Vandaag is in Financieele Dagblad op de pagina Opinie mijn reactie verschenen die ik vorige week woensdag 21 januari schreef, naar aanleiding van een stuk van Lokke Moerel (dat ik voor de volledigheid onder deze reactie opneem).
ARNO LODDER:
Hoewel het fanatisme waarmee mevrouw Moerel de big data industrie vooruit wil helpen bewonderenswaardig is, mist zij de essentie van big data analytics. De slotzin van haar opinie luidt:
“We kunnen onze energie beter steken in een debat over de voorwaarden waaronder big data-analyses gebruikt mogen worden.”
Big Data toepassingen kennen verschillende stadia. Grofweg worden om te beginnen gegevens verzameld, vervolgens worden die geanalyseerd en tenslotte kunnen er bepaalde consequenties aan die analyses verbonden worden. Nadenken over de voorwaarden waaronder de uitkomsten gebruikt mogen worden is rijkelijk laat. Zoals Geoffrey James mooi omschreef: “If the question that you ask of data is fundamentally flawed, you’ll get an answer that’s worse than useless. It’s not just “garbage in, garbage out.” It’s “garbage question in, toxic waste out.“
In beginsel al bij het verzamelen van gegevens (select before you collect) en zeker op het moment dat de analyse wordt aangevangen moet over privacy worden nagedacht. Niet pas op het moment dat er uitkomsten zijn. Dit is te meer van belang daar mensen beperkt in staat zijn door technologie voorgeschotelde uitkomsten kritisch te benaderen. In de jaren negentig was er een onderzoek van Jaap Dijkstra “How to fool a lawyer”. Zelfs juristen met inhoudelijk verstand van een bepaald onderwerp namen evident onjuiste door de computer gesuggereerde adviezen over.
Onze energie moeten we steken in wat we als samenleving aanvaardbaar vinden: alles verzamelen, alles analyseren? Daar krijg je een paranoide, onveilige samenleving van. Keuzes moeten gemaakt worden, ook door de big data industrie en niet alleen met betrekking tot welke uitkomsten iets mee gedaan wordt.
LOKKE MOEREL
Jacob Kohnstamm, voorzitter van de nationale privacy waakhond, kondigde vlak voor kerst aan dat er twee onderzoeken naar big data onderweg zijn. Kort daarvoor zei hij op het nationale privacycongres dat hij niet inziet ‘hoe big data dat uitgaat van datamaximalisatie, te verenigen is met het fundamentele uitgangspunt van onze privacywetgeving van dataminimalisatie’.
Dat zijn geen geruststellende boodschappen voor de bedrijven en overheden die net een big dataproject hebben gestart, en dat zijn er veel. Zeker als het wetsvoorstel wordt aangenomen om de boetebevoegdheid van het College Bescherming Persoonsgegevens te verhogen tot € 810.000. Is big data echt niet te verenigen met onze privacywet, moeten alle projecten acuut worden gestopt?
Volgens mij niet. Veel big dataprojecten zijn onder de huidige Wet bescherming persoonsgegevens mogelijk. Op dit moment is dataminimalisatie geen absoluut vereiste onder deze wet. Bedrijven moeten wel een ‘gerechtvaardigd belang’ hebben om gegevens te verzamelen. Als dat er is, kunnen de data worden verzameld die nodig zijn voor het betreffende doel, mits de verwerking zo is ingericht dat de gevolgen voor individuen gering zijn. Deze data mogen ook voor andere doeleinden worden gebruikt, als dit gebruik maar ‘verenigbaar’ is met het oorspronkelijke doel.
Als een ziekenhuis een in verhouding hoog percentage patiënten heeft dat na een operatie opnieuw moet worden opgenomen, kan het alle relevante patiëntgegevens bij elkaar zoeken en aan de hand daarvan analyseren of dit bij bepaalde groepen patiënten vaker voorkomt dan bij andere. Dit is big data analyse, maar ‘verenigbaar’ met het oorspronkelijke doel waarvoor de gegevens zijn verzameld.
Voorwaarde is wel dat het ziekenhuis maatregelen treft om de privacy-impact voor patiënten te beperken. Door de gegevens te anonimiseren en onder te brengen in een aparte analysedatabase, door de toegang tot deze database te beperken en door de uitkomsten van het onderzoek alleen in geaggregeerde vorm te rapporteren. Maar dit is allemaal toegestaan.
Dit wordt pas anders als de uitkomsten van de analyse door het ziekenhuis worden doorgegeven aan een verzekeraar en deze de premies van zijn klanten op basis daarvan aanpast. Dan neemt de verzekeraar beslissingen die gebaseerd zijn op ‘profiling’ van gezondheidsgegevens. Dit is niet toegestaan zonder de toestemming van betrokkenen (die deze niet snel zullen geven). Dit lijkt me een prima resultaat.
Wel is het zo dat een nieuwe EU-verordening over gegevensbescherming het gebruik van big data er niet makkelijker op zou kunnen maken. De inzet van de verordening is dat dataminimalisatie een zelfstandig beginsel wordt en dus altijd van toepassing zou zijn. Maar het eerder voorgestelde verbod om analyses te maken op basis van gevoelige gegevens is inmiddels afgezwakt.
De verordening bepaalt nu alleen dat individuen niet het onderwerp mogen zijn van beslissingen die zijn gebaseerd op automatische analyse van gevoelige gegevens, tenzij hiervoor toestemming van de betrokkenen is verkregen of daarvoor een specifieke wettelijke grondslag is. Het enkele analyseren van gevoelige gegevens is dus niet langer verboden en dat lijkt me een goede ontwikkeling.
De algemene boodschap van de Nederlandse privacywaakhond dat big data niet te verenigen is met de huidige privacywet is niet juist en weinig constructief. Dit is het kind met het badwater weggooien en zet ons onnodig op achterstand. Zeker nu de Europese Commissie € 500 mln investeert in een fonds voor het ontwikkelen van publiek-private partnerships op het gebied van big data. Zij doet dat omdat big databedrijven nu vooral uit de VS komen en Europa hier achterblijft. Ook onze Nationale Denktank is onlangs met een aantal voorstellen gekomen voor big dataprojecten die de samenleving veel zullen opleveren.
Het echte debat over nut en noodzaak van privacybescherming dient de komende jaren te gaan over de toepassing van de resultaten van de analyse van gegevens en niet zozeer over het analyseren van de gegevens zelf. Steeds vaker zal de toepassing van analyseresultaten gericht zijn op het maken van een onderscheid tussen individuen. Daarmee komen de grenzen met ‘discriminatie’ in beeld.
Cruciaal is dan de vraag in hoeverre we al beperkingen willen opleggen aan het doen van de data-analyses zelf of dat die beperkingen zich vooral moeten richten op de uiteindelijke toepassing van de analyseresultaten op individuen. Ik denk dat dat laatste de voorkeur verdient. De samenleving is gebaat bij de nieuwe inzichten die data analistics te bieden hebben.
Nu alleen Kohnstamm nog overtuigen dat dataminimalisatie onder de huidige wet geen zelfstandig vereiste is, en dit onder de nieuw voorgestelde EU-verordening ook niet zou moeten worden. Een privacywet die waardevolle technologische vooruitgang zonder meer verbiedt, ondergraaft het maatschappelijk draagvlak voor deze wetgeving.
We kunnen onze energie beter steken in een debat over de voorwaarden waaronder big data-analyses gebruikt mogen worden.
