Big data is een grote belofte voor zowel commerciële partijen als voor de overheid. Groeiende winstmarges, grotere efficiëntie en een scherpte en volledigheid in de analyse die voorheen onvoorstelbaar waren, liggen onder handbereik. In het commerciële domein wordt volop geëxperimenteerd en gewerkt met big data analyses en overheid begint nu ook steeds meer aan te haken.
De ontwikkelingen binnen het domein van de veiligheid verdienen bijzondere aandacht. Inlichtingen- en veiligheidsdiensten werken met steeds grotere en diverse datasets om risico’s in kaart te brengen en preventief te handelen. Het kabinetsvoorstel voor de nieuwe WIV verruimt de mogelijkheden voor het verzamelen van bulkgegevens, waardoor big data-analyses definitief voet aan de grond kunnen krijgen. De Nederlandse politie verkent het fenomeen van predictive policing dat in de VS en het VK al verder ontwikkeld en in gebruik is. Een samenwerkingsverband als de infobox crimineel en onverklaarbaar vermogen (iCov) brengt financiële netwerken van (grootschalige) fraudeurs in kaart en klaart in enkele uren recherchewerk dat vroeger maanden in beslag nam. Binnen dit samenwerkingsverband dient zich nu de vraag aan of het proces van opsporing ook valt om te draaien. Is het niet ook mogelijk en wenselijk om potentiele fraudeurs te identificeren op basis van profielen, indicatoren en andere onverwachte correlaties die oplichten uit de data die met andere doelen toch al zijn verzameld?
Big data analyses zijn beloftevol en krachtig maar hebben ook gevolgen voor de fundamentele rechten en vrijheden van hen die aan de analyse onderworpen worden. Het vaak dwingende karakter van overheidshandelen maakt dat er voor de burger soms veel op het spel staat. Juist wanneer overheidsorganisaties digitale profilering voor veiligheidsdoeleinden gebruiken. De conclusies die binnen het veiligheidsdomein aan Big Data-analyses worden verbonden, kunnen voor burgers verregaande consequenties hebben. Het verschilt immers nogal of je door een reisaanbieder een verkeerde vliegbestemming krijgt aangeboden – een commerciële toepassing – of door een overheidsdienst op een no-fly list wordt geplaatst. Het gebruik van Big data-toepassingen door overheidsorganisaties vraagt om andere en zwaardere kaders dan het gebruik van profilering door het bedrijfsleven. Het zwaartepunt in de huidige juridische regelgeving ligt op de regulering van het verzamelen van data. De WRR pleit ervoor dat die bestaande wetgeving wordt aangevuld met de regulering van en het toezicht op de fases van de analyse en het gebruik van Big Data.
Kansen en risico’s
Big Data heeft voor specifieke vormen van criminaliteit (zoals fraude) al positieve resultaten laten zien, al ontbreekt in veel gevallen een betrouwbare onderbouwing en evaluatie van de effectiviteit van de gebruikte analysemethoden. De geautomatiseerde analyse van grote, gecombineerde gegevensbestanden levert grote tijdwinst op en kan – mits zorgvuldig uitgevoerd – ook in nauwkeurigere uitkomsten resulteren. Organisaties kunnen deze uitkomsten gebruiken om gerichte inspecties uit te voeren. Big Data is tevens nuttig bij de reconstructie van aanslagen en het in kaart brengen van criminele netwerken, met als doel de opsporing van daders te vergemakkelijken. Ook kan Big Data behulpzaam zijn bij het real time volgen van ontwikkelingen in crisissituaties of bij crowd control rond evenementen. Politiemensen en veiligheidsfunctionarissen kunnen dan snel een beeld krijgen van de situatie ter plaatse. Dit soort toepassingen zal in de nabije toekomst steeds belangrijker worden. We gaan toe naar steeds verdergaande koppelingen van databronnen. Ook zal het steeds aantrekkelijker worden om (ten minste een deel van) het analyseproces te automatiseren. De grens tussen data uit publieke en private bronnen zal vervagen.
Aan Big Data-toepassingen kleven echter ook risico’s. Een van de grootste zorgen is de grootschalige inmenging in de persoonlijke levenssfeer. De grootschalige verzameling, opslag en analyse van data door overheden, waaronder inlichtingen- en veiligheidsdiensten, kunnen ertoe leiden dat mensen het gevoel krijgen dat hun privacy en vrije meningsuiting in gevaar zijn, waardoor zij hun gedrag daarop aanpassen. Bovendien worden burgers steeds transparanter voor de overheid, terwijl de profielen, algoritmen en methoden die overheidsorganisaties gebruiken nauwelijks transparant of navolgbaar voor die burgers zijn. Nu met Big Datatoepassingen steeds grotere groepen burgers in beeld komen – naast verdachte ook niet-verdachte burgers – gaat dat gebrek aan transparantie steeds meer wringen. Daarnaast kunnen Big Data-toepassingen leiden tot een toename van sociale stratificatie, met een ongelijke verhouding tussen maatschappelijke groepen als gevolg. Dit gebeurt doordat Big Data onregelmatigheden en afwijkingen in datasets kunnen reproduceren, resulterend in uitkomsten die een onevenredige sociale impact hebben. Zonder correctie vertaalt zich dit op termijn in een cumulatief nadeel (discriminatie en oneerlijke behandeling) voor bepaalde groepen in de maatschappij. Ook zijn Big Data-toepassingen zeer gevoelig voor function creep, oftewel gebruik van gegevens anders dan voor het doel waarvoor de data zijn verzameld. De reden hiervan is dat het secundair gebruik van gegevens bij Big Data toepassingen een grote meerwaarde oplevert.
Mismatch tussen big data en de huidige wet- en regelgeving
Big Data omvat tenminste drie fasen van gegevensverwerking, waarvan de gegevensverzameling, de gegevensanalyse en het gebruik van die uitkomsten van die analyse de belangrijkste zijn (zie figuur hieronder). De juridische kaders die van toepassing zijn op de gegevensverwerking binnen het veiligheidsdomein zijn vooral gericht op het verzamelen en delen van gegevens. Door het gebruik van Big Data ontstaat echter druk op belangrijke uitgangspunten van deze kaders, zoals doelbinding en noodzakelijkheid. Want in zijn ideaalvorm is Big Data gebaseerd op het principe van ongerichte gegevensverzameling en secundair gebruik van reeds verzamelde gegevens voor andere doeleinden, hetgeen botst met de regelgevende kaders. De wettelijke normen voor het verzamelen van gegevens vereisen daarom aanvulling. Het verzwaren van het huidige kader – met de nadruk op het reguleren van verzamelen en de handhaving van doelbinding en noodzakelijkheid – zou echter een groot deel van de belofte van Big Data in de kiem smoren.
De WRR zet daarom in op een versterking van de regulering van de fases van de analyse en het gebruik van Big Data-processen. De bestaande en in ontwikkeling zijnde regulering voor het verzamelen van gegevens hebben desondanks ook in het Big Data-tijdperk onverminderd een belangrijke functie. De raad is echter van mening dat er meer winst te behalen valt in de latere fasen van Big Data-processen dan in een intensivering van de regulering van het verzamelen van data. Alleen door extra eisen te stellen aan het toepassen van Big Data-analyses kunnen burgers erop vertrouwen dat de overheid niet sluipenderwijs in hun persoonlijke vrijheid penetreert. Regulering van analyse en gebruik is volgens de raad een conditio sine qua non voor het niet zwaarder reguleren van het verzamelen van gegevens.
Regulering van data-analyse en -gebruik
Bij de regulering van de fase van de analyse van gegevens is sprake van een hiaat in de regelgeving. In Big Data-processen zijn de keuzes die in de analysefase worden gemaakt (algoritmen, categorisering, wegingsfactoren enz.) van eminent belang. Juist op dit vlak kunnen zich risico’s voordoen zoals discriminatie en te veel pretenderende gegevensanalyses. Op de achtergrond hiervan dreigen negatieve sociale effecten op persoonlijke vrijheden zoals de vrije meningsuiting, die een vitale rol spelen in de democratische rechtsstaat.
Er is daarom aanvullende normering nodig in de vorm van een wettelijk omschreven zorgplicht, met algemene vereisten voor de kwaliteit van de data en van de deugdelijkheid van de gehanteerde analysemethoden.
De gegevensverwerkende partijen moeten desgevraagd altijd duidelijk kunnen maken hoe zij tot bepaalde uitkomsten komen. Dat vereist al tijdens de analysefase externe aandacht. Big Data-projecten en -toepassingen in het veiligheidsdomein moeten onderwerp zijn van een externe review door de toezichthouder. Bij gebleken gebreken in de rapportage kan de toezichthouder de audits aanscherpen, opvoeren en in uiterste gevallen overlaten aan een onafhankelijke derde. Een belangrijke vereiste voor deze verscherpte vorm van toezicht is dat toezichthouders zoals de Autoriteit Persoonsgegevens en de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) hun technische en statistische capaciteit en expertise versterken.
Ook is het vanwege de potentiële impact van data-gedreven toepassingen in het veiligheidsdomein belangrijk om bij Big Dataprojecten vooraf een evaluatiemoment in te plannen. Grote dataverwerkingsprojecten binnen de overheid, vooral door de politie, inlichtingen- en veiligheidsdiensten, inspecties, de Belastingdienst en samenwerkingsorganen op het terrein van misdaad- en fraudebestrijding, moeten een horizon van 3 tot 5 jaar krijgen.
Bij het gebruik van de gegevensanalyses in Big Data-processen is de problematiek rond het samenstellen van profielen van belang. De kracht van Big Data-analyses ligt voornamelijk in algemene conclusies en structurele patronen. Bij de toepassing daarvan op concrete situaties en specifieke individuen bestaat altijd een mismatch, omdat een profiel zowel over- als onder-inclusief is. De WRR beveelt aan om het profileren strakker te reguleren door nadere regels over toelaatbare foutmarges te stellen, het verbod op geautomatiseerde besluitvorming door computers strikter te handhaven en alert te zijn op semiautomatische besluitvorming. De Nederlandse overheid zou in Europa een voortrekkersrol moeten nemen en ervoor moeten zorgdragen dat geautomatiseerde besluitvorming achterwege blijft. Hiertoe behoren in feite ook de situaties waarin formeel een mens het besluit neemt, maar deze de facto niet afwijkt van het digitale advies.
In het verlengde hiervan beveelt de WRR aan om juridisch te verankeren dat data-analyses en profielen niet kunnen leiden tot een feitelijke verlegging van de bewijslast. Dat speelt niet zozeer in het strafrecht – waar strikte regels voor bewijsvoering gelden – maar wel in verschillende vormen an surveillance, handhaving en fraudebestrijding.
Toezicht, transparantie en rechterlijke toetsing
De toegenomen mogelijkheden om data te verzamelen en te analyseren, vragen om een versteviging van het onafhankelijke toezicht. Het toezicht op gegevensverwerking laat tot nu toe veel te wensen over, zeker in het licht van de huidige snelle ontwikkelingen op het gebied van Big Data. Zowel de Autoriteit Persoonsgegevens als de CTIVD is onvoldoende toegerust voor de uitdagingen van het Big Data-tijdperk in termen van bevoegdheden, expertise en financiële middelen. Vele partijen, waaronder de CTIVD zelf, zijn van mening dat de voorgenomen uitbreiding van bevoegdheden van de MIVD en AIVD vraagt om een significante uitbreiding van de capaciteit en expertise van de toezichthouder op alle niveaus. Voor de parlementaire Commissie voor de Inlichtingen- en Veiligheidsdiensten, die nauwelijks eigen ondersteuning heeft, geldt dat wellicht nog sterker. Hoewel de bevoegdheden en middelen van de Autoriteit Persoonsgegevens als gevolg van de nieuwe Europese verordening gegevensbescherming zullen worden verstevigd, is het voornamelijk aan de nationale wetgever om de bijbehorende financiële middelen, bevoegdheden en capaciteiten toe te kennen. Hier is dus actie van de Nederlandse regering nodig.
Ook op het punt van de transparantie van de dataverwerkingsprocessen van de overheid is nog een wereld te winnen. De gegevensverwerking is in veel gevallen een black box. Individuen kunnen vaak niet weten dat over hen gegevens zijn verzameld en zullen dus niet zo snel hun informatierecht inroepen. Hoewel binnen het veiligheidsdomein geen volledige transparantie kan bestaan vanwege geheimhouding, is desalniettemin op verschillende niveaus een grotere mate van transparantie mogelijk. Veel relevante informatie over gegevensverwerking binnen samenwerkingsverbanden op het terrein van fraudebestrijding staat bijvoorbeeld in convenanten en besluiten vermeld, die weliswaar openbaar maar niet erg toegankelijk zijn. Ook is het wenselijk dat organisaties die met Big Data-toepassingen aan de slag gaan, een beleidsplan opstellen waarin zij vermelden welke methoden zij gebruiken, en wat de kosten en de beoogde resultaten zijn. De inlichtingen- en veiligheidsdiensten zouden meer werk kunnen maken van het achteraf inzichtelijk maken van de frequentie waarmee zij bepaalde toepassingen hebben gebruikt en voor welke doeleinden. De beschikbaarheid van dergelijke informatie kan een bijdrage leveren aan een grotere maatschappelijke aanvaardbaarheid van de inzet van Big Data-toepassingen in het veiligheidsdomein.
Veel grote dataverwerkingsprojecten overstijgen het individu in aard en omvang. Daarom is het belangrijk om, naast een inzet op toezicht en transparantie, ook de positie van ngo’s en burgerrechtenorganisaties in juridische procedures te versterken. Het is weliswaar primair de verantwoordelijkheid van de wetgevende macht en van het parlement in zijn controlerende functie, om wetgeving en beleid omtrent Big Data-toepassingen te toetsen. Maar burgers kunnen ook direct of via belangenorganisaties stem geven aan hun belang bij vrijheid en veiligheid. In de huidige situatie is het klachtrecht sterk verbonden aan individuele schade en zijn er zeer beperkte mogelijkheden voor collectieve procedures bij de rechter. Dit geeft de burger – en organisaties waarin burgers zich verenigen – te weinig mogelijkheden om besluitvorming op basis van Big Data-processen te bevragen zolang zij geen gezamenlijke persoonlijke benadeling kunnen aanvoeren. Het is dus belangrijk dat de rechter selectief zaken toelaat die recht doen aan collectieve zorgen en bijdragen aan de opbouw van jurisprudentie op dit belangrijke en relatief onontgonnen terrein.
Big data in een vrije en veilige samenleving
Het WRR rapport zet, zoals de titel al aangeeft, veiligheid als vrijheid naast elkaar en wijst op de plicht van de overheid om beide te beschermen in het Big data tijdperk, in plaats van deze waarden tegen elkaar af te zetten. Innovatie in de publieke sector, en meer specifiek in het domein van de veiligheid, moet binnen deze kaders plaatsvinden om geen Big Data-toepassingen te introduceren waar we later spijt van krijgen en om geen spijt te krijgen over toepassingen die we graag hadden willen zien, maar door het ontbreken van duidelijke regulatieve kaders hebben laten liggen.
Deze blogpost is gebaseerd op het rapport Big data in een vrije en veilige samenleving (https://www.wrr.nl/fileadmin/nl/publicaties/PDF-Rapporten/rapport_95_Big_Data_in_een_vrije_en_veilige_samenleving.pdf) van de Wetenschappelijke Raad voor het Regeringsbeleid. Het rapport werd op 28 april 2016 aangeboden aan Minister Ard van der Steur van Veiligheid en Justitie.
Dennis Broeders en Erik Schrijvers zijn lid van de projectgroep die het WRR rapport heeft opgesteld. Dennis Broeders is senior wetenschappelijk medewerker van de WRR en hoogleraar Technologie en Samenleving aan de Erasmus Universiteit Rotterdam. Erik Schrijvers is senior wetenschappelijk medewerker van de WRR.