Cqure Platformblog

Deze week stond het nieuws bol van de 'Big Data'-plannen van ING om data-analyses te gaan uitvoeren op de betalingsgegevens van hun klanten om zo de klant te voorzien van mogelijk interessante aanbiedingen van bedrijven. ING haastte zich te benadrukken dat die analyse alleen met de uitdrukkelijke toestemming van de klant zou gebeuren ('opt-in'). Ook het College Bescherming Persoonsgegevens (CBP) benadrukte in zijn eerste reactie dat de plannen van ING uitsluitend toelaatbaar waren als de klant toestemming had gegeven voor de analyses. Je zou dus zeggen dat het met de plannen van ING wel goed zit. Als de klant toestemming geeft, mag het. Einde discussie!

Iedereen tevreden. Of toch niet…..? Uit de vele negatieve reactie, zowel in de pers als op social media, bleek dat veel mensen niet gediend waren van de plannen van de ING. Je zou kunnen zeggen: “Waar zeuren die mensen over? Als ze niet mee willen doen, dan geven ze toch gewoon geen toestemming?” In die visie is toestemming een panacee; een toverwoord dat in een klap alles goed maakt. Die visie is fundamenteel onjuist.

Artikel 8 WBP bevat 'rechtvaardigingsgronden'. Een rechtvaardigingsgrond bevat de argumenten voor je verwerking en vormt de juridische basis onder je verwerking. Artikel 8 WBP bevat zes van die rechtvaardigingsgronden: toestemming, uitvoering van een contractuele verplichting, uitvoering van een wettelijke plicht, bescherming van de vitale belangen van de betrokkene, de uitvoering van een publieke taak en het gerechtvaardigd belang van het bedrijf of van een derde. Hoewel toestemming als eerste in het rijtje staat, weten doorgewinterde privacy-professionals dat toestemming eigenlijk bedoeld is voor zaken die je op geen van de vijf andere gronden kan rechtvaardigen. Een laatste redmiddel dus.

Maar daar komt, zeker bij Big Data, ook een ander principe van bescherming van persoonsgegevens om de hoek kijken: de doelbinding. Dat beginsel zegt dat je de persoonsgegevens alleen voor andere dingen mag gebruiken, als die andere dingen verenigbaar zijn met het doel waarvoor die gegevens zijn verzameld. Daarbij spelen de redelijke verwachtingen van de klant een belangrijke rol. Doe je dingen die de klant redelijkerwijs niet van jou zou kunnen verwachten, dan doorkruisen jouw plannen waarschijnlijk het doelbindingsbeginsel. Dat soort plannen kan je alleen rechtvaardigen met de toestemming van de klant.

Maar toestemming is een juridische oplossing. Het creëert een papieren schijnwerkelijkheid dat het wel goed zit met de verwerking van de persoonsgegevens in de context van Big Data. De toestemming is dan vooral een afweer tegen claims dat het niet goed zit met de verwerking. Maar juist omdat er kennelijk geen andere (lees: betere) rechtvaardigingsgrond is, ontbeert het plan intrinsieke voordelen, zowel voor de consument als voor het bedrijf. Maar in de perceptie van de klant is het belang van het bedrijf als snel groter dan het belang voor de consument. Ze zien zich niet meer als klant, maar als melkkoe en verliezen het vertrouwen in het bedrijf. Ethici spreken dan over het ontbreken van een equal distribution of benefits and burdens. Een bedrijf moet zich dus altijd afvragen wat er voor de klant in zit. Zeker als het kennelijke doel is om het nut te vergroten. En dat is heel vaak het geval als je het over de verwerking van klantgegevens voor Big Data doeleinden hebt.

Regels voor bescherming van persoonsgegevens zijn in essentie niets anders dan een mechanisme om belangen tegen elkaar af te wegen. Enerzijds zijn daar de (fundamentele) belangen van de klant: privacy, reputatie, veiligheid, non-discriminatie, rechtvaardige behandeling, autonomie, identiteit en menselijke waardigheid. Deze belangen zijn meestal gediend bij het niet of zo beperkt mogelijk verwerken van persoonsgegevens. En als het dan toch gebeurt, met alle noodzakelijke waarborgen daaromheen. Aan de andere kant staan de veiligheid van derden (de staat, het bedrijf, andere mensen, etc), de handhaving van regels en maatschappelijke normen, het kunnen stellen van vertrouwen in mensen en het maximeren van nut. Tot dat laatste behoort ook het nut voor de klant zelf (denk aan personalisatie van diensten en de het doen van aanbiedingen op basis van Big Data analyses). En dat is nu precies waar bedrijven goed in zouden moeten zijn: hun klanten zo'n goed aanbod doen, dat vrijwel alle klanten vinden dat de waarde/nut ervan opweegt tegen het stukje privacy dat ze daarmee inleveren.

Zo zouden bedrijven ook naar hun Big Data plannen moeten kijken: “Is mijn Big Data plan met klantgegevens zo goed, dat klanten er geen nee tegen willen zeggen?” Dit vereist echter een grote mate van transparantie over wat je als bedrijf eigenlijk wil doen met zijn Big Data. Een bedrijf moet daarbij alles op tafel leggen, open en eerlijk. En dan niet alleen aangeven hoe de (privacy)belangen van de klant worden beschermd, maar ook wat de voor- en nadelen zijn voor de klant. En dat mogen geen loze praatjes zijn (window dressing), maar echte maatregelen en echte voordelen.

Als je dus goed hebt nagedacht over je Big Data plannen, de nodige maatregelen hebt genomen om de belangen van de klant te beschermen en open en eerlijk communiceert over de voor- en nadelen voor de klant, dan heb in principe voldaan aan de eisen van het gerechtvaardigd belang zoals vereist door artikel 8 sub f WBP. En daarmee is je verwerking behoorlijk en zorgvuldig en in overeenstemming met de wet (de hoofdregel van de WBP).

Zo'n 'gerechtvaardigd belang'-aanbod moet per definitie veel beter zijn dan een 'opt-in'-aanbod omdat de default-positie in dat geval is dat de gegevens worden verwerkt, tenzij de klant daar bezwaar tegen maakt. Dat vereist, zoals gezegd, een rechtvaardiging die intrinsiek is gelegen in het plan. Door toestemming te vragen, zeg je eigenlijk tegen de klant: “Mijn plannen voor de verwerking van jouw persoonsgegevens zijn niet in jouw belang (en ik heb zelf ook geen doorslaggevende reden om hiermee door te gaan)”. Dat is een boodschap die geen enkel bedrijf wil communiceren naar zijn klanten.