De invloed van (technische) ontwikkelingen op het begrip persoonsgegevens in relatie tot de AVG

Abstract

De Algemene Verordening Gegevensbescherming (AVG) is misschien wel het belangrijkste kader voor het digitale domein in Europa en daarbuiten. De AVG stelt regels aan- en bevat normen voor de verwerking van gegevens, legt verplichtingen vast voor personen en organisaties die gegevens verwerken (verwerkingsverantwoordelijken) en kent rechten toe aan personen van wie gegevens worden verwerkt (betrokkenen). Hoewel pas in 2016 aangenomen, stammen de regels in essentie uit de jaren 70 van de vorige eeuw. Doorslaggevend voor de toepassing van het gegevensbeschermingskader was toen, en is vandaag de dag nog steeds, of de gegevens die worden verwerkt informatie van een identificeerbaar individu (natuurlijke persoon) betreffen. Hoewel een dergelijke vaststelling in de jaren 70 van de vorige eeuw relatief eenvoudig was, is die in de loop van de tijd steeds complexer geworden, vooral in het licht van technologische ontwikkelingen, de algemene toegankelijkheid van technologieën en het streven naar meer open data. Deze ontwikkelingen hebben tot gevolg dat het steeds makkelijker is om persoonsgegevens af te leiden uit datasets die dergelijke gegevens op het eerste gezicht niet lijken te bevatten. Ze hebben ook tot gevolg dat de juridische status van data steeds meer fluïde wordt: doordat data worden gedeeld tussen partijen en de verwerkingen van datasets aanzienlijk verschillen, kan dezelfde dataset het ene moment worden gekwalificeerd als persoonsgegevens en het andere moment niet, of als persoonsgegevens in handen van partij A maar tegelijkertijd als geen persoonsgegevens in handen van partij B. Tegen deze achtergrond is de onderzoeksvraag voor dit onderzoek: Welk effect hebben huidige en toekomstige technische ontwikkelingen op het gebied van anonimisering, pseudonimisering, aggregatie en identificatie van gegevens, op het gegevensbeschermingskader en de bescherming van de verschillende soorten gegevens? INHOUD Juridische categorieën en de elementen daarvan Juridisch regime: de categorale en de contextuele benadering De impact van de beschikbaarheid van data en datatechnologieën op de wettelijke regulering van data De impact van huidige en toekomstige datatechnologieën op de juridische categorieën De kloof tussen het wettelijke regime en de technologische realiteit Reguleringsalternatieven gevonden in wet en literatuur Reguleringsdoelstelling van de gegevensbeschermingsregeling Gevaren van over- en onderregulering Hoe zullen de huidige en toekomstige technische ontwikkelingen de komende periode van invloed zijn op de AVG en rechtsbescherming in brede zin? Antwoorden op de onderzoeksvragen

The General Data Protection Regulation (GDPR) is one of, if perhaps the most important framework for the digital domain in Europe and beyond. It sets rules and standards for the processing of data, lays down obligations for persons and organisations processing data (data controllers) and grants rights to individuals whose data are processed (data subjects). Although adopted in 2016, its origins trace back to the 1970s. The decisive element for the application of the data protection framework was and remains whether the data being processed concern information about an individual (natural person). Although this determination was relatively easy to make in the 1970s, it has become increasingly difficult over time, especially in light of technological developments, the general availability of technology and the push towards open data. These phenomena have meant that it is increasingly possible to derive or infer personal data from datasets that, prima facie, seem to contain no data of this kind. In turn, this has also meant that the legal status of data is increasingly volatile: since data are shared between parties and the operations performed on datasets differ substantially, a single dataset may be considered to contain personal data for one second and no personal data for the next, or as containing personal data in the hands of party A but no personal data in the hands of party B at the same moment. Against this background, the research question for this study is: What effect do current and future technical developments have on the data protection framework and the protection afforded to the different types of data with respect to the anonymisation, pseudonymisation, aggregation and identification of data?