Welke interessante vraagstukken gaan spelen in de data economie?

‍Opnieuw zijn er interessante documenten van de Europese Commissie voortijdig gelekt. Dit keer gaat het om een communicatie over de data economie. In het document wordt aandacht besteed aan twee hoofdzaken: het vrije verkeer van gegevens die geen persoonsgegevens zijn en aansprakelijkheid in het tijdperk van Internet of Things (IoT). Vanuit privacyperspectief is het document interessant, omdat er voor het reguleren van niet-persoonsgegevens een parallel wordt getrokken met een aantal zaken die voor persoonsgegevens zijn geregeld in de Algemene Verordening Gegevensbescherming (AVG). Voor de aansprakelijkheid in het IoT wordt een dergelijk verband niet gelegd, maar juist daar kunnen ook interessante privacyvraagstukken aan de orde komen.

Invloed van de AVG

Het belang van de AVG komt in dit document goed naar voren. Er wordt duidelijk gesteld dat:

1. De AVG een stevig kader biedt voor de verwerking van persoonsgegevens
2. De vereisten die daarvoor gelden
3. De voorwaarden waaronder doorgifte van persoonsgegevens is toegestaan.

Het wordt echter ook meteen duidelijk dat de primaire insteek van de AVG de ‘free flow’ van persoonsgegevens is en dat beperkingen alleen gemotiveerd kunnen worden vanuit de bescherming van persoonsgegevens. “The General Data Protection Regulation (GDPR) provides for a harmonised and high level of protection of personal data and is the foundation for the free flow of data in the EU.”

Gegevens die geen persoonsgegevens zijn vallen echter buiten de scope van de AVG. Daarom zoekt de Commissie nu naar mogelijkheden om de doorgifte van niet-persoonsgegevens beter te faciliteren. Momenteel wordt deze free flow beperkt door wetgeving of administratieve regelingen die verplichten tot lokaal vastleggen van gegevens. De AVG biedt inspiratie voor de Commissie. Zo wordt gekeken naar mogelijkheden op het gebied van toegang tot gegevens, doorgifte van gegevens, dataportabiliteit en standaarden.

Interessante uitdagingen liggen vanzelfsprekend op het onderscheid tussen persoonsgegevens en niet-persoonsgegevens. Vaak worden gegevens van beide categorieën verwerkt. En zeker bij moderne data-toepassingen is het niet altijd evident of niet-persoonsgegevens toch niet op enig moment (door cumulatie of koppeling) persoonsgegevens (kunnen) worden. Andersom is het de vraag of adequaat anonimiseren van persoonsgegevens mogelijk is.

En dan nog IoT…

In het document wordt ook aandacht besteed aan aansprakelijkheid voor het IoT. Om het IoT te laten werken is veel gegevensverkeer noodzakelijk. Omdat in het voorgaande uitgebreid wordt aangesloten bij de AVG zou je verwachten dat die link hier ook gelegd wordt. Dat is echter niet het geval. De aansprakelijkheidsvraag gaat vooral over het beste type aansprakelijkheid voor deze specifieke context. Daar wordt een consultatie voor geopend. Naast de huidige benadering op grond van de richtlijn voor productaansprakelijkheid wordt gekeken naar risico’s die worden veroorzaakt of verzacht, of naar vrijwillige of verplichte kaders voor verzekeringen van schade.

Waar gaan we heen?

Het gelekte document is een draft, dus er kunnen nog wijzigingen op plaatsvinden. Een conclusie voor nu lijkt echter dat er interessante parallellen worden getrokken tussen het reguleren van de free flow van persoonsgegevens en niet-persoonsgegevens.Belangrijkste uitgangspunt is daarbij dat beide typen gegevens essentieel zijn voor het verder ontwikkelen van de Europese data economie. Ook wordt al aangegeven dat IoT specifieke risico’s met zich kan brengen en dat dus goed gekeken moet worden naar aansprakelijkheden.

Er lijkt echter nog een belangrijk onderdeel te ontbreken: de link tussen het gebruik van data en IoT, waarbij het IoT zowel data kan genereren als gebruiken als input voor bepaalde acties. Als direct gevolg treden hier juist de spannende vraagstukken op over onderscheid tussen of samenloop van persoonsgegevens en niet-persoonsgegevens. Als er iets misgaat, leidt dat dan tot een vorm van productaansprakelijkheid of tot een handhavingsactie op grond van de AVG? Is het wel mogelijk om strikt te onderscheiden tussen het product (de IoT device) en de gegevensverwerking? Het zou mooi zijn als de Europese Commissie deze kans aangrijpt om juist daar ook aandacht aan te besteden.