Microtargeting bij verkiezingen: de Lage Landen variant

Ik zei het hier al eerder bij AG Connect rondom het datalek bij Uber: het draait bij privacy om ‘trust’. Het behoeft natuurlijk geen betoog dat dit vertrouwen door Facebook zwaar geschonden is in deze affaire. Ik moest overigens wel een beetje glimlachen toen de Nederlandse privacywaakhond op de televisie desgevraagd zei dat het erop “lijkt” dat Facebook de privacy van die 50 miljoen gebruikers heeft geschonden. Volgens mij is deze privacy-schending evident.

Onlangs hadden we in Nederland natuurlijk Gemeenteraadsverkiezingen. En ik had de eer om op de verkiezingsavond in de studio bij BNR te gast te zijn in verband met het referendum over de WIV, samen met de voorzitter van De Politieke Academie (DPA). Ik leerde dat de DPA zich bezighoudt met, wat ik zelf maar heb genoemd, de Lage Landen variant van microtargeting. Door het combineren van (veel) data, kun je berekenen wat de kans is dat mensen op je stemmen.

Wel/geen persoonsgegevens

Uit de media begrijp ik dat microtargeting plaats vindt “op zescijferig postcodeniveau”, alsmede dat er gebruik wordt gemaakt van publiek (“op internet beschikbare”) data, zoals gezinssamenstelling, WOZ-waarde en religieuze interesses. In de krant heeft de voorzitter van de DPA verklaard dat zij zodoende een groep van 1200 mensen kunnen terugbrengen tot 35. Interessant natuurlijk voor politieke partijen, zij kunnen dus gerichter de kiezer benaderen.

De vraag is hoe deze Lage Landen microtargeting variant zich verhoudt tot de privacywetgeving. Ik heb daar zo m’n twijfels over, geef ik maar meteen mee. De indruk die ik kreeg van DPA is dat DPA het geen persoonsgegevens vindt, omdat data slechts op postcodeniveau worden geanalyseerd. Dat is een niet-onbegrijpelijke, maar wel gevaarlijke redenering. Equens, de grootste pinbetalingsverwerker in Nederland, ging daar in het verleden ook op nat.

De privacy-ui pellen

Laten we de privacy-ui eens gaan pellen. Onder de privacywetgeving, zijn óók gegevens die indirect herleidbaar zijn, persoonsgegevens. Denk aan een kenteken of een IP-adres. Mijn take: als je een groep mensen van 1200 naar 35 kan terugbrengen op basis van data-analyse, kan het haast niet anders dan dat die data als persoonsgegevens worden beschouwd. En als je daarin ook religieuze interesses meeneemt, is er zelfs sprake van de verwerking van bijzondere gegevens. Het belang hiervan kom ik zo op terug.

Een tweede belangrijk criterium is: heb je een reden om die gegevens te mogen verwerken? De wet noemt dit ‘grondslag’, en kent slechts 6 limitatieve gronden. Dat criterium geldt zowel voor de politieke partijen als DPA zelf: zij bepalen immers waarom ze welke data analyseren. Hier komt als eerste het belang van de eerder genoemde bijzondere gegevens boven drijven. Daarvoor geldt als hoofdregel: toestemming. Die is niet gevraagd, dus dit lijkt me dan al een probleem.

Gerechtvaardigd belang?

Voor de overige data geldt een belangenafweging, in vakjargon: gerechtvaardigd belang. Kortom, weegt het belang van politieke partijen en DPA zwaarder dan uw en mijn privacy? Het gegeven dat veel van de data ‘publiek’ beschikbaar zijn, is hier trouwens (bepaald) niet doorslaggevend. Sterker nog, eigenlijk moet je daarin meewegen of het gebruik ervan voldoende past binnen het oorspronkelijke doel van de vergaring. Dus past gebruik van WOZ-waarde data ten behoeve van een politieke campagne voldoende binnen het doel van de WOZ. Ik vrees het ergste eerlijk gezegd.

U voelt het al: ik denk dat we in Nederland een 'Cambridge Analytica'-achtige affaire in de dop hebben. Vanaf 25 mei heeft de privacy waakhond meer slagkracht bij de handhaving van de privacy. Ik ben benieuwd of de waakhond nog een ‘campagne’ tegen microtargeting door politieke partijen in gedachten heeft.