Gegevensbescherming en de metaverse: meer van hetzelfde of een grote uitdaging?
In oktober 2021 verraste Mark Zuckerberg iedereen met de aankondiging dat Facebook zou veranderen in Meta. Tegelijkertijd onthulde hij ambitieuze plannen voor de ontwikkeling van de Metaverse (met hoofdletter als het van Meta afhangt). In deze virtuele wereld kunnen mensen communiceren, werken, spelen en handelen met anderen. De metaverse is een plek waar mensen samenkomen en interactie hebben, vergelijkbaar met de echte wereld, met mogelijkheden op het gebied van e-commerce, gaming, onderwijs en gezondheidszorg.
Maar net als bij elke nieuwe technologie brengt de opkomst van de metaverse zorgen met zich mee, vooral op het gebied van privacy en gegevensbescherming. In deze blog bespreken we de rol van de Algemene Verordening Gegevensbescherming (AVG) bij de ontwikkeling van de metaverse.
Wie is verantwoordelijk voor gegevensverwerking?
Een belangrijke vraag met betrekking tot de metaverse is wie verantwoordelijk is voor de verwerking en naleving van de AVG-principes. Is dat het bedrijf dat mee de metaverse ontwikkelt, zoals bijvoorbeeld Meta? Of is het een bedrijf dat actief is in de metaverse, bijvoorbeeld een dokterspraktijk die via de metaverse online diagnose diensten aanbiedt waarbij sensoren gegevens verzamelen zoals hartslag en bloeddruk?
Om deze vraag te beantwoorden, moeten we een duidelijk onderscheid maken tussen de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke bepaalt het doel en de middelen voor de verwerking van persoonsgegevens, terwijl de verwerker gegevens namens de verwerkingsverantwoordelijke verwerkt. In het voorbeeld van de dokterspraktijk is de dokterspraktijk de verwerkingsverantwoordelijke, omdat zij verantwoordelijk zijn voor het verzamelen, verwerken en beheren van persoonsgegevens. Het bedrijf dat de metaverse ontwikkelt, kan echter als verwerker worden beschouwd als ze de diagnose service hosten namens de dokterspraktijk.
Welke gegevens worden verzameld in de metaverse?
Het verzamelen en verwerken van persoonsgegevens is inherent aan de metaverse. Het omvat informatie van sensoren, communicatie op het platform zelf, betaalinformatie, identiteitsgegevens, locatiegegevens en meer. Naast de gegevens die gebruikers zelf verstrekken, wordt er veel data verzameld via sensoren in draagbare apparaten en het Internet of Things. Deze informatie is zeer persoonlijk en omvat psychologische, fysieke, locatie-, gezondheids- en sociale gegevens. Volgens de AVG vallen deze gegevens onder de bijzondere categorieën van persoonsgegevens, waarvoor specifieke verplichtingen gelden.
Wat is de wettelijke basis voor gegevensverwerking?
Ten eerste kan 'toestemming' worden overwogen als wettelijke basis voor gegevensverwerking. Er zijn echter enkele problemen die zich kunnen voordoen in de context van de metaverse. Volgens de AVG moet toestemming vrij gegeven zijn, wat betekent dat de betrokkene niet onder druk mag worden gezet of zich in een gezagsrelatie mag bevinden. In situaties waarin gebruikers in de metaverse werken of onderwijs volgen, kan er sprake zijn van een gezagsrelatie. Een werknemer die weigert deel te nemen aan vergaderingen in de metaverse kan bijvoorbeeld bang zijn voor banenverlies, en een leerling die niet deelneemt aan 'schooluitstapjes' in de metaverse kan belangrijke leermogelijkheden missen.
Een andere mogelijke wettelijke basis is 'noodzaak om een contract aan te gaan'. De verwerkingsverantwoordelijke mag persoonsgegevens verwerken als dit noodzakelijk is voor de uitvoering van een overeenkomst. Dit kan bijvoorbeeld gelden voor het verzamelen van biometrische gegevens via sensoren om een handdruk na te bootsen. De verwerking van persoonsgegevens voor verbetering van de dienstverlening is echter niet toegestaan op basis van deze grondslag.
Tot slot kan men zich beroepen op 'gerechtvaardigd belang' als wettelijke basis voor gegevensverwerking. Deze basis vereist dat de verwerker een gerechtvaardigd belang nastreeft dat duidelijk, actueel en legitiem is. Het belang van de verwerker moet opwegen tegen de rechten en vrijheden van de betrokkene. In de context van de metaverse kan het economische belang een rol spelen, bijvoorbeeld bij het gebruik van persoonsgegevens voor targeting. Deze wettelijke basis moet echter geval per geval worden beoordeeld.
Doelbinding: vermijd vaagheid
De AVG vereist dat persoonsgegevens worden verzameld voor specifieke, duidelijk omschreven en gerechtvaardigde doeleinden, en mogen niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden. De omschrijving van het doel mag niet te vaag zijn. Bijvoorbeeld, "We verzamelen persoonsgegevens om onze diensten te verbeteren" is te vaag. Een verbeterde formulering zou zijn: "We verzamelen gegevens over uw aankoopgeschiedenis en gebruik van sensoren om de functionaliteit van onze virtuele winkel te verbeteren door productaanbevelingen op maat aan te bieden."
Bijzondere categorieën persoonsgegevens
Bijzondere persoonsgegevens omvatten gegevens over ras, politieke opvattingen, religieuze overtuigingen, genetische gegevens, biometrische gegevens en meer. Voor deze gegevens is zowel een wettelijke basis uit artikel 6 als een rechtvaardiging uit artikel 9, lid 2, van de AVG vereist.
In de metaverse kunnen deze gegevens worden verwerkt als de betrokkene expliciet toestemming heeft gegeven. Echter, de eisen voor deze toestemming zijn strenger dan voor gewone toestemming. In plaats van geïnformeerde toestemming gaat het om expliciete toestemming. Dit heeft betrekking op de manier waarop de betrokkene de toestemming geeft, zoals het digitaal ondertekenen van een document.
In de metaverse is het mogelijk dat aspecten van het leven zich verplaatsen naar deze digitale wereld. Bijvoorbeeld, het volgen van hartpatiënten via sensoren of het volgen van arbeidsongeschikte personen. In gevallen waarbij de verwerking noodzakelijk is voor preventieve of arbeidsgeneeskunde, medische diagnoses, gezondheidszorg of sociale diensten, is de verwerking van bijzondere categorieën persoonsgegevens toegestaan.
Conclusie
De metaverse is een uitbreiding van de echte wereld in een digitale omgeving. De manier waarop de AVG wordt toegepast in de echte wereld kan in grote lijnen worden toegepast in de metaverse. Er zijn echter nog steeds enkele unieke aspecten van de metaverse die uitdagingen kunnen opleveren voor gegevensbeschermingsautoriteiten. De toekomst zal uitwijzen hoe deze autoriteiten hiermee omgaan.
Volg aternio op LinkedIn voor meer finance, tax & legal nieuws.
