Big data en Privacy: ‘With maturity of trust comes greater value’

Big data en data analytics are here and here to stay. Alleen wanneer er vertrouwen is in de maatschappij in de wijze waarop data worden gebruikt doorondernemingen, in wat zij ‘beloven’ ten aanzien van privacy, is het mogelijk om de potentie van big data en de ontsluiting daarvan door data analytics volledig uit te nutten en waarde te creëren; om ‘shared value’ te creëren. De publiciteit naar aanleiding van uitingen van het Verbond van Verzekeraars, laat dat ook weer duidelijk zien. Batig aan het (bouwen aan) vertrouwen zijn Privacy Impact Assessments, toepassing van Privacy by Design en het acteren op de verwachtingen van de stakeholders van de onderneming. Transparantie en de overtuiging dat de onderneming ‘keeps to its promisses’ is daarbij essentieel. ‘With maturity of trust comes greater value’.

Echter nog niet alle vraagstukken met betrekking tot privacy en big data en data analytics zijn beantwoord, zeker niet op de scheidslijn van de wettelijke kaders en de mogelijkheden van de techniek. Dit klemt nu sanctionering middels bijzonder hoge boetes (tot wel 5% van de wereldwijde omzet van een onderneming wordt) van niet naleving van deze wettelijke kaders mogelijk wordt, alsook gegeven het feit dat andere jurisdicties veelal een ander zogenaamd dicovery and litigation regime kennen.

Big Data en Vertrouwen

“Do you do what you have promised to your stakeholders?” Het is deze uitspraak die de essentie weergeeft van waardecreatie, het moderne winstbegrip. Waardecreatie staat voor de waarde die wordt gegenereerd voor alle stakeholders. Waardecreatie veronderstelt een direct verband tussen de (executie van de) strategie van de onderneming en (het voldoen aan) de verwachtingen van de stakeholders. Dus waar privacy en het tegelijkertijd volledig uitnutten van de potentie van big data en data analytics innerlijk tegenstrijdig lijken dan wel zo worden gepercipieerd, namelijk het economisch belang vis-a-vis het belang van de bescherming van de persoonlijke levenssfeer, creëren beiden waarde voor de onderneming, voor haar respectievelijke stakeholders, maar alleen dan wanneer het vertrouwen wordt gehonoreerd: ‘Building trust is creating shared value’. Voor de ontwikkeling van big data en data analytics-toepassingen wordt het belang van vertrouwen alleen maar groter. In de Europese Data Protectie Verordening wordt getracht invulling aan dit vertrouwen te geven.

Big Data en Privacy

Een belangrijke vraag die rijst bij big data en data analytics is of de huidige juridische kaders en de Verordening (nog) aansluiten op de huidige stand en snelheid van ontwikkelingen van de techniek en vervolgens of de risico’s verbonden aan big data en data analytics kunnen worden gemitigeerd om een optimale waardecreatie voor alle stakeholders door ondernemingen vanuit big data en data analytics te realiseren. Wanneer we spreken over privacy in het kader van big data en data analytics, is het van belang om een onderscheid te maken tussen enerzijds de bescherming van de persoonlijke levenssfeer van individuen en anderzijds de bescherming van persoonsgegevens van individuen. Beiden raken aan de privacy van ons allen als individu, maar daar waar de bescherming van persoonsgegevens en het daarbij horende wettelijke kader vooral een issue is in de fase van verzamelen en analyseren van big data, raakt juist het toepassen van de analyses van big data aan de persoonlijke levenssfeer van individuen. Voor beiden geldt een ‘ander’ juridisch kader.

In de vele bespiegelingen die er in verband met big data reeds zijn gemaakt, wordt vooral ingezoomd op de bescherming van persoonsgegevens en het feit dat ontwikkelingen in big data ertoe kunnen leiden dat steeds meer gegevens verworden tot persoonsgegevens. Dit omdat door het combineren van grote datasets waarin geanonimiseerde gegevens zitten, herleidbaarheid van de gegevens tot een individu toch ontstaat en op dat moment de gegevens zouden gaan kwalificeren als persoonsgegevens. Minder wordt stilgestaan bij het wettelijk kader ten aanzien van de bescherming van de persoonlijke levenssfeer van individuen. Dit kader kan, althans in mijn visie, mede een contra-balans vormen voor het ongebreidelde gebruik van big data, en kan juist gewetensvol en voorzichtig gebruik van big data en data analytics triggeren.

Establishing and safeguarding the required trust; amending the risks

Welke waarborgen maken c.q. kunnen maken dat er door het gebruik van big data en data analytics shared value wordt gecreëerd. Dit vermits de onderneming keeps to its promisses? De (toepassing van de) huidige wettelijke kaders sluiten, in mijn visie als gezegd, onvoldoende aan bij het fenomeen big data; de ontsluiting daarvan door gebruikmaking van data analytics en de toepassing van de uiteindelijke analyses. Niet alleen non-compliance met het wettelijk kader, en subsequent loss van reputatie of assets, is een risico bij het gebruik van van big data en data analytics.  Immers tegelijkertijd bestaan de risico’s, de  down sides, ook in het niet (kunnen) benutten van big data en data analytics, in de loss of competitiveness: “The use of big data will become a key basis of competition and growth for individual firms. (…) From the standpoint of competitiveness and the potential capture of value, all companies need to take big data seriously, 

In dit verband en om daadwerkelijk shared value te bewerkstelligen, is het dan ook interessant om te bezien welke maatregelen zouden kunnen leiden tot waarborgen om alsnog de persoonlijke levenssfeer en persoonsgegevens van individuen te beschermen en tegelijkertijd voormelde risico’s te mitigeren en de kansen die big data en data analytics bieden niet (volledig) teniet te doen.

In mijn visie liggen die maatregelen vooral op het gebied van accountability omdat transparantie, controle en (het nemen van) verantwoordelijkheid hierin samenkomen. Privacy Impact Assessments alsmede het vereiste van Privacy by Design zijn hier een mooi voorbeeld van. Het gaat daarbij in essentie om het door onderneming in de ontwikkelingsfase, in het ontwerp van big data en data analytics-toepassingen,  meenemen van de privacyvereisten en bovenal in mijn visie ook van de verwachtingen van de stakeholders van de onderneming.  Deze zien niet alleen op de bescherming van hun gegevens, maar bovenal op de bescherming van hun persoonlijke levenssfeer en de zeggenschap die zij daarover hebben. Transparantie over wat, waarvoor er door wie met hun gegevens gebeurt en de overtuiging dat de onderneming ‘keeps to its promisses’ is daarbij essentieel…With maturity of trust comes greater value.

Mr. drs Monique G.M. van Dijken Eeuwijk, Advocaat bij NautaDutilh; Voorzitter van het Benelux Sector Team Professional Services Firms en lid van het Privacy en E-commerce team