Terwijl Cambridge Analytica, Facebook en de sleepnetwet genoeg media aandacht krijgen moet compliance met de AVG ondertussen ook nog worden geregeld. De Artikel 29 Werkgroep heeft de richtlijnen over het verwerken van persoonsgegevens in de context van profilering en geautomatiseerde individuele besluitvorming inmiddels aangepast, definitief gemaakt en staan ze klaar om te worden toegepast. In deze blog komen enkele opvallende punten uit de richtlijn aan bod.

Eind vorig jaar heeft de Artikel 29 Werkgroep (WP29), binnenkort de European Data Protection Board, conceptrichtlijnen gepubliceerd over de verwerking van persoonsgegevens via profilering en geautomatiseerde individuele besluitvorming in de context van de Algemene Verordening Gegevensbescherming (AVG). Inmiddels zijn de richtlijnen definitief en staan ze klaar om te worden toegepast (WP251, de richtlijnen kunt u hier nalezen).
De richtlijnen zijn niet onbelangrijk aangezien in de huidige data-gedreven economie de hoeveelheid persoonsgegevens rijkelijk toeneemt. Het internet, de groeiende mogelijkheden om persoonsgegevens aan elkaar te koppelen en ze te (her)gebruiken (denk o.a. aan Cambridge Analytica/Facebook) en het feit dat onze computers, mobieltjes, IoT-apparaten, etc. niet meer weg te denken zijn uit onze levens maakt profilering en geautomatiseerde beslissingsprocessen één van de grootste uitdagingen voor de rechten op privacy en gegevensbescherming.

Hoewel WP29 beseft dat het toepassen van profileringen en geautomatiseerde beslissingsprocessen voordelen kunnen opleveren zoals kosten- en tijdsbesparing, kunnen deze activiteiten ook negatieve gevolgen hebben. Zo kunnen rokers worden uitgesloten van specifieke verzekeringsvormen, kunnen hogere rentepercentages gelden voor leningen aan individuen uit woongebieden met relatief meer wanbetalers en kunnen individuen een hogere prijs te zien krijgen voor een dienst of product op basis van het gebruikte mobiele toestel of hun (koop)gedrag, zoals voor vliegtickets. De AVG moet individuen en groepen van dit soort negatieve gevolgen beschermen.

In deze blog behandelen we enkele opvallende aandachtspunten uit de richtlijn, die toepassing en interpretatie van specifieke bepalingen uit de AVG moeten verduidelijken:

  • Artikel 22 AVG: een verbod op verwerking of een recht dat moet worden uitgeoefend? De AVG bevat het recht voor betrokkenen om niet te worden onderworpen aan een uitsluitend op een geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan rechtsgevolgen zijn verbonden of dat de betrokkene op een andere wijze aanmerkelijk treft. WP29 geeft aan dat dit artikel moet worden gelezen als een verbod en niet als een recht waar gebruik van moet worden gemaakt. Hoewel EU-lidstaten dit wel eens anders interpreteren, houdt ook de Nederlandse wetgever deze visie aan.
  • Grondslag, rechtmatigheid en legitimiteit: er moet een grondslag bestaan voor een persoonsgegevensverwerking. Hierover zegt WP29 dat er rekening moet worden gehouden met het toekomstige gebruik en het combineren van persoonsgegevens en profielen, en met de grondslag voor gevoelige en bijzondere categorieën persoonsgegevens: door gegevens te combineren kunnen bijvoorbeeld bijzondere persoonsgegevens (zoals gezondheidsstatus en geloofsovertuiging) worden afgeleid of ontleend uit data die op het eerste gezicht geen gevoelige of bijzondere categorieën persoonsgegevens bevatten. Zodra deze situatie zich voordoet moet de verwerkingsverantwoordelijke in ieder geval controleren:
    – of de verwerking verenigbaar is met het eerste doel voor gegevensverwerking;
    – of er een grondslag bestaat voor de gecreëerde, ontleende of afgeleide persoonsgegevens; en
    – of de betrokkene geïnformeerd is over de verwerking van die persoonsgegevens.
  • Je moet er dus voor zorgen dat je medewerkers een dergelijke situatie kunnen identificeren en ervoor zorgen dat ze dan bijvoorbeeld de privacy officer of FG inschakelen om deze punten na te lopen.
  • Juistheid: één van de andere AVG beginselen is het juistheidsbeginsel. Deze moet altijd worden meegenomen in een verwerking en is des te belangrijker als er (geautomatiseerde) beslissingen worden genomen op basis van profielen of datasets. WP29 geeft aan dat gegevens juist en up-to-date moeten zijn tijdens alle stadia van een verwerking: tijdens het verzamelen en analyseren van data, en bij het bouwen en aanvullen van een profiel, waar later een beslissing op kan worden genomen.

Als het goed is wordt de juistheid van data in ieder geval gewaarborgd omdat betrokkenen hun rechten van inzage, correctie, etc., kunnen uitoefenen op zowel de brongegevens, die worden gebruikt om o.a. de profielen te bouwen, als op de gegevens die worden gecreëerd of worden afgeleid uit de data, zoals het profiel zelf. Hiernaast zal de verwerkingsverantwoordelijke profielen en algoritmes moeten controleren op (verborgen) vooroordelen (en deze elementen moeten verwijderen) en data tijdens gebruik en hergebruik moeten te controleren op juistheid.

  • Transparantie: betrokkenen moeten worden geïnformeerd over de verwerking en de bijbehorende rechten die zij hebben. Over profilering zegt WP29 dat een privacyverklaring ook informatie moet bevatten over het profiel dat van ze wordt gebouwd, zoals in welke segmenten of categorieën individuen worden geplaatst. Over geautomatiseerde individuele besluitvorming zegt WP29 dat betrokkenen op een simpele manier moeten worden geïnformeerd over de onderliggende logica of beslissingscriteria waar een besluit op wordt gebaseerd (zonder dat noodzakelijk bedrijfsgevoelige informatie wordt gedeeld). Hierbij moet je niet denken aan een complexe omschrijving van hoe een algoritme werkt, maar aan waardevolle informatie over de beslissingscriteria of logica zodat de betrokkene de redenering achter een besluit kan begrijpen en om hier bezwaar tegen te kunnen maken (zie ook hieronder). Daarnaast eist de AVG dat er informatie wordt gegeven over de verwachte gevolgen van een verwerking: WP29 zegt hierover dat ook dit stukje informatie waardevol en begrijpelijk moet zijn en dat de gevolgen echt en tastbaar moeten worden weergegeven, bijvoorbeeld door het te visualeren.
  • Recht op bezwaar: Over het recht op bezwaar benadrukt WP29 dat dit recht expliciet onder de aandacht moet worden gebracht en duidelijk en apart moet worden weergegeven in de informatievoorziening. Het moet bijvoorbeeld niet worden weggemoffeld in de algemene voorwaarden. Als een verwerking plaatsvindt voor direct marketing doeleinden, moet de verwerking direct stop worden gezet. Als de verwerking voor andere doeleinden wordt ingezet dan moet de verwerking in principe ook worden stopgezet, tenzij er zwaarwegende belangen zijn voor de verwerkingsverantwoordelijke die zwaarder wegen dan het belang, de rechten en vrijheden van de betrokkenen. Het ‘normale’ of commerciële belang van organisaties valt hier in principe niet onder, het moet namelijk gaan om “compelling legitimate interests”: het doeleinde en de verwerking moeten cruciaal zijn voor de organisatie. Systemen en platformen waarin gegevens worden verwerkt moeten de afhandeling van dit soort verzoeken natuurlijk ondersteunen.

Slot

Deze blog bespreekt enkele interessante aandachtspunten uit WP251 over de verwerking van persoonsgegevens via profileren en geautomatiseerde besluitvormingsprocessen. Deze punten zijn belangrijk omdat profileringen en geautomatiseerde individuele beslissingsprocessen een voorspellingselement kunnen bevatten die het risico op onjuistheden vergroot. Gebruikte en hergebruikte data kan onjuist, niet relevant zijn of uit context zijn gehaald. Hiernaast kan er iets mis zijn met de onderliggende logica of algoritme om een beslissing te nemen of om correlaties te vinden tussen data(sets). Daarom is het van belang dat betrokkenen snappen wat er gebeurd met hun gegevens, waar beslissingen of profielen op zijn gebaseerd en dat ze het recht hebben om bezwaar te maken tegen de verwerking van hun persoonsgegevens.

Let er op dat WP29 richtlijnen in principe worden gehandhaafd door nationale toezichthouders binnen de EU, waaronder ook door de Autoriteit Persoonsgegevens. Het is dus verstandig om rekening te houden met deze richtlijn.

Door: Wendy Tran


Terug naar het overzicht