Transparantie en de ‘BIG’ Data Act
De Data Act heeft onder andere tot doel meer controle te geven aan consumenten en ondernemingen, specifiek met het oog op het beschikbaar stellen van gegenereerde gegevens door producten of diensten. Bij het lezen van die doelstelling denk ik als functionaris voor gegevensbescherming natuurlijk aan de implementatie en de raakvlakken met de Algemene Verordening Gegevensbescherming en hoe die basisprincipes zich verhouden binnen de vooropgestelde doelstellingen van de Data Act.
Gegevens die voortkomen uit Internet of Things-apparaten kunnen beschikbaar worden gesteld aan een breed scala van gerelateerde actoren. Consumenten en bedrijven zullen toegang hebben tot de gegevens van hun apparaat en die kunnen gebruiken voor dienstverlening door bijvoorbeeld derde partijen. Daar komt het recht op dataportabiliteit en toegang tot gegevens door de consument naar voren, wat ik alleen maar kan toejuichen. Dat zijn immers twee van de basisrechten onder de AVG. Op grond daarvan is het recht tot toegang dan weer beperkt tot persoonsgegevens die verwerkt worden onder bepaalde rechtsgronden en waar het technisch haalbaar is. De Data Act zal dat recht voor verbonden producten versterken, zodat consumenten toegang hebben tot alle door het product gegenereerde gegevens, zowel persoonlijke als niet-persoonlijke. Vervolgens kunnen ze die overdragen aan andere partijen.
Bij de doorgifte van gegevens spreekt men vaak van niet-persoonsgebonden gegevens die worden gedeeld en in extremis dus los kunnen bekeken worden van de AVG-richtlijnen, maar daar heb ik zo mijn bedenkingen bij. Het Internet of Things verwerkt gevoelige informatie en brengt dus risico’s met zich mee. Daarom is het belangrijk dat het duidelijk is voor consumenten welke gegevens verwerkt worden en wat er precies met hun gegevens gebeurt. Ik denk daarbij aan de beveiliging van de gegevens, maar ook aan het anonimiseren van gegevens verzameld door verbonden ‘slimme’ apparaten – is dat überhaupt mogelijk? Er zullen dus zeker voldoende passende waarborgen voor gegevensbescherming moeten ingevoerd worden zodanig het acquis inzake gegevensbescherming niet wordt aangetast.
En wat met het transparantiebeginsel? De Data Act haalt aan dat consumenten van bij de aankoop, lease of huur in kennis gesteld moeten worden van alle relevante informatie omtrent de verwerkte gegevens. Ik lees daar een duidelijke overeenkomst met de AVG, waar gebruik wordt gemaakt van de alom gekende privacyverklaringen die – laat ons eerlijk zijn – de consument slechts een glimp laten opvangen van wat er echt met de verwerkte gegevens gedaan wordt.
De basis zou toch het ondubbelzinnig transparantiebeginsel moeten zijn, aangezien de data initieel eigendom is van de consument. Voor de verdere uitbouw van de Data Act zou ik de Europese Commissie graag willen suggereren om een heldere transparantie te verplichten. Eentje die geplaatst wordt op de verpakking van de producten – laat het ons een data ingrediëntenlijst noemen – in combinatie met een privacyscore, naar analogie van de NUTRI-score. Daardoor krijgen consumenten bij de aanschaf van een product eindelijk de transparantie die ze verdienen.
- Kurt Verstockt (Het GDPR-huis, DPO Dender-Schelde)
