nieuws

Advocaat waarschuwt: slimme gebouwen leveren privacy-probleem op

utiliteitsbouw Premium 823

Advocaat waarschuwt: slimme gebouwen leveren privacy-probleem op

Gebouwen worden steeds vaker verzamelaars van informatie over gebruik, temperatuur, toegang en staat van onderhoud. Datadiensten zien zelfs brood in het verwerken en verkopen van deze Big Data. Maar wordt er wel nagedacht over de gevolgen van het verzamelen van privacygevoelige informatie door ontwikkelaars en bouwers? Veel te weinig, zegt privacy- en toezichtrechtadvocaat Ben Baldwin. En dat kan ook voor ontwikkelaars grote gevolgen hebben.

De technische revolutie beperkt zich allang niet meer tot het slim ontwerpen van gebouwen. Sensoren zijn goedkoop, en worden inmiddels voor allerlei zaken in een gebouw ingezet. Zo kan in een Smart Building een keur aan data worden verzameld, van de toegang tot het gebouw en het gebruik van verschillende ruimtes, tot aan het gebruik van toiletten, ramen en deuren en zelfs de gemoedstoestand van de gebruiker via gezichtsherkenning.

Het gebruik van deze informatie levert veel voordeel op: gebouwen kunnen slimmer worden ontworpen, efficiënter gebruikt en onderhoud kan aangepast worden aan het gebruik. “De belofte is mooi”, beaamt Baldwin, privacyadvocaat bij Lauxtermann Advocaten. “De gebouwen kunnen ervoor zorgen dat je als gebruiker optimaal comfortabel bent. Bovendien kan het milieuvriendelijker zijn, duurzamer en kosten besparen voor ontwikkelaar, beheerder en gebruiker.”

Advocaat Ben Baldwin: “Het lijkt mij uiterst onverstandig om een slim gebouw of systeem te leveren of te beheren waarvan het gebruik van de systemen een privacyprobleem kan opleveren.”(Foto: Ruud Jonkers)

“Smart Building” was dan ook een populair thema op de afgelopen versie van Building Holland. Baldwin liep ook tussen de stands met alle vernieuwingen die de bouw te bieden heeft, maar merkte maar weinig interesse voor de keerzijde van het verzamelen van data uit gebouwen. “Als ik de term “Smart” ergens hoor, dan is er in 90 procent van de gevallen sprake van een privacyprobleem. En dat is zeker het geval na 25 mei.”

Bij schending van de privacyregels kunnen boetes tot 20 miljoen worden opgelegd

Op die datum treedt de Algemene Verordening Gegevensbescherming in werking. Deze AVG is de vervanging van de Wet bescherming persoonsgegevens, en zorgt ervoor dat de privacywetgeving in de hele EU zo gelijkwaardig mogelijk is. De AVG geeft meer privacyrechten aan burgers, legt meer verantwoordelijkheden bij organisaties die data verzamelen en geeft de privacyautoriteiten, in Nederland de Autoriteit Persoonsgegevens, de mogelijkheid om boetes tot 20 miljoen euro of 4 procent van de wereldwijde omzet op te leggen bij schendingen.

Ook de bouwwereld bereidt zich voor op 25 mei, maar volgens Baldwin wordt maar zelden rekening gehouden met de klant. “Er wordt wel nagedacht over of de eigen organisatie voldoet aan de nieuwe regels. Maar het product dat de architecten, bouwers, ingenieurs en ontwikkelaars leveren is een hele andere zaak. Dan is privacy ineens een zaak van de juridische afdeling geworden. En daarmee dus het probleem van de klant. Het lijkt mij uiterst onverstandig om een slim gebouw of systeem te leveren of te beheren waarvan het gebruik van de systemen een privacyprobleem kan opleveren. Daar moet je eigenlijk veel eerder over nadenken. Toch krijgt mijn bouwrecht-collega Janine Mazel eigenlijk nooit vragen over privacyaspecten.”

‘Zeker nu bouwers en ontwikkelaars vaker betrokken blijven bij het gebruik van het product, is de kans groot dat ze daarvoor aansprakelijk blijven’

Bij iedere stap die je zet in het verzamelen van gegevens, moet je altijd nagaan wat de gevolgen zijn, benadrukt Baldwin. “En dat zie ik dagelijks misgaan. Om een voorbeeld te geven: mijn auto wordt bij een bezoek aan een beurs in de RAI op nummerbord automatisch geregistreerd bij het binnengaan van de parkeergarage. Daarna wordt mijn badge op de beurs ook meerdere malen gescand. Maar niemand die mij vertelt wat er met die gegevens wordt gedaan. En dat moet wel, ook als ik straks een gebouw binnenstap waar ik met sensoren of camera’s gevolgd kan worden, waar mijn verblijf wordt geregistreerd en waarmee mijn identiteit achterhaald kan worden. Als je dat soort gegevens verzameld, zijn de eisen in de AVG streng: je moet transparant zijn over wat er met de data gebeurt, je moet de data goed beveiligen en burgers de mogelijkheid geven om alle data die over hen is verzameld, op te vragen. Doe je dat niet, dan kan het gevolg zijn dat jij of je klant een hoge boete krijgen. Zeker nu bouwers en ontwikkelaars ook na de oplevering steeds vaker betrokken blijven bij het gebruik van het geleverde product, is de kans groot dat ze daarvoor aansprakelijk blijven.”

Alles staat of valt met de herleidbaarheid van de data tot een persoon. “Dienstverleners kunnen soms wel denken dat de data die ze registreren anoniem is, maar als ik bepaalde kenmerken of gedrag van personen vastleg, kan dat heel goed gaan om een persoon die daarmee geïdentificeerd kan worden. En hoe gevoeliger de gegevens zijn, hoe strenger de regels. Voor biometrische data, zoals gezichtsherkenning of vingerafdrukken, zijn de regels het strengst.”

‘Er moet al veel vroeger in het ontwerpproces over privacy worden nagedacht’

Gebouweigenaars en ontwikkelaars die daar niet goed over nadenken, kunnen flink de boot ingaan. In de eerste plaats vanwege het gevaar van een boete, maar ook dat een systeem waar flink in is geïnvesteerd, uiteindelijk ontmanteld moet worden. “Het is in het verleden al vaker gebeurd dat installateurs al heel ver waren met een duur registratiesysteem, maar op het laatste moment toch terugkrabbelden. Ingenieurs, architecten en techneuten kijken vaak eerst naar de technische mogelijkheden en worden enthousiast over een nieuwe toepassing. Pas veel later wordt door een jurist op de rem getrapt met de vraag; ‘Mag dit eigenlijk allemaal wel?’”

Volgens Baldwin moet er al veel vroeger in het ontwerpproces over privacy worden nagedacht, de AVG heeft  het dan over “privacy by design”. “Je begint altijd met de vraag: hoe kan ik een probleem oplossen? De volgende vraag moet zijn: hoe kan ik de privacyimpact minimaliseren? Vraag je ook af of je die gegevens absoluut nodig hebt. En als dat zo is, moet je je direct afvragen hoe je het gaat beveiligen. Want ook dat is een strenge eis: als je die gegevens bewaart, moet je ervoor zorgen dat ze zo goed mogelijk beveiligd zijn.”

Volgens Baldwin is de traditionele lakse manier waarop de Nederlanders over privacy denken nu wel aan het veranderen. “Mensen zien ook dat ze overal hun gegevens achterlaten, en beginnen zich steeds vaker af te vragen wat er met die gegevens gebeurt. Wat dat betreft  is de recente ophef over de dataverzameling van Facebook en het misbruik door Cambridge Analytica een zegen voor het privacy-bewustzijn.”


AVG scherpt privacy aan

Een bekend schrikbeeld uit een moderne film is de scène in Minority Report uit 2002, waarin hoofdrolspeler Tom Cruise door een stad loopt en overal gepersonaliseerde advertenties ziet, die getoond worden na een irisscan. Technisch is zo’n systeem waarschijnlijk al mogelijk, maar met de nieuwe regels ligt het niet voor de hand dat ze in de EU worden toegepast. Want het gebruik van biometrische gegevens wordt verboden, uitzonderingen als  paspoorten en, in sommige situaties, gebouwbeveiliging daargelaten.

De AVG is de nieuwe Europese privacyverordening die de oude Wet bescherming persoonsgegevens uit 1995 moet vervangen. De oude wet paste niet meer bij de nieuwe digitale en technische ontwikkelingen. De AVG is eigenlijk al in 2016 ingegaan, maar verzamelaars van privacygevoelige informatie kregen tot 25 mei 2018 de tijd om de  bedrijfsvoering op de nieuwe regels af te stemmen.

Wat de AVG vooral doet, is het expliciet leggen van de verantwoordelijkheid voor de privacy van burgers bij degene die de informatie verzamelt en beheert. De organisatie die privacygevoelige data verzamelt, mag niet méér data inwinnen dan nodig is voor het doel waarvoor ze worden gebruikt. De persoonsgegevens mogen niet worden  gebruikt voor andere doelen dan waarvoor ze verzameld zijn, en de persoon in kwestie moet daarvan altijd op de hoogte zijn. Bovendien moet de data goed worden beveiligd.

Belangrijk is dat organisaties transparant moeten zijn over de data die ze verzamelen en altijd aan een persoon moeten kunnen laten zien wélke persoonsgegevens ze verzamelen. In veel gevallen heeft een persoon ook recht op “vergetelheid”, dus dat de gegevens uit het systeem verwijderd kunnen worden.

Reageer op dit artikel