Het wordt steeds complexer om vast te stellen of de Algemene Verordening Gegevensbescherming (AVG) van toepassing is op specifieke data. Dat komt vooral door technologische ontwikkelingen, zoals Big Data, Deep Learning en quantum computing en doordat overheidsinformatie beschikbaar is voor hergebruik.
Door deze ontwikkelingen wordt het makkelijker om persoonsgegevens af te leiden uit datasets die op het eerste gezicht geen persoonsgegevens lijken te bevatten. Of om anonieme datasets te de-anonimiseren. De juridische status van data is dus niet meer een kwestie van wel of geen persoonsgegevens. Door het delen en bewerken van data kan die status namelijk steeds wisselen, constateren onderzoekers van het Tilburg Institute for Law, Technology and Society. Zij onderzochten in opdracht van het WODC hoe wetgeving kan reageren op deze ontwikkelingen.
Als een dataset persoonsgegevens bevat dan geldt de AVG. Voor de verwerking van niet-persoonsgegevens heeft de EU andere regels vastgesteld, waarbij juist het vrije verkeer van gegevens belangrijk is. De juridische beoordeling of een dataset wel of geen persoonsgegevens bevat, betekent dus een verschil in regels die bijna 180 graden van elkaar afwijken.
Zowel de literatuur als de geraadpleegde experts wijzen allemaal in dezelfde toekomstrichting: anonimisering en juridische categorisering wordt steeds moeilijker en de status van gegevens zal steeds meer afhankelijk zijn van de inspanningen van de verwerkingsverantwoordelijke.
Bij de vraag hoe het wettelijk regime op deze ontwikkelingen kan reageren is vooral bepalend welk doel de wetgever nastreeft met het beschermen van persoonsgegevens. Is dat puur beschermen of juist kaders bieden om gegevens te kunnen verwerken? Moeten alleen individuele belangen worden beschermd of ook groeps- en maatschappelijke belangen? Is het idee van bescherming het best gediend door beperkingen, of kan er soms juist meer gegevensverwerking nodig zijn om de belangen van individuen en/of de samenleving zo goed mogelijk te dienen? Is het beter om een open en contextueel kader te maken voor het gebruiken van gegevens of zijn daarvoor strikte en duidelijke regels nodig?
De onderzoekers schetsen meerdere scenario’s waaruit vijf globale strategieën zijn af te leiden voor de toekomst, van een extra streng beschermingsregime tot een regime waarbij beschermingsvraagstukken steeds per situatie bekeken moeten worden.
