Enerzijds wordt gesteld dat de consument zich via andere wetten kan beroepen op bescherming (National Committee on Vital and Health Statistics, 2017). Anderzijds wordt geadviseerd tot aanpassing van de HIPAA door het implementeren van een upstream model naast het huidige downstream model, waardoor ook de collectie van gegevens onder de reikwijdte van

13 _{45 C.F.R. §164.502(a).} 14 _{45 C.F.R. §164.514.} 15 _{45 C.F.R. §164.526.} 16 _{45 C.F.R. §164.400.} 17 _{45 C.F.R. §160.400/404.}

de wet zal vallen (Terry, 2014b). Als gevolg daarvan zullen veel meer entiteiten onder de wetgeving vallen, en kan de verzameling van data gelimiteerd worden (Terry, 2017).

De HIPAA legt de wrijving van de Amerikaanse sectorwetgeving met het gebruik van Big Data bloot. Door het verzamelen en analyseren van Big Data kan buiten de sectorwet beschermde reikwijdte specifieke informatie worden gecreëerd die juist door de sectorwet beschermd zou moeten worden.

4.1.2 Wetgeving op statenniveau: Meldplichten datalekken

Naast de sectorale wetgeving, is op statelijk niveau de meldplicht voor datalekken van belang voor privacybescherming. De eerste meldplicht voor datalekken in de Verenigde Staten werd in 2003 ingevoerd in de staat Californië. De California Security Breach Act. Sinds 28 maart 2018 kennen alle vijftig staten wetgeving die een meldplicht voor datalekken kent (Jolly, 2018). Hoewel de wetten per staat verschillen, kan er een gemeenschappelijk raamwerk worden ontdekt (Green & Martin, 2016). Zo wordt de betekenis van persoonsgegevens veelal beschreven aan de hand van de specific

type approach, en wordt een datalek vaak gedefinieerd als “ongeautoriseerde verwerving van

niet-versleutelde geautomatiseerde gegevens die de beveiliging, vertrouwelijkheid of integriteit van persoonlijke gegevens aantasten die worden bijgehouden door een persoon of bedrijf” (Green & Martin, 2016, p. 108) Op enkele punten bestaan echter grote verschillen. Zo bestaat in sommige staten geen mogelijkheid tot het opleggen van een boete indien er geen melding wordt gedaan van een datalek, terwijl in de staat Michigan de boete kan oplopen tot 750 duizend dollar (Green & Martin, 2016). Volgens Moerel (2012) heeft de meldplicht bewezen een effectief middel te zijn om het aantal datalekken te verminderen, omdat de bekendmaking van de datalekken de reputatie van bedrijven schaadt, en zij dit dus te allen tijde proberen te voorkomen. Aan de andere kant zijn er ook argumenten waarom de huidige praktijk niet effectief werkt. Hiervoor zijn de verschillen redenen. De uitwerking van de meldplicht tussen staten verschilt in hoge mate, waardoor het voor bedrijven die landelijk opereren moeilijk is om te voldoen aan elke lokale wet. Daarnaast ontbreekt een effectieve mogelijkheid voor individuen wiens data gelekt is om hiertegen in rechte op te komen (Peters, 2014). Een uniforme, nationale wetgeving wordt dan ook geadviseerd (Green & Martin, 2016; Peters, 2014).

4.2 Nederland

In Nederland is het recht op gegevensbescherming in algemene zin gewaarborgd in artikel 10 van de Grondwet, alsmede op Europees niveau in artikelen 7 en 8 van het Handvest van de

Grondrechten van de Europese Unie. Tot 24 mei 2018 werden deze rechten uitgewerkt in de Wpb. Op 24 mei 2018 is deze wet vervangen door de AVG.

4.2.1 Basisprincipes van de AVG

Op grond van de AVG mogen bedrijven geen gegevens van consumenten verwerken zonder toestemming.18 _{Om de bescherming van de consument te waarborgen worden verschillende eisen}

aan de toestemming gesteld. De toestemming moet een “vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting” betreffen.19 _{Hoewel de AVG geen formele vereisten stelt aan de}

toestemming, is wel duidelijk dat toestemming verkregen op basis van stilzwijgen, bijvoorbeeld het niet verzetten tegen veronderstelde toestemming, niet als toestemming in de zin van de AVG kan gelden.20 _{Daarnaast zal de dataverwerker moeten kunnen aantonen dat de betrokkene toestemming}

heeft gegeven.21 _{Tevens moet de betrokkene zijn toestemming even eenvoudig kunnen intrekken}

als geven.22

Naast het vereiste van toestemming kent de AVG de beginselen van doellimitatie en dataminimalisatie. Doellimitatie houdt in dat dataverwerkers persoonsgegevens slechts mogen verwerken voor “welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden”.23 _De

plicht tot dataminimalisatie houdt in dat de verwerking van persoonsgegevens “ter zake dienend en beperkt tot wat noodzakelijk voor de doeleinden” moet zijn.24

De vereisten van toestemming, doellimitatie en dataminimalisatie lijken haaks te staan op Big Data-analyse, dat gekenmerkt wordt door grote hoeveelheden aan uiterst variërende data, die meerdere keren voor verscheidende doelen worden geanalyseerd. Het gevolg van de invoering van de AVG is dat het moeilijker zal worden om Big Data-analyses uit te voeren (Mayer-Schonberger & Padova, 2015a). De AVG kent echter twee opties die in verband met Big Data-analyse mogelijk benut kunnen worden, de compability test en de privileging rule (Forgó, Hänold, & Schütze, 2017).

Door het uitvoeren van de compability test25 _{kan worden bepaald of het doel van de verdere}

verwerking van persoonsgegevens verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk verzameld zijn. Is dit het geval, dan is er geen strijd met het beginsel van doellimitatie. De test houdt rekening met het verband tussen de doelen van de verzameling en verdere verwerking, het kader waarin de gegevens verzameld zijn, de aard van de persoonsgegevens, de

18 _{Artikel 6, eerste lid onder a, AVG.} 19 _{Artikel 4, elfde lid, AVG.}

20 _{Overweging 32, AVG.} 21 _{Artikel 7, eerste lid, AVG.} 22 _{Artikel 7, derde lid, AVG.} 23 _{Artikel 5, eerste lid onder b, AVG.} 24 _{Artikel 5, eerste lid onder c, AVG.} 25 _{Artikel 6, vierde lid, AVG.}

mogelijke gevolgen voor de betrokkene en de waarborgen die de verwerker heeft toegepast.26 _Om

Big Data-analyse te legitimeren op grond van deze test is het vooral van belang om maatregelen te nemen die data anonimiseren (Forgó et al., 2017).

Zijn de doelen van verdere verwerking niet verenigbaar met het doel van de verzameling, dan mag, op grond van de privileging rule, verdere verwerking zonder hernieuwde toestemming toch plaatsvinden indien dit voor statistische doeleinden geschiedt.27 _{Mayer-Schonberger en Padova}

(2015b) concluderen dat de term ‘statistische doeleinden’ een zodanig ambigue uitleg kent in de AVG, dat deze niet beperkt blijft tot het dienen van het publieke belang, maar ook het economische belang van bedrijven kan omvatten. Wel dienen maatregelen getroffen te worden die het beginsel van dataminimalisatie waarborgen.28

De AVG vereist dus meer privacy gerelateerde waarborgen naarmate de dataverwerking eigenschappen van Big Data-analyse krijgt. Een effectieve manier om in deze waarborgen te voorzien is volgens Voigt en von dem Bussche (2017) Privacy by Design. Dit houdt in dat reeds vanaf de ontwerpfase van de analysemethode privacy waarborgen geïmplementeerd dienen te worden.

Privacy by Design is in de AVG verplicht gesteld.29 _{Volgens D'Acquisto et al. (2015) kan Big}

Data-analyse profiteren van Privacy by Design. Doordat dataverwerkers al vanaf het begin worden geconfronteerd met kwesties als doelbinding en dataminimalisatie, worden zij gedwongen om gedegen afwegingen te maken over de hoeveelheid data die verzameld wordt. Hierdoor stijgt de kwaliteit van de data. De grootste uitdaging met betrekking tot Big Data is om een hoeveelheid data te vinden waarbij de bescherming voor de consument voldoende gewaarborgd wordt en toch zinvolle analyses kunnen worden gemaakt (Monreale, Rinzivillo, Pratesi, Giannotti, & Pedreschi, 2014).

De beschreven mogelijkheden binnen de AVG kunnen echter niet voorkomen dat het gebruik van Big Data-analyse beperkt wordt (T. Z. Zarsky, 2016). Om de mogelijkheden van Big Data-analyse volledig te kunnen benutten wordt door verschillende auteurs voorgesteld de wet aan te passen. Prins en Moerel (2016) achten het beginsel van doellimitatie achterhaald en pleiten ervoor dit te vervangen door een vereiste ‘grondslag van gerechtvaardigd belang’. Waar de AVG bepaalt dat verwerking noodzakelijk moet zijn voor het doel waarmee de gegevens verzameld zijn, stelt deze theorie dat de gegevensverwerking noodzakelijk moet zijn voor “de behartiging van een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd belang” (Prins & Moerel, 2016, p. 108). Indien een bedrijf in staat is om verantwoording af te leggen over de legitimiteit van de verwerking,

26 _Ibid.

27 _{Artikel 5, eerste lid onder b, AVG.} 28 _{Artikel 89, eerste lid, AVG.} 29 _{Artikel 25, eerste lid, AVG.}

kunnen alle mogelijkheden van Big Data-analyse worden benut. Zarsky (2016) ziet de oplossing in ex post wetgeving, waarbij de bescherming van de consument wordt gewaarborgd door het achteraf bestraffen van misstanden in plaats van het vooraf opleggen van beperkingen.

4.2.2 Meldplicht datalekken

In Nederland bestaat de meldplicht op datalekken sinds 2016. Met de invoering van artikel 34a Wet bescherming persoonsgegevens moest elk datalek dat “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”30 _{worden gemeld. Tot en met 2017 zijn 15.857 meldingen gedaan (Autoriteit}

Persoonsgegevens, 2018a). De Autoriteit Persoonsgegevens had de bevoegdheid tot het opleggen van een bestuurlijke boete tot 670 duizend euro, maar heeft geen boetes opgelegd (Autoriteit Persoonsgegevens, 2018b).

Inmiddels is de meldplicht vervangen uit de Wpb vervangen door de meldplicht uit de AVG.31 _{Een datalek wordt gedefinieerd als: “een inbreuk op de beveiliging die per ongeluk of op}

onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.”32 _{Er hoeft geen melding te worden gemaakt indien de datacontroller niet}

verwacht dat het datalek leidt tot risico voor vrijheden en rechten van de betrokken personen. Is dit wel het geval, dan moet binnen 72 uur na ontdekking een melding worden gemaakt bij de Autoriteit Persoonsgegevens. Betrokkenen van wie persoonsgegevens gelekt zijn hoeven niet te worden geïnformeerd indien de verwerkingsverantwoordelijke na het lek maatregelen heeft genomen waardoor de risico’s voor de betrokkenen zich naar waarschijnlijkheid niet meer voor zullen doen.33 _{De Hert en Papakonstantinou (2016) verwachten dat hierdoor weinig notificaties}

werkelijk aan de publiek bekendgemaakt worden. Dit heeft volgens hen tot gevolg dat de meldplicht onvoldoende waarborgen in gegevensbescherming zal realiseren.

4.3 Intercontinentale datastromen

Met de komst van nieuwe technologieën zijn de datastromen geïnternationaliseerd. De Verenigde Staten en de Europese Unie kennen de grootste grensoverschrijdende datastroom ter wereld (Meltzer, 2014). Om de verschillende benaderingen van privacybescherming niet in de weg te laten staan aan de intercontinentale datastroom, werd in het jaar 2000 de Safe Harbor Agreement gesloten.

30 _{Art. 34a, eerste lid, Wbp.} 31 _{Art. 33 AVG.}

32 _{Art. 4, twaalfde lid, AVG.} 33 _{Art. 34, derde lid onder b, AVG.}

Hierdoor kon aan de Europese Unie verzekerd worden dat bepaalde organisaties uit de Verenigde Staten konden voldeden aan de strengere Europese vereisten (Weiss & Archick, 2016). In 2015 werd de overeenkomst ongeldig verklaard door het HvJ.34 _{Het HvJ stelde dat de Europese Unie}

onvoldoende had beargumenteerd dat de Verenigde Staten daadwerkelijk een passend beschermingsniveau boden.35 _{In 2016 werd een vervangende overeenkomst, het EU-US Privacy}

Shield, bekrachtigd. Deze overeenkomst kent strengere eisen dan de Safe Harbor Agreement, en bevat

ook toezeggingen van de Verenigde Staten betreffende de naleving ervan (Weiss & Archick, 2016). Het Privacy Shield voldoet echter niet aan de in 2018 effectief geworden AVG, waardoor ook deze overeenkomst op losse schroeven komt te staan (Goldstein, Hardiman, Baker, & Druckerman, 2016).

De Europese implementatie van de AVG zal waarschijnlijk ook gevolgen hebben voor de Verenigde Staten. Amerikaanse bedrijven die in de Europese Unie opereren zullen moeten voldoen aan de AVG. Omdat zij deze strenge voorwaarden toch al implementeren voor consumenten in de Europese Unie is het waarschijnlijk dat ze deze ook gaan implementeren voor consumenten in de Verenigde Staten (Safari, 2016). Deze Europeanisering van buitenlandse wetgeving werd door Bradford (2012) als het Brussels Effect omschreven.

4.4 Vergelijking

Zowel in Nederland als in de Verenigde Staten bestaat de overtuiging dat persoonsgegevens beschermd dienen te worden. De interpretatie van de manier waarop dit dient te gebeuren verschilt echter sterk. In de Verenigde Staten is het in beginsel aan bedrijven om de bescherming te waarborgen door user policies. Aanvullende bescherming bestaat in de vorm van wetten op statenniveau en voor bepaalde risicosectoren op federaal niveau. In Nederland wordt gegevensbescherming voor consumenten daarentegen primair door het recht geregeld dat toepasselijk is alle bedrijven die persoonsgegevens verwerken.

Een ander groot verschil tussen beide landen is de focus van de wetgeving. In de Verenigde Staten wordt de wetgeving gekenmerkt door het upstream model, waardoor vooral het gebruik van persoonsgegevens gereguleerd wordt. Daartegenover ziet de wetgeving in Nederland op elke vorm van verwerken van persoonsgegevens. Hieronder valt zowel verzamelen als het gebruiken. Door de beginselen van doellimitatie en dataminimalisatie wordt de mogelijkheid tot verwerking van persoonsgegevens beperkt.

34 _{HvJ EU 6 oktober 2015, C-362/14, ECLI:EU:C:2015:650 (Schrems).} 35 _{Ibid, par. 96.}

Een overeenkomst tussen beide landen kan worden gevonden in de meldplicht tot datalekken. Hoewel de maximale hoogte van de boete bij overtreding van de meldplicht in Nederland veel hoger ligt, wordt in beide rechtssystemen door de plicht bescherming geboden aan de consument.

Een kenmerk van Big Data-analyse is dat een grote hoeveelheid data onderzocht wordt om nieuwe verbanden te vinden. Dit staat haaks op de eigenschappen van de Nederlandse wetgeving ter bescherming van persoonsgegevens. Hoewel de bescherming van de consument alomvattend is, lijkt het gebruik van Big Data beperkt te worden in Nederland. Om dit te voorkomen gaan stemmen op om de focus te verleggen naar het gebruik van persoonsgegevens (Prins & Moerel, 2016). In tegenstelling tot Nederland wordt de wetgeving in de Verenigde Staten gekenmerkt door een focus op gebruik. Hierdoor kan Big Data-analyse breder worden ingezet. Dit is echter niet zonder gevaar. De grote variëteit die Big Data kenmerkt brengt met zich mee dat sectorgrenzen vervagen. Gegevens die vroeger door specifieke sectorwetgeving werden beschermd, kunnen door Big Data-analyse ook buiten de sector worden gecreëerd en gebruikt, waardoor bescherming voor de consument ontbreekt. Daarom wordt in een grotere focus op de verzameling aangeraden (Terry, 2014a).

Hoewel de kans bestaat dat door het Brussels Effect de benadering van de AVG naar de Verenigde Staten geëxporteerd zal worden, lijken beide systemen niet perfect. De grootste uitdaging zal dan ook zijn om een juiste balans te vinden in de wetgeving tussen de focus op verzameling en de focus op gebruik van persoonsgegevens.

5 Eigendomsrecht

5.1 Verenigde Staten

In de Verenigde Staten wordt het begrip eigendom (ownership) in het juridische woordenboek Black’s

Law Dictionary omschreven als “the bundle of rights allowing one to use, manage, and enjoy

property, including the right to convey it to others.” (Garner, 2009, p. 1215).

In de Verenigde Staten worden persoonsgegevens steeds meer als een verhandelbaar goed gezien (Schwartz, 2004). Bedrijven behandelen persoonsgegevens als hun economisch eigendom. Een juridisch eigendomsrecht op persoonsgegevens ontbreekt tot op heden, al lijkt het recht zich niet te verzetten tegen een invoering hiervan (Ritter & Mayer, 2017).

5.1.1 Aansprakelijkheid versus eigendom

Oorspronkelijk kon in de Verenigde Staten door middel van het aansprakelijkheidsrecht een schadevergoeding worden geëist indien een privacy gerelateerd recht geschonden werd (Lemley &

Weiser, 2006). De discussie of eigendomsrecht een rol kan spelen in privacybescherming ving een halve eeuw geleden aan met een voorstel van Westin (1970). Hij pleitte ervoor om een eigendomsrecht toe te kennen aan personen over hun persoonsgegevens. Sindsdien is het een veelbesproken kwestie, waarbij ter bescherming van persoonsgegevens voor zowel het leerstuk van eigendomsrecht als van aansprakelijkheidsrecht wordt gepleit (Lemley & Weiser, 2006).

Een systeem voor privacybescherming vanuit het aansprakelijkheidsrecht kent enkele tekortkomingen (Bergelson, 2003). Zo voorziet het slechts in negatieve rechten. Het gevolg hiervan is dat men alleen kan opkomen tegen een reeds gepleegde onrechtmatige inbreuk op de privacy, maar een effectieve privacybescherming alvorens de inbreuk plaatsvindt ontbreekt. Daarnaast kan schadevergoeding slechts door een rechtszaak worden afgedwongen, hetgeen hoge kosten met zich meebrengt. De hoogte van de schadevergoeding wordt echter bepaald aan de hand van de werkelijk geleden schade. Op individueel niveau is deze schade doorgaans niet wezenlijk hoog. Dit heeft tot gevolg dat er weinig burgers over zullen gaan tot het aansprakelijk stellen van de dataverzamelaar. De aansprakelijkheidsregel wordt hierdoor inefficiënt (Bergelson, 2003).

Hoewel het systeem van aansprakelijkheid dus niet optimaal is, zijn er ook argumenten tegen het invoeren van een eigendomsrecht op persoonsgegevens om privacy te beschermen. Een theoretisch argument tegen de invoering van eigendomsrecht voor persoonsgegevens is dat het concept van eigendom niet bedoeld is om privacy te beschermen, maar om mensen in staat te stellen het eigendom te verhandelen. Aansprakelijkheidsrecht dient reeds ter bescherming tegen onrechtmatige inbreuken op privacy (Litman, 2000). Het instellen van een eigendomsrecht zou volgens Litman (2000) de markt voor persoonsgegevens legitimeren, terwijl deze handel volgens haar de kern van het privacy probleem is. Ook op praktisch niveau bestaan bezwaren tegen een eigendomsrecht op persoonsgegevens. Een eigenschap van eigendom is dat de eigenaar anderen uit kan sluiten van gebruik. Hierdoor zou een bedrijf dat eigenaar is van persoonsgegevens de persoon op wie de gegevens betrekking hebben kunnen uitsluiten van het gebruik daarvan. Hierdoor kan de betrokkene de gehele controle over zijn eigen persoonsgegevens verliezen (Determann, 2018).

Voorstanders van het eigendomsrecht voor persoonsgegevens denken echter dat er door de invoering daarvan een optimale balans kan worden gevonden tussen de waarde van persoonsgegevens voor bedrijven en privacybescherming van de consumenten (Purtova, 2012, p. 126). Er worden in de literatuur dan ook verschillende voorstellen gedaan voor gelimiteerde vormen van eigendom, om zo de risico’s van een volledig eigendomsrecht te mitigeren.

Schwartz (2004) stelt een hybride eigendomsrecht voor. Dit model kent een beperkte overdraagbaarheid. De consument kan zijn persoonsinformatie aan bedrijven overdragen voor een

bepaald doel. Voor elk gebruik dat verder gaat dan het initiële doel, of voor elke overdracht van de persoonsgegevens naar een andere partij, is toestemming van de consument benodigd. Hierdoor wordt de macht van het datasubject over zijn eigen informatie versterkt.

5.1.2 Quasi-eigendom

De theorie van Schwartz gaat uit van een directe relatie tussen de consument en de dataverzamelaar. Zoals besproken in paragraaf 2 is het in tijden van Big Data mogelijk dat persoonsgegevens gecreëerd worden door analyse van ogenschijnlijk anonieme data. Schwartz’ concept van hybride-eigendom biedt tegenwoordig dus onvoldoende bescherming. Een oplossing kan worden gevonden in quasi-eigendom (Scholz, 2015). Quasi-eigendom wordt omschreven als een “recht om specifieke partijen uit te sluiten van een middel, gegeven een specifieke situatie, een bepaald type gedrag en/of een bepaalde relatie tussen de partijen” (Scholz, 2015, p. 1115). Het is in beginsel een aansprakelijkheidsregime, maar heeft in bepaalde gevallen kenmerken van eigendom. Het systeem kent, in tegenstelling tot de theorie van hybride eigendom, geen vaste definitie van persoonsgegevens. Wanneer, en waarop, een consument exclusiviteit kan claimen wordt aan de hand van de ‘relatie-context-aard toets’ bepaald. Het recht op relationele exclusiviteit ontstaat op het moment er een vertrouwensrelatie tussen de consument en het bedrijf bestaat waardoor de consument mag verwachten dat het bedrijf anders met de informatie zou omgaan dan werkelijk is gebeurd, indien de maatschappij het moreel verkeerd vindt om gegevens op de betreffende manier te verwerken of de gegevens worden verwerkt op een manier waarbij de consument schade oploopt, of daar een risico toe is. Een bedrijf zal dus bij elke vorm van verzameling en verwerking van gegevens moeten bedenken of dat, gegeven de relatie, context en aard van de verwerking geoorloofd is (Scholz, 2015). In tegenstelling tot bij het aansprakelijkheidsrecht, is de door de consument geleden schade bij quasi-eigendom irrelevant. De consument heeft, indien hij exclusiviteit kan claimen, recht op restitutie (Scholz, 2018). De hoogte van de restitutie heeft de opbrengstwaarde voor de dataverzamelaar als basis. Dit is volgens Scholz (2018) een effectievere methode dan schadevergoeding omdat persoonsgegevens voor een individu verwaarloosbare financiële waarde vertegenwoordigen, terwijl de marktwaarde van diezelfde gegevens voor bedrijven die Big Data-analyse toepassen hoger ligt.

5.2 Nederland

5.2.1 De onmogelijkheid van eigendom in het BW

In Nederland is eigendom “het meest omvattende recht dat een persoon op een zaak kan hebben.”36 _{Eigendom is, zo blijkt uit de letter van de wet, slechts mogelijk op een zaak. Het begrip}

zaak wordt in de wet omschreven als “voor de menselijke beheersing vatbare stoffelijke objecten.”37

Wibier (2016) concludeert dat eigendom op data onmogelijk is vanwege het ontbreken van stoffelijkheid, en daarom de bijbehorende rechten ook niet kunnen worden uitgeoefend. Tjong Tjin Tai (2015) twijfelt echter aan het nut van theoretische discussie of eigendom op data mogelijk is. Hij stelt dat er vier relevante bevoegdheden aan eigendom zijn gekoppeld: gebruik voor eigen nut, exclusiviteit en controle, beschikkingsbevoegdheid en overige rechten en plichten. Deze bevoegdheden zijn in de praktijk in grote mate door andere wetten geregeld zijn, of bij het ontbreken daarvan contractueel overeen te komen zijn. Zo wordt bijvoorbeeld de mogelijkheid genoemd om de exclusiviteit enigszins te waarborgen door een overeenkomst te sluiten inhoudende dat alle kopieën door de verkoper gewist moeten worden na de overdracht van de data. Ook noemt Tjong Tjin Tai (2015) strafrechtelijke bescherming die databezitters hebben indien data ongeoorloofd worden gewist, veranderd, en onbruikbaar of ontoegankelijk gemaakt38_,

en het illegaal verkrijgen van kopieën door computervredebreuk.39 _{Een probleem bij deze manier}

van pseudo-eigendom ziet Tjong Tjin Tai (2015) echter bij revindicatie, het terugvorderen van data die bij derden in bezit zijn. Op dit gebied kunnen contractuele afspraken vaak onvoldoende waarborgen bieden. Hier zou volgens hem verder over moeten worden nagedacht.

5.2.2 Eigendom in Europese context

Net als in het Nederlandse recht, kent ook het recht van de Europese Unie geen eigendom voor data (Jasmien César, Debussche, & Van Asbroeck, 2017). Een uitspraak van het HvJ heeft de deur echter op een kier heeft gezet voor het eigendomsrecht op data.40 _{Oracle, een softwareontwikkelaar,}

verkocht online licenties voor haar producten. Met deze licentie kon de gebruiker de software via de site van Oracle downloaden. Op het moment dat de licenties overbodig waren voor de gebruikers, werden deze door UsedSoft opgekocht, om ze vervolgens opnieuw te verhandelen. De klanten van UsedSoft konden met de ‘tweedehands’ licentie de software downloaden van de website van Oracle. In de aanvankelijke koopovereenkomst tussen Oracle en de eerste gebruiker

36 _{Art. 5:1, eerste lid, Burgerlijk Wetboek (hierna: BW).} 37 _{Art. 3:2 BW.}

38 _{Art. 350a Wetboek van Strafrecht (hierna: Sr) en art. 350b Sr.} 39 _{Art. 138ab Sr jo art. 139}e _Sr.

werd overdraagbaarheid van de licentie echter uitgesloten. Het HvJ oordeelde dat de verkoop door UsedSoft toch geoorloofd was. Het HvJ oordeelde dat het niet alleen een licentie werd verhandeld, maar dat het beschikbaar stellen van een downloadbestand op de website van Oracle ook de verkoop van een goed behelsde. Met deze uitspraak impliceert het HvJ dat er een eigendomsrecht op niet stoffelijke objecten mogelijk is (Hoeren, 2014).

Ondanks de mogelijkheid die het HvJ biedt tot eigendom op niet stoffelijke objecten, is er bewust besloten om in de AVG geen volledig eigendomsrecht voor persoonsgegevens te creëren. Het idee hierachter is dat het fundamentele recht op privacy niet vervreemd kan worden (Duch, Martens, & Mueller-Langer, 2017). Wel kent de AVG verschillende rechten die de consument beschikking geeft over zijn persoonsgegevens. Zo bestaat het recht op overdraagbaarheid van data, ook wel dataportabiliteit genoemd.41 _{Dit recht is tweeledig. Het biedt de betrokkene de}

mogelijkheid om de persoonsgegevens die hij aan een verwerker heeft verstrekt te verkrijgen, maar verplicht de dataverwerker ook om op verzoek van de betrokkene de gegevens over te dragen aan een andere dataverwerker. Het recht op dataportabiliteit heeft als primair doel om de macht van de betrokkene over zijn persoonsgegevens te vergroten (Article 29 Working Party, 2017). Daarnaast kent de AVG het recht om vergeten te worden, wat inhoudt dat de verwerker persoonsinformatie op verzoek van de betrokkene verplicht moet verwijderen.42 _{Hoewel er dus}

voor gekozen is om geen eigendomsrecht in te voeren, kent de AVG wel een hoge mate van beschikkingsbevoegdheid aan de betrokkene toe.

Ten slotte is in deze context de white paper van Bird&Bird (Jasmien César et al., 2017) van belang. In dit paper wordt een voorstel gedaan om een nieuwe Europese wet te maken waarmee eigendom van data mogelijk wordt. De auteurs zien dat door de UsedSoft-zaak er een discussie is ontstaan over een Europees eigendomsrecht, maar dat er in latere wetgeving en jurisprudentie geen duidelijkheid is gekomen. Zij beschrijven de huidige juridische situatie op een vergelijkbare manier Tjong Tjin Tai (2016), waarbij zij spreken over ‘ownership-like rights’. Anders dan Tjong Tjin Tai achten zij deze situatie niet wenselijk. Zij zien uit een meer economisch oogpunt dat het huidige doolhof aan wetten en de grote afhankelijkheid van contractuele afspraken leidt tot grote rechtsonzekerheid. Daarom wordt volgens hen terughoudend omgegaan met het delen van data. Daarom stellen zij een eigendomsrecht voor dat een niet-exclusief karakter heeft. Niet alleen omdat de aard van data exclusiviteit onmogelijk maakt, maar vooral omdat het delen van data de economie zal stimuleren. Daarnaast moet het eigendomsrecht niet gelden op de gehele database, maar slechts op delen daarvan. Omdat databases alsmaar groeien, moet volgens de auteurs elk deel als een apart

41 _{Art. 20 AVG.} 42 _{Art. 17 AVG.}

onderdeel worden gezien dat een eigen waarde vertegenwoordigt. Ook wordt een traceerbaarheidsverplichting ingesteld, waardoor altijd te achterhalen is aan wie de data verstrekt zijn. Dit ligt in lijn met de reeds besproken contractuele afspraak tot overdracht enerzijds en verwijdering anderzijds. Binnen dit voorstel zijn persoonsgegevens eigendom van de verwerker. Volgens de auteurs levert dit geen probleem op omdat er in de AVG voldoende waarborgen zijn voor de betrokkenen, zoals het recht op dataportabiliteit en het recht om vergeten te worden.

In veel gevallen krijgt de betrokkene door de rechten in de AVG een grote mate van beschikking over zijn persoonsgegevens. In het kader van Big Data kennen dataportabiliteit en het recht om vergeten te worden echter ook tekortkomingen. Naar de letter van de wet genomen ziet de dataportabiliteit alleen op informatie die de betrokkene aan de verwerker heeft verstrekt. Hoewel de term ‘verstrekken’ ruim dient te worden opgevat, zodat zowel het bewust verstrekken van persoonsgegevens door de betrokkene als het observeren van persoonsgegevens door de verwerker hieronder vallen. Het door verwerkers aan de hand van Big Data-analyse creëren van persoonsgegevens kan echter niet als ‘verstrekken’ worden gekwalificeerd, en valt daarmee buiten de reikwijdte van dit recht (Article 29 Working Party, 2017). Ook zal praktische uitvoering van het recht om vergeten te worden problematisch worden, omdat door de complexiteit van moderne databases verwijdering praktisch onmogelijk is (Villaronga, Kieseberg, & Li, 2018).

5.3 Vergelijking

Aan het concept eigendom is in Nederland een vaste betekenis toegekend in het Burgerlijk wetboek. Een vereiste om over eigendom te spreken is stoffelijkheid. Omdat data niet aan dit vereiste voldoen kan er niet gesproken worden van eigendom. Daarentegen biedt het Amerikaanse

common law systeem wel een mogelijkheid tot eigendom van niet stoffelijke objecten. Dit verschil

beïnvloedt de invulling van de eigendomsdiscussie in grote mate.

In de Verenigde Staten focust de discussie zich op genoegdoening voor consumenten indien er een inbreuk plaatsvindt op de privacy. Enerzijds via het aansprakelijkheidsrecht en anderzijds via vormen van eigendom. Er wordt vooral vanuit economisch perspectief gezocht naar compensatie voor de consument. De discussie in Nederland en Europa richt zich daarentegen voornamelijk op de beschikking die de consument over zijn persoonsgegevens moet hebben, ongeacht of er een inbreuk heeft plaatsgevonden. Dit perspectief benadrukt de benadering vanuit de gedachte dat privacy een fundamenteel mensenrecht is.

In de Verenigde Staten zouden persoonsgegevens volgens Scholz (2015) in bepaalde gevallen als quasi-eigendom gekwalificeerd moeten worden, waardoor de consument exclusiviteit kan claimen. Hoewel dit concept rekening houdt met het feit dat door Big Data-analyse

persoonsgegevens ook buiten het medeweten van de consument kunnen ontstaan, blijft de beoordeling wanneer de consument exclusiviteit kan claimen in hoge mate subjectief. In Nederland worden door de AVG aan de consument in verschillende vormen beschikkingsmacht toegekend, maar door Big Data zullen deze niet altijd effectief benut kunnen worden. Ondanks dat de discussies in beide landen inhoudelijk in grote mate verschillen, is er een gemeenschappelijk kenmerk: de invoering van rechten met eigendomskenmerken moet de machtspositie van de consument ten opzichte van het verwerkende bedrijf vergroten.

6 Discriminatie

6.1 Verenigde Staten

De Verenigde Staten kennen geen algemene, allesomvattende wet die discriminatie verbiedt. Er bestaat echter een verscheidenheid aan wetten die van toepassing zijn op specifieke vormen van discriminatie. Zo ziet de Title VII of the 1964 Civil Rights Act op de arbeidsmarkt, de Fair Housing Act op de woningmarkt en de Equal Credit Opportunity Act op de leningenmarkt.

6.1.1 De bewijskracht van algoritmes

Een gevolg van het gebruik van Big Data-analyse is dat niet alle vormen van discriminatie meer onder de reikwijdte van de huidige wetgeving vallen(Barocas & Selbst, 2016; Hirsch, 2014). (Barocas & Selbst, 2016) onderbouwen deze conclusie aan de hand van de Title VII of the 1964 Civil

Rights Act. Deze wet verbiedt discriminatie in arbeidszaken (zoals in dienst nemen, ontslag,

arbeidsvoorwaarden, etc.) op basis van verschillende gronden (zoals geslacht, ras, nationaliteit, etc.). Discriminatie kan zich op grond van deze wet in twee vormen voordoen. Enerzijds omdat er sprake is van intentionele ongelijke behandeling (disparate treatment), anderzijds omdat de gevolgen van een ogenschijnlijk niet discriminatoire handeling, vaak zonder intentie, wel discriminatoire gevolgen heeft (disparate impact). Er is in beginsel geen sprake van disparate impact indien de werkgever kan bewijzen dat zijn beslissing gebaseerd is op criteria die samenhangen met de betreffende functie van de werknemer en deze criteria ook echt noodzakelijk zijn voor de functie.43 _{Indien de}

werknemer kan aantonen dat de werkgever ook een minder discriminatoire weg had kunnen bewandelen in zijn behoefte te voorzien, wordt disparate impact toch aangenomen.44 _Volgens

Barocas en Selbst (2016) is door Big Data-analyse de samenhang tussen criteria en functie en de noodzakelijkheid simpel te bewijzen, omdat het hele concept gebaseerd is op verbanden. Hierdoor

43 _{42 U.S.C. § 2000e-2(k)(l)(A)(i).} 44 _{42 U.S.C. § 2000e-2(k)(l)(A)(ii).}

wordt het volgens hen moeilijker om te bewijzen dat dat de werkgever ook een andere weg had kunnen bewandelen. Discriminatie op de arbeidsmarkt wordt dus vergemakkelijkt door Big Data-analyse. Hoewel het onderzoek van Barocas en Selbst (2016) dus alleen het antidiscriminatierecht op de arbeidsmarkt betreft, stellen zij dat hun bevindingen symbool staan voor de manier waarop in de Verenigde Staten met discriminatie wordt omgegaan, en dus veel breder kunnen worden getrokken.

6.1.2 De FTC als oplossing

In 2014 erkende het Witte Huis al dat Big Data-analyse kan leiden tot discriminatie (Podesta et al., 2015). Volgens een rapport van het Witte Huis moeten handhavingsautoriteiten voor de burgerrechten en consumentenrechten meer kennis ontwikkelen om discriminatie door Big Data-analyse te herkennen, zodat zij hier beter tegen kunnen optreden. Voorstellen tot aanpassing van de wet worden in het rapport echter niet gedaan. Zoals reeds beschreven vallen niet alle vormen van discriminatie door Big Data-analyse onder de reikwijdte van de daarvoor bedoelde wetgeving. In de literatuur worden verschillende oplossingen voor dit probleem besproken.

Een mogelijke oplossing van het probleem ligt bij de Fair Credit Reporting Act (hierna: FCRA) (Wilson, Belliveau, & Gray, 2017). De FCRA is een wet die billijkheid moet garanderen ten aanzien van kredietwaardigheidsbeslissingen (Hurley & Adebayo, 2016). De FCRA kent een groot aantal verplichtingen voor zowel de organisaties die de consumentenrapporten opstellen als de organisaties die ze gebruiken. Zo moet aan de consument een melding worden gemaakt van een genomen beslissing die negatief uitvalt.45 _{Ook moeten consumenten de mogelijkheid krijgen om}

hun rapport in te zien, en zo nodig aan te passen.46 _{Toezicht wordt gehouden door de Federal}

Trade Commission (hierna: FTC), die vergelijkbaar is met de Autoriteit Consument en Markt in Nederland. Bedrijven maken vaak gebruik van gespecialiseerde analysebedrijven en datahandelaren ter uitvoering van de Big Data-analyse. Deze bedrijven verwerven data over consumenten met als doel het opstellen van consumentenprofielen. Deze profielen worden vervolgens door de bedrijven gebruikt om tot beslissingen te komen. Hoewel de FCRA oorspronkelijk toeziet op kredietbeoordelingen en daarmee samenhangende consumentenrapporten, dient elk rapport op grond waarvan beslissingen kunnen worden genomen die mogelijk betrekking hebben op arbeidsverhoudingen, huisvesting, leningen of andere soortgelijke thema’s als consumentenrapport in de zin van de FCRA te worden aangemerkt (Federal Trade Commission, 2012). Door de FCRA toe te passen op beslissingen die worden gemaakt aan de hand van Big Data-analyse en betrekking

45 _{15 U.S.C. § 1681m(a)(1).} 46 _{15 U.S.C. § 1681m(a)(4)(b).}

hebben op belangrijke onderwerpen als huisvesting, arbeid en leningen worden aan de consument dus waarborgen geboden tegen discriminatie.

Hirsch (2014) ziet de oplossing ook bij de FTC, maar focust zich op het leerstuk van unfair

practises dat haar grondslag kent in de Federal Trade Commission Act (hierna: FTCA). De FTC is op

grond van deze wet bevoegd om oneerlijke of misleidende handelswijzen die van invloed zijn op de handel op te sporen en op te treden.47 _{Er is sprake van een oneerlijke handelswijze indien (1)}

deze aanzienlijke schade veroorzaakt of kan veroorzaken bij de consument, (2) deze schade niet redelijkerwijs door de consument zelf te voorkomen is en (3) de schade, na het uitvoeren van een kosten-baten analyse, zwaarder weegt dan de voordelen voor de consument of markt die met de handelswijze verbonden zijn.48 _{Hirsch (2014) stelt dat deze vereisten goed aansluiten op}

besluitvorming op grond van Big Data-analyse. Zo wordt volgens hem door discriminatie aanzienlijke schade veroorzaakt omdat kansen op banen, leningen, verzekeringen en andere belangrijke zaken worden ontnomen. De complexiteit van Big Data-analyse brengt met zich mee dat de consument niet meer kan begrijpen welke informatie over hem verzameld wordt en hoe dit vervolgens wordt verwerkt. Het zelf voorkomen van de schade wordt hiermee onmogelijk. De kosten-baten analyse kan volgens hem worden uitgevoerd met inachtneming van de reeds bestaande antidiscriminatiewetten. Door de toepassing van unfair practices op Big Data-analyse ontstaat volgens Hirsch (2014) een systeem waarin de negatieve effecten van Big Data worden verminderd terwijl de positieve effecten zich kunnen realiseren.

King en Mrkonich (2016) zien juist een oplossing vanuit een meer economisch perspectief. Zij vinden dat de analysebedrijven hun klanten schadeloos moet stellen om ze aan te sporen hun algoritmen zo te ontwerpen dat discriminatoire uitkomsten worden voorkomen. Zij betogen dat een goed ontworpen systeem een minimaal risico heeft, en daarom minimale kosten voor de schadeloosstelling met zich meebrengt.

6.2 Nederland

6.2.1 Wetten gelijke behandeling

In Nederland is een algemeen verbod op discriminatie wettelijk geregeld in de Grondwet.49 _Hieruit blijkt dat elke vorm van discriminatie in Nederland verboden is. Daarnaast kent ook de Europese Unie een verbod op discriminatie.50 _{Deze verboden zijn in algemene termen geformuleerd en zien} primair op de relatie tussen burger en overheid. Daarom zijn de algemene verboden uitgewerkt in

47 _{15 U.S.C. § 45(a).} 48 _{15 U.S.C. § 45(n).} 49 _{Art. 1 Grondwet.}