Cryptomunten anno 2025:
een stand van zaken
Mr. Jonas Helaut en mr. Mégdi Zagheden
(Everest Advocaten)
Webinar op donderdag 12 juni 2025
Interne onderzoeken
onder de wet private opsporing
Mr. Inger Verhelst en mr. Matthias Vandamme
(Claeys & Engels)
Webinar op donderdag 9 oktober 2025
Het gebruik van AI Chatbots en AI Agents in het handelsverkeer: juridische aandachtspunten
Mr. Lynn Pype en mr. Liesa Boghaert (Timelex)
Webinar op dinsdag 10 juni 2025
SUMMER DEAL 2025
10 webinars on demand naar keuze
Behaal al uw punten voor slechts € 595
OVB – IBJ – ITAA – FSMA – BIV – NKN – Sam-Tes
Wenst u meerdere opleidingen
te volgen bij LegalLearning?
Overweeg dan zeker ons jaarabonnement
Krijg toegang tot +150 opleidingen
Live & on demand webinars
Voor uzelf en/of uw medewerkers
Intellectuele rechten: recente ontwikkelingen
Dr. Nele Somers (Artes)
Webinar op vrijdag 10 oktober 2025
Gegevensbescherming en de metaverse: meer van hetzelfde of een grote uitdaging? (aternio)
Auteur: Silke Rogiers (aternio)
In oktober 2021 verraste Mark Zuckerberg iedereen met de aankondiging dat Facebook zou veranderen in Meta. Tegelijkertijd onthulde hij ambitieuze plannen voor de ontwikkeling van de Metaverse (met hoofdletter als het van Meta afhangt). In deze virtuele wereld kunnen mensen communiceren, werken, spelen en handelen met anderen. De metaverse is een plek waar mensen samenkomen en interactie hebben, vergelijkbaar met de echte wereld, met mogelijkheden op het gebied van e-commerce, gaming, onderwijs en gezondheidszorg.
Maar net als bij elke nieuwe technologie brengt de opkomst van de metaverse zorgen met zich mee, vooral op het gebied van privacy en gegevensbescherming. In deze blog bespreken we de rol van de Algemene Verordening Gegevensbescherming (AVG) bij de ontwikkeling van de metaverse.
Wie is verantwoordelijk voor gegevensverwerking?
Een belangrijke vraag met betrekking tot de metaverse is wie verantwoordelijk is voor de verwerking en naleving van de AVG-principes. Is dat het bedrijf dat mee de metaverse ontwikkelt, zoals bijvoorbeeld Meta? Of is het een bedrijf dat actief is in de metaverse, bijvoorbeeld een dokterspraktijk die via de metaverse online diagnose diensten aanbiedt waarbij sensoren gegevens verzamelen zoals hartslag en bloeddruk?
Om deze vraag te beantwoorden, moeten we een duidelijk onderscheid maken tussen de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke bepaalt het doel en de middelen voor de verwerking van persoonsgegevens, terwijl de verwerker gegevens namens de verwerkingsverantwoordelijke verwerkt. In het voorbeeld van de dokterspraktijk is de dokterspraktijk de verwerkingsverantwoordelijke, omdat zij verantwoordelijk zijn voor het verzamelen, verwerken en beheren van persoonsgegevens. Het bedrijf dat de metaverse ontwikkelt, kan echter als verwerker worden beschouwd als ze de diagnose service hosten namens de dokterspraktijk.
Welke gegevens worden verzameld in de metaverse?
Het verzamelen en verwerken van persoonsgegevens is inherent aan de metaverse. Het omvat informatie van sensoren, communicatie op het platform zelf, betaalinformatie, identiteitsgegevens, locatiegegevens en meer. Naast de gegevens die gebruikers zelf verstrekken, wordt er veel data verzameld via sensoren in draagbare apparaten en het Internet of Things. Deze informatie is zeer persoonlijk en omvat psychologische, fysieke, locatie-, gezondheids- en sociale gegevens. Volgens de AVG vallen deze gegevens onder de bijzondere categorieën van persoonsgegevens, waarvoor specifieke verplichtingen gelden.
Wat is de wettelijke basis voor gegevensverwerking?
Ten eerste kan ’toestemming’ worden overwogen als wettelijke basis voor gegevensverwerking. Er zijn echter enkele problemen die zich kunnen voordoen in de context van de metaverse. Volgens de AVG moet toestemming vrij gegeven zijn, wat betekent dat de betrokkene niet onder druk mag worden gezet of zich in een gezagsrelatie mag bevinden. In situaties waarin gebruikers in de metaverse werken of onderwijs volgen, kan er sprake zijn van een gezagsrelatie. Een werknemer die weigert deel te nemen aan vergaderingen in de metaverse kan bijvoorbeeld bang zijn voor banenverlies, en een leerling die niet deelneemt aan ‘schooluitstapjes’ in de metaverse kan belangrijke leermogelijkheden missen.
Een andere mogelijke wettelijke basis is ‘noodzaak om een contract aan te gaan’. De verwerkingsverantwoordelijke mag persoonsgegevens verwerken als dit noodzakelijk is voor de uitvoering van een overeenkomst. Dit kan bijvoorbeeld gelden voor het verzamelen van biometrische gegevens via sensoren om een handdruk na te bootsen. De verwerking van persoonsgegevens voor verbetering van de dienstverlening is echter niet toegestaan op basis van deze grondslag.
Tot slot kan men zich beroepen op ‘gerechtvaardigd belang’ als wettelijke basis voor gegevensverwerking. Deze basis vereist dat de verwerker een gerechtvaardigd belang nastreeft dat duidelijk, actueel en legitiem is. Het belang van de verwerker moet opwegen tegen de rechten en vrijheden van de betrokkene. In de context van de metaverse kan het economische belang een rol spelen, bijvoorbeeld bij het gebruik van persoonsgegevens voor targeting. Deze wettelijke basis moet echter geval per geval worden beoordeeld.
Doelbinding: vermijd vaagheid
De AVG vereist dat persoonsgegevens worden verzameld voor specifieke, duidelijk omschreven en gerechtvaardigde doeleinden, en mogen niet verder worden verwerkt op een manier die onverenigbaar is met die doeleinden. De omschrijving van het doel mag niet te vaag zijn. Bijvoorbeeld, “We verzamelen persoonsgegevens om onze diensten te verbeteren” is te vaag. Een verbeterde formulering zou zijn: “We verzamelen gegevens over uw aankoopgeschiedenis en gebruik van sensoren om de functionaliteit van onze virtuele winkel te verbeteren door productaanbevelingen op maat aan te bieden.”
Bijzondere categorieën persoonsgegevens
Bijzondere persoonsgegevens omvatten gegevens over ras, politieke opvattingen, religieuze overtuigingen, genetische gegevens, biometrische gegevens en meer. Voor deze gegevens is zowel een wettelijke basis uit artikel 6 als een rechtvaardiging uit artikel 9, lid 2, van de AVG vereist.
In de metaverse kunnen deze gegevens worden verwerkt als de betrokkene expliciet toestemming heeft gegeven. Echter, de eisen voor deze toestemming zijn strenger dan voor gewone toestemming. In plaats van geïnformeerde toestemming gaat het om expliciete toestemming. Dit heeft betrekking op de manier waarop de betrokkene de toestemming geeft, zoals het digitaal ondertekenen van een document.
In de metaverse is het mogelijk dat aspecten van het leven zich verplaatsen naar deze digitale wereld. Bijvoorbeeld, het volgen van hartpatiënten via sensoren of het volgen van arbeidsongeschikte personen. In gevallen waarbij de verwerking noodzakelijk is voor preventieve of arbeidsgeneeskunde, medische diagnoses, gezondheidszorg of sociale diensten, is de verwerking van bijzondere categorieën persoonsgegevens toegestaan.
Conclusie
De metaverse is een uitbreiding van de echte wereld in een digitale omgeving. De manier waarop de AVG wordt toegepast in de echte wereld kan in grote lijnen worden toegepast in de metaverse. Er zijn echter nog steeds enkele unieke aspecten van de metaverse die uitdagingen kunnen opleveren voor gegevensbeschermingsautoriteiten. De toekomst zal uitwijzen hoe deze autoriteiten hiermee omgaan.
Bron: aternio
» Bekijk alle artikels: Privacy & Gegevensbescherming, IT & IP