Algoritmes en privacy, waar moet je op letten?

Algoritmes worden op steeds grotere schaal en door steeds meer organisaties toegepast. Voor het toepassen van algoritmes en geautomatiseerde besluitvorming gelden specifieke verplichtingen uit de AVG en UAVG. Maar welke zijn dat en hoe gaan organisaties hier praktisch mee om? We vroegen het aan privacy expert Eva de Vries, voorheen advocaat bij SOLV advocaten. Eva gaat hieronder in op een aantal belangrijke privacy rechtelijke aspecten van algoritmes en geautomatiseerde besluitvorming.

Algoritmes efficiënter en goedkoper

In het bedrijfsleven als in de publieke sector is het gebruik van algoritmes enorm toegenomen. Algoritmes kunnen data-intensieve organisaties een stuk efficiënter en goedkoper maken. Vaak worden door middel van algoritmes persoonsgegevens verwerkt. Organisaties die gebruik maken van zulke algoritmes moeten in dat geval rekening houden met specifieke verplichtingen uit de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).

Algemene AVG-beginselen

Een algoritme is in feite een instructie aan een computer om op basis van een grote hoeveelheid persoonsgegevens een probleem op te lossen en een beslissing te nemen. Uit de AVG volgt dat het daarbij wel van belang is dat voorafgaand aan de inzet van een algoritme wordt bepaald welk probleem wordt opgelost en welke persoonsgegevens hiervoor nodig zijn. Dat de instructie moet passen bij dit probleem vloeit onder andere voort uit de algemene beginselen van rechtmatigheid, doelbinding en gegevensminimalisatie.

Een bekend voorbeeld waarbij niet was voldaan aan de algemene beginselen is de toeslagenaffaire. Afgelopen zomer publiceerde de Autoriteit Persoonsgegevens (AP) de resultaten van haar onderzoek in deze zaak. De AP oordeelde dat de Belastingdienst niet stelselmatig de tweede nationaliteit van de aanvragers had mogen registreren. Voor het recht op toeslag is alleen relevant of de aanvrager Nederlander is of niet. Het registeren van de tweede nationaliteit diende dus geen enkel doel bij het beoordelen van aanvragen. Daarnaast is dit gegeven ook niet noodzakelijk voor de opsporing van georganiseerde fraude. De AP concludeerde dat de verwerkingen door de Belastingdienst onrechtmatig, discriminerend en onbehoorlijk waren en dat de Belastingdienst in strijd handelde met de algemene beginselen uit de AVG.

Geautomatiseerde besluitvorming

Naast het beperken van de hoeveelheid data, stelt de AVG specifieke eisen aan het geautomatiseerd nemen van besluiten over een natuurlijke persoon (betrokkene). Het nemen van zulke besluiten zonder menselijke tussenkomst is meestal verboden. Een organisatie mag alleen een automatisch besluit over een betrokkene nemen als dit noodzakelijk is om een overeenkomst te sluiten of uit te voeren, als dit in een specifieke wet geregeld is of als de betrokkene hiervoor uitdrukkelijke toestemming heeft gegeven.

Transparantie van algoritmes

In de AVG is opgenomen welke informatie een organisatie aan betrokkenen moet verstrekken over het verwerken van persoonsgegevens. Zo is het onder andere verplicht om kenbaar te maken dat er door middel van het algoritme profielen van betrokkenen worden gemaakt om hen gepersonaliseerde aanbiedingen te kunnen doen of geautomatiseerde besluiten worden genomen. Daarbij moet in bepaalde gevallen ook duidelijke informatie worden gegeven over de onderliggende logica van het algoritme, het belang van de verwerking en de (verwachte) gevolgen voor de betrokkene.