Mogen bedrijven Google Street View data zomaar gebruiken?

Een tijdje geleden las ik een artikel: “Een foto van Google Street View van je huis voorspelt risico op auto-ongeluk.” Over de relatie tussen hoe je huis eruit ziet op Google Street View en je risico op een auto ongeluk. Volgens deze Stanford onderzoekers is die relatie er namelijk wel. Interessant.

Maar het knaagde ook bij mij: Mag dat eigenlijk? Als commercieel bedrijf dit soort data gebruiken? Voor risico-management? Hoe openbaar is Google Street View?

Het Onderzoek

In dit onderzoek zijn 20.000 huizen van cliënten (van verzekeringsmaatschappijen ) geplukt en geannoteerd met feitelijke kenmerken als leeftijd, type woning, de nabijheid van andere gebouwen en fysieke staat van de woning. Met behulp van een kunstmatig intelligentie systeem dat gecreëerd is voor risicomanagement blijkt dat de afbeeldingen iets zeggen over de waarschijnlijkheid waarmee de bewoners betrokken raken bij een auto ongeluk.

Dit werpt natuurlijk ook ethische vragen op. Mag een verzekeraar dit soort openbare data wel gebruiken om voorspellingen te doen over auto-ongelukken en zo de bewoners mogelijk uitsluiten of een hogere premie geven? Worden we in Nederland beschermd door wetgeving op dit gebied? Mogen Nederlandse bedrijven hun eigen databases aanvullen met dit soort openbare data?

Of is het vergelijkbaar met de vragen die een verzekeraar stelt op het moment dat je je verzekering afsluit?

De deskundige

Bij risico-management software wordt nu al rekening gehouden met iemand postcode. Het verzamelen van een afbeelding van de woning gaat natuurlijk veel meer over iemands persoonlijke privacy. En het risico is ook dat andere sectoren volgen. Dat banken ook een model gaan bouwen op dit soort data.

Mijn vraag bleef hangen: En dus belde ik met Henk Bethlehem, advocaat bij BOUT advocaten. Hij stuurde mij dit antwoord. Kort samengevat: Ei-gen-lijk mag het niet. Maar het is complexer. Lees hier het antwoord van Henk:

(oh ja, aan deze tekst kunnen natuurlijk geen rechten worden ontleend en het is een globale, informele opzet van een antwoord op een bijzondere vraag. Henk antwoordt vanuit zijn kennis en ervaring maar heeft er geen wetenschappelijk onderzoek naar gedaan voordat hij mij mailde. Nou ja… je snapt het wel)

Henk Bethlehem

Verzekeraars kunnen middels Google Street View voorspellen of je een ongeluk gaat krijgen en hun premie daarop aanpassen. Mag dat?

ps: Wil je meer weten over de toekomst van kunstmatige intelligentie? Weten wat software wel en niet kan? Luister dan naar Bennie Mols in mijn Listening to the future Tech-podcast.

Voorwoord
Op zichzelf is data niet een persoonsgegeven en kan je er ook geen eigendom over hebben. Dat wordt in algemene zin nog weleens vergeten als men zich afvraagt wie eigenaar is van ‘de data’.

Kwestie
Google verwerkt met Google Streetview persoonsgegevens (zij hebben immers ook de ruwe data met kentekens, personen en huisnummers), maar publiceren die maar voor een deel. Uit onderzoek is gebleken dat een deel van die gegevens, namelijk de foto’s van woningen, kunnen worden gebruikt om voorspellingen te doen over of iemand een auto-ongeluk gaat krijgen.

Wat zijn persoonsgegevens?
Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare persoon. Iemand is identificeerbaar als iemand direct of indirect kan worden geïdentificeerd aan de hand van een naam, locatie of meer elementen die kenmerken zijn voor de identiteit van de persoon.

Is een foto van een woning ook een persoonsgegeven?
Of een woning ook een persoonsgegeven is kwam aan de orde in een rechtszaak waarin iemand de rechtbank (en vervolgens het Gerechtshof) verzocht om Google te veroordelen tot verwijderen van zijn persoonsgegevens op Google Streetview. Zowel de rechtbank als het Gerechtshof heeft geoordeeld dat de foto’s die via Google openbaar gemaakt worden geen verwijzing naar een bepaalde natuurlijke persoon bevatten. Aan de vereisten om de foto van de woning te beschouwen als een persoonsgegeven was niet voldaan, omdat uitsluitend ging om gegevens over een object.

In een andere rechtszaak oordeel het Gerechtshof Den Haag dat, omdat de eigenaar van de woning, deze aan expats verhuurde, het huis niet te herleiden was naar hem om als inbreuk op zijn persoonlijke levenssfeer te kunnen gelden. Eigendom van een huis is dus onvoldoende om als persoonsgegeven te kwalificeren.

Hoewel het oude zaken zijn die speelden onder de Wet bescherming persoonsgegevens, gaan die criteria nog steeds op onder de AVG. Ik denk dat je steeds van geval tot geval moet nagaan of de foto van het object (en eventueel het adresgegeven) ervoor zorgt dat het gegeven (in)direct herleidbaar is tot een persoon. Een appartement in Helpman waarvan er dertien in een dozijn zijn is niet perse een indirect persoonsgegeven en een villa in Haren kan dat wel zijn.

Tot zover de ongenuanceerde ‘ins and outs’ van Google Streetview in helikoptervlucht en de vraag of een foto van een woning een persoonsgegeven is. Er is heel veel over te zeggen en iemand zou er een scriptie over kunnen schrijven.

ps: check mijn blog: “Deepfakes: we naderen een tijdperk waarin we onze oren en ogen niet langer kunnen vertrouwen”

Gebruik afbeeldingen Google Streetview door verzekeraar
In het onderzoek komt naar voren dat verzekeraars de foto’s van Google Streetview kunnen gebruiken om de persoonsgegevens daaraan te koppelen. Het komt er in feite op neer dat Google de controle over de (persoons)gegevens kwijtraakt door publicatie op internet, en verzekeraars die voor hun eigen doeleinden gaan verwerken.

AVG van toepassing?
De verwerking c.q. verrijking van (directe) persoonsgegevens (naam, en het woonadres), gekoppeld met het (indirecte) persoonsgegeven van de woning (de foto van het object) is een verwerking in de zin van de AVG. Voor de verzekeraar is het woonadres immers een direct persoonsgegeven, omdat ze je al hebben geïdentificeerd (en je voor hun identificeerbaar bent).

Wat brengt de AVG met zich mee?
In een notendop komt de AVG erop neer dat een verwerkingsverantwoordelijke moet voldoen aan de daarin genoemde beginselen (zoals genoemd in artikel 5 AVG), een rechtvaardigingsgrond moet hebben voor de verwekring van persoonsgegevens (zoals genoemd in artikel 6 en artikel 9 AVG) en moet voldoen aan bepaalde informatieplichten (zoals genoemd in artikel 13 en 14 AVG).

Doeleinden van verzekeraars voor verwerking persoonsgegevens?
Persoonsgegevens mogen niet verder worden verwerkt dan voor de doeleinden dan waarvoor ze zijn verkregen. Dat volgt in een notendop onder meer uit artikel 5 AVG. Wat zijn dan de doeleinden van verzekeraars voor de verwerking van persoonsgegevens? Als voorbeeld neem ik Anderzorg.

Anderzorg omschrijft haar doeleinde in haar privacyverklaring te vinden op: https://www.anderzorg.nl/privacy-statement, als volgt:

‘Anderzorg heeft jouw persoonsgegevens nodig voor het sluiten en uitvoeren van de basisverzekering en aanvullende ziektekostenverzekering. Voor het uitvoeren van deze verzekeringen zijn ook gegevens over jouw gezondheid nodig.’

Wat onder het uitvoeren van de verzekering wordt verstaan wordt daar ook toegelicht. Met die privacyverklaring voldoet Anderzorg aan een deel van haar informatieplicht.

Grondslag voor de verwerking van persoonsgegevens?
Anderzorg mag persoonsgegevens van haar verzekerden verwerken om uitvoering te geven aan de overeenkomst.

Is het doeleinde van de verzekeraar verenigbaar met de verwerking van foto’s van Google Streetview?
Het bepalen van je premie aan de hand van je adres staat niet genoemd in de privacyverklaring, laat staan de manier waarop dat (dan theoretisch gebeurt) door verrijking van de persoonsgegevens met gegevens van Google Streetview. Ook is dat niet nodig om uitvoering te geven aan de overeenkomst.

Zijn er uitzonderingen?
Aritkel 6 lid 4 AVG biedt een kleine uitzondering op de situatie dat gegevens alleen mogen verwerkt voor een welbepaald doel. Vrij vertaald moet de verzekerde dat dan wel hebben kunnen verwachten. Die uitzondering gaat in dit geval niet op.

Speelt er nog andere wetgeving?
Ja, je kunt bijvoorbeeld ook nog denken aan artikel 8 EVRM (het Europees Verdrag voor de rechten van de Mens) en je de vraag stellen of inbreuk wordt gemaakt op ‘de persoonlijke levenssfeer’ van betrokkenen als data op deze manier gebruikt gaat worden. Het recht op respect voor iemand zijn woning staat ook expliciet in dat Verdrag genoemd.

Voetnoten , voor de fanatieke lezer 😉

VOETNOOT 1: Titel 1. Eigendom in het algemeen; Artikel 2 De eigenaar van een zaak is bevoegd haar van een ieder die haar zonder recht houdt, op te eisen.”
VOETNOOT 2: De volledige definitie staat in artikel 4 lid 1 AVG.
VOETNOOT 3: Gerechtshof Amsterdam, 24 september 2013, ECLI:NL:GHAMS:2013:5224
VOETNOOT 4: Gerechtshof Den Haag, 22 maart 2007, ECLI:NL:GHSGR:2007:BA1375
VOETNOOT 5: Het ligt nog genuanceerder en in Duitsland heeft men het recht om bezwaar te maken tegen opname van hun woning in Google Streetview en heeft Google de plicht om burgers te informeren wanneer zij gaan rondrijden. Daar ligt nog in het midden hoe er qua verwerking van persoonsgegevens naar moet worden gekeken, maar heeft men die plichten toch aan Google opgelegd.
VOETNOOT 6: De verwerking moet volgens dat aritkel onder andere ook: behoorlijk en transparant zijn, voldoen aan welbepaalde uitdrukkelijk omschreven doeleinden en toereikend en ter zake dienend zijn.
VOETNOOT 7: “Onder het uitvoeren van de verzekering vallen: bepalen of je recht hebt op (vergoeding van) zorg, betalen aan de zorgaanbieder, betalen van vergoedingen, innen van premie, vaststellen van eigen bijdrages en verplicht en vrijwillig eigen risico, uitvoeren van controles , bestrijden van fraude (waaronder een intern registratiesysteem), verhalen van schade op derde partijen, onderzoek onder verzekerden naar de kwaliteit van zorg, verbeteren van dienstverlening, gericht informeren van groepen verzekerden met voor hen relevante informatie, beperken van betalingsachterstanden van de verzekeringnemer bij de zorgverzekeraar, bewerkstelligen dat de verzekeringnemer niet langer een bestuursrechtelijke premie verschuldigd is, behandelen van klachten en geschillen en analyseren van (persoons)gegevens voor risicobeheersing (waaronder de beheersing van zorguitgaven) en de inkoop van zorg.”
VOETNOOT 8: Daarin is onder meer bepaald dat wanneer je de gegevens verwerkt met een ander doel dan waarvoor je ze hebt verzameld, je dat mag doen mits dat verenigbaar is met het oorspronkelijke doel van verkrijging. Of dat verenigbaar is wordt beoordeeld aan de hand van a) het doel waarvoor je ze hebt verkregen en waarvoor je ze wilt gebruiken, b) de verhouding tussen degene die de gegevens verwerkt en de betrokkene van wie de gegevens worden verwerkt, de aard van de persoonsgegevens (of het bijzondere persoonsgegevens zijn of niet), de mogelijke gevolgen voor de betrokkene en het bestaan van passende waarborgen (zoals versleuteling of pseudonimisering).
VOETNOOT 9:“Article 8. – Right to respect for private and family life
1.Everyone has the right to respect for his private and family life, his home and his correspondence.
2.There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.”

ps: lees hier mijn blog: Verdringt kunstmatige intelligentie menselijk contact? 

Mijn klanten