Hoe complex is privacy- en gegevensbescherming?

“Datascience en privacy, wat mag wel en niet? Omdat privacy- en gegevensbescherming veel overlap met elkaar hebben, worden ze vaak op één hoop gegooid. Toch zijn het naar mijn mening duidelijk te onderscheiden rechtsgebieden.” Universitair hoofddocent Tina van der Linden geeft tijdens de Datadag bij het Verbond (29 september) een deelsessie en introduceert de topics die aan bod komen. Stof tot nadenken, dus.

Tina aan het woord:

“Privacy gaat in essentie over de eigen ruimte die ieder mens nodig heeft om zichzelf te kunnen zijn en zich te ontplooien. Zowel fysiek (hoofd, lijf, huis, werk en zelfs openbare ruimte) als informationeel (zelf kunnen bepalen wie wat over jou weet, controle hebben over je imago en de manier waarop je op anderen overkomt).
Ik ben een vrouw van 60, dus me voordoen als een whizzkid van begin twintig gaat me in real life niet meer lukken. Maar online kan ik zelf bepalen hoe ik me wil presenteren. Bescherming van persoonsgegevens heeft deels betrekking op die informationele privacy.”

Een mini-casus om alvast over na te denken

“Met het bovenstaande in het achterhoofd combineren we nu verzekeren met datascience en privacy- en gegevensbescherming. Verzekeren gaat over het afdekken van risico’s, en om dat te kunnen doen moet je die risico’s kunnen inschatten. Al snel stuiten we op vragen over welke gegevens daarvoor wel en niet gebruikt mogen worden. En nu wordt het interessant, want waar ligt de grens tussen verboden discriminatie en toegestaan objectief gebruik van statistiek?”

“Neem bijvoorbeeld de premie van mijn autoverzekering. Zoals ik hierboven aangaf, ben ik een vrouw van zestig. Ik heb twee volwassen kinderen die ik allebei weleens in mijn auto laat rijden. Is de hoogte van mijn verzekeringspremie mede daarop gebaseerd? Weet mijn autoverzekeraar überhaupt dat ik twee volwassen kinderen heb? En als ze dat weten, mogen ze die kennis dan gebruiken om mijn premie te berekenen? Waarom wel, of waarom niet? En is dat dan eigenlijk een inbreuk op mijn privacy? Hoezo?”

AVG

“We gaan het in de breakout-sessie hebben over de Algemene Verordening Gegevensbescherming (door sommigen ook wel de privacywet genoemd): de begrippen persoonsgegevens, verwerking van persoonsgegevens, verwerkingsverantwoordelijke, en meer van dat soort juridische termen. We kijken naar grondslagen voor gegevensverwerking, naar doelbinding, wat wel en niet mag, en vooral ook wat er onduidelijk is en waar de praktijk mee worstelt. Compliant zijn met de AVG is vereist, en tegelijkertijd niet zo eenvoudig. Bovendien rust de bewijslast op de verwerkingsverantwoordelijke, die moet kunnen aantonen dat hij of zij aan alle eisen van de AVG voldoet. Voor de geïnteresseerde deelnemers heb ik een aantal literatuursuggesties.”

Over mij

“Ik ben Tina van der Linden, universitair hoofddocent Law, Ethics and Technology aan de Vrije Universiteit Amsterdam. Nadat ik mijn rechtenstudie in 1985 voltooide, heb ik een jaar als programmeur bij een verzekeraar gewerkt, om daarna terug te keren naar de universiteit, in Utrecht. In 1994 heb ik daar mijn proefschrift over juridische kennissystemen succesvol verdedigd.”

“Sindsdien ben ik zowel in onderzoek als in onderwijs bezig met de juridische vragen die technologiegebruik oproept. En technologische mogelijkheden om de samenleving eerlijker en rechtvaardiger te maken. Technologie is op zichzelf immers niet goed of slecht, en het is ook niet neutraal. Dat maakt het interessant om er als jurist met een open blik naar te kijken.”

“Actuele thema’s in mijn onderwijs en onderzoek zijn gebruik van big data en algoritmen om beslissingen over mensen te nemen (dat gebeurde al bij de juridische kennissystemen waar mijn proefschrift indertijd over ging), en hoe dat te reguleren (bijvoorbeeld de AI Verordening die door Europa is voorgesteld).”

“Daarnaast geef ik onderwijs en schrijf ik over blockchain en de bijbehorende juridische vragen en uitdagingen, onder andere met betrekking tot smart contracts en decentralised autonomous organisations, governance van blockchain, FinTech (de MiCA Verordening) en de mogelijkheid om het ideaal van self-sovereign identity te implementeren. En natuurlijk robots en AI, met onder andere de juridische vragen als zelfrijdende auto’s realiteit worden: hoe zit het dan met aansprakelijkheid en het verzekeren daarvan?”

Ik zie jullie allemaal graag op 29 september tijdens de Datadag van het Verbond. Inschrijven kan nog via deze link.