Vastgoedmarkt heeft op mei 2017 deze publicatie van Alexandra Jurgens-Boot uitgebracht. Vastgoedmarkt is een digitaal platform dat actuele informatie, ontwikkelingen en nieuws over commercieel vastgoed voorziet. Hieronder vindt u een ongewijzigde reproductie van de originele publicatie.
De toepassing van nieuwe technologie in gebouwen en steden gaat gepaard met onzekerheden en risico's op het gebied van privacy rechten. Kan verkeerd gebruik van gegevens of zelfs misbruik daarvan worden voorkomen? Willen wij zo snel vooruit dat wij bereid zijn onze rechten op bescherming van persoonsgegevens op te geven?
In slimme gebouwen (smart buildings) worden individuele gebouwbeheersystemen gekoppeld aan en geïntegreerd met ICT-systemen en facilitaire bedrijfssystemen. Maar het is niet zozeer de laatst beschikbare technologie of het type slimme verbindingen (internet of things) die een gebouw ‘slim’ maakt, maar de data en informatie die verzameld worden en de wijze waarop deze met verschillende belanghebbenden gedeeld worden. De data zijn van strategische waarde voor een organisatie om tot optimalisaties te komen van het gebouw en de werkomgeving.
Een aardig voorbeeld is een speciaal voor de gemeenten Barendrecht, Alblasserwaard en Ridderkerk ontwikkelde applicatie. Medewerkers in deze gemeenten kunnen per dag bepalen in welk gebouw binnen de drie betreffende gemeenten zij willen werken.
Beschikbare werkplek
Uiteraard hebben zij thuis en op kantoor toegang tot documenten. De app vindt binnen drie minuten de beschikbare werkplek. De voordelen zijn evident. Niet alleen komt er een einde aan het vaak tijdrovende (en ergerniswekkende) zoeken naar een geschikte werkplek, ook blijkt het welzijn van de ambtenaren te verbeteren en daarmee hun productiviteit. De betrokken gemeenten kunnen op basis van de gegenereerde data bovendien betere huisvestingsbeslissingen nemen, bijvoorbeeld ten aanzien van onderhoud, energieverbruik, catering, schoonmaak en beveiliging.
In diverse stand-alone kantoorgebouwen, zoals in het Amsterdamse The Edge, zijn verdergaande systemen geïntegreerd. Medewerkers kunnen bijvoorbeeld met hun smartphone een plek in de dichtstbijzijnde parkeergarage vinden en de temperatuur of de verlichting op de individuele werkplek regelen.
Ook in steden zien we steeds meer ‘slimme’ technologie (smart cities). Logistieke bedrijven maken bijvoorbeeld steeds vaker connecties met de omliggende infrastructuur. Zo laat Ahold vrachtwagens op de ring van Amsterdam rijden totdat er een signaal komt dat de gracht vrij is om een bepaalde winkel te bevoorraden. Dat is goedkoper en efficiënter dan vast te staan in een stad die steeds meer op slot gaat. Een eerste experiment van 24/7 winkelen in de supermarkt start binnenkort in Amsterdam om de toeristen te ontlopen en bewoners te ontlasten.
Binnen Europa is een groot aantal initiatieven ontwikkeld om uiteindelijk de steden slimmer te maken, met als uiteindelijk doel een duurzame economische groei en een hogere kwaliteit van leven, met daarbij een efficiënter gebruik van grondstoffen. In een slimme stad wordt op basis van de technologie en de gegenereerde data gezocht naar oplossingen voor de daadwerkelijke problemen in die stad en naar oplossingen die uiteindelijk het menselijk gedrag kunnen beïnvloeden. Door de groei van de steden neemt immers de druk op de publieke voorzieningen en infrastructuur toe. Verstedelijking, klimaatveranderingen, arbeidsparticipatie, digitalisering en mobiliteit zijn uitdagingen waar steden wereldwijd voor staan.
Santander
Het Spaanse Santander laat zien waar het heen kan gaan. In deze stad is een draadloos netwerk aangelegd met meer dan 12.000 sensoren in straatverlichting, straten, vuilnisbakken, taxi’s, politieauto’s, bussen en parken die de luchtdruk, luchtvochtigheid, licht, CO2, geluid en bewegingen van mensen en auto's meten. De data worden op een centraal punt verzameld. De stad is een levend experimenteel laboratorium geworden voor het concept van de digitale stad. Elke paar minuten sturen de sensoren hun data naar het ‘hoofdkwartier’ aan de universiteit, waar ze worden geanalyseerd. Op deze manier krijgt het gemeentebestuur toegang tot real-time informatie over de stad, van milieuproblemen tot files, volle parkeergarages, defecte lichten, watertekorten in het park enzovoorts. Maar er is meer: ook alle inwoners hebben onmiddellijke toegang tot een grote hoeveelheid nuttige, real-time informatie door middel van een mobiele app, waarmee ook rechtstreeks problemen aan de gemeente kunnen worden gemeld.
Ook in Nederland wordt gewerkt aan slimme steden. Een groot aantal grote steden, bedrijven en wetenschappers hebben de handen ineen geslagen en de Nationale Smart City-strategie ontwikkeld.
Persoonlijke levenssfeer
Het verzamelen van data en het delen van de informatie is niet zonder juridische gevolgen. Wie is nu eigenlijk eigenaar van alle verzamelde data, en mag iedereen zomaar data verzamelen? Het antwoord op de eerste vraag is niet eenduidig te geven. Niet alleen gelden intellectuele eigendomsrechten (octrooirechten, auteursrechten e.d.), maar ook zal in de diverse contracten het nodige geregeld zijn. Ik beperk mij daarom tot de tweede vraag.
De bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verwerken van persoonsgegevens is een aan de persoon gekoppeld grondrecht. Regels die deze bescherming normeren zijn vastgelegd in de algemene privacywet, de Wet bescherming persoonsgegevens (Wbp), en diverse specifieke wetten, zoals de Wet bijzondere opnemingen in psychiatrische ziekenhuizen en de Wet op de geneeskundige behandelingsovereenkomst.
De vraag of gegevens die met bepaalde track- en trace technologie, (verborgen) camera’s en of personeelsvolgsystemen worden verzameld, ook persoonsgegevens zijn is van wezenlijk belang om vast te stellen of die technologische toepassingen onderworpen zijn aan de wettelijke bepalingen van de Wbp.
Dit is geen sinecure omdat het begrip “persoonsgegeven” in de Wbp erg ruim geformuleerd is: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Dus ook gegevens die niet direct betrekking hebben op een bepaalde persoon, maar bijvoorbeeld op een product of een proces kunnen informatie verschaffen, bijvoorbeeld wanneer daarmee de arbeidsproductiviteit van een werknemer in kaart kan worden gebracht.
Bij het voortschrijden van de informatietechologie kan een “gegeven” steeds vaker als een “tot een persoon herleidbaar gegeven” worden beschouwd. Het begrip “herleidbaar” is bovendien ook inmiddels uitgebreid tot “koppelbaar” of “deduceerbaar”. Ook hieruit voortkomende gegevens worden persoonsgegevens. Een tag die een unieke identificatiecode bevat moet bijvoorbeeld behandeld worden als een persoonsgegeven. De in een gebied aanwezige IMEI nummers op telefoons zegt iets over de hoeveelheid gebruiken, maar als die gebruikers vervolgens inloggen op een app kunnen er ook gepersonifieerde gegevens worden verkregen die vervolgens onder de Wbp vallen.
De Wbp schrijft voor dat persoonsgegevens “in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze worden verwerkt”. De betrokkene moet van het bestaan van de verwerkingen kennis kunnen nemen en, wanneer van hem gegevens worden verkregen, daadwerkelijk en volledig worden ingelicht over de omstandigheden waaronder deze gegevens worden verkregen.
Het doel van het gebruik van de gegevens moet vóór het verzamelen precies omschreven worden. Het doel moet voorts gerechtvaardigd zijn en het belang van de verantwoordelijke moet redelijkerwijs aanleiding geven voor het verzamelen van de gegevens en de gegevens mogen niet worden verwerkt in strijd met de wet, openbare orde of goede zeden.
Vrijwaring
Het verwerken van persoonsgegevens is verder alleen toegestaan als er een rechtmatige grondslag kan worden aangewezen. Persoonsgegevens mogen slechts verwerkt worden als de betrokkene ondubbelzinnig toestemming heeft verleend, de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst, om een wettelijke verplichting na te komen, ter vrijwaring van een vitaal belang van de betrokkene, voor de goede vervulling van een publieke taak en voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke.
In alle gevallen geldt de noodzakelijkheidseis. De verwerking van persoonsgegevens moet niet nuttig of handig, maar voor het doel noodzakelijk zijn. Deze noodzakelijkheidseis wordt verder ingevuld door de principes van proportionaliteit en subsidiariteit. De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel. Zo kan 24/7 cameratoezicht in individuele kamers in een zorginstelling disproportioneel worden beoordeeld, maar op een intensive care afdeling in een ziekenhuis weer niet.
Minder ingrijpende middelen
De eis van subsidiariteit betekent dat gekeken moet worden of het doel met minder ingrijpende middelen kan worden bereikt en of alle mogelijkheden zijn benut om de inbreuk op de persoonlijke levenssfeer van de betrokkene te beperken. In de praktijk wordt deze toets zelden toegepast.
En om het nog ingewikkelder te maken is er nog de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 in werking treedt. Vanaf dat moment zal er nog maar één algemene privacywet gelden in de Europese Unie (EU). Om de naleving van de verordening aan te kunnen tonen moet de verantwoordelijke maatregelen toepassen die voldoen aan “de beginselen van gegevensbescherming door ontwerp en door standaardinstellingen”. Ofwel: producenten en ontwikkelaars moeten reeds bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens, worden gestimuleerd om rekening te houden met het recht op bescherming van persoonsgegevens. Ook bij aanbestedingen moet dit meegenomen worden.
De AVG zal voor iedereen die zich bezig houdt met compliance veel betekenis krijgen. De territoriale werkingssfeer wordt uitgebreid, er gelden nog meer verplichtingen voor de verwerkers van persoonsgegevens en extra formele formaliteiten, zoals het bijhouden van een register van verwerkingsactiviteiten en het aanstellen van een functionaris voor de gegevensbescherming. Nationale toezichthouders kunnen substantiële boetes met maxima tussen €10 en 20 miljoen of 2 tot 4% van de wereldwijde omzet opleggen voor overtredingen van bepalingen uit de AVG.
Emergent gedrag
Bij dit alles past een slotopmerking. Want technologie leidt tot emergent gedrag en maakt in feite dat wij ons geen zorgen meer (kunnen) maken om bescherming van onze privacy. Het gemak dient immers de mens.
Zo kan 24/7 cameratoezicht in individuele kamers in een zorginstelling wellicht als disproportioneel worden beoordeeld: ouderen in de stad willen misschien wel heel graag onder dagelijks toezicht staan. En de werknemers en zelfs de ondernemingsraad in de gemeenten Barendrecht, Alblasserwaard en Ridderkerk hebben kennelijk geen moeite gehad met het verwerken van persoonsgegevens. Niet inloggen op de smart workplace solution app stuit immers ook op praktische bezwaren, namelijk geen werkplek. Praktische bezwaren zijn cultuurgevoelig en veranderen de gedachten daarover in de tijd. In Finland zijn er bijvoorbeeld weinig bezwaren tegen een sms informatiedienst waarmee door iedereen het belastbaar inkomen van willekeurige burgers kan worden opgevraagd.
Hoe dan ook: wet- en regelgeving is per definitie niet trendgevoelig en loopt achter bij de technologische ontwikkelingen. Om de technische vooruitgang niet te vertragen zal echter wel met de betreffende regelgeving rekening moeten worden gehouden. Bij voorkeur dus vooraan in de voorgenomen planontwikkelingen.