Als een dataset persoonsgegevens bevat dan geldt de Algemene Verordening Gegevensbescherming (AVG): strenge Europese regels over wat er wel en niet mag bij de verwerking van gegevens die over personen gaan. Voor de verwerking van niet-persoonsgegevens heeft de EU andere regels vastgesteld, waarbij juist het vrije verkeer van die gegevens belangrijk is. De juridische beoordeling of een dataset wel of geen persoonsgegevens bevat, betekent dus een verschil in regels die bijna 180 graden van elkaar afwijken.

Juridische status kan steeds wisselen

Het onderzoek laat zien dat de vaststelling of de AVG van toepassing is steeds complexer wordt. Dat komt vooral door technologische ontwikkelingen, die voor steeds meer mensen bereikbaar en bruikbaar zijn, zoals Big Data, deep learning en quantum computing (krachtige en intelligente computers die heel snel informatie kunnen verwerken). En door de brede wens om overheidsinformatie beschikbaar te stellen voor hergebruik (open data). Door deze ontwikkelingen wordt het steeds makkelijker om persoonsgegevens af te leiden uit datasets die op het eerste gezicht geen persoonsgegevens lijken te bevatten. Of om anonieme datasets te de-anonimiseren. De juridische status van data is dus niet meer een kwestie van wel of geen persoonsgegevens. Door het delen en bewerken van data kan die status namelijk steeds wisselen.

Meerdere scenario’s mogelijk voor wettelijk regime

Zowel de literatuur als de geraadpleegde experts wijzen allemaal in dezelfde toekomstrichting: anonimisering en juridische categorisering wordt steeds moeilijker en de status van gegevens zal steeds meer afhankelijk zijn van de inspanningen van de verwerkingsverantwoordelijke. Bij de vraag hoe het wettelijk regime op deze ontwikkelingen kan reageren is vooral bepalend welk doel de wetgever nastreeft met het beschermen van persoonsgegevens. Is dat puur beschermen of juist kaders bieden om gegevens te kunnen verwerken? Moeten alleen individuele belangen worden beschermd of ook groeps- en maatschappelijke belangen? Is het idee van bescherming het best gediend door beperkingen, of kan er soms juist meer gegevensverwerking nodig zijn om de belangen van individuen en/of de samenleving zo goed mogelijk te dienen? Is het beter om een open en contextueel kader te maken voor het gebruiken van gegevens of zijn daarvoor strikte en duidelijke regels nodig? De onderzoekers schetsen meerdere scenario’s waaruit vijf globale strategieën zijn af te leiden voor de toekomst, van een extra streng beschermingsregime tot een regime waarbij beschermingsvraagstukken steeds per situatie bekeken moeten worden.