Is in de verzekeringsbranche het recht op privacy
afdoende gewaarborgd bij een vergaande personificatie?
Naam: I.C.M. Aarts | Opleiding: Master Privaatrechtelijke Rechtspraktijk| Begeleiding: J.G.J. Rinkes 1
Inhoudsopgave 1. Inleiding
1.1. Introductie 4
1.2. Ontwikkelingen in Nederland inzake personificatie van premie. 5
2. Juridisch kader
2.1. Inleiding 7
2.2. Het recht op privacy 7
2.2.1. De reikwijdte van het recht op privacy 8
2.3. Bescherming en verwerking persoonsgegevens 9
2.3.1. Wet Bescherming Persoonsgegevens 10
2.3.2. Gedragscode Verwerking Persoonsgegevens Financiële Instellingen 12
2.3.3. Algemene verordening Gegevensbescherming 13
2.4. Tussenconclusie 16
3.The right to be forgotten
3.1. Inleiding 18
3.2. Hof van Justitie inzake Google/ Spain 18
3.2.1. Casus 18
3.2.2. Conclusie AG 19
3.2.3. Beantwoording prejudiciële vragen 20
3.3. Tussenconclusie 22
4. Vergaande personificatie in de verzekeringsbranche
4.1. Inleiding 24
4.2. Het klantbelang centraal 24
4.3. Big Data 26
4.3.1. Big Data en Privacy 26
4.3.2. Wat is nodig om de eisen die vanuit privacy gesteld worden aan Big Data, te vertalen naar de
praktijk? 27
4.3.3. Nadere beschouwing van voor- en nadelen van Big Data. 28
4.4. Tussenconclusie 29
4.5. Collectiviteit 30
4.5.1. Inleiding 30
4.5.2. De grondgedacthte van collectiviteit bij verzekeren. 30 4.5.3. Het personificeren van verzekeringen en collectiviteit. 32
5. Conclusie 33 6. Literatuurlijst 35 7. Jurisprudentieregister 43 8. Internetbronnen 44 “ NB:
Wat wordt bedoeld met personificatie in de verzekeringsbranche?
De verzekeringsbranche streeft ernaar om premies steeds meer op maat te maken. Dit betreft personificeren, het op de persoon toespitsen van de premie. De branche benadert dit streven door steeds meer gegevens van de klant te verlangen, zodat zij een volledig beeld krijgen van wat de klant doet, en wat de klant wenst bij verzekeringen. Leidt het personificeren van de premie tot een
onevenredige inbreuk op het recht op privacy, zoals dat is verankerd in het EVRM en de Grondwet? Hoe ver kunnen verzekeringsmaatschappijen hierin rechtens gaan? Een achterliggende kwestie daarbij is de vraag hoe deze ontwikkeling zich verhoudt tot de grondgedachte van collectiviteit bij verzekeren.
1. Inleiding
1.1. Introductie
In de digitale samenleving is het van belang dat bedrijven met de huidige ontwikkelingen mee gaan. Dit geldt zeker ook voor de verzekeringsbranche. Echter is dit niet altijd even makkelijk, met name in tijden van een financiële crisis. De verzekeringsbranche heeft last van marktkrachten zoals de huidige stand van de Europese economie, lage rentestanden, het (teruglopende) vertrouwen van burgers in financiële instellingen, steeds strenger overheidstoezicht, technologische uitdagingen en ambitieuze digitale disruptors.1 Met dit laatste wordt bedoeld dat steeds meer nieuwe marktpartijen hun plekje willen veroveren in de verzekeringswereld, met name door middel van het gebruik van digitale technieken. Deze partijen richten zich allereerst op een groep die openstaat voor digitalisering, de jongeren. Jongeren gaan mee met technologische ontwikkelingen en zullen zich ook sneller aanpassen. Deze nieuwe bedrijven willen toe naar een usage-based-insurance. Een voorbeeld hiervan is Pay-As-You-Drive, dat inhoudt dat de maandelijkse kosten voor de verzekerde worden vastgesteld op basis van het individuele rijgedrag.2 Andere ontwikkelingen op het gebied van verzekeren zijn bijvoorbeeld het peer-to-peer verzekeren, een voorbeeld hiervan is het Duitse Friendsurance. Bij een traditionele verzekering worden de risico’s gedeeld met een onbekende groep verzekeringnemers, in het geval van Friendsurance worden de risico’s verdeeld tussen mensen uit de eigen omgeving. De grote claims worden gedekt door verzekeraars, maar de kosten van kleinere claims komen voor rekening van de groep. Worden er weinig kleine schades geclaimd dan leidt dit tot lagere premies voor de gehele groep. Het idee hierachter is dat er minder fraude wordt gepleegd bij het claimen van schades als bekend is dat vrienden hiervan de dupe kunnen worden. Het mes snijdt daarmee aan twee kanten: enerzijds bespaart de verzekeraar veel geld en anderzijds betaalt de klant een lagere premie.3 Dit zijn maar een tweetal voorbeelden van ontwikkelingen in de verzekeringsbranche. Wat deze beide
ontwikkelingen gemeen hebben is dat verzekeraars meer informatie nodig hebben van de klant om hen een lagere premie aan te kunnen bieden. Kort gezegd: indien de klant een deel van zijn privacy opgeeft kan de verzekeraar de klant tegemoet komen in de premie. Maar de vraag is dan: wil de (Nederlandse) klant dit wel? En is het recht op privacy dan nog wel gewaarborgd? Deze vragen hebben geleid tot het idee voor deze masterscriptie. In deze scriptie stel ik mij de vraag: Is in de verzekeringsbranche het recht op privacy afdoende gewaarborgd bij een vergaande personificatie? Alvorens deze vraag te beantwoorden zal allereerst kort worden ingegaan op de ontwikkelingen in Nederland, inzake personificatie van premie. Daarna wordt het juridisch kader geschetst, waarbij het recht op privacy wordt uiteengezet. Verder zal de Wet Bescherming Persoonsgegevens, de Gedragscode Verwerking Persoonsgegevens Financiële instellingen en de Algemene Verordening Gegevensbescherming aan de
1 Forrester 2014 2 Dijksterhuis 2014, p. 2. 3 Blog.prizewize.nl 4
orde komen. Na het schetsen van het juridisch kader wordt de uitspraak van het Hof van Justitie EU van 13 mei 2014 behandeld. In deze zaak erkent het Hof the right to be forgotten. Erkenning van dit recht kan complicaties opleveren voor vergaande personificatie van premie in de verzekeringsbranche. Tot slot wordt ingegaan op de personificatie in de verzekeringsbranche. Daarbij komt aan de orde welke obstakels het personificeren van verzekeringen brengt en hoe de verzekeringsbranche hier het beste mee kan omgaan. In hoofdstuk 5 staat het beantwoorden van de hoofdvraag centraal.
1.2. Ontwikkelingen in Nederland inzake personificatie van premie
De bekendste vormen van de gepersonificeerde verzekering zijn As-You-Drive (PAYD) en Pay-How-You-Drive (PHYD). Ook in Nederland zijn deze type verzekeringen in opkomst. Zo is het PAYD-concept in Nederland ingevoerd als de Kilometerverzekering. Het idee van de
Kilometerverzekering is dat er aan het begin van het polisjaar het geschatte aantal kilometers wordt opgegeven, zodat aan de hand daarvan de premie bepaald wordt. Indien de verzekerde minder rijdt, krijgt hij aan het einde van het jaar geld terug. Wanneer hij de gestelde kilometers overschrijdt, dient hij dit verschil bij te betalen. De premie wordt dus bepaald aan de hand van de geschatte kilometers en de klant betaalt dus alleen voor de gereden kilometers.4 Op basis van het PHYD-concept kent
Nederland momenteel de Fairverzekering. Deze verzekering beloont mensen voor hun goede
rijgedrag. Verzekeraars monitoren klanten door een chip-in-stekker in de auto te klikken. Deze stekker houdt vanaf dat moment precies bij hoe hard er wordt gereden, hoe hard er wordt geremd, hoe hard wordt opgetrokken en waar en wanneer dat wordt gedaan. Op het dashboard van zijn auto kan de klant zien hoe veilig hij heeft gereden. Op basis van het rijgedrag krijgt de klant maandelijks een score. Bij een groene score: krijgt de klant 35% van zijn premie terug, bij oranje 10% teruggave en bij rood krijgt de klant niets terug.5 Niet alleen op het gebied van autoverzekeringen komen
gepersonificeerde verzekeringen voor. Ook bij zorgverzekeringen kunnen klanten beloond worden voor hun gezonde gedrag. SamenGezond van zorgverzekeraar Menzis beloont haar klanten voor een gezonde levensstijl. Zo kunnen klanten sparen voor punten die de klant later kan inwisselen voor hoge kortingen en gezonde producten. Er kan gespaard worden via verschillende apps, zoals Runkeeper, Strava, maar ook door middel van het uploaden van foto’s waaruit blijkt dat de klant bijvoorbeeld heeft deelgenomen aan een sportevenement.6
Op basis van het bovenstaande kan geconcludeerd worden dat de mogelijkheid tot persoonlijk verzekeren zich in Nederland ontwikkelt. Mijns inziens hangt dit sterk samen met de technologische ontwikkelingen die op dit moment worden doorgemaakt. Een verzekeringsovereenkomst is echter een sociaal-economisch maatschappelijk product. Een verzekering biedt namelijk de mogelijkheid
4www.dekilometerverzekering.nl 5 www.fairverzekering.nl 6www.menzis.nl/samengezond 5
wanneer risico’s zich verwezenlijken, deze risico’s af te wentelen op de collectiviteit.7 Een meer persoonlijke individuele afstemming van een verzekering doet afbreuk aan dit concept. Het is dan ook de vraag welke voordelen gepersonificeerde verzekeringen bieden voor de maatschappij en of deze voordelen dusdanig zijn dat een inbreuk op het traditionele verzekeringsconcept gelegitimeerd is.
7 Werdy 2010, p. 3-4.
6
2. Juridisch kader 2.1. Inleiding
In dit hoofdstuk wordt het algemeen juridisch kader van het recht op privacy en de bescherming van persoonsgegevens geschetst. In paragraaf 2.2. wordt het recht op privacy en de reikwijdte van dit grondrecht uiteengezet. Tevens wordt de bescherming en verwerking van persoonsgegevens behandeld. Hierbij wordt de Wet Bescherming Persoonsgegevens, de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen en de Algemene Verordening Gegevensbescherming besproken.
2.2. Het recht op privacy
Het begrip privacy is een complex begrip. De onduidelijkheid omtrent dit begrip wordt mede veroorzaakt door de evolutie die het begrip heeft doorgemaakt als gevolg van veranderende
maatschappelijke omstandigheden. Het hedendaagse privacybegrip heeft een ruimere betekenis dan het klassieke privacybegrip. Kort gezegd is het klassieke privacybegrip het beste te omschrijven als: het recht om met rust gelaten te worden. Inbreuk op dit grondrecht was alleen gerechtvaardigd in strikt bepaalde omstandigheden.8 Het klassieke privacybegrip is vervangen door een veel ruimer begrip en naast een negatieve verplichting (de overheid moet zich onthouden van inmenging) zijn er ook positieve verplichtingen uit het recht op privacy afgeleid (de overheid moet actief optreden om het recht te waarborgen).9 Deze positieve verplichting komt ook duidelijk naar voren op gebied het van informatietechnologie, met name bij de bescherming van persoonsgegevens.10
Het recht op privacy is zowel verankerd in de Grondwet als in supranationale wetgeving.11 Op grond van artikel 10 lid 1 Gw heeft eenieder, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. In dit artikel is het recht op privacy in algemene zin verankerd, in de artikelen 11, 12 en 13 van de Grondwet worden de specifieke aspecten van dit
grondrecht geregeld.12 Daarnaast is het recht op privacy ook neergelegd in artikel 8 EVRM: ‘Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, woning en zijn
correspondentie’. Op grond van artikel 17 IVBPR mag niemand onderworpen worden aan willekeurige of onwettige inmenging in zijn privéleven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer en goede naam.13
In het Handvest van de Grondrechten van de Europese Unie wordt het recht op privacy in een tweetal vormen genoemd zowel in artikel 7 als in artikel 8. Artikel 7 regelt het recht op eerbiediging van het
8 Kranenborg 2007, p. 110-111. 9 Kranenborg 2007, p. 115. 10 Kranenborg 2007, p. 110-111. 11 Klein – Gunnewiek 2014, p. 1. 12
Van der Helm 2009, p. 9-10.
13 Klein – Gunnewiek 2014, p. 1.
7
privéleven en in artikel 8 komt het recht op bescherming van persoonsgegevens aan de orde.14 Dat de bescherming van persoonsgegevens naast een recht op bescherming van de persoonlijke levenssfeer in het Handvest wordt opgenomen, impliceert dat de bescherming van persoonsgegevens in elk geval een zelfstandig karakter wordt toegedicht. Hieruit blijkt dat er een kennelijke noodzaak bestaat om apart te verzekeren dat de verwerking van persoonsgegevens aan bepaalde zorgvuldigheidsnormen voldoet.15 Inmenging in het recht op privacy is niet toegestaan, tenzij deze inmenging bij de wet is voorzien en noodzakelijk is in een democratische samenleving.16 Of een inbreuk op dit grondrecht gerechtvaardigd is, wordt getoetst aan de eisen van proportionaliteit en subsidiariteit. Conform de proportionaliteitseis mag de inbreuk op het recht op privacy door het verwerken van persoonsgegevens van een betrokkene niet onevenredig in verhouding staan tot het doel van de verwerking. Dit beginsel wordt ook wel het evenredigheidsbeginsel genoemd. Bij het subsidiariteitsbeginsel speelt de vraag of het doel van de verwerking van persoonsgegevens niet op een andere, minder ingrijpende manier bereikt kan worden. Is dit het geval, dan dient voor de minder ingrijpende manier gekozen te worden.17
Wanneer er gesproken wordt over het recht op privacy, binnen dit onderzoek, wordt bedoeld de informationele privacy. De informationele privacy tracht specifiek de persoonsgegevensbescherming te waarborgen.18 De informationele privacy valt binnen de werkingssfeer van artikel 8 EVRM. Op basis van het Verdrag van Straatsburg wordt getracht de informationele privacy verder te
waarborgen.19
2.2.1. Reikwijdte van het recht op privacy.
Voor het vaststellen van de reikwijdte van het recht op privacy is allereerst van belang of het
grondrecht bescherming biedt in een bepaalde situatie. Hierbij dient vastgesteld te worden wat precies door het grondrecht beschermd wordt en welke gedragingen daarbij ontoelaatbaar zijn. Kort gezegd wordt er gekeken waar de grenzen liggen van het gebied dat door het grondrecht wordt beschermd. De reikwijdte van het grondrecht hangt daarom nauw samen met de inhoud van het betreffende
grondrecht. Uit de grondrechtelijke bepalingen blijkt niet wat precies de inhoud en reikwijdte van het begrip privacy is. Het recht op privacy is een begrip met een wijde strekking en kan zich voordoen in uiteenlopende verschijningsvormen en op verschillende terreinen. Ook het EHRM is niet geneigd te bepalen wat precies onder het begrip privéleven van artikel 8 EVRM moet worden verstaan.20 De Nederlandse regering kon bij de totstandkoming van artikel 10 Gw evenmin nauwkeurig aangeven wat onder het begrip persoonlijke levenssfeer begrepen moest worden. In de Nederlandse jurisprudentie wordt aangesloten bij de jurisprudentie van het Europese Hof en bij de opvattingen van de
14
Klein – Gunnewiek 2014, p. 1.
15 Kranenborg 2007, p. 113-114. 16 Art. 8 lid 2 EVRM
17 Klein Gunnewiek 2014, p. 1-2. 18 Emmerik 2013, p. 163. 19
Emmerik 2013, p. 164.
20 EHRM 16 december 1992, ECHR Series A,251-B, NJ 1993, 400 (Niemietz/ Duitsland)
8
grondwetgever. Een duidelijke omschrijving van de persoonlijke levenssfeer ontbreekt dus.21 Uit rechtspraak van het Hof komt wel naar voren dat de reikwijdte van het begrip privacy ruim uitgelegd dient te worden, om recht te doen aan het waarborgkarakter van het grondrecht.22 Uit Rotaru/ Roemenië blijkt dat het EHRM deze brede reikwijdte van het begrip privéleven, ten aanzien van persoonsgegevens, ondersteund met een beroep op het Verdrag van Straatsburg. Daarnaast gaf het EHRM gevolg aan deze verbreding van de reikwijdte dat ook publiekelijk bekende informatie onder de reikwijdte van het privéleven kon vallen. Deze toepassing betekende een doorbraak in de
jurisprudentie van het EHRM over bescherming van persoonsgegevens. In deze zaak werd door het Hof de mogelijkheid gecreëerd de reikwijdte van de bescherming onder artikel 8 EVRM gelijk te stellen aan de bescherming onder het Verdrag van Straatsburg.23 Volgens het Hof dient het begrip privacy bij de omgang met persoonsgegevens dus ruim te worden geïnterpreteerd. Alle handelingen met betrekking tot persoonsgegevens vallen daarom onder de reikwijdte van het grondrecht, aldus het Hof.24
2.3. De bescherming en verwerking van persoonsgegevens
Tegenwoordig verschaft vrijwel iedereen, bewust of onbewust, veel informatie aan bedrijven als het gaat om persoonsgegevens. Een goed voorbeeld hiervan is sociale media zoals Facebook en Twitter. De consument betaalt bij vele diensten in natura met persoonsgegevens, maar heeft doorgaans geen invloed op de aard van de persoonsgegevens die daarbij verzameld worden. Het probleem is dat diensten zoals Facebook en Twitter gratis zijn en dat de consument doorgaans niet graag betaalt voor extra privacy, die andere bedrijven wel aanbieden. Dat een gevarieerd aanbod met verschillende privacy-niveaus achterwege blijft, kan het gevolg zijn van het feit dat consumenten niet kunnen controleren hoe een bedrijf met hun persoonsgegevens omgaat. Hierdoor ontstaat er een
informatieassymmetrie tussen consument en bedrijf.25 Informatieassymmetrie leidt tot problemen zoals moral hazard. Een voorbeeld hiervan is dat verzekerden over het algemeen eerder bereid zijn risico’s te lopen, dan onverzekerden die een eventuele schade voor eigen rekening moeten nemen. Iemand die verzekerd is kan zich dan ook roekelozer gaan gedragen, omdat de verzekering het risico toch dekt. Verder zorgt informatieassymmetrie ervoor dat bedrijven die wél integer omgaan met persoonsgegevens geen hogere prijs kunnen vragen dan de minder integere concurrenten, anders worden deze bedrijven uit de markt geconcurreerd. Uit bovenstaande blijkt dat de consument het doorgaans kennelijk niet zo nauw neemt met zijn eigen privacy, of in elk geval kan gesteld worden dat de bezwaren daarvan niet opwegen tegen de voordelen van goedkopere diensten.26 Ook dient het
21 Van der Helm 2009, p. 9-11.
22 EHRM 16 februari 2000, EHRC 2000/31 (Amann/ Zwitserland); EHRM 4 mei 2000, EHRC 2000/53 (Rotaru/ Roemenië) 23 Kranenborg 2007, p. 116-117.
24 Van der Helm 2009, p. 16-17. 25
Hoogveld 2013, p. 263.
26 Hoogveld 2013, p. 264.
9
verschil opgemerkt te worden tussen generatie X en generatie Y.27 Generatie X is een stuk
terughoudender op het gebied van privacy, deze groep zal minder snel persoonsgegevens openbaar maken, terwijl generatie Y, die praktisch is opgegroeid in het digitale tijdperk, hier minder moeite mee heeft.28 Naast nadelen kent de huidige informatiemaatschappij ook voordelen. Doordat er meer
gegevens bekend zijn, kunnen bedrijven hun productieprocessen verbeteren, kennis wordt beter verspreid en bedrijven kunnen daarnaast beter inspelen op de wensen van de consument, hetgeen voordelen oplevert voor de consument. Door deze technologische ontwikkelingen is er een nieuwe verantwoordelijkheid ontstaan om zodanig met informatie om te gaan.29
Door de opkomst van de informatiemaatschappij en de technologische ontwikkelingen die dit met zich mee heeft gebracht, is er een groter privacybewustzijn ontstaan. Dit heeft ertoe geleid dat in 1995 richtlijn 95/46/EG tot stand is gekomen. De Nederlandse implementatie van deze richtlijn is de Wbp. De richtlijn heeft getracht inbreuken op de persoonlijke levenssfeer tegen te gaan.30 Omdat er na 1995 veel is veranderd binnen onze informatiesamenleving, met name door snelle technologische
ontwikkelingen en globalisering, zijn er nieuwe uitdagingen ontstaan voor de bescherming van
persoonsgegevens. Dit heeft geleid tot een voorstel voor een nieuwe Privacyverordening, de Algemene Verordening Gegevensbescherming.31 Meer specifiek zijn in de Gedragscode Verwerking
Persoonsgegevens Financiële instellingen de algemene verplichtingen uit de Wbp nader uitgewerkt voor verzekeraars. De reden hiervoor is dat verzekeraars (en andere financiële instellingen) veel gebruik maken van (gevoelige) persoonsgegevens. Door gebruikt te maken van deze Gedragscode beogen verzekeraars de privacy van hun klanten beter te waarborgen.32
2.3.1. Wet Bescherming Persoonsgegevens
In het Nederlands recht is de bescherming van persoonsgegevens gewaarborgd door de Wet Bescherming Persoonsgegevens, (hierna Wbp). De Wbp vormt de Nederlandse omzetting van Richtlijn 95/46/EG. Deze richtlijn waarborgt een minimumbeschermingsniveau voor de bescherming van persoonsgegevens binnen de Europese Unie. 33 De omzetting van deze richtlijn leidt dus niet tot volledige harmonisatie van de privacywetgeving, maar zij biedt een zekere bandbreedte: er is een minimum en een maximum wat niet overschreden mag worden. Binnen dit kader zijn lidstaten vrij om hun wetgeving in te richten.34 Een van de belangrijkste eisen uit de Wbp is dat persoonsgegevens niet voor een ander doel gebruikt mogen worden dan waarvoor zij zijn verzameld. Aangezien
tegenwoordig zoveel informatie verzameld kan worden, kunnen er problemen ontstaan tussen het
27 Generatie X, de generatie geboren na de babyboomgeneratie, ruwweg worden hiermee de mensen bedoeld die geboren zijn tussen 1956 en
1985. Generatie Y, de opvolger van Generatie X en wordt over het algemeen gedefinieerd aan de hand van de periode 1982-2001.
28
Hoogveld 2013, p. 264.
29 Kamerstukken II 1997/98, 25 892, nr. 3, p. 3-4. (MvT) 30 De Vries 2014, p. 419-425.
31 COM 2012, p. 20.
32 Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, p. 3, 5, 18. 33
Lowijs 2014, p. 271.
34 Kamerstukken II 1997/98, 25 892, nr. 3, p. 5. (MvT)
10
gebruik van deze zogenoemde Big Data en privacy. De term Big Data wordt gebruikt om te verwijzen naar verzamelingen data die zo groot zijn dat ze met traditionele database-systemen niet goed meer te verwerken zijn. Dit wordt verder besproken in paragraaf 4.2.1.
De Wet bescherming persoonsgegevens beoogt een minimum beschermingsniveau te waarborgen op het gebied van verwerken van persoonsgegevens. Persoonsgegevens worden gedefinieerd in artikel 1 sub a Wbp: Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon moeten dus als persoonsgegeven worden beschouwd.35 Verwerking van
persoonsgegevens wordt gedefinieerd als: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.36 Met andere woorden, met het begrip "verwerking" wordt in algemene zin gedoeld op elke handeling of geheel van handelingen die wordt verricht met betrekking tot persoonsgegevens. Het verwerken van persoonsgegevens dient in overeenstemming te zijn met de Wbp. Binnen de Wbp worden voorwaarden gesteld voor de rechtmatigheid van de verwerking van persoonsgegevens. De Wbp vereist dat de verwerking
behoorlijk en zorgvuldig dient te zijn. Met deze norm wordt aangesloten bij de zorgvuldigheidsnorm van artikel 6:162 BW. Zolang de verantwoordelijke37 ervoor zorg draagt behoorlijk en zorgvuldig om te gaan met persoonsgegevens, handelt de verantwoordelijke in lijn met artikel 6 Wbp.38.
Persoonsgegevens kunnen alleen worden verzameld en verwerkt als er is voldaan aan een zestal grondslagen,39 hiervan dient altijd minimaal een grondslag van toepassing te zijn:
• De Betrokkene40
voor de verwerking zijn ondubbelzinnige toestemming heeft verleend. • Het verwerken van gegevens is noodzakelijk voor de uitvoering van een overeenkomst. • Het verwerken van gegevens is noodzakelijk ter uitvoering van een wettelijke plicht van de
verantwoordelijke.
• Het verwerken van gegevens is noodzakelijk ter vrijwaring van een vitaal belang van de klant. • Het verwerken van gegevens is noodzakelijk voor een goede vervulling van een
publiekrechtelijke taak.
• Het verwerken van gegevens is noodzakelijk voor de behartiging van een gerechtvaardigd belang.
35 Kamerstukken II 1997/98, 25 892, nr. 3, p. 46. (MvT) 36 Art. 1 sub b Wbp
37 Verantwoordelijke, de persoon die het doel en de middelen van het verwerken van persoonsgegevens vaststelt. 38 Schoonhoven 2014, p. 289.
39
Art. 8 Wbp
40 Betrokkenen, de mensen waarvan de persoonsgegevens worden verwerkt
11
Naast algemene persoonsgegevens bestaan er ook bijzondere persoonsgegevens.41 Dit betreft alle persoonsgegevens die informatie kunnen verschaffen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid en seksuele leven. Tevens worden als bijzondere
persoonsgegevens beschouwd: gegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.42 Artikel 16 Wbp schept extra waarborgen ten aanzien van het verwerken van persoonsgegevens. Het feit dat bijvoorbeeld een klant vrijwillig informatie deelt via social media betekent nog niet dat deze informatie gebruikt mag worden voor andere doeleinden. Als uitgangspunt geldt dat het verwerken van bijzondere persoonsgegevens verboden is tenzij een wettelijke uitzonderingsgrond kan worden aangenomen.43
2.3.2. Gedragscode Verwerking Persoonsgegevens Financiële Instellingen
Vrijwel iedereen in Nederland heeft een relatie met een financiële instelling, zoals een bank of een verzekeraar. Om mogelijk conflicterende belangen met betrekking tot het verwerken van
persoonsgegevens op een goede wijze met elkaar te verenigen, dienen financiële instellingen zich te houden aan de regels neergelegd in de Wbp. Daarom hebben de Nederlandse Vereniging van Banken en het Verbond van Verzekeraars in lijn met het bepaalde in de Wbp, de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen opgesteld, waarvoor het Cbp op 13 mei 2010 een
goedkeurende verklaring heeft afgegeven. Deze goedkeuring geldt voor een periode van vijf jaar.44 De Gedragscode is van toepassing op de gehele en gedeeltelijke geautomatiseerde verwerking van persoonsgegevens van Betrokkenen, alsmede op de niet geautomatiseerde verwerking van
persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn in een bestand te worden opgenomen, een en ander voor zover zulks geschiedt door een financiële instelling in het kader van de bedrijfsvoering.45 Bij het verwerken van persoonsgegevens spelen verschillende belangen een rol. De Betrokkene heeft er belang bij dat zijn persoonlijke levenssfeer zo goed mogelijk wordt beschermd, terwijl de financiële instelling zijn gerechtvaardigde belangen zo goed mogelijk wenst te behartigen. Op grond van artikel 4.1 en 4.2 van de Gedragscode mogen persoonsgegevens slechts voor
welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Deze doeleinden moeten zijn vastgesteld of aangepast alvorens met de verwerking mag worden begonnen. Welbepaald houdt in dat de doelomschrijving duidelijk moet zijn. Het doel waarvoor de
persoonsgegevens worden verzameld geldt als toetsingscriterium voor tal van andere bepalingen, zoals het verenigbaar gebruik, de bewaartermijnen en de voorwaarde dat niet meer persoonsgegevens
41 Art. 16 Wbp 42 Smit 2014, p. 283. 43 Smit 2014, p. 284. 44 Wilken 2010, p. 93. 45 Art. 3.2.1. Gedragscode 12
verzameld worden dan voor het doel noodzakelijk is.46 De verwerking van persoonsgegevens moet gebaseerd zijn op één van de in artikel 8 Wbp genoemde grondslagen.47 (zie: 2.3.1). Indien geen van de grondslagen toepassing vindt, is de verwerking van persoonsgegevens niet toegestaan. (Er kunnen ook meerdere grondslagen worden vastgesteld).48 Hoe gevoeliger het gegeven, hoe minder snel mag worden aangenomen dat er sprake is van verenigbaar gebruik. Wanneer er wordt afgeweken van het oorspronkelijke doel, tijdens het verwerken van de persoonsgegevens, zal er geen sprake zijn van verenigbaar gebruik.49 Bij verenigbaar gebruik gaat het om open normen die van geval tot geval moeten worden beoordeeld en gewogen om te kunnen vaststellen of een bepaalde
gegevensuitwisseling geoorloofd is. Wanneer dit niet op voorhand duidelijk is zal zorgvuldig aan de hand van de criteria, op basis van de omstandigheden van de concrete situatie, worden nagegaan of de verwerking mag plaatsvinden.50
De doeleinden waarvoor een financiële instelling persoonsgegevens verwerkt, hebben betrekking op het geheel aan activiteiten welke een financiële instelling verricht in het kader van een efficiënte en effectieve bedrijfsvoering. In het algemeen gaat het om activiteiten die van belang zijn voor een financiële instelling als geheel om de relatie met de klant te kunnen beheren en onderhouden. De activiteiten vormen een samenhangend geheel.Het gaat daarbij om de totale relatie met de klant, waaronder mede wordt begrepen het klantonderzoek. Alleen wanneer de activiteiten in samenhang worden uitgevoerd is het mogelijk dat de bedrijfsvoering op een effectieve en efficiënte manier verloopt. Samenhangend wil echter niet zeggen dat alle activiteiten ook zonder meer met elkaar verenigbaar zijn.51 Verder is het gebruiken van bijzondere persoonsgegevens niet toegestaan als selectiecriterium voor bijvoorbeeld marketingactiviteiten, tenzij hiervoor uitdrukkelijk toestemming is gegeven door de betrokkene.52 Onder bijzondere persoonsgegevens vallen bijvoorbeeld gegevens omtrent iemands gezondheid. Deze gegevens mogen alleen worden verwerkt indien dit noodzakelijk is voor de beoordeling, acceptatie van een klant, of voor het uitvoeren van een overeenkomst met de klant. Hierbij kan gedacht worden aan het sluiten van een levensverzekering of hypotheek. Alleen in strikt noodzakelijke gevallen kunnen het doelbindingsbeginsel, transparantiebeginsel en de rechten van de betrokkene opzij worden gezet.53
2.3.3. Algemene verordening Gegevensbescherming
Op 1 september 2001 is de Wet Bescherming Persoonsgegevens in werking getreden. Mede door de vele technologische veranderingen die de afgelopen veertien jaar hebben plaatsgevonden is er
46 Art. 5 Gedragscode. 47
Art 4.3 Gedragscode.
48 Gedragscode Verwerking Persoonsgegevens Financiële Instellingen p. 27. 49 Gedragscode Verwerking Persoonsgegevens Financiële Instellingen p. 26.. 50 Gedragscode Verwerking Persoonsgegevens Financiële Instellingen p. 27. 51Toelichting bij Gedragscode, p. 26-27.
52
Toelichting bij Gedragscode, p. 27.
53 Toelichting bij Gedragscode, p. 38.
13
inmiddels onderzoek gedaan naar de werking van Richtlijn 95/46/EG. Uit onderzoek van de Europese Commissie is gebleken dat het huidige rechtskader, nog steeds valide is wat betreft doelstellingen en beginselen, maar niet heeft voorkomen dat persoonsgegevens in de Europese Unie voldoende worden beschermd. Er is sprake van rechtsonzekerheid, en in brede lagen van de bevolking bestaat het beeld dat met name onlineactiviteiten aanzienlijke risico’s met zich meedragen. Al deze technologische ontwikkelingen hebben ervoor gezorgd dat er een hoger beschermingsniveau tot stand moet worden gebracht, ten aanzien van gegevensbescherming binnen de Europese Unie. Ook is van belang dat er scherp toezicht wordt gehouden zodat de regels van gegevensbescherming ook daadwerkelijk worden nageleefd. 54
Om deze redenen presenteerde op 25 januari 2012 de Europese Commissie haar voorstel voor een Algemene Verordening Gegevensbescherming. De huidige richtlijn heeft voor te weinig harmonisatie tussen de lidstaten gezorgd, wat een vrij verkeer van persoonsgegevens in de weg staat. Daarnaast vraagt de opkomst van bedrijven, die hun verdienmodel baseren op het gebruik van persoonsgegevens om een betere bescherming van consumenten. De nieuwe verordening beoogt dit te bereiken door bedrijven te verplichten in de gehele opzet van gegevensverzameling privacywaarborgen aan te brengen.55 De EC is na evaluatie van de richtlijn tot de slotsom gekomen dat in plaats van een richtlijn een verordening noodzakelijk is.56 De reden dat er voor een verordening is gekozen ligt in het feit dat een verordening op grond van artikel 288 VWEU rechtstreeks toepasselijk is binnen de Europese Unie, dit in tegenstelling tot een richtlijn die eerst door de lidstaten geïmplementeerd dient te worden.57 De argumentatie voor deze keuze is dat uit de openbare consultatie is gebleken dat er behoefte is aan een coherent en veelomvattend wettelijk regime voor de bescherming van persoonsgegevens, dat van toepassing is op alle sectoren en beleidsterreinen van en in de Unie.58 Wanneer het voorstel wordt aangenomen en in werking treedt, worden op Europees niveau de richtlijn en in Nederland de Wbp ingetrokken.59
De Algemene Verordening Gegevensbescherming (hierna: AVG) vindt zijn grondslag in artikel 16 VWEU. Op grond van deze bepaling kunnen voorschriften worden vastgesteld betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de lidstaten bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen. Verder kunnen op grond van dit artikel voorschriften worden vastgesteld betreffende het vrije verkeer van persoonsgegevens, met inbegrip van persoonsgegevens die zijn verwerkt door lidstaten en andere particuliere organisaties. Op 11 maart 2014 heeft het Europees Parlement ingestemd met de
54 COM 2012, p. 3. 55 Hoogveld 2013, p. 263. 56 De Vries 2014, p. 419-425. 57 COM 2012, p. 6. 58 Titulaer-Meddens 2012, p. 100. 59 De Vries 2014, p. 419-425. 14
nieuwe Privacyverordening.60 De doelstellingen van de commissie met betrekking tot de verordening zijn:
• Versterking van de positie van de betrokkene .
• Versterking van de rol van de verantwoordelijke en vermindering van administratieve lasten; • Verbetering van de handhaving van de gegevensbeschermingsregels;
• Verbetering van de mondiale dimensie van gegevensbescherming.61
In de huidige Richtlijn 95/46/EG is het privacybeschermingsniveau te laag geworden, waardoor de nieuwe verordening twee methodes bevat die het minimumbeschermingsniveau van privacy zouden moeten garanderen.62 De eerste methode wordt privacy by design genoemd.63 Deze methode verplicht de verantwoordelijke om technische en organisatorische maatregelen en procedures uit te voeren op een zodanige manier dat de verwerking aan de verplichtingen van de verordening voldoen – en dus de bescherming van de rechten van de betrokkene gewaarborgd worden. De verantwoordelijke mag daarbij rekening houden met de stand van de techniek en de uitvoeringskosten,64 (zie paragraaf 4.1.3.). De tweede methode wordt privacy by default genoemd.65 Deze methode brengt een verplichting met zich mee voor de verantwoordelijke om zijn systemen zodanig in te richten dat per doeleinde alleen die persoonsgegevens worden verzameld en verwerkt die strikt noodzakelijk zijn.66 Privacy by default heeft negatieve effecten zoals de aantasting van het gebruiksgemak, en daarnaast werkt zij
innovatiebeperkend. Een goed voorbeeld hiervan is Google. Google heeft de laatste jaren vele diensten op de markt gebracht, die de zoekmachine alleen kan betalen door gerichte advertenties te verkopen. Hiervoor maakt het bedrijf gebruik van de vele informatie die het al heeft verzameld met behulp van de andere diensten, die het gebruikers biedt. Als een onderneming voor elke nieuwe dienst, die het wil lanceren, geen gebruik mag maken van gegevens die in eerdere jaren verzameld zijn, dan beperkt dit de prikkel om nieuwe diensten aan te bieden. En dit belemmert dus de mogelijkheid tot innovatie.67 Privacy by Design werkt niet alleen innovatiebeperkend maar heeft ook een positief effect; bedrijven moeten naar hun gebruikers toe duidelijk zijn waarom ze de verstrekte persoonsgegevens voor een ander doel willen gebruiken dan waarvoor ze verzameld zijn, en op welke manier dat voordelig is voor de gebruiker zelf. Hierdoor wordt meer openheid gegeven.68 De AVG kan er dus enerzijds voor zorgen dat de markt voor bescherming van persoonsgegevens beter gaat functioneren, maar anderzijds belemmert dit dan wel innovatie, aldus Hoogveld.69 Privacy by design en privacy by default kunnen er aan bijdragen dat de bescherming van privacy beter wordt gewaarborgd. Mijns inziens zien
60 Emerce.nl/nieuws/nieuwe-privacywet-eu-geen-optin-marketing-profileren 61 Kranenborg 2013, p. 334.
62 Hoogveld 2013, p. 265. 63
Art. 23 lid 1 AVG
64 Titulaer-Meddens 2012, p. 105. 65 Art. 23 lid 2 AVG
66 Titulaer-Meddens 2012, p. 105. 67 Hoogvel 2013, p. 265. 68 Hoogveld 2013, p. 263-265. 69 Hoogveld 2013, p. 263-265. 15
dienstverlenende bedrijven, zoals verzekeraars die veel gebruik maken van persoonsgegevens, privacy als een onderdeel van hun bedrijfsstrategie. Het implementeren van PbD zou concurrentievoordelen kunnen opleveren voor verzekeraars.70 Ik sluit me aan bij de mening van Hoogveld dat de AVG de markt voor gegevensbescherming beter kan laten functioneren. Met name voor bedrijven die veel gebruik maken van persoonsgegevens, zoals verzekeraars. Daarnaast sluit ik me aan bij Hoogveld dat de invoering van de AVG innovatiebeperkend kan werken. Mijns inziens dient hiervoor een gedegen oplossing gevonden te worden. Het belemmeren van innovatie zorgt er namelijk voor dat de markt zich niet verder kan ontwikkelen.
Tot slot zijn er drie rechten van betrokkenen als nieuw te bestempelen binnen de AVG: het recht om vergeten te worden (the right to be forgotten), het recht op overdraagbaarheid van gegevens (the right to data portability) en het recht om niet aan profilering71 te worden onderworpen. (Zie, art 17, 18, 19 Ontwerpverordening). Het recht om vergeten te worden is gestoeld op het bestaande recht om gegevens te laten verwijderen als de verwerking niet (meer) in overeenstemming is met de regels. Het recht wordt aangevuld met de mogelijkheid te eisen dat, als de gegevens publiek zijn gemaakt door de verantwoordelijke, hij alle redelijke maatregelen moet treffen om derden te informeren dat de
betrokkene wenst dat zijn of haar gegevens worden verwijderd.72
Kortom, wanneer de AVG wordt ingevoerd, zullen deze wijzigingen het beleid met betrekking tot persoonsgegevens raken:
• De betrokkene zal volgens het Voorstel meer controle krijgen over zijn persoonsgegevens. Dit door middel van het wettelijk vastgelegde right to be forgotten en right to data portability. • Een aantal van de huidige eisen die belastend zijn voor organisaties – zoals bijvoorbeeld de
verplichting om verwerkingen aan te melden bij de toezichthouder – komen te vervallen. • Het voorstel om een Europese verordening in plaats van een richtlijn te hanteren als
instrument, betekent dat de regelgeving door de hele Europese Unie heen meer gelijk getrokken wordt dan nu het geval is.
• Een algemene boetebevoegdheid voor de toezichthouders zal worden geïntroduceerd.73
2.4. Tussenconclusie
Het juridisch kader omtrent het recht op privacy en de bescherming van persoonsgegevens is erg strikt. De positieve verplichting, die voortvloeit uit het recht op privacy, komt duidelijk naar voren op het gebied van informatietechnologie. Dit heeft tot gevolg dat het verwerken van persoonsgegevens ook
70 TNO 2012, p. 5-6.
71 Profilering houdt in dat in het verzamelen, analyseren en combineren van (persoons)gegevens met als doel iemand in te delen in een
bepaalde categorie, zijn of haar gedrag te voorspellen of een beslissing over hem/ haar te nemen.
72
Van Graafeiland 2014, p. 5-6.
73 Lowijs 2014, 273-274.
16
onderhevig is aan dit strikte regime. Uit de Wbp volgt dat het verwerken van persoonsgegevens alleen is toegestaan als er voldaan is aan de zes grondslagen van artikel 8 Wbp. Dit komt overeen met de Gedragscode, waarin deze regels specifiek worden uitgelegd voor financiële instellingen. De
Gedragscode stelt dat persoonsgegevens alleen voor slechts welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld. Verder mogen er niet meer persoonsgegevens worden verzameld dan voor het doel strikt noodzakelijk is. Ingeval van bijzondere persoonsgegevens is afwijking alleen mogelijk als dit noodzakelijk is voor de uitvoering van de overeenkomst. Slechts in geval van dringende noodzaak kunnen het doelbindingsbeginsel, transparantiebeginsel en de rechten van de betrokkenen opzij worden gezet. Uit de Wbp en de Gedragscode komt dus duidelijk naar voren dat inbreuk op persoonsgegevens alleen in strikt noodzakelijke gevallen is toegestaan. Deze wetgeving maakt het voor verzekeringsmaatschappijen lastig om verzekeringen in de toekomst te personificeren. Met de komst van de AVG kan hier mogelijk toch een begin mee worden gemaakt. De
Privacyverordening beoogt een hoger beschermingsniveau te bieden in de huidige digitale samenleving. Enerzijds krijgt de betrokkene binnen de AVG meer controle over zijn
persoonsgegevens, door middel van the right to be forgotten en right to data portability, anderzijds biedt het bedrijven de kans op een juiste manier om te gaan met persoonsgegevens, zoals bij het personificeren van verzekeringen, middels Privacy by Design. PbD verplicht de verantwoordelijke om technische en organisatorische maatregelen en procedures uit te voeren op een zodanige manier dat de verwerking aan de verplichtingen van de verordening voldoet, waardoor de rechten van de betrokkene worden gewaarborgd. PbD kan concurrentievoordelen opleveren voor verzekeringsmaatschappijen. Omdat verzekeraars veel gebruik maken van persoonsgegevens, is privacy belangrijk voor hun bedrijfsstrategie. Door gebruik te maken van PbD kunnen privacyproblemen, bij het personificeren van verzekeringen, in de toekomst worden voorkomen. (Zie verder hoofdstuk 4).
3. The right to be forgotten 3.1. Inleiding
Uit hoofdstuk 2 blijkt dat bedrijven zorgvuldig moeten omgaan met gegevens die zij verzamelen en verwerken. Dit kan namelijk strijdigheid opleveren met betrekking tot het recht op privacy. Tevens rijst de vraag hoe moet worden omgegaan met reeds gepubliceerde informatie (op het internet). Indien een organisatie op een legitieme manier informatie verzameld heeft, staat een persoon dan nog in het recht als deze informatie wordt verwijderd? Deze kwestie is aan de orde gekomen in het arrest Google/ Spain. Deze zaak staat centraal in dit hoofdstuk. Allereerst wordt de zaak geschetst, daarna wordt de conclusie van de AG besproken. De conclusie van de AG is opmerkelijk en wijkt (volledig) af van de uitspraak van het Hof, die daarna wordt besproken. Met name de opinie van de AG omtrent the right to be forgotten is relevant voor dit onderzoek. Tot slot worden de praktische implicaties van de zaak behandeld.
3.2. Hof van Justitie inzake Google/ Spain74 3.2.1. Casus
In 2010 heeft Maria Costeja González, Spaans staatsburger, bij de Agencia Espanola de Protección de Datos (Spaans agentschap voor de gegevensbescherming, AEPD) een klacht ingediend tegen La Vanguardia Ediciones SL (uitgeefster van een dagblad) en tegen Google Spain en Google Inc. Costeja González betoogde dat wanneer een internetgebruiker zijn naam in de zoekmachine van het
Googleconcern invoerde, de resultatenlijst koppelingen weergaf naar twee pagina’s van het dagblad La Vanguardia van respectievelijk januari en maart 1998. Op deze pagina’s werd met name een verkoop per opbod van gebouwen aangekondigd, die was georganiseerd na een beslag ter terugvordering van de door Costeja González verschuldigde socialezekerheidsschulden. Met deze klacht verzocht Costeja González ten eerste dat La Vanguardia zou worden gelast hetzij de betrokken pagina’s te verwijderen of te wijzigen (zodat zijn persoonsgegevens niet langer zichtbaar zouden zijn), hetzij deze gegevens te beschermen via bepaalde door de zoekmachines geboden instrumenten. Ten tweede verzocht Costeja González dat Google Spain of Google Inc. zouden worden gelast zijn persoonsgegevens te
verwijderen of te maskeren zodat deze van de resultatenlijsten en van de koppelingen van La Vanguardia zouden verdwijnen. In die context stelde Costeja González dat het ten aanzien van het hem toegepaste beslag sedert meerdere jaren volledig was afgehandeld en dat de vermelding ervan thans elke relevantie had verloren. De AEPD heeft de tegen La Vanguardia ingediende klacht afgewezen, dit omdat de redacteur de betrokken informatie rechtmatig had gepubliceerd. De klacht tegen Google Spain en Google Inc. is terdege wel gegrond verklaard. De AEPD heeft de twee ondernemingen verzocht noodzakelijke maatregelen te nemen om de gegevens van hun index te verwijderen en de toegang daartoe voor de toekomst onmogelijk te maken. Google Spain en Google
74 HvJ EU 13 mei 2014, zaak C-131/12, ECLI:EU:C:2014:317, Google Spain
18
Inc. hebben tegen deze beslissing afzonderlijk beroep ingesteld bij de Audiencia Nacional waarbij zij de nietigverklaring van het besluit van de AEPD hebben gevorderd.Daarop heeft de Spaanse rechter het HvJ een reeks vragen voorgelegd.75 De aan het Hof voorgelegde prejudiciële vragen vallen in drie groepen uiteen. De eerste groep heeft betrekking op de territoriale werkingssfeer van de Unieregels inzake gegevensbescherming. De tweede groep richt zich op vraagstukken verband houdend met de rechtspositie van de aanbieder van een internetzoekmachine in het licht van de richtlijn, met name vanuit het oogpunt van de materiële werkingssfeer. De derde vraag ten slotte, betreft het
zogenoemde recht om vergeten te worden en het vraagstuk of betrokkenen kunnen verzoeken dat sommige of alle hen betreffende zoekresultaten niet langer toegankelijk zijn via de zoekmachine. Al deze vragen, die ook belangrijke aspecten van de bescherming van grondrechten aanroeren, zijn nieuw voor het Hof.76
3.2.2. Conclusie A-G
Alvorens de prejudiciële vragen te beantwoorden, behandel ik eerst de conclusie van de AG. Deze conclusie is van belang, omdat de AG in deze zaak bijna lijnrecht tegenover het Hof staat. De AG lijkt namelijk meer gewicht toe te kennen aan de gerechtvaardigde belangen van marktdeelnemers en internetgebruikers, terwijl het Hof met name de zeer ruime territoriale en materiële reikwijdte van de richtlijn hieronder zal benadrukken. Met name de mening van de AG met betrekking tot the right to be forgotten is zeer relevant voor mijn onderzoek.
Ten aanzien van de eerste vraag luidde het antwoord van de AG: verwerking van persoonsgegevens vindt plaats in het kader van de activiteiten van een ‘vestiging’ van de voor verwerking
verantwoordelijke, in de zin van artikel 4 lid 1 Richtlijn 95/46/EG. Wanneer de onderneming die de internetzoekmachine aanbiedt in een lidstaat, ten behoeve van de (bevordering van de) verkoop van advertentieruimte op de zoekmachine, een kantoor of dochteronderneming opricht en de activiteiten daarvan gericht zijn op de inwoners van die staat.77 Irrelevant daarbij is of de technische
gegevensverwerking in andere lidstaten of in derde landen plaatsvindt.78
De vraag of de activiteiten van de zoekmachine kunnen worden gezien als een verwerking van
persoonsgegevens en of Google hiervoor als verantwoordelijke kan worden aangemerkt, werd door de AG ontkennend beantwoord. ‘Een aanbieder van een internetzoekmachine die met zijn zoekmachine derden op internet gepubliceerde of geplaatste informatie lokaliseert, automatisch indexeert, tijdelijk opslaat en uiteindelijk volgens een bepaalde volgorde ter beschikking stelt aan internetgebruikers, ‘verwerkt’ persoonsgegevens in de zin van artikel 2, sub b Richtlijn 95/46/EG, dit is het geval wanneer die informatie persoonsgegevens bevat’. Google is aan te merken als verwerker van
persoonsgegevens. Vervolgens kan Google volgens Jääskinen niet worden aangemerkt als de ‘voor verwerking verantwoordelijke’, in de zin van artikel 2, sub d van de Richtlijn, behalve zover het de
75 HvJ EU perscommuniqué nr. 70/14 p. 1-3. 76 Conclusie A-G r.o. 6.
77
Conclusie AG r.o. 138.
78 Wolters Ruckert 2013, p. 223.
19
inhoud van de index van zijn zoekmachine betreft. En mits de aanbieder van deze dienst geen
persoonsgegevens indexeert of archiveert tegen de aanwijzingen of verzoeken van de uitgever van de webpagina in.79 Dat de aanbieder van een zoekmachine ervoor kan zorgen dat bronpagina’s te vinden zijn, betekent niet dat Google juridisch of feitelijk enige zeggenschap heeft over de inhoud van de bronpagina’s of de daarop aanwezige persoonsgegevens. Google kan met betrekking tot
persoonsgegevens die aanwezig zijn op de bronpagina’s, en ondergebracht zijn op servers van derden, noch juridisch nog feitelijk voldoen aan de verplichting van de Privacyrichtlijn, aldus Jääskinnen.80
De vraag of individuen een ‘recht om vergeten te worden’ hebben, werd door de AG ook ontkennend beantwoord. De AG stelt dat de Privacyrichtlijn geen recht om vergeten te worden kent. Het verzoek van de eigenaar richt zich niet op verbetering, verwijdering of afscherming van persoonsgegevens, omdat die niet in overeenstemming met de verplichtingen van de Privacyrichtlijn zijn verwerkt, dan wel onvolledig of onjuist zijn. Ook het relatief recht van verzet is hier niet van toepassing. De AG maakt een afweging tussen het recht op privacy van een betrokkene en het recht op vrijheid van meningsuiting. De AG meent dat als een aanbieder van een zoekmachine verplicht wordt openbaar gemaakte legitieme juridische informatie te blokkeren, de vrijheid van meningsuiting van de aanbieder van de website zou worden beperkt. De AG vindt dat een particulier dan in staat is om de door de uitgever rechtmatige gepubliceerde content te censureren. Dat is ongewenst.81
3.2.3. Beantwoording prejudiciële vragen
De territoriale werkingssfeer van Richtlijn 95/46/EG.
Google Spain, een dochtermaatschappij van Google Inc., houdt zich alleen bezig met de commerciële exploitatie van de zoekpagina, maar niet met de eigenlijke zoekactiviteiten. Waar de
gegevensverwerking fysiek plaatsvindt is niet openbaar, maar volgens Google is dat in elk geval niet in Spanje. Volgens Google viel de gegevensverwerking buiten de reikwijdte van de EU-wetgeving. Artikel 4 lid 1 sub a Richtlijn bepaalt immers dat de nationale wetgeving van toepassing is als de verwerking van persoonsgegevens wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor verwerking verantwoordelijke. Volgens het Hof zijn de activiteiten van de exploitant van de zoekmachine en die van zijn vestiging ‘onlosmakelijk met elkaar verbonden’, omdat de activiteiten inzake de advertentieruimtes het middel vormen om de betrokken zoekmachine economisch rendabel te maken en deze machine tegelijkertijd het middel is waardoor deze activiteiten kunnen worden verricht. De activiteiten van Google vallen dus derhalve onder de reikwijdte van de EU-wetgeving.82
79 Conclusie AG r.o. 138. 80Wolters Ruckert 2013, p. 224. 81 Wolters Ruckert 2013, p. 224. 82 Kranenborg 2014, p. 488. 20
De materiële werkingssfeer van Richtlijn 95/46/EG
De tweede vraag die werd voorgelegd aan het HvJ EU was, of het aanbieden en gebruiken van een zoekmachinedienst als verwerking van persoonsgegevens in de zin van de richtlijn moet worden aangemerkt en of daarmee de exploitant van de dienst als verantwoordelijke voor de verwerking kan worden beschouwd. Het Hof stelt vast dat de exploitant van een zoekmachine die door het
geautomatiseerd, onophoudelijk en systematisch zoeken op het internet naar daar gepubliceerde gegevens en andere informatie, gegevens verzamelt in de zin van artikel 2 onder b Richtlijn. Het vervolgens opvragen, vastleggen en ordenen, het op servers bewaren, verstrekken en ter beschikking stellen aan gebruikers zijn ook verrichtingen in de zin van artikel 2, onder b van de Richtlijn.83 Het begrip verwerking van persoonsgegevens dient ruim geïnterpreteerd te worden op basis van eerdere jurisprudentie van het Hof.84 Ten aanzien van de vraag of de exploitant van een zoekmachine ‘verantwoordelijke’ is, voerde Google aan dat als sprake was van verwerking van persoonsgegevens, zij niet als verantwoordelijke kon worden aangemerkt, omdat zij de gegevens niet kent en niet controleert. Het Hof vindt echter dat de exploitant wel degelijk als verantwoordelijke moet worden aangemerkt, omdat de exploitant van de zoekmachine het doel en de middelen van de activiteiten vaststelt. Dit volgt uit artikel 2 onderdeel d. Dit blijkt volgens het Hof ook uit de doelstelling van de bepaling, namelijk een doeltreffende en volledige bescherming van de betrokkenen verzekeren. Het Hof benadrukt dat zoekmachines een beslissende rol spelen bij de wereldwijde verspreiding van persoonsgegevens en toegankelijk maken van persoonsgegevens voor elke internetgebruiker. Het feit dat gebruikers door middel van het intoetsen van iemands naam een min of meer gedetailleerd profiel van deze persoon kunnen krijgen, beschouwd het Hof dan ook als een aanzienlijke aantasting van de grondrechten op privéleven en de bescherming van persoonsgegevens.85 Onder deze omstandigheden acht het Hof het noodzakelijk dat de exploitant van een zoekmachine kan verzekeren dat de
waarborgen voor de bescherming van de persoonlijke levenssfeer in de richtlijn volledig tot gelding kunnen komen en dat een volledige bescherming van de betrokkene ook daadwerkelijk kan worden gerealiseerd.86
Het recht om vergeten te worden
De derde prejudiciële vraag was de vraag of artikel 12 onder b en artikel 14 eerste alinea onderdeel a Richtlijn zodanig moeten worden uitgelegd dat de exploitant van een zoekmachine verplicht is gehoor te geven aan een verzoek van de betrokkene om de koppelingen in de zoekmachine, tussen zijn naam of andere informatie over zijn persoon en verwijzingen naar webpagina’s waarop die naam of andere informatie voorkomt, te verwijderen.87 Het Hof stelt dat het kan zijn dat een aanvankelijk rechtmatige gegevensverwerking na verloop van tijd niet langer met de richtlijn verenigbaar is, omdat de gegevens
83 Kamerstukken II, 2013/14, 32 761, nr. 65, p. 3-4. 84 Zie arrest Lindqvist, C-101/01, EU:C:2003:596, punt 25. 85 Kranenborg 2014, p. 488. 86 Kamerstukken II, 2013/14, 32 761, nr. 65 p. 4. 87 Kamerstukken II, 2013/14, 32 761, nr. 65 p. 5. 21
niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt. Als een verzoek op grond van artikel 12 onderdeel b van de Richtlijn wordt vastgesteld dat de informatie van de betrokkene, gelet op het geheel van de omstandigheden van het onderhavige geval, ontoereikend, niet of niet meer ter zake dienend of bovenmatig is ten aanzien van het doel van de verwerking door de exploitant van de zoekmachine, moet de informatie en de koppelingen van de resultatenlijst worden gewist. Als het gaat om een verzoek dat de beweerlijke niet-naleving van artikel 7 onderdeel f en artikel 14 eerste alinea onderdeel b betreft, moet volgens het Hof worden vastgesteld dat elke
verwerking van persoonsgegevens tijdens de gehele duur ervan toelaatbaar moet worden geacht. 88 Bij een dergelijk beroep moet de verantwoordelijke het eigen gerechtvaardigd belang afwegen tegen dat van de betrokkene, waarbij met de specifieke omstandigheden van de betrokkene rekening moet worden gehouden.89 Het Hof maakt wel een uitzondering voor personen die een bepaalde rol spelen in het openbare leven. Het Hof stelt dat een inmenging dan wel gerechtvaardigd is door het belang dat het publiek heeft om toegang te krijgen tot desbetreffende informatie.90
3.3. Tussenconclusie
In dit arrest maakt het Hof van Justitie een afweging tussen twee fundamentele rechten. Indien er sprake is van botsende grondrechten (in casu tussen artikel 7, 8 en 11 van het Handvest en artikel 8 en 10 EVRM)91 dient het Hof, door het specifieke karakter van deze rechten, een belangenafweging te maken. Uiteindelijk dient het Hof te beslissen welk belang het zwaarste weegt, het recht op privacy of de vrijheid van meningsuiting.92 In casu prevaleert het recht op privacy boven de vrijheid van
meningsuiting. Op deze cruciale overweging in het arrest is wel wat aan te merken. Bescherming van privacybelangen is uiteraard van grote betekenis, maar daarmee is nog niet uitgesloten dat deze belangen in deze regel voorrang hebben op belangen van internetgebruikers bij het ongehinderd kunnen kennisnemen van beschikbare informatie. 93 Naar mijn mening is er te weinig waarde gehecht aan het belang van Google in onze informatiesamenleving. Online zoekmachines, spelen vandaag de dag immers een cruciale rol in het ondersteunen van zowel het recht op toegang tot informatie alsook een effectieve uitoefening van de vrijheid van meningsuiting. Anderzijds creëren zoekmachines ook een nieuwe dimensie aan potentiële bedreigingen voor het recht op privacy en gegevensbescherming.94 Google speelt dus een belangrijke rol bij het toegankelijk maken van informatie, dit wordt min of meer terzijde geschoven door het Hof. Zoals de AG stelde kan er , wanneer correctie- en
verwijderingsverzoeken worden ingediend, een gecensureerde versie van de werkelijkheid ontstaan (op het internet). Hierbij dient opgemerkt te worden dat Google waarschijnlijk voldoende
mogelijkheden heeft om te voldoen aan alle verwijderingsverzoeken van individuen. Maar hoe zit het
88
Kranenborg 2014, p. 489
89 Kamerstukken II, 2013/14, 32 761, nr. 65 p. 5
90 HvJ EU 13 mei 2014, zaak c-131/12, Google/Spain, r.o. 80. 91Ausloos 2014, p. 10. 92 Gerards 2006, p. 3-4. 93 Zwenne 2015, p. 13. 94 Ausloos 2014, p. 10. 22
dan met kleinere zoekmachines, zoals Bing.nl? Deze hebben waarschijnlijk niet de mogelijkheid en het geld om aan deze verzoeken te voldoen, wat tot gevolg kan hebben dat deze kleinere
zoekmachines, zonder na te gaan of dit gegrond is, automatisch links gaan verwijderen. Dit zorgt ervoor dat internet geen betrouwbare bron van informatie meer is. Wat gebeurt er als er een verzoek wordt ingediend bij Google en hetzelfde verzoek bij Yahoo? Dan kan het zijn dat, na afweging, beide zoekmachines tot een andere conclusie komen. Wat dus in de praktijk zou inhouden dat de link via Google misschien niet meer te vinden is, maar wel via Yahoo. Dit leidt dus tot onwerkbare resultaten. De mogelijkheid om echt ‘vergeten’ te worden is eigenlijk dus niet aanwezig. In het rapport van The House of Lords wordt gesteld dat dit recht beter omschreven kan worden als een recht dat informatie minder makkelijk toegankelijk maakt.95 Hier sluit ik mij volledig bij aan. Indien the right to be forgotten stand blijft houden in deze vorm, kan dit nog voor vervelende complicaties zorgen bij het personificeren van verzekeringen. Wanneer klanten verwijder- of correctieverzoeken laten uitvoeren, door de zoekmachine, is het beeld wat de verzekeraar van de klant wil creëren, niet meer volledig. Het feit dat een verzekeraar bijvoorbeeld informatie over de klant heeft die volgens Google niet
gepubliceerd had mogen worden, maar volgens Yahoo wel, leidt tot onwerkbare situaties.96 Wanneer het beeld van de klant niet volledig is kunnen verzekeraars ook niet het meeste voor de klant
betekenen, aangezien ze informatie missen. Daarnaast is het de vraag of alle data verzameld door de maatschappijen, nog wel gebruikt mogen worden. Mijns inziens zal het niet zo ver komen. Ik ben het eens met het standpunt van The House of Lords dat the Right to be forgotten een onwerkbaar begrip is. Het recht schept teveel verwarring en onduidelijkheid, verzekeraars weten niet meer waar ze aan toe zijn en welke informatie ze wel of niet mogen gebruiken.
95
House of Lords 2014, par. 15.
96 House of Lords 2014, par. 54.
23
4. Vergaande personificatie in de verzekeringsbranche 4.1. Inleiding
In paragraaf 1.1. is aan de orde gekomen dat klanten behoefte hebben aan individuele verzekeringen. In dit hoofdstuk komt aan de orde in welke mate een gepersonificeerde verzekering interessant kan zijn voor verzekeringnemers. Verder wordt de wijze uiteengezet hoe verzekeringsmaatschappeijn gepersonificeerde producten kunnen vormgeven, en welke informatie ze daarvoor nodig hebben. Daarbij wordt gekeken welke privacygebreken, bij vormgeven van deze nieuwe producten, kunnen ontstaan. Voorts wordt onderzocht welke problemen er buiten het recht op privacy nog kunnen ontstaan voor personificering van verzekeringen.Tot slot wordt de grondgedachte van collectiviteit bij verzekeren uiteengezet, waarbij onderzocht wordt of deze grondgedachte gewaarborgd blijft bij een vergaande personificatie van verzekeringen.
4.2. Het klantbelang centraal
De samenloop van, onder andere, de huidige financiële crisis, de woekerpolisaffaire en het afnemende vertrouwen in de financiële sector hebben geresulteerd in een soort moreel appel op banken en
verzekeraars om de sector te veranderen. Ook in de sector zelf ontstond het besef dat verandering noodzakelijk is. De sector moet het klantvertrouwen terugwinnen.97 Gebleken is dat verzekeraars moeite hebben met klantenbinding. De vele beslissingen die consumenten moeten nemen inzake het aangaan van verzekeringsovereenkomsten worden doorgaans met name gebaseerd op de prijs. Consumenten hebben minder aandacht voor de toegevoegde waarde van een
verzekeringsmaatschappij. Doordat consumenten steeds meer toegang krijgen tot informatie kunnen ze eenvoudig verzekeringen met elkaar vergelijken. Voor de consument is doorgaans de prijs de
belangrijkste overweging, maar tevens willen consumenten dat verzekeraars hen ook de
vereenvoudiging en bereikbaarheid bieden waaraan ze gewend zijn geraakt in andere sectoren. Omdat klanten weinig binding hebben met de verzekeraar zijn ze ook sneller geneigd om te switchen van verzekeraar. Wanneer de klant wel gaat kijken naar de toegevoegde waarde van een verzekeraar (in plaats van alleen de prijs), willen klanten polissen die op maat zijn gemaakt, zodat ze alleen betalen voor hetgeen ze daadwerkelijk nodig hebben. Wanneer verzekeraars willen voldoen aan deze behoefte dienen ze een nieuwe aanpak te kiezen. Ze dienen het klantbelang centraal te stellen.98 Ik sluit me aan bij de opinie van de AFM dat bij het klantbelang centraal stellen het er om gaat ‘dat een financiële onderneming duurzame waarde creëert voor haar klanten.’ Hierbij kan gedacht worden aan transparante informatieverstrekking, zorgplicht, producten ontwikkelen waarbij de klant ook op langere termijn gebaat is en het voorkomen van informatieasymmetrie.99 De AFM is van mening dat, om uiteindelijk het klantbelang adequaat centraal te kunnen stellen, een verandering in cultuur, gedrag
97 Danhof 2012, p. 22-23. 98 PwC Insurance 2014, p. 4-8. 99 Munoz Agra 2011, p. 40. 24
en werkwijze in de financiële sector noodzakelijk is.100 Financiële instellingen kunnen dit
bewerkstelligen door alleen producten te voeren met voldoende toegevoegde waarde voor de klant. Tevens is het van belang dat financiële instellingen, indien nodig, ook negatief adviseren over producten. Het bieden van voldoende toegevoegde waarde voor de klant betekent niet per se dat de klant centraal wordt gesteld (wat de klant wil), er dient namelijk gekeken te worden of het in het belang van de klant is (wat de klant nodig heeft), en of dit passend is binnen zijn klantprofiel. De klant centraal stellen is dus iets anders dan het klantbelang centraal stellen.101 Een goed voorbeeld hiervan is een klant die overgekrediteerd wordt omdat hij dan net wel die nieuwe auto kan kopen. Deze klant zal in eerste instantie erg tevreden zijn met zijn nieuwe aankoop en de bijbehorende dienstverlening van de bank. De wil van de klant is hierbij centraal gesteld. Echter, deze financiering is niet in het belang van de klant geweest, er bestaat namelijk een groot risico dat op langere termijn de nadelige gevolgen daarvan merkbaar zullen worden als de klant zijn vaste lasten niet meer kan betalen.102 Om te bepalen welke diensten en producten er bij een klant passen of te toetsen of bepaalde informatie duidelijk lees- en vindbaar is, gebruiken financiële dienstverleners de feedback van klanten. Om deze feedback vast te stellen gebruiken zij diverse instrumenten, hierbij kan worden gedacht aan: het werken met
klantenpanels op internet, gebruik van social media, het permanent monitoren van de klantbeleving op internetfora en social media, het testen van nieuwe applicaties en schriftelijke communicatie door klanten, een dialoog starten met de klant over de klantervaring na aanleiding van een gesprek of advies, en het vragen naar de tevredenheid van de klant over het proces en het resultaat bij het afhandelen van een klacht. Op basis van deze feedback zou het proces verbeterd moeten worden. De vraag is dan ook in hoeverre deze feedback gebruikt mag worden voor procesverbeteringen.103 Naar mijn mening kan feedback bijdragen aan een betere klantbeleving en een hogere klanttevredenheid. Verzekeraars proberen daadwerkelijk erachter te komen wat goed is voor de klant. De verzekeraar zal helaas hiermee maar een beperkte groep mensen bereiken. De gemiddelde Nederlander zal zich, naar mijn mening, niet op een platform van zijn verzekeraar begeven of zijn verzekeraar toevoegen op Facebook. De klanttevredenheid (van een aantal klanten) zal hierdoor stijgen, maar of de verzekeraar daadwerkelijk bereikt wat hij wil bereiken middels deze feedback, is voor mij zeer de vraag.
Om het klantbelang centraal te stellen moet eerst bepaald worden wat het belang van de klant is. Hiervoor zullen financiële instellingen meer inzicht moeten krijgen in de klant. Dit kan onder andere door een uitgebreider klantprofiel vast te leggen, bijvoorbeeld met behulp van Big Data. Hiermee kan de klant beter worden bediend en kan worden bepaald of een bepaalde dienst of product wel of niet in het belang van de klant is. Het gevolg van het vastleggen van deze aanvullende informatie is dat dit in strijd kan zijn met het recht op privacy, met name wanneer het gaat om bijzondere persoonsgegevens.
100 Danhof 2012, p. 22-23. 101 Smit 2014, p. 277-278. 102 Smit 2014, p. 277-278. 103 Smit 2014, p. 278. 25
Wat van belang is voor de verzekeraar, is dat er altijd zorgvuldig moet worden nagegaan of er duidelijke en gerechtvaardigde doeleinden voor het verzamelen van gegevens zijn vastgelegd. Deze dienen steeds vooraf omschreven te worden. Ook dienen de gegevens op rechtmatige wijze verwerkt te worden. Het verkrijgen en vastleggen van persoonsgegevens in het kader van het centraal stellen van de klant alleen, zal vaak te algemeen en abstract zijn.104
4.3. Big Data
4.3.1. Big Data en Privacy
Door het klantbelang daadwerkelijk centraal te stellen, kan een betere klantenbinding ontstaan, waardoor de klant minder snel geneigd is over te stappen naar een andere verzekeraar. Om erachter te komen wat de klant daadwerkelijk wil, dient gebruik gemaakt te worden van het fenomeen Big Data. De term Big Data wordt gebruikt om te verwijzen naar verzamelingen data die zo groot zijn dat ze met traditionele database-systemen niet goed meer te verwerken zijn. Zoals in paragraaf 4.2. is besproken kleeft er aan deze enorme overvloed aan data ook een groot privacygebrek. De verzekeraar dient bij het verwerken van persoonsgegevens na te gaan of er duidelijke en gerechtvaardigde doeleinden bestaan om bepaalde gegevens te verzamelen, verwerken en vast te leggen. Deze doeleinden dienen altijd vooraf omschreven te worden. Ook dienen de gegevens op rechtmatige wijze verwerkt te worden. Hier schuilt dus een groot probleem. Voor verzekeraars is het van belang het klantbelang centraal te stellen. De oplossing hiervoor is Big Data, maar het gebruik van Big Data kent dus vele privacygebreken. Big Data levert daarom een dilemma op. Het verbieden van het verzamelen van Big data zal internetondernemers mogelijk raken in hun commerciële mogelijkheden, gezien de
belangstelling voor hun diensten bij het publiek, is een verbod evenzeer moeilijk uit te leggen. Door optimaal gebruik te maken van Big Data kunnen internetondernemers klanten aanbiedingen doen, specifiek voor een bepaalde klant. Dit doen ze door middel van behavioural targerting.“Behavioural targeting is een vorm van markting waarbij mensen op internet worden gevolgd en er op basis van afgeleide interesses gerichte advertenties worden getoond aan mensen. In de praktijk wordt dit door velen ervaren als een aantasting van privacy. Regels met betrekking tot behavioural targeting zijn al deels gereguleerd in Europese wetgeving. In dit verband zijn de belangrijkste Europese regels om online privacy te beschermen, het toestemmingvereiste in de e-Privacyrichtlijn en de regels in
Richtlijn 95/46/EG.105”Behavioural targeting kan zowel positieve als negatieve gevolgen hebben. Een goed voorbeeld hiervan is Target, een Amerikaanse winkelketen die gebruik maakt van behavioural targeting om aanbiedingen te doen aan klanten. Op enig moment werden er, op basis van verzamelde gegevens, kortingscoupons verstrekt voor producten bedoeld voor zwangere vrouwen. Zo geschiedde het dat een minderjarig meisje ook deze aanbiedingen ontving, op basis van haar koopgedrag. Het meisje bleek zwanger te zijn, maar de familie was hier nog niet van op de hoogte. Door middel van het
104
Smit 2014, p. 284.
105 Borgesius 2014.
26
koopgedrag van het meisje, wist Target eerder dan haar familie dat ze zwanger was.106 Enerzijds is het natuurlijk prettig dat klanten korting krijgen op producten die ze nodig hebben, maar anderzijds kan het, zoals in voorgaand voorbeeld, ook te ver gaan. In dit geval is de inbreuk op haar privéleven enorm. Het feit dat dit meisje hier niet om heeft gevraagd, maar wel deze coupons kreeg, gaat te ver. Wanneer Big Data dus ongebreideld wordt toegestaan, kan dit leiden tot zeer onwenselijke resulaten. Het feit dat door koopgedrag aanbiedingen worden gedaan aan een klant is dus enerzijds positief, maar anderzijds wordt er niet om gevraagd en kan dit tot zeer grove inbreuken op het recht op privacy leiden. De enige compromis voor dit soort dilemma’s is privacy by design: zorgen dat technologie inherent rekening houdt met privacy. Dat er niet meer gegevens verwerkt of vrijgegeven worden dan noodzakelijk. De vraag blijft of dit praktisch uitvoerbaar is, omdat privacy een breed en rekbaar begrip is.107
4.3.2. Wat is nodig om de eisen die vanuit privacy gesteld worden aan Big Data, te vertalen naar de praktijk?
In de literatuur wordt als oplossing voor privacyproblemen veelvuldig het principe Privacy by Design (PbD) genoemd. Een bedrijf of organisatie doet aan PbD als bescherming van privacy al bij het vroegste ontwerp van een systeem wordt meegenomen en deze aandacht voor privacy doorgaat gedurende de gehele levenscyclus van het systeem. Dit vormt een contrast met een aanpak waarbij men pas nadat een dienst of systeem operationeel is of pas nadat er incidenten optreden over privacy wordt nagedacht. Het achteraf toevoegen van privacybescherming aan een systeem of dienst is vaak lastiger en duurder dan wanneer dit gelijk in het ontwerpproces wordt meegenomen.108 Het Cbp noemt PbD dan ook als uitgangspunt om tot een passende beveiliging van persoonsgegevens te komen. Redenen om te kiezen voor een PbD aanpak zijn dan ook; het voldoen aan wet- en regelgeving, het vermijden van een boete en imagoschade en tot slot het aantonen dat een bedrijf privacy serieus neemt en dat het recht op privacy belangrijk bevonden wordt.109 Het doel van PbD is tweeledig, enerzijds geeft het individuele personen controle over persoonlijke gegevens en anderzijds kan een organisatie hierdoor een duurzamere concurrentiepositie vergaren. In het conceptvoorstel AVG wordt PbD expliciet genoemd als maatregel. Het vroegtijdig meenemen van privacy-eisen bij het ontwikkelen van een oplossing wordt daarmee mogelijk verplicht. Om PbD toe te passen op Big Data problemen zullen de principes van PbD ingebed moeten worden in het proces binnen een organisatie dat gebruikt wordt om de Big Data software systemen te ontwikkelen. Binnen dat proces moet vervolgens PbD
toegevoegd worden aan de fase(s) van het proces waar de eisen worden vastgesteld. Hiertoe moeten twee stappen worden doorlopen:
106 Lowijs 2014, p. 274. 107 Engelfriet 2014, p. 3. 108 Actieplan Privacy 2014, p. 73. 109 Actieplan Privacy 2014, p. 73-74. 27
