Privacy in de praktijk II, afl. 7: Onderzoeksgegevens en privacy

BEKENKAMP: Hoe pas je artikel 89 AVG toe zonder dat je de privacy geweld aan doet?
ROTMAN: Welkom bij Privacy in de Praktijk. Ik ben Robin Rotman.
In deze podcast van het Centrum Informatiebeveiliging
en Privacybescherming bespreek ik met deskundigen
de meest interessante vragen rond privacy in de dagelijkse praktijk.
BEKENKAMP: Statistisch onderzoek en privacy. Eerst denken, dan doen.
ROTMAN: Bas Bekenkamp, senior adviseur bij Privacy Company.
We hebben het vandaag over artikel 89.
We gaan een beetje juridisch fijnslijpen misschien wel
want als een artikelnummer in de kop zit, dan wordt het altijd juridisch.
Wat is dit voor ding? Artikel 89.
BEKENKAMP: Artikel 89 is eigenlijk een van de uitzonderingen binnen de AVG
voor de toepassing van statistisch onderzoek en wetenschappelijk onderzoek
en ook historisch onderzoek op basis van de gegevens die je gewoon verwerkt
met, ja, al je processen, al je verwerkingen die je feitelijk in de praktijk verricht.
ROTMAN: Ik ben een overheidsorganisatie of ik ben een bedrijf
en ik heb bepaalde gegevens over mijn klanten of over burgers
en die heb ik met een bepaald doel binnengehaald.
Ik heb keurig erover gecommuniceerd.
Iedereen weet waarvoor het is en dat is allemaal netjes.
En dan is het allemaal zuiver en helder. En dan is er artikel 89
en dat zorgt ervoor dat ik dat doel een beetje los mag laten
om die gegevens op een andere manier te gebruiken? Is dat wat je zegt?
BEKENKAMP: Een iets andere manier. Je kunt bijvoorbeeld die gegevens
die je eerder hebt verzameld, hergebruiken en verder gaan verwerken feitelijk
voor statistisch onderzoek of andere doeleinden
om inzicht te krijgen over hoe je bijvoorbeeld het beleid toepast.
Het zou bijvoorbeeld... ook als je het hebt over gemeentes.
Hoe voeren wij nou eigenlijk de jeugdwet uit?
Hoe zou je ook met subsidieregelingen om kunnen gaan en daar inzicht in verkrijgen
om bijvoorbeeld op een gegeven moment te evalueren:
Wat is het effect van die subsidieregeling?
ROTMAN: Ah oké, oké. Dus ik verzamel voor de jeugdwet
of voor subsidies, gegevens over burgers.
En dan... Ik moet natuurlijk... op een goed moment wil de gemeenteraad
of de Tweede Kamer weten of dat allemaal goed is gegaan.
Dan mag ik die gegevens heus wel gebruiken om te evalueren of het goed gegaan is.
Dat is wat je zegt. Dat is artikel 89?
BEKENKAMP: Onder bepaalde voorwaarden.
De voorwaarden gaan we bespreken. Dan kom ik met praktische tips
hoe je dat in de praktijk kan toepassen.
Maar onder voorwaarden is dat kort gezegd wel de insteek en de oplossing.
ROTMAN: Dat voelt voor mij natuurlijk weer als een recept voor gedoe. Want ik denk:
O ja, dus met artikel 89 in de hand kun je dus allerlei informatie
misschien weer misbruiken voor andere doeleinden.
Waarom niet gewoon aan die burger in kwestie
of aan de klant in kwestie vragen om inderdaad te lezen:
Vind je het oké als we deze gegevens uiteindelijk achteraf wederom gebruiken
om een onderzoek te doen? Dan kan iemand gewoon toestemming geven.
Want dit voelt voor mij een beetje, weet je wel, alsof er achter mijn rug om
met mijn gegevens alsnog een beetje gemarchandeerd wordt, weet je wel.
Zo voelt het een beetje. Waarom niet dat kruisje zetten
dat mensen bewust weten van 'nou' en mensen die dat niet willen gebruik je niet.
BEKENKAMP: Ja, en juist dat kruisje is natuurlijk ook onder de AVG
de toestemming en wat het lastiger maakt, bij vooral ook gewoon de overheidsorganen
is dat je heel vaak zit met die zogenaamde afhankelijkheidsrelatie.
Je bent afhankelijk en er bestaat dus die gezagsrelatie vaak.
Dus de overheid, die kan jou wat aanbieden of die moet jou iets verlenen.
Maar daartegenover staat dat jij dus gegevens moet leveren aan de overheid
en je ook van die overheid afhankelijk bent.
ROTMAN: Dus ik wil een subsidie van de overheid hebben
en dan voel ik me misschien wel verplicht om dan toestemming te geven
en dan voel ik me ook weer een beetje genaaid.
BEKENKAMP: Nou kijk, en daar zit nou precies die crux.
Eh, het is misschien...
Misschien voel je ook wel dat je dan genaaid wordt.
Alleen ja, je toestemming moet vrij zijn.
En op het moment dat jij een subsidieaanvraag indient
en vervolgens wordt er ook nog toestemming aan jou gevraagd
om bijvoorbeeld dan nog die gegevens verder te verwerken...
Ja, dat botert niet en dat botst dus met elkaar
omdat die toestemming dan niet vrij wordt gegeven in vrijheid.
Er is een afhankelijkheid. Jij krijgt die subsidie mogelijk als ie wordt toegekend.
Vervolgens geef je toestemming:
Ja, die gegevens mag je ook een keer verder gebruiken.
Terwijl het eigenlijk samenhangt al met de oorspronkelijke aanvraag.
Namelijk, je vraagt die subsidie aan.
Die wordt voor jou op individueel niveau toegekend of niet.
En vervolgens zou dus bijvoorbeeld de provincie of de gemeente
die gegevens kunnen gaan gebruiken,
verder kunnen gaan verwerken voor onderzoek naar:
Wat is nou het effect van die subsidieregeling?
Wat voor soorten aanvragen krijgen we nou bijvoorbeeld allemaal binnen
of van wat voor soorten partijen krijgen we die binnen?
En misschien is ook het uiteindelijke doeleinde van de subsidieregeling zelf
dus bijvoorbeeld ook de regeling of het beleid toe aan evaluatie of toepassing
op een andere manier omdat de tijd anders is geworden.
ROTMAN: En die artikel 89 voorziet erin,
die herkent zeg maar de gevoeligheden die er zijn bij de leverancier van die gegevens,
als burger of als klant.
En die zegt dan eigenlijk van: Nou, als je aan bepaalde voorwaarden voldoet
hoef je daar niet van tevoren om te vragen.
Wij garanderen dat dat inderdaad nog steeds met inachtneming van de privacy is
van de betrokkene en dan onder voorwaarden mag het.
Wat zijn dat dan voor voorwaarden dat de AVG zegt van: Oké, artikel 89?
Als je dit en dit en dit doet, dan mag het.
BEKENKAMP: Er zijn dus expliciet in de wet
een aantal voorbeelden en waarborgen eigenlijk beschreven.
In ieder geval is dat dus: Als het mogelijk is probeer in ieder geval
met anonieme gegevens dat onderzoek te verrichten.
ROTMAN: Het moet geanonimiseerd.
-Naar voorkeur altijd geanonimiseerd.
Alleen als dat dus niet kan, dus dat je je ruwe data
die je al hebt verkregen vanuit bijvoorbeeld die subsidieregeling en die aanvraag
dan moet je kijken of je ze misschien kunt pseudonimiseren
en daarbij ook altijd nog de voorwaarde:
in ieder geval altijd de beperking van dataminimalisatie.
Dus alleen die benodigde gegevens die je nodig hebt voor dat onderzoeksdoel.
ROTMAN: Op welke manier heb jij te maken
vanuit jouw professionele praktijk met artikel 89?
BEKENKAMP: Dat is echt op allerlei verschillende niveaus.
Vaak zie je dus... Ik ben zelf extern FG, dus functionaris gegevensbescherming
bij een gemeente dan wel bij een provincie.
En daar zie je dus dat eigenlijk ook vanuit beleidskwaliteitverbetering
beleidsonderzoek, beleidsevaluatie, er heel vaak behoefte is aan:
Hoe kunnen we met al die data inzichten krijgen
om bijvoorbeeld binnen een bepaalde regio, de woningvoorraad inzichtelijk te krijgen?
Ja, dan zie je vaak dat dus gewoon, zeg maar, wordt gevraagd om:
Wat zijn het aantal woningen? Wat voor soorten woningen hebben we daar?
Zijn dat vooral panden in bezit van bijvoorbeeld woningcorporaties
of zijn het juist particuliere eigenaren? Of zijn dat misschien beleggers?
En dan kan je op basis daarvan gaan kijken en een plan gaan maken
en ook je visie bijvoorbeeld, de woonvisie, gaan formuleren.
ROTMAN: Hoe gaat je woonvisie voor de komende tien, twintig jaar eruitzien?
BEKENKAMP: Of voor de komende vier jaar.
-Oké, oké, oké.
Artikel 89, die wordt eigenlijk heel vaak van stal gehaald.
Hij is eigenlijk alomtegenwoordig
want elke keer als er ergens beleid wordt gemaakt of ergens een wet komt
die moet ooit een keer geëvalueerd worden.
-Die moet een keer geëvalueerd worden.
Alleen is het even de vraag van: Hoe zet je het in?
Kijk, je kan met artikel 89 eigenlijk een heleboel kanten op.
Er bestaat niet alleen statistisch onderzoek
maar ook wetenschappelijk of historisch onderzoek.
En dat biedt juist de mogelijkheden
zolang je maar aan de waarborgen voldoet, zoals ook in dat artikel beschreven.
En belangrijk is wel dat je niet moet vergeten dat het niet alleen voor
alleen maar publieke taken toegepast kan worden
maar bijvoorbeeld ook voor commercieel statistisch onderzoek.
ROTMAN: Merk je als FG dat mensen denken van:
Lekker dat artikel 89 van stal halen.
Dat ze denken van: Mooi, kunnen we lekker onderzoek doen?
Kunnen we een heleboel informatie, al die gegevens lekker gaan gebruiken.
En dat jij als FG zegt: 'Ja jongens, oké, nee...
Je kan dat ding niet dus te pas en te onpas maar gaan inzetten
omdat jij zin hebt om met informatie aan de slag te gaan.'
Dat je ze moet terugfluiten met: Dit is niet de bedoeling.
BEKENKAMP: In die zin, dat niet. Alleen zie je wel dat ze natuurlijk tegenwoordig
veel gebruikmaken van allerlei applicaties
waar je bijvoorbeeld echt ook door middel van bijvoorbeeld
de Power BI tools van Microsoft waarbij je natuurlijk ook gewoon heel makkelijk
weer de resultaten kunt terug herleiden tot bijvoorbeeld individuele personen
terwijl eigenlijk het onderzoeksdoel wat je probeert inzichtelijk te krijgen
is niet, zeg maar, het op individueel niveau bekijken van: Wat is hier de trend?
Nee, het is juist op hoger geaggregeerd niveau het bekijken van:
Wat zijn nou de trends en ontwikkelingen? En op basis daarvan de inzichten krijgen.
Dus je moet daar wel goeie waarborgen treffen
dat je dus voorkomt dat iemand weer door middel van de techniek in kan zoomen
dus eigenlijk weer terug kan herleiden tot die individu.
ROTMAN: Kun jij een concreet voorbeeld geven
waarin heel duidelijk blijkt dat artikel 89 een beetje misbruikt wordt
of dat je echt zegt: Ja, jongens, hier gaat het fout.
Dit is niet waar hij voor bedoeld is, jongens.
BEKENKAMP: De manier waarop het vaak eigenlijk niet goed wordt toegepast
in de praktijk is dat je eigenlijk... Kijk, je begint feitelijk met:
Welke onderzoeksdata heb ik nodig voor dat doel?
De minimale gegevens die je nodig hebt om dat doel te bereiken.
Da's de eerste stap. Dat kan ook zijn dat je niet met anonieme data uit de voeten kunt.
Dat je misschien met gepseudonimiseerde data uit de voeten kunt.
Maar in ieder geval, de ruwe onderzoeksdata die je gaat gebruiken
die data zal je in ieder geval altijd na de analyse
ja, moeten parkeren, dan wel moeten verwijderen, dan wel moeten vernietigen.
In ieder geval op korte termijn.
Daar moet je ook in ieder geval al in bijvoorbeeld je onderzoeksvoorstel
een beschrijving van maken.
Wat belangrijk is vervolgens, is dat je dan als je gaat rapporteren
en vaak zie je dus dat het daar misgaat
Dus in het rapporteren van je onderzoeksresultaten
als je dus ook de resultaten wil gaan verder gebruiken
voor bijvoorbeeld beleidsverbetering, evaluatie
is dat je dan eigenlijk toch ziet dat er niet op voldoende geaggregeerd niveau
data inzichtelijk is.
ROTMAN: Help me even. Op geaggregeerd niveau data...
BEKENKAMP: Dat betekent eigenlijk dat het op bijvoorbeeld...
Denk eventjes bijvoorbeeld aan... Even een concreet voorbeeld.
ROTMAN: Graag.
-Het is een aantal jaar geleden.
Er werd een onderzoek gedaan naar de leefbaarheid binnen een gemeente.
Nou, dan is er allerlei data verzameld.
-Het gaat allemaal over mensen.
BEKENKAMP: Het gaat over mensen, bewoners.
Bijvoorbeeld ook: Wat voor nationaliteiten wonen er allemaal in die gemeenten?
ROTMAN: Dat is altijd tricky.
-Dan wordt het tricky.
En wat je dus zag, is dat het vervolgens in een kaartweergave werd gepresenteerd.
Alleen die techniek van de kaartweergave was...
Het was dus mogelijk om uit te zoomen op gemeenteniveau
en ook op basis van soorten nationaliteit. Maar het was vervolgens ook mogelijk
om weer in te zoomen op de specifieke nationaliteiten.
Dus bijvoorbeeld Iraakse nationaliteit.
En dat was in die gemeenten al beperkt tot een tiental.
En dan heb je eigenlijk al dat je eigenlijk gelet op de populatie
uiteindelijk te maken hebt met een tiental personen
op een gemeente van bijvoorbeeld dertigduizend inwoners.
Dan zou je al kunnen zeggen: Dan ga je al richting een indirecte herleidbaarheid.
ROTMAN: Oké. Dus hier heb je typisch 'n geval dat je met artikel 89 in de hand...
Je wil onderzoek doen of iets inzichtelijk maken...
En dan schieten ze het doel dus een beetje voorbij
omdat de mensen over wie het gaat uiteindelijk toch herleidbaar zijn.
BEKENKAMP: In dit geval ging 't nog verder
omdat je uiteindelijk ook nog kon in gaan zoomen op buurtniveau
en uiteindelijk in de kaartweergave bijna op postcode/adresniveau
dus kon aanwijzen waar de personen met die nationaliteit woonachtig waren.
ROTMAN: Merk je dat het in de praktijk vaak misgaat?
Ik merk aan mezelf dat ik het een lastige vind.
Er is dus een uitzondering. Ik snap dat het mag.
Dat je wetenschappelijk onderzoek kan doen.
Ik snap ook dat je je beleid moet evalueren.
Maar ik voel ook aan alles dat het een mogelijkheid is
om toch lekker met al die gegevens lekker zo'n slimme app te gaan maken
met slimme technologie AI erop te zetten en we dumpen al die gegevens er maar in.
We gaan ermee aan de slag. Dat kan, weet je wel.
Ik voel hier... Dit is natuurlijk allemaal... Er wordt gegraaid in die data.
Die ruimte geeft het voor mij ook een beetje.
Kan je die onvrede bij mij een beetje wegnemen?
Of is dit inderdaad wat er ook gebeurt? BEKENKAMP: Dit is wel inderdaad een zorg.
Ja, dus dat feitelijk in een soort van datawarehouse
alle data verzameld wordt door middel van big data science.
Er wordt gekeken en verzameld en er wordt gekeken van:
Goh, waar kunnen we wat uit plukken, uit dat datawarehouse?
En kunnen we dat misschien gebruiken voor dit betreffende onderzoek?
Eigenlijk moet je dus vooraf gaan bepalen: Wat wordt jouw onderzoeksdoel?
Feitelijk: Waarom moeten we dit onderzoek... Waarom moeten we die inzichten hebben?
Is dat bijvoorbeeld voor de evaluatie van een bepaald beleid of wat is de trend?
ROTMAN: De Raad, de Kamer wil het weten.
BEKENKAMP: Dat kan. Maar het kan ook gewoon zijn van:
Wij komen gewoon in deze gemeente of provincie tot bepaalde inzichten
dat wij op een andere manier de gemeentelijke belastingen
willen doorbelasten of een andere heffingsmaatstaf willen gaan toepassen.
Bijvoorbeeld in plaats van op basis van de WOZ-waarde
willen wij bijvoorbeeld op basis van waterverbruik als dat kan.
ROTMAN: Maar dan heb je wel die gegevens dus nodig.
BEKENKAMP: Dan heb je wel die gegevens nodig.
ROTMAN: Oké, het is tricky. Het is een hellend vlak.
Het is een beetje oppassen geblazen. Laten we wat concrete tips en tricks...
Oké, je bent een beleidsmaker.
Je werkt in een gemeente of je werkt in een organisatie
en je hebt het gevoel: Nu mag ik artikel 89 van stal halen.
Dat is een beetje... Daar zitten we nu.
Wat zijn nou... Wat doe je?
Er zijn een paar juridische verplichtingen, hè.
Die zei je net al. Dat gaat over de... Je moet het anonimiseren.
Als dat niet gaat, moet je pseudonimiseren en het mag dus niet herleidbaar zijn.
Dat zijn een beetje de wettelijke voorwaarden om dit te kunnen gaan doen.
Zo hè? Wat zijn nog meer de stappen, de concrete stappen, tips en tricks
die jij dan hebt voor mij als ik dit wil gaan doen?
BEKENKAMP: Op de eerste plaats... Ik zal altijd zeggen: Ondanks dat je...
In de wet wordt gezegd dat je je niet hoeft te verantwoorden
omdat het al automatisch verenigbaar wordt geacht.
Het is dus onderzoek gelet op het oorspronkelijke doel van de verwerking.
Leg het wel vast en start altijd met een soort van startnotitie
dat je kunt verantwoorden en uitleggen waarom je dat onderzoek gaat uitvoeren.
ROTMAN: En doe dat in heldere taal, zodat iedereen die zich een beetje bezwaard voelt
dat gewoon kan lezen en snapt.
BEKENKAMP: Dat is een andere stap, dat is een verdere uitwerking.
Ik weet niet of je dat nou ook echt als onderzoeker...
Het is wel een aspect om rekening mee te houden.
ROTMAN: Wees bereid je te verantwoorden en leg het vast.
Oké, dat is een mooie tip, los van de juridische voorwaarden, oké.
Heb je nog meer tips voor mij? Ik wil dat gaan doen, tips.
BEKENKAMP: Wat belangrijk is, is dat je altijd beschrijft
welke gegevens nou echt nodig zijn voor het onderzoeksdoel.
Dus dat je alleen maar die gegevens gebruikt.
Ook al haal je ze uit je datawarehouse voor dat doel wat je beoogt.
Dus voor de resultaten die je ook nodig hebt en de inzichten.
ROTMAN: Kijk, wees echt bereid om echt kritisch te kijken.
Is dit echt wat ik nodig heb
en ben ik niet per ongeluk toch allerlei andere informatie aan het gebruiken?
BEKENKAMP: Klopt. Ja.
En wat ook belangrijk is, is dat je dus gaat kijken ook naar:
Laat je het onderzoek uitvoeren door een andere partij?
Denk bijvoorbeeld een onderzoeksbureau.
Zorg er dan voor dat je de juiste afspraken daarmee maakt
door middel van een verwerkersovereenkomst.
ROTMAN: Oké, dus verwerkersovereenkomst.
BEKENKAMP: Met de aspecten die daarbij om de hoek...
ROTMAN: Daar komt een hoop bij kijken.
-Klopt.
ROTMAN: Daar gaan we een andere podcast over maken.
Dus blijf luisteren.
BEKENKAMP: En wat verder ook handig is, is dat je in ieder geval altijd
los van of je het nou laat uitvoeren door een onderzoeksbureau, ook zelf kijkt:
Welke systemen ga ik gebruiken om het onderzoek
welke applicatie gebruik ik om dat onderzoek mee uit te voeren?
Waar sla ik de gegevens op? Dus de onderzoeksresultaten op de eerste plaats
maar daarna is natuurlijk nog belangrijker, de ruwe data
of de bij voorkeur geanonimiseerde data waar je mee werkt.
ROTMAN: 'Waar sla je het op'? Welke servers, of welk land?
BEKENKAMP: Applicatie, nou ja, land ook.
In welke applicatie, dus daarbij ook samenhangend in welk land.
Bij voorkeur natuurlijk gewoon binnen de EU.
ROTMAN: Waar de AVG dus geldig is.
-Ja, waar de AVG dus geldig is.
En beoordeel dus ook nog eens een keer
wie toegang krijgt tot die onderzoeksdata.
En daarnaast ook nog eens kijken naar wanneer je de gegevens gaat verwijderen
dus de onderzoeksdata verwijdert.
En in de regel eigenlijk heb je die data niet meer nodig
nadat je de analyse hebt uitgevoerd.
ROTMAN: Oké, even resumerend en rondmaken.
Wat was ook weer jouw antwoord op die vraag over artikel 89?
Wat was ook alweer jouw slogan die je aan het begin van deze aflevering riep?
BEKENKAMP: Eerst denken, dan doen.
-Het klinkt als een waarschuwing.
Het is moeilijker dan je misschien denkt. Is dat een beetje wat je zegt?
'Kom op jongens, denk goed na, want het is allemaal niet zo makkelijk als het lijkt.'
BEKENKAMP: Klopt. Je moet eerst goed nadenken en beschrijven.
Nadenken wat je gaat doen met het onderzoek, wat je beoogt.
En de waarborgen in acht nemen zoals in artikel 89 staan beschreven
voor je het onderzoek uitvoert.
ROTMAN: Daarna ga je dat stappenplan volgen wat je net hebt beschreven.
BEKENKAMP: Belangrijk is wel dat, en een belangrijke ook:
Bij de rapportage altijd dus de resultaten als je die gaat presenteren
altijd op geaggregeerd niveau weergeven, dat het dus niet herleidbaar is.
Dat is heel belangrijk, ook gelet op de AVG.
Dat staat in overweging 50 van de AVG, dat het nooit gebruikt mag worden
om op individueel niveau eventuele maatregelen of besluiten te mogen nemen.
Dus statistisch onderzoek moet ook echt...
en dat de resultaten ervan ook echt gebruikt worden
alleen voor beleidsmatige doeleinden of om op andere manier inzicht te verkrijgen.
ROTMAN: Bas Bekenkamp, senior adviseur bij Privacy Company.
Dank je wel.
-Jij ook bedankt.
ROTMAN: Luister de andere afleveringen van Privacy in de Praktijk
Ga hiervoor naar cip-overheid.nl/uitgelicht.