Print:

Algoritmes en privacy, waar moet je op letten?

Eva de Vries , Advocaat - Data Protection and Privacy CIPP/E

LinkedIn profiel

Algoritmes worden op steeds grotere schaal en door steeds meer organisaties toegepast. Voor het toepassen van algoritmes en geautomatiseerde besluitvorming gelden specifieke verplichtingen uit de AVG en UAVG. Maar welke zijn dat en hoe gaan organisaties hier praktisch mee om? We vroegen het aan privacy expert Eva de Vries, advocaat bij SOLV advocaten. Eva gaat hieronder in op een aantal belangrijke privacy rechtelijke aspecten van algoritmes en geautomatiseerde besluitvorming.

Efficiënter en goedkoper

In het bedrijfsleven als in de publieke sector is het gebruik van algoritmes enorm toegenomen. Algoritmes kunnen data-intensieve organisaties een stuk efficiënter en goedkoper maken. Vaak worden door middel van algoritmes persoonsgegevens verwerkt. Organisaties die gebruik maken van zulke algoritmes moeten in dat geval rekening houden met specifieke verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).

Algemene AVG-beginselen

Een algoritme is in feite een instructie aan een computer om op basis van een grote hoeveelheid persoonsgegevens een probleem op te lossen en een beslissing te nemen. Uit de AVG volgt dat het daarbij wel van belang is dat voorafgaand aan de inzet van een algoritme wordt bepaald welk probleem wordt opgelost en welke persoonsgegevens hiervoor nodig zijn. Dat de instructie moet passen bij dit probleem vloeit onder andere voort uit de algemene beginselen van rechtmatigheid, doelbinding en gegevensminimalisatie.

Een bekend voorbeeld waarbij niet was voldaan aan de algemene beginselen is de toeslagenaffaire. Afgelopen zomer publiceerde de Autoriteit Persoonsgegevens (AP) de resultaten van haar onderzoek in deze zaak. De AP oordeelde dat de Belastingdienst niet stelselmatig de tweede nationaliteit van de aanvragers had mogen registreren. Voor het recht op toeslag is alleen relevant of de aanvrager Nederlander is of niet. Het registeren van de tweede nationaliteit diende dus geen enkel doel bij het beoordelen van aanvragen. Daarnaast is dit gegeven ook niet noodzakelijk voor de opsporing van georganiseerde fraude. De AP concludeerde dat de verwerkingen door de Belastingdienst onrechtmatig, discriminerend en onbehoorlijk waren en dat de Belastingdienst in strijd handelde met de algemene beginselen uit de AVG.

Geautomatiseerde besluitvorming

Naast het beperken van de hoeveelheid data, stelt de AVG specifieke eisen aan het geautomatiseerd nemen van besluiten over een natuurlijke persoon (betrokkene). Het nemen van zulke besluiten zonder menselijke tussenkomst is meestal verboden. Een organisatie mag alleen een automatisch besluit over een betrokkene nemen als dit noodzakelijk is om een overeenkomst te sluiten of uit te voeren, als dit in een specifieke wet geregeld is of als de betrokkene hiervoor uitdrukkelijke toestemming heeft gegeven.

Transparantie

In de AVG is opgenomen welke informatie een organisatie aan betrokkenen moet verstrekken over het verwerken van persoonsgegevens. Zo is het onder andere verplicht om kenbaar te maken dat er door middel van het algoritme profielen van betrokkenen worden gemaakt om hen gepersonaliseerde aanbiedingen te kunnen doen of geautomatiseerde besluiten worden genomen. Daarbij moet in bepaalde gevallen ook duidelijke informatie worden gegeven over de onderliggende logica van het algoritme, het belang van de verwerking en de (verwachte) gevolgen voor de betrokkene.

DPIA

Voorafgaand aan het gebruik van een algoritme dat persoonsgegevens verwerkt zal moeten worden onderzocht of het verplicht is om een Data Protection Impact Assesment (‘DPIA’) uit te voeren. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking te inventariseren en is bijvoorbeeld verplicht wanneer er profielen van betrokkenen worden gemaakt ten behoeve van gepersonaliseerde aanbiedingen. Als onderdeel van de DPIA moet onderbouwd worden waarom bepaalde persoonsgegevens worden gebruikt voor een algoritme, wat het doel van het algoritme is en waarom het voor een organisatie nodig is om het algoritme te gebruiken. In de DPIA moet ook een analyse worden gemaakt van de privacyrisico’s voor betrokkenen. Bij het ontwerp van een algoritme zal de organisatie die dit wil inzetten moeten nadenken over de maatregelen die ervoor zorgen dat het algoritme juiste en evenwichtige uitkomsten geeft. Het kan bijvoorbeeld nodig zijn om steekproefsgewijs de uitkomsten van het algoritme te toetsen en de uitkomsten hiervan vast te leggen.

Tot slot

De AVG bevat een aantal bepalingen die specifiek voor algoritmes van belang zijn. Voorafgaand aan het gebruik van een algoritme zal zorgvuldig moeten worden onderzocht wat het doel is van het inzetten hiervan en op welke wijze persoonsgegevens worden verwerkt. De AP ziet toe op de naleving van de AVG en heeft het toezicht op algoritmes hoog op haar agenda staan.

Meer weten? In de online Actualiteitenreeks Next step privacy compliance leert u over de laatste stand van zaken en ontwikkelingen rond algoritme, AI en verplichtingen uit wet- en regelgeving

Verder lezen?

Laat uw e-mail achter en ontvang de brochure: Next step privacy compliance, direct in uw mailbox.