Op 6 september 2018 vond de ‘SMART CITY DATA AND PRIVACY’ masterclass plaats in Elsene, Brussel. V-ICT-OR was van de partij en deelt graag zijn bevindingen.
De masterclass had een breed doelpubliek: geïnteresseerden, specialisten, mensen die actief betrokken zijn bij smart cities, hogescholen, universiteiten, innoverende organisaties, enz. Kortom, iedereen met enige interesse in of connectie met smart-city projecten. De masterclass focuste specifiek op persoonsgegevensbescherming en, bij uitbreiding, privacy in het kader van smart city-projecten. De dag bestond uit 3 discussies. Per spreker vind je hieronder de belangrijkste punten terug. Hier even de sprekers opgelijst:
- Nils Walravens en Rob Heymans: smart-city onderzoekers voor VUB en Imec-SMIT
- Bart Rosseau: Head of Data and Information voor stad Gent
- Bart van den Brande: Managing Partner bij Sirius Legal
1ste discussie: Nils Walravens en Rob Heymans (Hoe open data en privacyoverwegingen van bij het begin in je smart-city project incalculeren?)
Als je werkt aan smart cities wil je natuurlijk rekening houden met de privacy van de betrokkenen van wie je de persoonsgegevens verzamelt. Maar hoe begin je daaraan? En wat houdt dat dan in voor een smart city-kader?
Eerst moet er bepaald worden of je werkt met open data of met persoonsgegevens. Als je werkt met open data is er geen probleem; de data is immers voor iedereen beschikbaar. De verwerking van persoonsgegevens (lees: de verzameling ervan, het opslaan ervan, enz.) daarentegen vereisen bijkomende stappen in je project die de data van betrokkenen veiligstellen. Aangezien smart city-projecten aan het begin meestal nogal vaag zijn, is het moeilijk op dat punt te bepalen om welk type data het gaat. Nils en Rob stellen daarom 2 methodes voor om deze vraag te beantwoorden:
1) Voer een algemene, beperkte DPIA uit
De DPIA of data protection impact assessment stelt een projectmedewerker in staat om bij het begin van het project te bepalen of een verwerking van data al dan niet risicovol is. Omdat er aan het begin van deze projecten niet altijd vaststaat hoe de data zal gebruikt worden, volstaat het om een beperkte DPIA uit te voeren die eerder algemene vragen stelt zoals:
- Welk type data vraag je op? (bv. adresgegevens, ontleengedrag klant in bib, bewegingen voorbijgangers straat)
- Welk pad volgt de data?
- Waar komt de data vandaan?
Momenteel komt de DPIA, samen met de andere stappen die GDPR-compliance verzekeren, helemaal aan het einde van het project, terwijl dit net een van de eerste stappen zou moeten zijn.
2) Gebruik een ‘boundary object’ om je smart city-project in grote lijnen uit te leggen aan een compliance expert
Een compliance expert ziet zaken die een projectmedewerker doorgaans ziet. Het probleem situeert zich hier vooral ter hoogte van de communicatie: hoe leg je kort en bondig een – vaak complex – smart city-project uit aan deze expert? Antwoord: maak gebruik van een ‘boundary object’. Een boundary object is een object dat iets complex op een simplistische manier voorstelt. Een voorbeeld is een post-it: je kunt een idee kort beschrijven op een post-it en zal zo wel de kern van de zaak overbrengen, wat meestal voldoende is om iemand tot de nodige inzichten te doen komen en, daarmee samenhangend, te laten bepalen welke risico’s aan het project vasthangen. Net die beperkte ruimte voor communicatie (een post-it is immers klein) pusht de projectmedewerker om het project in grote lijnen en to-the-point uit te leggen, zonder al te veel in detail te hoeven treden.
Nils en Rob werken hard aan een open data charter, een soort manifest met 20 richtlijnen die smart city-medewerkers kunnen volgen om verantwoord met open data om te gaan. Het bevat strategische en technische principes, informatie zoals de types open standaarden die je kunt gebruiken en hoe je ze gebruikt, en standaardclausules voor aankopen van oplossingen. Dit charter zal binnenkort voor iedereen beschikbaar zijn.
2de discussie: Bart Rosseau (use cases m.b.t. privacy in smart cities)
Rekening houden met privacy is niet altijd vanzelfsprekend. Bart illustreert dit aan de hand van het voorbeeld van Klokke Roeland. Kris Martin, kunstenaar, had een project opgezet waarbij er van 25 januari tot 6 mei 2018 boven de klok telkens de naam van een Gentenaar zou verschijnen en een zachte klokslag zou klinken. De DPO van Gent bestempelde dit echter als een inbreuk van de privacy van betrokkenen. Daarom werd de toestemming gevraagd van de Gentenaren om hun naam te projecteren in het kader van het project. Resultaat: enkele duizenden Gentenaren gingen akkoord. Waarmee de opzet een stuk kleiner werd, maar de persoonsgegevensbescherming terug gegarandeerd is. Conclusie: het ongeluk zit in een klein hoekje. Ga altijd na op welke manier persoonsgegevensbescherming een rol kan spelen in je project.
Het is belangrijk dat we beseffen dat privacy (persoonlijke levenssfeer betrokkene) niet hetzelfde is als GDPR (verwerking van persoonsgegevens). De tweede term heeft een veel enger betekenisveld.
Smart cities verwerken steeds op grote schaal gegevens van burgers (buiten beschouwing gelaten of het al dan niet persoonsgegevens betreft). Communiceer voor alle zekerheid rond je data: hoe het verzameld wordt, met welk doel… Dit kan bv. in een openbare privacyverklaring. Die kun je op je website of op een andere openbare plaats ter beschikking stellen van de betrokkene. Als je persoonsgegevens verzamelt, zorg er dan voor dat je toestemming krijgt van de betrokkene. Wanneer persoonsgegevens verzameld zijn voor één doeleinde, en je wilt die info hergebruiken voor een ander doeleinde, zamel dan altijd opnieuw toestemming in bij de betrokkene voor dat nieuwe doel. Deze rechtsgrond is nog altijd de veiligste.
De uitdaging vandaag: de belangen afwegen van het inzamelen van grote hoeveelheden data (met potentiële voordelen voor het lokaal bestuur) tegen het risico van een schending van de privacy van betrokkenen. Enkele use cases werden opgezet om het een en het ander uit te proberen. Via sensoren en trackers werd er een heleboel data verzameld (deze werken met Wi-Fi en Bluetooth, afhankelijk van het type).
Use case 1: Museum of things for people in Gent. Via beacon trackers worden bezoekers gevolgd om na te gaan van waar iemand komt, waar iemand blijft stilstaan, welk pad hij kiest. Bij winkels kan dit ook worden gebruikt. Maar hoe ga je na of iemand wil getrackt worden? Hoe vraag je toestemming op hiervoor?
Use case 2: bibliotheek De Krook in Gent. Hier wordt nagegaan wanneer iemand de bib bezoekt, waar die persoon specifiek blijft stilstaan, welk materiaal iemand ontleent. Dankzij de sensoren kun je ook ‘wayfinding’ gebruiken in de bib: je vraagt bv. ‘show me the way to the children books’ en een app toont je de weg. Het idee was om op basis van de uitleengeschiedenis bezoekers aanbevelingen te geven. Maar als je leden bibliotheek, lijst van materiaal en ontleend materiaal naast elkaar zou leggen, dan zou je een individu uniek kunnen identificeren (m.a.w. we spreken over persoonsgegevens). De AVG/GDPR staat dus het experiment in de weg en beschermt de privacy van de betrokkene.
Conclusies: communicatie naar de betrokkene toe is essentieel. Experimenten hebben grenzen door de AVG/GDPR (vanaf het punt waar we kunnen spreken over persoonsgegevens blokt de AVG/GDPR het experiment af). Vraag voor alle veiligheid als smart city-medewerker toestemming aan bij betrokkene (bv. bij inschrijving bib, naar aanleiding van bezoek…). Verschillende betrokkenen hebben verschillende voorkeuren: de ene zullen toestemming geven, de anderen niet. Zorg dus voor een flexibel monitoringsysteem dat hiermee rekening kan houden. Belangrijk om te onthouden is dat GDPR niet restrictief werkt, niet zegt dat je dingen niet mag doen met data, maar wel bepaalt hoe je verantwoordelijk omspringt met persoonsgegevens. Bart roept op tot meer experimenten met smart city-concepten.
3de discussie: Bart van den Brande (smart cities in de legale context van de AVG/GDPR)
Op dit punt gaan we dieper in op de wetgeving. Hoe kunnen we smart cities legaal positioneren t.o.v. de AVG? Hoe zorgen we dat de uitwerking van het project conform deze wetgeving is opgebouwd?
Maak vooreerst het onderscheid tussen persoonsgegevensbescherming en bescherming van privacy. Bv. gezichten filmen heeft te maken met privacy (gezichtsherkenning). Pas als je die data gaat opslaan of op een andere manier gaat verwerken spreek je van persoonsgegevensbescherming.
Bij smart cities werk je met ‘big data’ of ‘aggregate data’: een grote hoeveelheid data, waarvan slechts een klein deeltje als persoonsgegevens kan gezien worden. Er hangt wel een risico vast aan big data, nl. retroactieve de-pseudonomisering: als je verschillende datalijsten gaat combineren met de grote hoeveelheid gecapteerde data, dan heb je nog altijd genoeg data om iemand uniek te identificeren en dus persoonsgegevens te verzamelen. Vaak wordt er zoveel data verzameld dat men niet alles kan gebruiken. Zo had ING veel ongebruikte data liggen en besloot het die data aan derden te verkopen omdat het dan iets opleverde. Let er in dat geval zeker op dat er geen persoonsgegevens lukraak worden doorgegeven, want in dat geval is een datalek nooit veraf. Ook kan in voorkomend geval de data voor commerciële doeleinden gebruikt worden zonder medeweten van de betrokkene.
Daarnaast is het belangrijk dat we inzien dat wetgeving meestal achter de feiten aan loopt. Bv. blockchain ó gdpr: spanningsveld. Zo gaat het ‘recht op vergetelheid’ (wissen van persoonsgegevens) niet op voor blockchain, waar elke transactie online opgeslagen staat. Tegelijkertijd deelt blockchain een aantal ideeën met GDPR, zoals de decentralisatie van de controle van data, zodat service providers minder macht in handen hebben. Een legaal debat ligt in het verschiet. Je zou kunnen stellen dat blockchain in de gdpr had moeten verwerkt zitten, maar wie weet komen er wel bijkomende wetten aan die beide concepten beter positioneren t.o.v. elkaar.
Hou bij de uitwerking van smart city-projecten altijd de basisprincipes GDPR in het achterhoofd:
- Transparantie (transparancy): communiceer duidelijk naar de betrokkene wat je doet met zijn persoonsgegevens: hoe je ze verzamelt, hoe je ze verwerkt, met welk doel…
- Finaliteit (purpose limitation): voor welk specifiek, expliciet en legitiem doeleinde wordt de data verzameld? Met welk doel ga je de data inzetten? Verzamel data slechts zo lang als
- Proportionaliteit (data minimization): verzamel data slechts in zoverre dat het het doel ondersteund waarvoor het wordt gebruikt.
Hou daarnaast ook rekening met de principes van informatieveiligheid:
- Toerekenbaarheid (accountability): je moet kunnen verantwoorden wat je doet met persoonsgegevens, en dat je van jouw kant de nodige voorzorgen hebt genomen. Kom hieraan tegemoet via de DPIA (data privacy impact assessment). Hoewel deze vandaag vaak erg technisch is, is het een goed idee om toekomstgericht te werken met een meer algemene, misschien zelfs filosofische/ethische DPIA. Die kan een antwoord geven op vragen als: wat is onze visie op persoonsgegevens, hoe zijn we van plan ermee om te gaan in de toekomst?
- Beschikbaarheid (availablility): zorg ervoor dat de data beschikbaar is op afgesproken momenten en hou rekening met uitvalstijden, storingen en incidenten.
- Integriteit (integrity): de informatie moet actueel en correct zijn.
- Vertrouwelijkheid of exclusiviteit (confidentiality): de data is afgeschermd van de ogen van externen. Alleen de mensen die de autoriteit hebben de data in te zien kunnen de data ook effectief zien. Dit houdt in dat data niet kan lekken.
Er duikt onmiddellijk al een probleem op bij proportionaliteit: dit vereist een vorm van zelfregulering die we doorgaans niet hebben. De reflex, en zeker in het geval van big data, is om zoveel mogelijk gegevens te verzamelen. Die gedachtegang is direct tegengesteld aan de opzet van de AVG, die stelt dat je gegevens slechts mag verzamelen in zoverre ze toereikend zijn voor een bepaald doel.
Ook transparantie is een grote uitdaging in het kader van smart cities. Je moet duidelijk maken aan betrokkenen hoe je hun gegevens verzamelt en wat je ermee doet. In het beste geval geef je ook aan hoe je hun data beveiligt. Bij smart city-projecten worden privacyverklaringen vaak over het hoofd gezien, en als ze worden opgesteld zijn ze meestal heel lang (ze bevatten immers alle types data die worden verzameld, en alle doeleinden waarvoor ze verzameld worden). Hoe kun je er dan nog zeker van zijn dat mensen effectief je verklaring lezen en geïnteresseerd blijven? Doe hiervoor een beroep op reclamebureaus. Zij kunnen aan de hand van visuele elementen zoals pictogrammen of een aangepaste lay-out de lezers helpen om een beter begrip te krijgen van deze concepten. Coolblue heeft bijvoorbeeld een privacyverklaring die heel vlot leest. Idealiter werk je 2 types privacyverklaringen uit: één die makkelijk te begrijpen taalgebruik bevat (zodat ook kinderen dit begrijpen), en een tweede die meer technische, gedetailleerde informatie bevat voor de geïnteresseerden.
Steden als Singapore gaan zo ver dat ze bepaalde smart city-technologieën verplicht maken voor burgers. Zo moeten auto’s in Singapore een GPS hebben om files te voorkomen, worden snelheidsovertredingen on the go beboet en worden parkeerboetes automatisch verdeeld. De spreker kan zich inbeelden dat je binnenkort push-notificaties krijgt wanneer je een stad binnengaat. Er is echter een probleem i.v.m. persoonsgegevens: de stad moet met smartphones connecteren om die push-berichten over te brengen en dit vormt op zich een vorm van dataverwerking… Het is in dat geval niet altijd nodig om een opt-in te voorzien (bv. in het geval dat er een andere rechtsgrond dan toestemming wordt aangewend), maar zorg ervoor dat de betrokkene ALTIJD geïnformeerd is over wat er met zijn persoonsgegevens gebeurt, bv. via een privacyverklaring. Als je gebruikgemaakt van opt-in, zorg er dan ook altijd voor dat er mogelijkheid is voor opt-out. De overheid kan naast toestemming ook ‘algemeen belang’ of ‘wettelijke verplichting’ hanteren als rechtsgronden. Er moet steeds een afweging gebeuren tussen persoonsgegevensbescherming VS de verzameling van grote hoeveelheden data via Bluetooth of Wi-Fi (waar lokale besturen veel voordelen uit kunnen halen).
Tegenwoordig kunnen programma’s via ‘machine-learning’ data over je verzamelen en geautomatiseerd beslissingen maken voor jou, bv. of je al dan niet een auto kunt kopen. Maar als de betrokkene niet geïnformeerd is over dit gebruik van zijn data, dan mag een machine-learning programma niet zomaar data over je verzamelen, en al helemaal niet zo’n beslissing voor jou maken. Het recht op verzet tegen geautomatiseerde beslissingen (een recht van betrokkene onder de GDPR) komt hieraan tegemoet.
Als je werkt met externe partners waarvan de data opgeslagen zit op een locatie buiten de EU, of als hij een niet-Europese subverwerker onder zich heeft, dan moet je extra beveiligingsmaatregelen inbouwen voor de bescherming van persoonsgegevens. De GDPR is dan immers niet meer van toepassing. Je hebt sneller te maken met niet-Europese opslag van data dan je denkt.
Als je aan onderzoek doet, geeft de GDPR bijzondere rechten mee. Mag je dan zomaar meer onder de GDPR dan iemand anders? De AVG/GDPR licht niet toe wat research precies is. Het korte antwoord: nee, je mag niet zomaar vanalles doen omdat je met onderzoek bezig bent. Denk altijd na over volgende vraag: kan ik rechtvaardigen wat ik nu aan het doen bent? (verantwoordingsplicht) Werken met persoonsgegevens op basis van wettelijke regel/algemeen belang is soms tricky of ronduit gevaarlijk: je moet belangen afwegen en in de toekomst kan blijken dat je afweging incorrect was… De wet en taken zijn ook onderhevig aan veranderingen, neem dat mee in je afweging. Toestemming vragen is nog altijd de veiligste weg om met persoonsgegevens te werken (maar is moeilijker en tijdsintensiever). Als deelnemerslijst van deze masterclass is bijgehouden, dan mogen de onderzoekers deze niet zomaar hergebruiken voor bv. de uitnodiging van een feest. Ze moeten opnieuw toestemming vragen om die info met het nieuwe doel voor ogen te gebruiken.
Teken alleen contracten met verwerkers die een voldoende hoog niveau bieden van persoonsgegevensbescherming. Vele verwerkers weigeren nu om contracten te tekenen bv. Omdat ze zichzelf beschouwen als verwerkingsverantwoordelijken (eigenaars van de data), maar dat is daarom nog niet zo. Voorbeelden zijn tour operators, verzekeringsmaatschappijen, notariaten… Momenteel is er hierrond een debat aan de gang.
De Gegevensbeschermingsautoriteit heeft een heel complex sjabloon verwerkingsregister ter beschikking gesteld dat eigenlijk veel moeilijker is dan het hoeft te zijn. Maak bij voorkeur je eigen model.
Wat kunnen we bestempelen als ‘afdoende’ beveiliging? GDPR vertelt je niet hoe hoog je beveiliging moet zijn om van een voldoende hoog beveiligingsniveau te mogen spreken. Maak dit voor jezelf uit, je moet jezelf in de toekomst kunnen verantwoorden in geval van privacy-inbreuk: welke barrières waren opgezet om databescherming te verzekeren? Zorg er bv. voor dat je wachtwoorden verandert nadat iemand het bedrijf/de organisatie verlaat. Anders laten mensen berichten na, passen ze data in databases aan…
Zorg er ook steeds voor dat de mensen binnen je organisatie zich aan de limieten van telewerken houden. Maak hier afspraken rond. De spreker geeft het vb. van een hacker die via een keylogger (installatie videospel op werklaptop moeder) mailchimp kon openen nadat het wachtwoord werd ingegeven door een gebruiker. Hij zond via mailchimp vervolgens volgende boodschap: ‘Wij zijn organisatie x, we bereiden ons voor op de gdpr en hebben alle nodige data van u verzameld, behalve de kredietkaartdetails. Kunt u ons deze bezorgen?’ Er zijn effectief mensen die hierop geantwoord hebben… Het gevaar schuilt in een klein hoekje.
Iedereen schenkt veel aandacht aan de technische details van persoonsgegevensbescherming, terwijl de organisatorische details vaak vergeten worden (uitspraken zoals ‘de sleutel hangt toch daar, dat weet iedereen’ of ondoordachte antwoorden zijn ook van belang voor persoonsgegevens).
Als datahacking gebeurt binnen een smart city-context, dan kunnen de gevolgen uiterst ver reiken: verkeersreguleringssystemen kunnen worden aangepast, wat een gevaar betekent voor burgers…
Vind voor alle dataverwerkingen de nodige rechtsgronden. Er zijn er 6 in totaal. Toestemming is er 1 van. Vitaal belang is bv. relevant in smart city-concept (iemand raakt gewond door een verkeersongeval). Gerechtvaardigd belang: momenteel is er een discussie gaande over wat bedoeld wordt. Wanneer gaat ‘toestemming’ onmogelijk worden en moeten we ons als publieke autoriteiten beroepen op ‘wettelijke grond’? Er is een sliding scale, we moeten verschillende opties afwegen. Er is veel speling op het vlak van publieke belangen (algemeen belang) en wettelijke bepalingen als rechtsgronden. Toestemming blijft de veiligste optie, zeker naar de toekomst toe als blijkt dat je afweging van de mogelijke rechtsgronden incorrect gebeurde. Een volledige DPIA, niet alleen wanneer die verplicht is, kan dit soort fouten in de toekomst vermijden.