Het gebruik van algoritmes door het bedrijfsleven is de laatste jaren sterk toegenomen. Steeds meer bedrijven zien hoe algoritmes hun bedrijfsprocessen een stuk efficiënter en goedkoper maken. Wanneer algoritmes persoonsgegevens verwerken, moeten bedrijven zich ervan bewust zijn dat ook de AVG van toepassing is. Uit de praktijk blijkt dat het vaak een lastige opgave is om te bepalen of deze algoritmes voldoen aan privacyregels. Dit blog beschrijft de risico’s die bestaan bij het gebruik van algoritmes en welke regels hiervoor gelden.
Een voorbeeld van algoritmische besluitvorming
Het onderwerp laat zich het makkelijkst illustreren door eerst een voorbeeld te geven. Neem bijvoorbeeld banken en kredietverstrekkers. Zij gebruiken steeds vaker algoritmes om de kredietwaardigheid van hun klanten te toetsen bij de aanvraag van een lening. Een groot voordeel is dat de besluitvorming rond de lening veel sneller gaat. Klanten weten binnen no-time of ze in aanmerking komen voor een lening en de bank kan het natuurlijk met veel minder personeel af. Een slim algoritme maakt menselijke tussenkomst immers grotendeels onnodig.
Biedt een algoritme in zo’n geval alleen voordelen? Als de lening wordt toegewezen, zal de klant niet klagen. Maar wat als zijn aanvraag wordt afgewezen? Dan wil hij natuurlijk graag weten hoe dat besluit tot stand is gekomen. Het is aan de bank om in dat geval transparant en begrijpelijk te motiveren waarom. De vraag is alleen of dat in de praktijk bij alle algoritmes lukt. Uit wetenschappelijk onderzoek blijkt namelijk dat algoritmische systemen soms ondoorzichtige, maar ook oneerlijke, bevooroordeelde en zelfs discriminatoire uitkomsten kunnen genereren. Hoe kan dat?
Risico’s bij het gebruik van algoritmes
Ten eerste kan de dataset waarmee het algoritme werkt biases van de programmeurs bevatten. De gegevens die aan de basis liggen van een algoritme zijn vaak de persoonlijke keuzes van de programmeurs. Op die manier kunnen persoonlijke normen en waarden onbedoeld invloed hebben op het algoritme. Zo kan een algoritme dus toch een subjectief karakter krijgen, terwijl een neutraal algoritme het uitgangspunt moet zijn.
Bovendien zijn sommige algoritmes zo complex, dat het zelfs voor de mensen die ermee werken onduidelijk is waarom het algoritme een bepaalde uitkomst geeft. Men heeft het dan ook wel over een black box. Wanneer zo’n complex en ondoorzichtig algoritme daarbij ook nog eens persoonsgegevens verwerkt, heeft een betrokkene geen zicht meer op wat er met zijn persoonsgegevens gebeurt. Dit is in strijd met het transparantiebeginsel van de AVG. Het moet voor een betrokkene namelijk duidelijk zijn op welke wijze een organisatie zijn persoonsgegevens verwerkt.
Als organisatie wil je natuurlijk voorkomen dat algoritmes onbedoeld gaan discrimineren of ondoorzichtig worden. De Autoriteit Persoonsgegevens (‘AP’) heeft onlangs opnieuw benadrukt dat de AVG ook van toepassing is op algoritmes die persoonsgegevens verwerken. Aangezien de AP hoge boetes kan geven bij overtredingen van de AVG, is het belangrijk hier ook echt aan te voldoen. Waar moet je vooral op letten?
Regels die de AVG stelt aan algoritmes
Algoritmes beoordelen regelmatig systematisch en uitgebreid persoonlijke aspecten van betrokken en evalueren deze op basis van geautomatiseerde verwerking. Daarom moet je allereerst bepalen of sprake is van geautomatiseerde besluitvorming in de zin van de AVG en of het algoritme besluiten neemt die de betrokkene in aanmerkelijke mate treft of rechtsgevolgen heeft. Het nemen van zulke geheel geautomatiseerde besluiten (zonder menselijke tussenkomst) is in beginsel verboden, tenzij een beroep kan worden gedaan op een van de uitzonderingen. Zie voor meer informatie hierover de blog van Lora Mourcous.
Data Protection Impact Assessment verplicht
Bij het gebruik van algoritmische systemen is een Data Protection Impact Assesment (‘DPIA’) in veel gevallen verplicht, zie onder andere deze lijst. Bij de op de lijst genoemde verwerkingen gevallen vereist de AVG altijd een DPIA. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking te inventariseren. Het is een uitvoerig onderzoek dat bestaat uit verschillende onderdelen. Zo moet er een systematische beschrijving van de beoogde verwerkingen en verwerkingsdoeleinden worden gegeven. Dit betekent dat onderbouwd moet worden waarom bepaalde persoonsgegevens worden gebruikt voor een algoritme, wat het doel van het algoritme is en waarom het voor een organisatie nodig is om het algoritme te gebruiken.
Bovendien moet een DPIA in kaart brengen welke risico’s kunnen ontstaan voor de rechten en vrijheden van personen. Bij het ontwerp van het algoritme is het dus belangrijk om deze risico’s zoveel mogelijk te voorkomen en matigen door het nemen van gepaste waarborgen en maatregelen. Je moet dus hard kunnen maken hoe het algoritme fair blijft functioneren en welke maatregelen je neemt, mocht een algoritme toch onbedoeld oneerlijke uitkomsten gaan geven. Het kan daarom bijvoorbeeld nuttig zijn om een algoritme regelmatig door een deskundige derde te laten controleren en de uitkomsten vast te leggen. Een soort periodieke controle voor algoritmes dus. Wanneer de verwerking van persoonsgegevens een hoog risico oplevert, is het belangrijk altijd voldoende maatregelen te nemen. Als dit niet lukt dan ben je als organisatie verplicht eerst te overleggen met de AP, voordat het algoritme operationeel kan worden.
Rechten van betrokkenen
Als is vastgesteld dat het algoritme ingezet mag worden, geldt dat de rechten van betrokkenen moeten worden gewaarborgd. Betrokkenen hebben namelijk op grond van de AVG het recht om controle uit te oefenen over de verwerking van hun persoonsgegevens. Bijvoorbeeld door middel van het inzagerecht, het recht op vergetelheid, en het recht om bezwaar te maken tegen de gegevensverwerking. Het is daarom raadzaam de organisatie en bedrijfsprocessen rondom het algoritme op een slimme manier in te richten, zodat je dat soort verzoeken van betrokkenen snel kunt afhandelen. Bovendien ben je dat als organisatie ook verplicht.
Verder bepaalt de AVG dat de verwerking van persoonsgegevens op een “behoorlijke” manier moet gebeuren. In het geval van algoritmes betekent dit dat een verwerkingsverantwoordelijke zeer actief moet verantwoorden en motiveren waarom het algoritme fair is. Ook mag het gebruik niet leiden tot onbehoorlijke uitkomsten. Of dit het geval is, hangt af van veel verschillende omstandigheden. Het is daarom vaak een complexe beoordeling die veel specialistische kennis vereist. Bij self-learning algoritmes is deze beoordeling nog lastiger, omdat steeds nieuwe inzichten van het algoritme aan de basis liggen van uitkomsten. Blijf dus zorgdragen voor een actieve verantwoording die ook het veranderende algoritme toetst op fairness en documenteer het proces.
Tot slot
Aan algoritmes die persoonsgegevens verwerken, worden de nodige eisen gesteld. Organisaties doen er dus goed aan om deze algoritmes tegen de AVG-eisen aan te (blijven) houden. In deze blog zijn enkele eisen benoemd, maar afhankelijk van de situatie kunnen aanvullende regels relevant zijn. Heb je vragen over algoritmes en regels over de verwerking van persoonsgegevens? Neem dan contact met ons op.
Deze blog is geschreven door Lukas Pannekoek en Micha Schimmel
