Regulating risk profiling by law enforcement:A task for data protection law, non-discrimination law and criminal procedural law

The dissertation explores the collection and analysis of data by actors in the domain of criminal law (such as the police and public prosecution), focusing on risk profiles. Risk profiles can for example be used to predict that someone will commit crime, used to find suspects, or used to see in which areas crime will be committed. While techniques such as risk profiling bring possibilities mostly in terms of efficiency, they also fundamentally shift the relationship with data and people. For example, now more attention is paid to finding pattern in data instead of focusing on individual behaviour, or the police intervene earlier and try to prevent criminal acts from happening, and the focus is more on groups in society rather than individuals. These shifts can be seen in the broader idea that exists that the more data we have, the more we can prevent things from happening (such as crime). While this approach creates tensions with legal dimension, with how we protect fundamental rights of people. For example, the large amounts of data that are collected can violate peoples privacy, or the way in which profiles are used by the police can be discriminatory.The research question of the dissertation is: How does the regulatory framework comprising of European data protection law, European non-discrimination law and Dutch criminal procedural law, regulate risk profiling conducted by national law enforcement actors and to what extent does it provide adequate fundamental rights protection to those subject to the risk profiling?This dissertation assessed the regulation of risk profiling conducted by national law enforcement actors (mostly the police) under European data protection law, European non-discrimination law and Dutch criminal procedural law. And thus added something new to existing research by combining three different areas of law.The research exposed problems in each of these three areas of law when it comes to protecting fundamental rights. For example, the law might protect the interests of individuals, but sometimes it’s groups that are discriminated against, not individuals. Or the law does not say clearly how it regulates risk profiles, what is the status of such a thing under the law? It is also very difficult to see exactly on what basis people might be discriminated against, as risk profiles are based on a very complex analysis that is not transparent, and that can show new characteristics about people that the law did not take into account. At the same time, especially when we look at criminal procedural law, there are still a lot of aspects of collection and analysis of data by the police that are not arranged in the law yet, and create a lot of unclarity and uncertainty.This dissertation proposes four groups of recommendations to create solutions to close gaps in the law and or remove unclarity. These categories are: a better regulation of oversight, specific regulation of ‘contextuality’, more regulation of data analysis, and regulation of profiling beyond the individual interest also looking at groups. The categories of recommendations overlap with one another, as some recommendations contribute towards more than one of the overarching categories. Ultimately, the categories are bound together by the idea of practical alignment, meaning that in practice these solutions also need to be aligned especially between different actors and different fields of law._Het proefschrift onderzoekt het verzamelen en analyseren van data door actoren in het domein van het strafrecht (zoals de politie en het openbaar ministerie), met de nadruk op risicoprofielen. Risicoprofielen kunnen bijvoorbeeld worden gebruikt om te voorspellen dat iemand een misdaad zal plegen, om verdachten te vinden, of om te zien in welke gebieden misdaad zal worden gepleegd. Hoewel technieken zoals risicoprofilering mogelijkheden bieden, vooral in efficiëntie, verschuiven ze ook fundamenteel de relatie met gegevens en met mensen. Er wordt nu bijvoorbeeld meer aandacht besteed aan het vinden van patronen in gegevens in plaats van te focussen op individueel gedrag, of de politie grijpt eerder in en probeert criminele handelingen te voorkomen, en de focus ligt meer op groepen in de samenleving in plaats van op individuen. Deze verschuivingen kunnen worden gezien in het bredere idee dat bestaat dat hoe meer gegevens we hebben, hoe meer we kunnen voorkomen dat onwenselijke dingen gebeuren (zoals criminaliteit). Echter, deze benadering levert mogelijk spanningen op met de juridische dimensie, met hoe we fundamentele rechten van mensen beschermen. De grote hoeveelheden gegevens die worden verzameld, kunnen bijvoorbeeld de privacy van mensen schenden, of de manier waarop profielen door de politie worden gebruikt kan discriminerend zijn.De onderzoeksvraag van het proefschrift luidt: Hoe reguleert het wetgevend kader, bestaande uit Europees gegevensbeschermingsrecht, Europees non-discriminatierecht en Nederlands strafprocesrecht, risicoprofilering uitgevoerd door nationale rechtshandhavingsactoren en in hoeverre biedt het adequate grondrechtenbescherming aan degenen die onderworpen zijn van risicoprofilering?In dit proefschrift is de regulering van risicoprofilering door nationale rechtshandhavingsactoren (meestal de politie) getoetst aan het Europese gegevensbeschermingsrecht, het Europese non-discriminatierecht en het Nederlandse strafprocesrecht. Daarmee heeft het onderzoek iets nieuws toegevoegd aan bestaand onderzoek op dit gebied, door drie verschillende rechtsgebieden te combineren.Het onderzoek legde problemen bloot in elk van deze drie rechtsgebieden als het gaat om het beschermen van grondrechten. De wet kan bijvoorbeeld de belangen van individuen beschermen, maar soms zijn het groepen die worden gediscrimineerd, niet individuen. Of de wet zegt niet duidelijk hoe ze risicoprofielen regelt, wat is de status van zoiets onder de wet? Het is ook erg moeilijk om precies te zien op welke basis mensen gediscrimineerd kunnen worden, omdat risicoprofielen gebaseerd zijn op een zeer complexe analyse die niet transparant is en die nieuwe kenmerken van mensen kan laten zien waar de wet geen rekening mee heeft gehouden. Tegelijkertijd zijn er, vooral als we kijken naar het strafprocesrecht, nog steeds veel aspecten van het verzamelen en analyseren van gegevens door de politie die nog niet expliciet in de wet zijn geregeld en die voor veel onduidelijkheid en onzekerheid zorgen.Dit proefschrift stelt vier groepen aanbevelingen voor om oplossingen te creëren om gaten in de wet te dichten of onduidelijkheid weg te nemen. Deze categorieën zijn: een betere regulering van toezicht, specifieke regulering van 'contextualiteit', meer regulering van data-analyse, en regulering van profilering buiten het individuele belang om ook kijkend naar groepen. De categorieën van aanbevelingen overlappen elkaar, aangezien sommige aanbevelingen bijdragen aan meer dan één van de overkoepelende categorieën. Uiteindelijk worden de categorieën met elkaar verbonden door het idee van praktische afstemming, wat betekent dat deze oplossingen in de praktijk ook op elkaar moeten worden afgestemd, vooral tussen verschillende actoren en verschillende rechtsgebieden

Regulating risk profiling by law enforcement:A task for data protection law, non-discrimination law and criminal procedural law

The dissertation explores the collection and analysis of data by actors in the domain of criminal law (such as the police and public prosecution), focusing on risk profiles. Risk profiles can for example be used to predict that someone will commit crime, used to find suspects, or used to see in which areas crime will be committed. While techniques such as risk profiling bring possibilities mostly in terms of efficiency, they also fundamentally shift the relationship with data and people. For example, now more attention is paid to finding pattern in data instead of focusing on individual behaviour, or the police intervene earlier and try to prevent criminal acts from happening, and the focus is more on groups in society rather than individuals. These shifts can be seen in the broader idea that exists that the more data we have, the more we can prevent things from happening (such as crime). While this approach creates tensions with legal dimension, with how we protect fundamental rights of people. For example, the large amounts of data that are collected can violate peoples privacy, or the way in which profiles are used by the police can be discriminatory.The research question of the dissertation is: How does the regulatory framework comprising of European data protection law, European non-discrimination law and Dutch criminal procedural law, regulate risk profiling conducted by national law enforcement actors and to what extent does it provide adequate fundamental rights protection to those subject to the risk profiling?This dissertation assessed the regulation of risk profiling conducted by national law enforcement actors (mostly the police) under European data protection law, European non-discrimination law and Dutch criminal procedural law. And thus added something new to existing research by combining three different areas of law.The research exposed problems in each of these three areas of law when it comes to protecting fundamental rights. For example, the law might protect the interests of individuals, but sometimes it’s groups that are discriminated against, not individuals. Or the law does not say clearly how it regulates risk profiles, what is the status of such a thing under the law? It is also very difficult to see exactly on what basis people might be discriminated against, as risk profiles are based on a very complex analysis that is not transparent, and that can show new characteristics about people that the law did not take into account. At the same time, especially when we look at criminal procedural law, there are still a lot of aspects of collection and analysis of data by the police that are not arranged in the law yet, and create a lot of unclarity and uncertainty.This dissertation proposes four groups of recommendations to create solutions to close gaps in the law and or remove unclarity. These categories are: a better regulation of oversight, specific regulation of ‘contextuality’, more regulation of data analysis, and regulation of profiling beyond the individual interest also looking at groups. The categories of recommendations overlap with one another, as some recommendations contribute towards more than one of the overarching categories. Ultimately, the categories are bound together by the idea of practical alignment, meaning that in practice these solutions also need to be aligned especially between different actors and different fields of law._Het proefschrift onderzoekt het verzamelen en analyseren van data door actoren in het domein van het strafrecht (zoals de politie en het openbaar ministerie), met de nadruk op risicoprofielen. Risicoprofielen kunnen bijvoorbeeld worden gebruikt om te voorspellen dat iemand een misdaad zal plegen, om verdachten te vinden, of om te zien in welke gebieden misdaad zal worden gepleegd. Hoewel technieken zoals risicoprofilering mogelijkheden bieden, vooral in efficiëntie, verschuiven ze ook fundamenteel de relatie met gegevens en met mensen. Er wordt nu bijvoorbeeld meer aandacht besteed aan het vinden van patronen in gegevens in plaats van te focussen op individueel gedrag, of de politie grijpt eerder in en probeert criminele handelingen te voorkomen, en de focus ligt meer op groepen in de samenleving in plaats van op individuen. Deze verschuivingen kunnen worden gezien in het bredere idee dat bestaat dat hoe meer gegevens we hebben, hoe meer we kunnen voorkomen dat onwenselijke dingen gebeuren (zoals criminaliteit). Echter, deze benadering levert mogelijk spanningen op met de juridische dimensie, met hoe we fundamentele rechten van mensen beschermen. De grote hoeveelheden gegevens die worden verzameld, kunnen bijvoorbeeld de privacy van mensen schenden, of de manier waarop profielen door de politie worden gebruikt kan discriminerend zijn.De onderzoeksvraag van het proefschrift luidt: Hoe reguleert het wetgevend kader, bestaande uit Europees gegevensbeschermingsrecht, Europees non-discriminatierecht en Nederlands strafprocesrecht, risicoprofilering uitgevoerd door nationale rechtshandhavingsactoren en in hoeverre biedt het adequate grondrechtenbescherming aan degenen die onderworpen zijn van risicoprofilering?In dit proefschrift is de regulering van risicoprofilering door nationale rechtshandhavingsactoren (meestal de politie) getoetst aan het Europese gegevensbeschermingsrecht, het Europese non-discriminatierecht en het Nederlandse strafprocesrecht. Daarmee heeft het onderzoek iets nieuws toegevoegd aan bestaand onderzoek op dit gebied, door drie verschillende rechtsgebieden te combineren.Het onderzoek legde problemen bloot in elk van deze drie rechtsgebieden als het gaat om het beschermen van grondrechten. De wet kan bijvoorbeeld de belangen van individuen beschermen, maar soms zijn het groepen die worden gediscrimineerd, niet individuen. Of de wet zegt niet duidelijk hoe ze risicoprofielen regelt, wat is de status van zoiets onder de wet? Het is ook erg moeilijk om precies te zien op welke basis mensen gediscrimineerd kunnen worden, omdat risicoprofielen gebaseerd zijn op een zeer complexe analyse die niet transparant is en die nieuwe kenmerken van mensen kan laten zien waar de wet geen rekening mee heeft gehouden. Tegelijkertijd zijn er, vooral als we kijken naar het strafprocesrecht, nog steeds veel aspecten van het verzamelen en analyseren van gegevens door de politie die nog niet expliciet in de wet zijn geregeld en die voor veel onduidelijkheid en onzekerheid zorgen.Dit proefschrift stelt vier groepen aanbevelingen voor om oplossingen te creëren om gaten in de wet te dichten of onduidelijkheid weg te nemen. Deze categorieën zijn: een betere regulering van toezicht, specifieke regulering van 'contextualiteit', meer regulering van data-analyse, en regulering van profilering buiten het individuele belang om ook kijkend naar groepen. De categorieën van aanbevelingen overlappen elkaar, aangezien sommige aanbevelingen bijdragen aan meer dan één van de overkoepelende categorieën. Uiteindelijk worden de categorieën met elkaar verbonden door het idee van praktische afstemming, wat betekent dat deze oplossingen in de praktijk ook op elkaar moeten worden afgestemd, vooral tussen verschillende actoren en verschillende rechtsgebieden

Determining the scope of exemptions from data subjects’ rights to process tax data

Case C‑201/14 Smaranda Bara and Others [2015] For a public institution to be exempted on the basis of Article 13 of Directive 95/46/EC from complying with data subjects’ rights under the Directive, a legislative measure is required. A non-public protocol is not sufficient to qualify a legislative measure (author’s headnote). Articles 10, 11, and 13 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ 1995 L 281, 31

A ‘no’ to data retention in the Netherlands

Case C/09/480009 / KG ZA 14/1575, Privacy First cs vs. the Dutch State, 11 March 2015, ECLI:NL:RBDHA:2015:2498 The summary proceedings judge of The Hague has declared the ‘Wet bewaarplicht telecommunicatiegegevens’ non-binding. This law obliges providers of telephone services and internet services to store traffic data and location data of the users. The law infringes the respect for private and family life and the protection of personal data. The judge considers this infringement not be limited to what is strictly necessary (the official head note translated by the author)