Onze brief aan het CBP

Onze brief aan het CBP
9 nov 2015 – Leestijd 8 min

Onze brief aan het CBP

Ellen Bijsterbosch

Hoi College Bescherming Persoonsgegevens, we bouwen een database van alle Nederlanders.

Steeds meer partijen verzamelen data over ons. Hoe we heten, waar we allemaal heen gaan, wat ons interesseert. Stukje bij beetje worden onze levens steeds transparanter voor overheden, bedrijven, criminelen, en alles daar tussenin. Om te onderzoeken hoeveel zorgen we ons moeten maken zijn we dit jaar een bijzonder kunstproject gestart: De Nationale Verjaardagskalender.

In een reeks hackathons gaan we aan de slag met het bouwen en scrapen van een verjaardagskalender waarin je kunt vinden wanneer Nederlanders jarig zijn, en in welke cadeautjes ze geïnteresseerd zouden kunnen zijn. Daar komt nogal wat bij kijken. Bijvoorbeeld het beveiligen van de server waar alle gegevens op staan en het opstellen van een protocol voor de deelnemers van de hackathons.

Om het echt netjes te doen hebben we ook het College Bescherming Persoonsgegevens (CBP) een tijdje geleden op de hoogte gesteld van wat we allemaal aan het doen zijn. Hieronder delen we met jullie de brief die we het CBP stuurden:

Geacht College,

Wij vinden net als u de bescherming van de privacy van Nederlandse burgers erg belangrijk. Via deze mail willen wij u op de hoogte stellen van ons privacy kunstproject ‘De Nationale Verjaardagskalender’. Met dit project willen wij grootschalige dataverzamelingen van bedrijven en overheden, de gevolgen van Big Data en profilering voor het brede Nederlandse publiek begrijpelijker en invoelbaar te maken. Hoe kunnen Nederlandse burgers beter ervaren wat er buiten hun weten met hun data gebeurt en welke gevolgen dit kan hebben dan met een persoonlijke verjaardagskalender?

Omdat dit kunstproject naar onze mening onder de uitzondering van artikel 3 van de Wet bescherming persoonsgegevens (Wbp) valt, zijn wij van mening dat geen voorafgaande melding aan uw college vereist is (artikel 27 Wbp) en evenmin een voorafgaand onderzoek nodig is (art. 31 Wbp). Aangezien wij ons project zo zorgvuldig mogelijk willen inrichten en uitvoeren willen wij u via deze weg op de hoogte stellen van het plaatsvinden van dit project.

Hieronder zullen wij kort toelichten wat het project inhoudt en waarom wij van mening zijn dat met ons project De Nationale Verjaardagskalender het door SETUP aangetrokken belang (namelijk het belang van de samenleving om zich meer bewust te worden van de mogelijke gevolgen van big data) zwaarder weegt dan de eventuele aantasting van de privacy van individuele burger.

Wij stellen ons tot doel om de burger op ludieke wijze te prikkelen om hem of haar kritisch te laten denken over hoe hij of zijzelf, maar vooral ook anderen, omgaan met de eigen persoonsgegevens. De Nationale Verjaardagskalender is een installatie bestaande uit een database met de namen, adressen en verjaardagen van Nederlanders en cadeausuggesties op basis van profiling-algoritmes. Met dit kunstproject kunnen burgers hun eigen verjaardagskalender inzien om zo daadwerkelijk te beleven en te begrijpen wat de mogelijkheden zijn van big data en profiling. Personen kunnen alléén hun eigen gegevens op de kalender bekijken. Wij willen het project uitvoeren in Nederlandse bibliotheken.

De noodzaak van ons project is in onze ogen dringend en actueel. Dit blijkt onder meer uit de nominaties voor de Big Brother Awards op 28 oktober jl. waarbij zowel vanuit de overheid een genomineerde is: de nieuwe sleepnetbevoegdheid van minister Plasterk waarmee crimineel gedrag voorspeld kan worden nog voordat dit gedrag heeft plaatsgevonden (voorgestelde de Wet op de inlichtingen- en veiligheidsdiensten) als bedrijven zoals verzekeraar Achmea die geld wil verdienen met het koppelen van gegevens van verzekerden aan Google Nest en TomTom om daarmee privégedrag te analyseren.

Wij willen ons project zo veilig mogelijk inrichten met goede beveiliging voor de verzamelde data door het inschakelen van een Security Officer en strenge voorwaarden voor het omgaan met de data door het inschakelen van een Data Protection Officer.

Om de privacy impact voor de Nederlandse burgers te beperken hebben wij een aantal maatregelen genomen die onder meer bestaan uit:

  • Wij maken alleen gebruik van gegevens uit openbare bronnen - zoals schoolbank.nl, accountantsregisters, websites van voetbalverenigingen.
  • Wij verzamelen alleen die gegevens die nodig zijn om De Nationale Verjaardagskalender te maken: niet meer dan dat, en uitdrukkelijk geen gevoelige of bijzondere persoonsgegevens of persoonsgegevens van kwetsbare groepen burgers.
  • Wij zorgen ervoor dat burgers altijd gebruik kunnen maken van een ‘opt-out’ mogelijkheid uit De Nationale Verjaardagskalender.
  • Wij doen ons uiterste best om te zorgen dat de verzamelde gegevens juist en up-to-date zijn.
  • Wij maken duidelijk waar de verzamelde gegevens vandaan komen.
  • Wij maken duidelijk waarop een profiel gebaseerd is en welk algoritme wordt toegepast.
  • Wij passen goede passende beveiligingsmaatregelen toe, zowel technisch als organisatorisch. Eén daarvan is dat de server waarop De Nationale Verjaardagskalender wordt opgeslagen niet verbonden is met het internet. Als u wilt kunt u ons beveiligingsbeleid inzien.
  • En nog vele andere maatregelen.

Wij willen benadrukken dat SETUP een stichting is met als missie: het stimuleren van een kritisch publiek dat vorm kan en durft te geven aan een nieuwe digitale cultuur. Met het kunstproject De Nationale Verjaardagskalender denken wij deze missie effectief vorm te geven.

Graag ontvangen wij van u een reactie,

Met vriendelijke groet,
Namens SETUP

Ellen Bijsterbosch

RE: De Nationale Verjaardagskalender

Geachte mevrouw Bijsterbosch,

In reactie op uw mail graag het volgende. Het CBP is zeer terughoudend in het doen van uitspraken over de rechtmatigheid van een verwerking zonder daar onderzoek naar te hebben gedaan. Dat geldt in dit geval dus ook, dus daarom alleen in volgende termen het volgende.

Als het gaat om een verwerking voor journalistieke of artistieke doeleinden zijn de artikelen die zien op melding bij het CBP en het aanvragen van een VO inderdaad niet van toepassing. Sowieso zou geen VO doorlopen hoeven worden alleen gegevens uit openbare bronnen worden verwerkt, en geen bijzondere of gevoelige persoonsgegevens. Dus als er geen BSN wordt verwerkt, geen strafrechtelijke gegevens en er is geen sprake van heimelijke waarneming.

Als dit inderdaad het geval is hoeft er niet gemeld te worden en hoeft er geen VO te worden doorlopen.

Ik hoop u hiermee voldoende geïnformeerd te hebben.

Met vriendelijke groet,
Udo Oelen

Lees meer over De Nationale Verjaardagskalender.