Blog door: Judith Zoë Blijden, senior adviseur bij Hooghiemstra & Partners

Kwetsbaarheid gaat ons allemaal aan in de digitale samenleving. In dit blog bespreek ik het thema kwetsbaarheid: wat is het?

Je wil toch het beste voor je kind?

Misschien ken je hem wel, deze bekende waargebeurde “anekdote” over privacy: een vader loopt boos een supermarkt binnen. Zijn minderjarige dochter heeft kortingsbonnen gekregen voor babykleding. Woedend vraagt hij de supermarkt waarom zij in hemelsnaam deze bonnen ontvangt. Later komt hij erachter dat zijn dochter zwanger is. Wat is hier gebeurd?

Op basis van consumentendata berekende Target, een grote supermarktketen in de Verenigde Staten, de kans dat iemand zwanger was en in welke fase van haar zwangerschap de vrouw zich bevond.¹ Dit soort informatie is goud waard voor commerciële partijen, omdat ouders één van de belangrijkste consumentengroepen zijn. Ouders willen namelijk het beste voor hun kinderen. Deze wens wordt vertaald in wat zij kopen, zoals luiers van goede kwaliteit. Daarnaast zijn mensen gewoontedieren. Door met kortingsbonnen in te spelen op die zwakke plek, wordt de consument bepaald gedrag aangeleerd. Wie eenmaal gewend is luiers te kopen in een bepaalde supermarkt zal namelijk sterk geneigd zijn daar regelmatig terug te komen, en de kinderen nemen dit gedrag ook weer over.

Traditionele opvattingen van kwetsbaarheid

Bij ‘kwetsbare groepen’ wordt al snel gedacht aan ‘traditionele’ kwetsbare groepen, zoals kinderen of mensen met een beperking. Hierbij wordt (impliciet) vaak gedacht dat deze kwetsbaarheid statisch is en vooral te maken heeft met de mensen in de groepen zelf. Bijvoorbeeld door het jonge brein van kinderen dat nog niet in staat is goed geïnformeerde keuzes te maken of de visuele beperking van een persoon, waardoor diegene (zonder hulpmiddelen) geen tekst kan lezen. De kwetsbaarheid van deze groepen komt deels voort uit persoonlijke kenmerken die niet permanent hoeven te zijn. Zo worden kinderen vanzelf volwassen en kan ook op latere leeftijd je zicht achteruitgaan. De kwetsbaarheid ontstaat niet doordat een lichaam met een bepaald kenmerk bestaat, maar wanneer een persoon in contact komt met een omgeving die niet is ontworpen voor deze persoon. Zo kan een visuele beperking in onze samenleving leiden tot kwetsbaarheid, wanneer we verwachten dat iedereen een bepaalde tekst kan lezen.

Kwetsbaar zijn betekent dat er een redelijke kans bestaat dat jou potentieel schade kan worden toegebracht, bijvoorbeeld in de vorm van uitbuiting, uitsluiting of discriminatie.

Meer kwetsbaarheid in een digitale wereld

Vaak ligt bovendien de focus op gegevens die tot personen herleidbaar zijn (‘persoonsgegevens’), en minder op data over ‘het collectief’. Terwijl dit zeker minstens zo belangrijk is. In een digitale samenleving moet bij kwetsbaarheid verder worden gekeken dan alleen de individuen en traditionele groepen. Door de grote hoeveelheid data kunnen mensen veel geraffineerder worden geprofileerd. Dat kan zijn om ons reclame te sturen, maar ook om ons diensten wel of niet te verlenen.

Informatie over hoe groepen mensen zich gedragen in bepaalde omstandigheden maakt diezelfde groepen dus vatbaar voor beïnvloeding. Bijvoorbeeld hoe zwangere vrouwen zich gedragen (zie de Target-anekdote), maar ook het recente onderzoek van Radar en Investico waaruit bleek dat 20 online drogisterijen en webshops, waaronder Etos, Trekpleister, Kruidvat, Flink, DA en Bol.com, gevoelige gegevens² van bezoekers doorgeven aan Google.³ Of 16-jarige meisjes die graag naar K-pop luisteren en vervolgens advertenties krijgen voor Koreaanse make-up en vlogs van vrouwen die afreizen naar Korea voor plastische chirurgie.⁴ Dit maakt dat mensen op verschillende kenmerken kunnen worden gegroepeerd, kenmerken die in een wereld minder zichtbaar waren als groepskenmerken. Voorheen kon dit vooral op duidelijk zichtbare kenmerken in de fysieke leefwereld, zoals leeftijd of gender. Nu zijn er talrijke opties door patronen te herkennen in de digitale sporen die wij allemaal achterlaten en deze kennis vervolgens in voor doeleinden waar we ons niet altijd in kunnen vinden.

Europees perspectief

In steeds meer Europese wetgeving die zich bezighoudt met de rol van technologie en data is er aandacht voor de impact op kwetsbare groepen. Zo zullen organisaties die verplicht zijn om een zogenoemd fundamental rights impact assessment uit te voeren, specifiek de impact van het AI-systeem op kwetsbare groepen in kaart moeten brengen. Ook in de AVG wordt het begrip ‘kwetsbare personen’ enkele keren genoemd. Een volledige, consistente invulling van wie wanneer kwetsbaar is, ontbreekt echter. Wel biedt de Article 29 Working Party (WP29), de voorganger van de European Data Protection Board (EDPB), een belangrijk aanknopingspunt.⁵

De EDPB noemt als belangrijkste indicator voor het vaststellen van individuele kwetsbaarheid de machtsongelijkheid tussen een persoon (betrokkene) en degene die zijn gegevens gebruikt (verwerkingsverantwoordelijke). Dit houdt naar mijn idee al beter rekening met het punt dat kwetsbaarheid geen eigenschap is van een persoon, maar ontstaat in de wisselwerking tussen persoon, de relatie tot anderen en de context.

Uit de literatuur blijkt dat bij het beoordelen van een machtsverhouding verschillende aspecten relevant zijn: persoonlijke kenmerken (zoals leeftijd of beperking), relationele factoren (de ongelijkheid tussen betrokkene en verwerkingsverantwoordelijke) en structurele omstandigheden (historische en sociale context).Deze benadering zou naar mijn idee directe gevolgen moeten hebben voor beleid en wetgeving: een statische lijst van ‘kwetsbare groepen’ schiet tekort. Beleidsmakers en juristen zullen per situatie moeten beoordelen of en hoe kwetsbaarheid ontstaat en instrumenten daarop moeten afstemmen, bijvoorbeeld aan de hand van het toetsen van (algoritmische) bias samen met kwalitatief onderzoek.

Meer weten over kwetsbaarheid en gegevensbescherming?

Judith interviewde dr. Gianclaudio Malgieri, associate professor Law and Technology bij de Universiteit van Leiden over dit onderwerp in haar podcast The Digital Period. Luister naar de aflevering op Spotify of Apple Podcast.

Photo credit: Yutong Liu & Kingston School of Art / https://betterimagesofai.org / https://creativecommons.org/licenses/by/4.0/

¹ https://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?pagewanted=1&_r=1&hp
² Overigens betwisten DA, Albert Heijn en Etos dat er sprake is van bijzondere persoonsgegevens. Wonderlijk genoeg zijn zij van mening dat het kopen van een zwangerschapstest hen niet per definitie iets over iemands gezondheid, omdat het product ook voor een ander bedoeld kan zijn.
³ https://radar.avrotros.nl/artikel/online-drogisterijen-en-webshops-delen-gevoelige-gezondheidsdata-met-big-tech-62391
⁴ Flawless: Lessons in Looks and Culture from the K-Beauty Capital door Elise Hu, 2023.
⁵ Aritcle 29 Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP 248 rev.01, 10.
⁶ Zie o.a. het recente rapport van de Staatscommissie tegen Discriminatie en Racisme ‘Principes voor profilering’, mei 2026 en het essay ‘Toegankelijk. Toch?’ van de Nederlandse school voor openbaar bestuur.

Blog door: Taetske van der Reijt, principal consultant bij Hooghiemstra & Partners¹

Het is vandaag, 28 januari, de dag van privacy. 45 jaar geleden werd het Dataprotectieverdrag² ondertekend. Sinds die tijd is er veel veranderd. Er worden veel meer persoonsgegevens verwerkt en de bewustwording over privacy is enorm toegenomen. Toch worden al die privacyregels ook vaak als lastig en bureaucratisch ervaren.

Zo lees je nog steeds vaak in de krant dat “de Privacywet” in de weg zou staan aan effectief beleid of een effectieve aanpak van bepaalde problemen. Er is nog steeds grote angst om de AVG te overtreden, die niet altijd terecht is. Ook lijkt het erop dat de AVG soms als gelegenheidsargument wordt gebruikt.³ Het is vaak ook een oproep voor meer wetgeving.

Mijn ervaring, zowel als wetgevingsjurist op het gegevensbeschermingsrecht en als adviseur, is dat nieuwe wetgeving niet altijd nodig is. De AVG biedt de lidstaten voldoende ruimte om het gegevensbeschermingsrecht te modelleren naar eigen wens. Gebleken is echter wel dat de wettelijke grondslagen niet altijd goed op orde waren en daarom zijn er sinds de invoering van de AVG veel wettelijke grondslagen bijgekomen. Deze inhaalslag op het gebied van wetgeving is nog niet afgerond.

Echter, er zijn natuurlijk wel grenzen aan wat je wettelijk kunt en moet willen regelen. Sommige verwerkingen van persoonsgegevens zijn maatschappelijk echt niet wenselijk, met of zonder AVG. Denk aan het te breed delen van zwarte lijsten of gegevens verzamelen “omdat het misschien ooit handig kan zijn”. Of gegevens willen verzamelen, terwijl je de taak daarvoor niet hebt. Ook onze Grondwet vereist nu eenmaal dat de overheid niks mag, tenzij het wettelijk is toegestaan (terwijl de burger alles mag, tenzij het verboden is.)

Kortom: geen taak, geen gegevensverwerking, want dan is er immers geen duidelijk doel en geen noodzaak om die gegevens te verwerken. Maar om een taak uit breiden of toe te voegen in de wet, is niet altijd eenvoudig. Dan gaan er ook andere krachten en belangen spelen. De taak blijkt bijvoorbeeld eigenlijk al bij een andere overheidsorganisatie te liggen of er moet veel geld bij, want er komt immers een nieuwe taak bij. Er wordt dan vaak gemopperd dat het aan de strenge privacywet ligt, maar goed beschouwd is dat natuurlijk niet zo. Omdat er voldaan moet worden aan waarborgen en zorgvuldigheidseisen die de AVG stelt, zoals het opstellen van een DPIA, komt wel vaak aan het licht dat er iets niet klopt. Dat een organisatie buiten zijn taak werkt bijvoorbeeld, of meer gegevens verzamelt dan noodzakelijk voor zijn taak. Maar ja, is het eigenlijk niet gewoon heel wenselijk dat dat aan het licht komt?

Tegelijkertijd worden de wettelijke mogelijkheden van zowel de AVG als de Nederlandse uitvoeringsregelgeving soms naar mijn ervaring juist te eng geïnterpreteerd. Dus men denkt dat er minder mag dan in de wet staat. Er wordt dan aan de wetgever gevraagd om een wettelijke grondslag te maken, die al bestaat. Deze durft men dan niet goed toe te passen en wil voor de zekerheid een nog duidelijkere grondslag. Organisaties blijken het spannend te vinden om een afweging van belangen te maken en de noodzaak te beoordelen. Het is dan al vaak “bij twijfel niet inhalen”, waardoor ze zichzelf onnodig klemzetten. Een wetsaanpassing is niet nodig, en kan eigenlijk ook niet. Wel is van belang dat bestuurders goed weten welke afweging ze moeten maken en daar ook voor te gaan staan. Ik vermoed dat gebrek aan kennis en angst om toch een verkeerde afweging te maken en vervolgens bijvoorbeeld in de publiciteit hard voor te worden afgestraft daar onder meer debet aan is.

De wetgever staat dan wel voor een dilemma. Mijn overtuiging is dat het maken van steeds meer en gedetailleerdere wettelijke grondslagen zelfs averechts zal werken. Ten eerste zeg je ermee dat eerdere vergelijkbare verwerkingen van persoonsgegevens blijkbaar onrechtmatig waren en ten tweede moeten dan andere vergelijkbare verwerkingen, ook door andere organisaties, voorzien worden van een wettelijke grondslag. Hierdoor bestaat het risico in een soort vicieuze cirkel van wetgeving terecht te komen, waardoor er steeds meer en meer wetten moeten worden opgesteld met allerlei gedetailleerde grondslagen. Of dat te ruimhartige grondslagen worden opgesteld.⁴

En wees gewaarschuwd: een wet werkend krijgen gaat niet snel, zeker niet als het over gegevensbeschermingsrecht gaat. Veel instanties kijken mee en een wetsvoorstel inzake verwerking van persoonsgegevens moet op grond van de AVG sowieso aan de AP worden voorgelegd. Uiteraard is ook de Raad van State nog aan zet, die vanuit grondwettelijk perspectief met grote interesse kijkt naar wetsvoorstellen over gegevensbeschermingsrecht. Overigens volkomen terecht.

Om een voorbeeld te geven: het wetsvoorstel voor de Verzamelwet gegevensbescherming, dat vooral technische aanpassingen en enkele extra grondslagen voor gegevensverwerking mogelijk maakt, is op 1 december 2022 ingediend bij de Tweede Kamer, en sinds mei 2025 in behandeling bij de Eerste Kamer. Waarschijnlijk zal deze niet eerder dan 1 januari 2027 in werking treden.

Dit is maar één voorbeeld uit mijn eigen praktijk, maar er zijn er veel meer.⁵ Blijkbaar vinden we het, als het puntje bij paaltje komt, allemaal heel spannend om persoonsgegevens te verwerken en te delen en kijken we daarbij steeds naar anderen om te zeggen of het mag. Naar de AP of naar de wetgever of naar de FG of de privacy-adviseur. En dat terwijl we zelf afwegingen moeten durven maken. Er staat immers niet voor niets in overweging 4 bij de AVG dat de verwerking van persoonsgegevens ten dienste van de mens moet staan en dat het recht op bescherming van persoonsgegevens geen absolute werking heeft, maar conform het evenredigheidsbeginsel tegen andere grondrechten moet worden afgewogen.

Beeld: Yasmine Boudiaf & LOTI / Data Processing / Licenced by CC-BY 4.0

¹ Taetske was hiervoor raadadviseur gegevensbeschermingsrecht bij het ministerie van Justitie en Veiligheid.
² Verdrag (van de Raad van Europa) tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, Straatsburg, 28-01-1981.
³ Zie ook de brief van de Algemene Rekenkamer van 30 maart 2023 aan de Tweede Kamer. Kamerstukken II, 32761, nr. 264.
⁴ In het advies over de Verzamelwet gegevensbescherming waarschuwt de AP op pagina 3 ook hiervoor. https://www.autoriteitpersoonsgegevens.nl/documenten/advies-verzamelwet-gegevensbescherming.
⁵ Bijv. de Wet gegevensverwerking door samenwerkingsverbanden: Begin 2020 ingediend bij de Tweede Kamer, eind 2024 aangenomen door de Eerste Kamer. De ambtelijke voorbereiding en adviestraject is ongeveer 2015 gestart. Of Bijv. de Wet aanpak meervoudige problematiek sociaal domein (WAMS), die in januari 2023 is ingediend bij de Tweede Kamer en nog in behandeling is.