Data Privacy Day: het privacydebat wordt dit jaar alleen nog maar groter

Happy Data Privacy Day! Veertig jaar geleden, op 28 januari 1981, werd het eerste moderne privacyverdrag in Europa beklonken. Traditiegetrouw blikken we daarom elk jaar op deze dag vooruit op wat het jaar ons gaat brengen op het gebied van privacy en de bescherming van persoonsgegevens.  

In Europa geldt inmiddels ruim tweeënhalf jaar de nieuwe privacy wetgeving, de Algemene Verordening Gegevensbescherming (AVG). Dat lijkt misschien  lang, maar in werkelijkheid   realiseren wij ons pas net op hoeveel plekken onze persoonsgegevens gebruikt worden en dus ook waar deze nieuwe wetgeving eigenlijk op van toepassing is. In deze vooruitblik op het Privacy jaar 2021 zien we dat ook terug. In dit artikel de 5 onderwerpen waarvan wij zeker denken dat ze in 2021 een hot privacy topic zullen zijn/worden. 

2021 wordt niet het einde van de cookie pop ups

Iedereen die wel eens een website bezoekt, kent het fenomeen: de pop-up die je vraagt of je wel of geen cookies wilt en zo ja of zo nee, welke dan wel of niet. Verwarrend. Die vragen zijn het gevolg van EU-regelgeving uit 2009, genaamd de ePrivacy Richtlijn.  De EU denkt al zeker zeven jaar na over het vervangen van deze regels. Die nieuwe regels zouden terecht moeten komen in de ePrivacy Verordening, die net als de AVG rechtstreeks werkt in alle landen van de EU. Wij voorspellen dat het de EU ook in 2021 niet lukt om tot een akkoord te komen over wat er precies in deze verordening geregeld moet worden. Wij verwachten dus ook niet dat 2021 het jaar wordt waarin de cookie pop up gaat verdwijnen. 

Brexit: de deal is er, maar niet alle (privacy) vragen zijn al opgelost

Vorig jaar voorspelden we dat al. Het Europese Hof heeft inderdaad een uitspraak gedaan in 2020 dat in sommige gevallen persoonsgegevens van mensen in de EU niet meer opgeslagen mogen worden op (cloud-)computers in de Verenigde Staten. De gevolgen van deze uitspraak gaan we dit jaar ook in de praktijk bemerken. Maar deze uitspraak gaat ook van invloed zijn op andere vergelijkbare situaties, zoals de verhouding met Groot-Brittannië. Want nu de Brexit een feit is, geldt diezelfde vraag voor Groot-Brittannië. Kort gezegd de Europese Commissie (EC)  zal ook voor Groot-Brittannië moeten bepalen of we daar nog wel persoonsgegevens mogen laten opslaan? 

De eerste helft van onze voorspelling is dat de EC inderdaad zal zeggen dat Groot-Brittannië een veilig land is om persoonsgegevens op te slaan. De tweede helft is dat die goedkeuring onmiddellijk betwist zal worden: burgerrechtenorganisaties zullen van het Europese Hof een uitspraak vragen hierover. Dat is echter een heel lang traject, dat jaren in beslag kan nemen. Dus de vraag zal dit jaar gesteld worden, maar op het antwoord zullen we naar verwachting nog wel een paar jaar moeten wachten. 

De privacyasprecten van de Covid-19 bestrijding 

Een topic waar we ook op het gebied van privacy in 2021 niet omheen kunnen : de privacygevolgen van de Covid-19 bestrijding. Vorig jaar hebben we daar al een voorproefje op gehad, met name rondom de introductie van de CoronaMelder app. Die app was aanleiding voor een heftig maatschappelijk debat, terwijl die app vrijwel anoniem met de data omgaat. Hoe zal dat gaan als ons gevraagd wordt een groter deel van onze (medische-) privacy op te geven om weer uit de lockdown te komen? Als we bijvoorbeeld met een app onze medische status met betrekking tot Covid-19 moeten kunnen laten zien om ergens naar binnen te mogen, om op vakantie te mogen, om te mogen vliegen. Oh, en wat gaan we doen met die Covid-19 gerelateerde databases die nu overal als paddenstoelen de grond uitschieten? Die databases om bij te houden wie getest is, wie een prik gehad heeft, enzovoort? Stuk voor stuk grote vraagstukken die naar verwachting in 2021 een deel van het privacydebat zullen beheersen.

Transparantie van algoritmen 

Al sinds 1995 staat in de Europese privacyregelgeving (de AVG en voorgangers) een opmerkelijke regel: geautomatiseerd beslissingen nemen over mensen op basis van hun persoonsgegevens is in principe verboden. Lang was die regel een beetje obscuur en weinig van toepassing. Mensen, niet machines, namen beslissingen over mensen. In 2021 gaat daar verandering in komen. 

Dit heeft alles te maken met de opkomst van algoritmen die op basis van data beslissingen kunnen nemen. De laatste jaren zijn we veel beter geworden in het maken van dat soort algoritmen. Met de geavanceerde technologieën die we nu hebben en de bewustwording van het feit dat deze worden toegepast, zullen we dit onderwerp in het komend jaar steeds vaker tegen komen. En algoritmen zullen ook in dit jaar weer in toenemende mate worden ingezet om een uitspraak te doen over mensen op basis van hun persoonsgegevens. Daarom zal komend jaar ook zeker veel aandacht uitgaan naar een privacyregel die tot nu toe weinig bekendheid genoot. Wat betekent geautomatiseerd beslissingen nemen over mensen nu eigenlijk precies? Als je een algoritme inzet, snap je dan wat het doet? Welk aandeel heeft het algoritme in de beslissing? Gaat het algoritme wel uit van de juiste data-bronnen? En kunnen wij als mensen eigenlijk wel controleren hoe dat werkt? Allemaal vragen die naar onze verwachting in 2021 steeds vaker zullen opduiken.

Data delen in de keten: hoeveel en met wie?

Binnen zowel de overheid als het bedrijfsleven en ook tussen deze twee, is er een trend om meer data met elkaar te willen delen. Anonieme data over bijvoorbeeld onze leefomgeving, maar ook persoonsgegevens over mensen. De redenen hiervoor zijn divers. De overheid wil bijvoorbeeld haar dienstverlening richting burgers verbeteren en tegelijkertijd fraude bestrijden en voorkomen. En in het bedrijfsleven is men zich ook meer en meer bewust van het feit dat persoonsgegevens verzameld door anderen, ook voor de eigen doelen van de onderneming op waardevolle wijze in te zetten zijn. 

Dat delen van persoonsgegevens blijft niet onopgemerkt. Voor de overheid is de Wet Gegevensverwerking door Samenwerkingsverbanden in de maak. Daarnaast eisen de, in de maak zijnde, regels voor Artificiële Intelligentie van alle organisaties grotere transparantie over de herkomst van persoonsgegevens. Tot slot als vijfde voorspelling daarom: als samenleving gaan wij kritischer kijken naar voorstellen om onze persoonsgegevens te delen tussen verschillende partijen. Willen we dat eigenlijk wel? Wat zijn daarvan de gevolgen? Vragen die in 2021 steeds vaker beantwoord zullen moeten worden. 

Over de auteur: Jan-Jan Lowijs werkt als privacy expert bij Deloitte.