Blog door: Judith Zoë Blijden, senior adviseur bij Hooghiemstra & Partners
Kwetsbaarheid gaat ons allemaal aan in de digitale samenleving. In dit blog bespreek ik het thema kwetsbaarheid: wat is het?
Je wil toch het beste voor je kind?
Misschien ken je hem wel, deze bekende waargebeurde “anekdote” over privacy: een vader loopt boos een supermarkt binnen. Zijn minderjarige dochter heeft kortingsbonnen gekregen voor babykleding. Woedend vraagt hij de supermarkt waarom zij in hemelsnaam deze bonnen ontvangt. Later komt hij erachter dat zijn dochter zwanger is. Wat is hier gebeurd?
Op basis van consumentendata berekende Target, een grote supermarktketen in de Verenigde Staten, de kans dat iemand zwanger was en in welke fase van haar zwangerschap de vrouw zich bevond.¹ Dit soort informatie is goud waard voor commerciële partijen, omdat ouders één van de belangrijkste consumentengroepen zijn. Ouders willen namelijk het beste voor hun kinderen. Deze wens wordt vertaald in wat zij kopen, zoals luiers van goede kwaliteit. Daarnaast zijn mensen gewoontedieren. Door met kortingsbonnen in te spelen op die zwakke plek, wordt de consument bepaald gedrag aangeleerd. Wie eenmaal gewend is luiers te kopen in een bepaalde supermarkt zal namelijk sterk geneigd zijn daar regelmatig terug te komen, en de kinderen nemen dit gedrag ook weer over.
Traditionele opvattingen van kwetsbaarheid
Bij ‘kwetsbare groepen’ wordt al snel gedacht aan ‘traditionele’ kwetsbare groepen, zoals kinderen of mensen met een beperking. Hierbij wordt (impliciet) vaak gedacht dat deze kwetsbaarheid statisch is en vooral te maken heeft met de mensen in de groepen zelf. Bijvoorbeeld door het jonge brein van kinderen dat nog niet in staat is goed geïnformeerde keuzes te maken of de visuele beperking van een persoon, waardoor diegene (zonder hulpmiddelen) geen tekst kan lezen. De kwetsbaarheid van deze groepen komt deels voort uit persoonlijke kenmerken die niet permanent hoeven te zijn. Zo worden kinderen vanzelf volwassen en kan ook op latere leeftijd je zicht achteruitgaan. De kwetsbaarheid ontstaat niet doordat een lichaam met een bepaald kenmerk bestaat, maar wanneer een persoon in contact komt met een omgeving die niet is ontworpen voor deze persoon. Zo kan een visuele beperking in onze samenleving leiden tot kwetsbaarheid, wanneer we verwachten dat iedereen een bepaalde tekst kan lezen.
Kwetsbaar zijn betekent dat er een redelijke kans bestaat dat jou potentieel schade kan worden toegebracht, bijvoorbeeld in de vorm van uitbuiting, uitsluiting of discriminatie.
Meer kwetsbaarheid in een digitale wereld
Vaak ligt bovendien de focus op gegevens die tot personen herleidbaar zijn (‘persoonsgegevens’), en minder op data over ‘het collectief’. Terwijl dit zeker minstens zo belangrijk is. In een digitale samenleving moet bij kwetsbaarheid verder worden gekeken dan alleen de individuen en traditionele groepen. Door de grote hoeveelheid data kunnen mensen veel geraffineerder worden geprofileerd. Dat kan zijn om ons reclame te sturen, maar ook om ons diensten wel of niet te verlenen.
Informatie over hoe groepen mensen zich gedragen in bepaalde omstandigheden maakt diezelfde groepen dus vatbaar voor beïnvloeding. Bijvoorbeeld hoe zwangere vrouwen zich gedragen (zie de Target-anekdote), maar ook het recente onderzoek van Radar en Investico waaruit bleek dat 20 online drogisterijen en webshops, waaronder Etos, Trekpleister, Kruidvat, Flink, DA en Bol.com, gevoelige gegevens² van bezoekers doorgeven aan Google.³ Of 16-jarige meisjes die graag naar K-pop luisteren en vervolgens advertenties krijgen voor Koreaanse make-up en vlogs van vrouwen die afreizen naar Korea voor plastische chirurgie.⁴ Dit maakt dat mensen op verschillende kenmerken kunnen worden gegroepeerd, kenmerken die in een wereld minder zichtbaar waren als groepskenmerken. Voorheen kon dit vooral op duidelijk zichtbare kenmerken in de fysieke leefwereld, zoals leeftijd of gender. Nu zijn er talrijke opties door patronen te herkennen in de digitale sporen die wij allemaal achterlaten en deze kennis vervolgens in voor doeleinden waar we ons niet altijd in kunnen vinden.
Europees perspectief
In steeds meer Europese wetgeving die zich bezighoudt met de rol van technologie en data is er aandacht voor de impact op kwetsbare groepen. Zo zullen organisaties die verplicht zijn om een zogenoemd fundamental rights impact assessment uit te voeren, specifiek de impact van het AI-systeem op kwetsbare groepen in kaart moeten brengen. Ook in de AVG wordt het begrip ‘kwetsbare personen’ enkele keren genoemd. Een volledige, consistente invulling van wie wanneer kwetsbaar is, ontbreekt echter. Wel biedt de Article 29 Working Party (WP29), de voorganger van de European Data Protection Board (EDPB), een belangrijk aanknopingspunt.⁵
De EDPB noemt als belangrijkste indicator voor het vaststellen van individuele kwetsbaarheid de machtsongelijkheid tussen een persoon (betrokkene) en degene die zijn gegevens gebruikt (verwerkingsverantwoordelijke). Dit houdt naar mijn idee al beter rekening met het punt dat kwetsbaarheid geen eigenschap is van een persoon, maar ontstaat in de wisselwerking tussen persoon, de relatie tot anderen en de context.
Uit de literatuur blijkt dat bij het beoordelen van een machtsverhouding verschillende aspecten relevant zijn: persoonlijke kenmerken (zoals leeftijd of beperking), relationele factoren (de ongelijkheid tussen betrokkene en verwerkingsverantwoordelijke) en structurele omstandigheden (historische en sociale context).Deze benadering zou naar mijn idee directe gevolgen moeten hebben voor beleid en wetgeving: een statische lijst van ‘kwetsbare groepen’ schiet tekort. Beleidsmakers en juristen zullen per situatie moeten beoordelen of en hoe kwetsbaarheid ontstaat en instrumenten daarop moeten afstemmen, bijvoorbeeld aan de hand van het toetsen van (algoritmische) bias samen met kwalitatief onderzoek.
Meer weten over kwetsbaarheid en gegevensbescherming?
Judith interviewde dr. Gianclaudio Malgieri, associate professor Law and Technology bij de Universiteit van Leiden over dit onderwerp in haar podcast The Digital Period. Luister naar de aflevering op Spotify of Apple Podcast.
Photo credit: Yutong Liu & Kingston School of Art / https://betterimagesofai.org / https://creativecommons.org/licenses/by/4.0/
¹ https://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?pagewanted=1&_r=1&hp
² Overigens betwisten DA, Albert Heijn en Etos dat er sprake is van bijzondere persoonsgegevens. Wonderlijk genoeg zijn zij van mening dat het kopen van een zwangerschapstest hen niet per definitie iets over iemands gezondheid, omdat het product ook voor een ander bedoeld kan zijn.
³ https://radar.avrotros.nl/artikel/online-drogisterijen-en-webshops-delen-gevoelige-gezondheidsdata-met-big-tech-62391
⁴ Flawless: Lessons in Looks and Culture from the K-Beauty Capital door Elise Hu, 2023.
⁵ Aritcle 29 Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP 248 rev.01, 10.
⁶ Zie o.a. het recente rapport van de Staatscommissie tegen Discriminatie en Racisme ‘Principes voor profilering’, mei 2026 en het essay ‘Toegankelijk. Toch?’ van de Nederlandse school voor openbaar bestuur.
