Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: In het artikel Tanktoerisme in België neemt toe, maar Nederlanders niet massaal de grens over lees ik dat ABN Amro het transactieverkeer van klanten in de grensstreek (en verder schijnbaar) analyseert om te kijken hoe vaak mensen over de grens tanken en hoe vaak in Nederland. Hoe kan de bank onder de AVG en haar geheimhoudingsplicht rechtvaardigen dat zij deze analyses doet?
Antwoord: Wie in de privacyverklaring van de ABN Amro bank (pdf) duikt, zal met enig lezen een uitzondering vinden voor macro-economisch onderzoek zoals wat hier speelt:
Het Economisch Bureau van ABN AMRO doet onafhankelijk statistisch onderzoek op basis van geaggregeerde data naar o.a. macro-economische trends zoals groei van de Nederlandse industrie, consumptief gedrag of economische impact op klimaatverandering. Het Economisch Bureau van ABN AMRO werkt soms samen met universiteiten voor het doen van wetenschappelijk onderzoek.
Dit staat onder het kopje "Gerechtvaardigd belang van de bank of van anderen", wat erop wijst dat de bank dit onder artikel 6 lid 1 sub f AVG rechtvaardigt. Bij inroepen van die grondslag is geen aparte toestemming nodig, dus het is logisch dat die ook niet is gevraagd.
Bij hergebruik voor wetenschappelijke of statistische doeleinden moet je (artikel 89 AVG) wel de nodige waarborgen geven, zoals gegevensminimalisatie. In de praktijk komt dat neer op "maak ze zo snel mogelijk écht anoniem, het liefst door te aggregeren naar groepjes van 10 of meer mensen". Het onderliggende rapport van dat Economisch Bureau geeft expliciet dat aan: "bekijken wij met behulp van geanonimiseerde en geaggregeerde transactiedata de brandstof-uitgaven van huishoudens in de grensregio."
Mijn reconstructie is dus: eerst werd een grens getrokken van wat "grensregio" is. Alle transacties van rekeninghouders wonend in die regio worden gefilterd op de categorie 'brandstof'. Daarbij is gegroepeerd op wegafstand van de grens, zo te lezen per 5 kilometer. Daarbij kun je eigenlijk direct de identificerende gegevens zoals naam of IBAN weggooien, en dan kan daarna van profileren of iets dergelijks geen sprake meer zijn.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
