Auteur archieven: Helen Hukshorn

Profilering en geautomatiseerde besluiten: een te groot risico?

Door: Marlies van Eck

Handelsinformatiebureaus die adviseren of iemand wel of geen lening krijgt. Het is een advies gebaseerd op basis van gedragingen van andere consumenten en op basis van allerlei persoonsgegevens. Door de uitspraken in de SCHUFA-zaken van het Europees Hof van Justitie komt deze praktijk in een ander daglicht te staan.

SCHUFA verkoopt in Duitsland kredietwaardigheidsbeoordelingen aan banken en andere financiële instellingen. Dit gebeurt op basis van allerlei gegevens uit openbare bronnen en door middel van een creditscore. Hoe SCHUFA de score berekent, is niet bekend. Dit noemt men ‘bedrijfsgeheim’. Ook bewaart SCHUFA de gegevens drie jaar. Dit is aanmerkelijk langer dan de bewaartermijn die rust op het openbare register waaruit de gegevens komen. In een rechtszaak hierover grijpt de Europese rechter in:

  1. De persoonsgegevens langer bewaren dan de zes maanden die geldt voor de bron, het openbaar register, mag niet.
  2. De rechter vindt dat de creditscore een geautomatiseerd individueel besluit is zoals bedoeld in artikel 22 AVG. Daarom moet Duitsland goede regelgeving hebben. Als die regelgeving geen rekening houdt met de extra waarborgen van de AVG, handelt het bedrijf zonder rechtsgrond en schendt het artikel 22 AVG.

De uitspraak heeft ook gevolgen voor het verzamelen van gegevens zonder directe aanleiding, het bewaren van gegevens en gebruiken van statistische profielen en scores in Nederland.

Iedere inwoner van Duitsland ‘in SCHUFA’

In Duitsland gebruiken veel instellingen de diensten van SCHUFA. Dit is een bedrijf gespecialiseerd in het beoordelen van kredietwaardigheid van met name consumenten. Zoals hun eigen website (zie hier) al vermeldt, staat bijna iedere inwoner van Duitsland wel ‘in SCHUFA’. Op de vraag hoe je een goede SCHUFA-score krijgt, staat als antwoord dat het afhankelijk is van verschillende factoren maar dat het bijzonder belangrijk is om je rekeningen op tijd te betalen (!). Advies van SCHUFA: lees hier.  

Om de kredietwaardigheid te beoordelen, maakt SCHUFA kredietscores. Op basis van bepaalde kenmerken van een persoon en aan de hand van een wiskundig-statistische methode wordt een voorspelling gedaan over de waarschijnlijkheid van diens toekomstig gedrag (‘score’), zoals de terugbetaling van een lening. Het vaststellen van scores is gebaseerd op de veronderstelling dat een soortgelijk gedrag kan worden voorspeld door een persoon in te delen bij een groep van andere personen met vergelijkbare kenmerken die zich op een bepaalde manier hebben gedragen. Dit is een andere werkwijze dan het BKR. BKR werkt met het vastleggen van schulden en het terugbetalingsgedrag. De persoonsgegevens die gebruikt worden voor de berekening zijn onder meer afkomstig uit een openbaar insolventieregister. Op basis van Duitse wetgeving geldt voor dit register een bewaartermijn van 6 maanden.

schematisch overzicht SCHUFA werkwijze

SCHUFA geeft geen nadere uitleg en weigert persoonsgegevens te wissen

Toen consumenten hun persoonsgegevens bij SCHUFA wilden inzien en gewist wilden hebben, gaf SCHUFA wel hun individuele scoreniveaus. Ook gaf SCHUFA in grote lijnen aan hoe de scores worden berekend. Zij weigert verdere informatie. Dit zou een inbreuk zijn op het bedrijfsgeheim. Ook vindt SCHUFA dat niet zij, maar de instellingen aan wie zij de adviezen rond kredietwaardigheid geven, de eigenlijke contractuele besluiten namen. SCHUFA weigert ook om de persoonsgegevens die verkregen waren uit openbare registers te wissen. Ze beroept zich op een bewaartermijn van 3 jaar.

De Europese rechter over deze kwestie

De Duitse rechter stelde vragen aan het Europees Hof van Justitie. Er zijn twee uitspraken: het arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C 26/22 en C 64/22, ECLI:EU:C:2023:958 (lees hier); en het arrest van 7 december 2023, SCHUFA Holding, C-634/21, ECLI:EU:C:2023:957 (lees hier). Het Europees Hof van Justitie antwoordde als volgt:

  1. De creditscore is een geautomatiseerd besluit als bedoeld in 22 AVG ook al verleent SCHUFA zelf geen leningen. Dit betekent dat de creditscore niet mag, tenzij voldaan is aan extra waarborgen.
  2. Het langer bewaren dan de termijn die geldt voor de bron van de gegevens, het nationale solventieregister, mag niet.
  3. De Duitse rechter moet nagaan of de Duitse wetgeving voor het beoordelen van kredietwaardigheid voldoet aan de eisen van de AVG.
  4. Ook moet de Duitse rechter beoordelen of het rechtmatig is dat de persoonsgegevens parallel aan het openbaar register bewaard worden. Dit is een inmenging in de rechten beschermd door de artikelen 7 en 8 van het Handvest van de grondrechten voor de Europese Unie. De persoonsgegevens worden dan namelijk in verschillende bronnen verwerkt.

Gevolgen voor Nederland

Met deze uitspraak zijn mensen die een telefoonabonnement of andere financiële verplichting willen aangaan, beter beschermd dan voorheen. Het is nu duidelijk dat er een verbod geldt: het is verboden om op basis van profilering geautomatiseerde beslissingen te nemen met juridische of andere gevolgen voor betrokkenen. Dit verbod kan alleen worden doorbroken als er wetgeving komt of als aangetoond wordt dat de profilering noodzakelijk is voor de totstandkoming van een overeenkomst. Profilering lijkt niet noodzakelijk om de overeenkomst aan te gaan. Het is een optie om aan de persoon zelf te vragen wat de lopende schulden zijn. Ook maakt de rechter duidelijk dat artikel 5 en 6 van de AVG ook betrokken moeten worden. Dit betekent dat de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant moet zijn en dat er een grondslag voor het verwerken van de persoonsgegevens is.

Ook voor de overheid heeft deze uitspraak gevolgen. Bij allerlei taken zoals het verlenen van kwijtschelding, het innen van boeten en opschorten van betalingen worden risicomodellen gehanteerd. Het zou kunnen dat deze werkwijzen onder het verbod vallen. Of dit zo is, zal afhangen van het feitelijke gebruik van het risicomodel. Daarbij is vooral van belang dat de Europese rechter expliciet let op lacunes in de rechtsbescherming. En niet moet de rechter hierop letten, maar er ook voor zorgen dat deze vervolgens gedicht worden. In een evaluatie van de UAVG constateerden we al dat er nu hiaten lijken te zijn. Zie pagina 199 en 120 van ons rapport: hier. De lijn van de Europese rechter volgend, is denkbaar dat de rechter het hiaat in lijn met de beginselen van de AVG gaat opvullen.

Is de kredietscore van SCHUFA een geautomatiseerd besluit in de zin van artikel 22 AVG ondanks dat SCHUFA geen beslissing neemt om wel of geen lening te verstrekken?

Ja, zegt het Europees Hof van Justitie. De rechter stelt vast dat voldaan is aan de 3 cumulatieve eisen

  1.  Er is een besluit. Dat is de berekening van de solvabiliteit door een waarschijnlijkheidswaarde (probability value).
  2. Het is uitsluitend geautomatiseerd tot stand gekomen en valt in de categorie profilering. Dit komt omdat de persoonsgegevens van een consument worden gebruikt en het een geautomatiseerde vaststelling van een waarschijnlijkheidswaarde is.
  3. Het besluit heeft rechtsgevolgen of treft de betrokkene in aanmerkelijke mate. Het maakt hierbij niet uit dat SCHUFA zelf geen leningen verstrekt en dus ook niet besluit of de persoon een lening krijgt. Duidelijk is wel dat een slechte score bij SCHUFA in vrijwel alle gevallen leidt tot een weigering van de instelling om krediet te verlenen.

Vooral dit laatste is interessant. SCHUFA had haar rol klein gemaakt. De score was alleen een voorbereidende handeling, voor de weigering van de lening was de bank verantwoordelijk. Maar de rechter ziet hier een constructie die ertoe zou leiden dat er geen rechtsbescherming is. Zou je als consument naar de bank gaan en inzage vragen of vragen naar de achterliggende logica van de score, dan kan de bank dit namelijk niet geven.

Is artikel 22, eerste lid van de AVG een algemeen verbod op geautomatiseerde besluiten of een individueel recht om een handmatig besluit te vragen?

Sinds de inwerkingtreding van de AVG lag de vraag open of artikel 22 AVG een individueel recht is voor betrokkenen of een algemeen verbod voor geautomatiseerde besluiten. In het eerste geval kan een verantwoordelijke geautomatiseerd besluiten, maar moet deze op verzoek van een betrokkene een handmatig besluit nemen. De betrokkene heeft het recht er niet aan te worden onderworpen. De andere lezing is dat het een algemeen verbod inhoudt. Dit is ook de opvatting van de Nederlandse wetgever. In deze uitspraak heeft de Europese rechter het oordeel geveld; het is een algemeen verbod.

Mogen particuliere kredietinformatiebureaus persoonsgegevens afkomstig uit een officiële bron, langer bewaren dan de bewaartermijn van die officiële bron?

Nee. Dit is in strijd met artikel 5, lid 1, onder a en artikel 6, lid 1 onder f van de AVG. De rechter overweegt dat er een afweging moet plaatsvinden tussen tegenstelde rechten en belangen. Aan de ene kant het belang dat de analyse van een kredietinformatiebureau risico’s van fraude en onzekerheden kan verminderen. Aan de andere kant het belang van betrokkenen voor wie deze vorm van gegevensverwerking tot een inbreuk leidt van artikel 7 en 8 van het Handvest. Hoe langer de persoonsgegevens worden bewaard, hoe strenger de eisen zijn. Omdat de rechter kijkt naar de reden van de Duitse wetgever voor de bewaartermijn van 6 maanden, namelijk dat iemand weer kan deelnemen aan het economisch leven, oordeelt deze dat dit dus ook geldt voor deze verwerking.

Mag je persoonsgegevens kopiëren uit een openbaar register en verzamelen zonder aanleiding gedurende dezelfde bewaartermijn als die van de officiële openbare bron?

Deze vraag wordt doorgespeeld naar de rechter in Duitsland. De Duitse bestuursrechter moet nagaan of de bewaring van de gegevens door SCHUFA beperkt is tot hetgeen strikt noodzakelijk is voor de behartiging van het gerechtvaardigd belang. De rechter moet dan meenemen dat de gegevens ook in het openbaar register kunnen worden geraadpleegd. Ook moet de rechter meenemen dat de persoonsgegevens al verzameld worden zonder dat een commerciële onderneming in een concreet geval verzoekt om inlichtingen. De rechter vindt deze bewaring gedurende 6 maanden minder ernstig, maar nog steeds een inmenging in de rechten van de artikelen 7 en 8 van het Handvest.

Conclusie

Het lijkt erop dat de teugels strakker worden aangespannen als het gaat om geautomatiseerde besluiten en profilering. Dit heeft directe juridische gevolgen voor de particuliere sector, maar de uitspraken van het Europees Hof van Justitie over SCHUFA zetten ook de bestaande praktijk bij overheden onder druk. Want ook overheden werken met risicoprofilering. Omdat de rechter naar de geest van de AVG kijkt is het de vraag of risicoprofilering bij het controleren van burgers is toegestaan. Heeft u vragen over geautomatiseerd besluiten en profilering? Hooghiemstra & Partners helpt u graag op weg.

Overzicht openbare rapporten Hooghiemstra & Partners

Hooghiemstra & Partners heeft ervaring met het verrichten van onafhankelijk onderzoek in opdracht van gerenommeerde instituten. Onder andere de volgende onderzoeksrapporten verschenen:

Foto credit: Blair Fraser via Unsplash.

Grote taalmodellen: juridisch nog deels onverkend terrein

Grote Taalmodellen, ofwel Large Language Models. zijn bezig met een opmars. Daarmee brengen deze zogenoemde LLM’s (niet te verwarren met de afkorting van de meestertitel) de nodige juridische vragen met zich mee. Onze collega’s Walter van Holst en Mariette Lokin schreven een artikel voor ‘DIXIT’ en buigen zich over drie LLM vraagstukken en de ontwikkelingen op het gebied van wetgeving.

‘DIXIT’ is het tijdschrift van de Nederlandse Organisatie voor Taal- en Spraaktechnologie (NOTaS), die onderzoeksinstellingen en applicatieontwikkelaars in deze sector vertegenwoordigt. De 2022-editie van het tijdschrift stond in het teken van Grote Taal- en Spraakmodellen.

De technologie van LLM’s ontwikkelt zich in een sneltreinvaart. De vragen die Van Holst en Lokin bespreken in hun artikel hebben te maken met rechtmatigheid. Allereerst wordt ingezoomd op de rechtmatigheid van het trainingsproces; hoe worden Grote Taalmodellen nu getraind en in hoeverre is dat juridisch houdbaar? Er valt niet alleen te twisten over de auteursrechtelijke aspecten van data in deze modellen, maar ook over de rechtmatigheid van het gebruik van het LLM zelf. Dit kan namelijk in sommige gevallen leiden tot geautomatiseerde besluitvorming. Ten slotte spelen vragen omtrent de rechtmatigheid van de uitvoer, ofwel het resultaat, van een LLM. Grote Taalmodellen spreken niet altijd alleen maar waarheden en feiten. Van Holst en Lokin benoemen verschillende wetsvoorstellen op Europees niveau die het juridisch kader rond LLM’s verder moeten invullen.

Meer weten over de rechtmatigheid van Grote Taalmodellen? Lees dan het hele artikel hier.

Foto: Mojahid Mottakin via Unsplash

Webinar: Uitdagingen in WMO land; Samenwerken in vertrouwen

Weten wat de juridische implicaties zijn bij het starten van een data collaboration project?

Onze collega Renée Dekker spreekt  samen met Toon Segers van Roseman Labs over praktijkvoorbeelden en de juridische details die je moet weten als je samenwerkt aan gevoelige gegevens:
– Wie moet je er juridisch bij betrekken?
– Welke autoriteiten zijn relevant?
– Welke regelgeving heeft invloed op mijn werk?

Schrijf je in voor de webinar ‘Uitdagingen in WMO-land; Samenwerken in vertrouwen’.
De webinar vindt plaats op 21 november 2023 om 16:00 uur.

Klik hier om je aan te melden voor deze webinar.
Je kan je ook aanmelden via Linkedin.

Handreiking online onderzoek aangeboden aan Tweede Kamer

Onrustige uitgaansweekenden, jaarwisselingen die uitdraaien op rellen, drillrappers die elkaar uitdagen door ophitsende filmpjes online te zetten: het zijn voorbeelden van (dreigende) openbare ordeverstoringen waar je als gemeente mee te maken kunt krijgen. Een goede informatiepositie is nodig om hier adequaat tegen op te kunnen treden. Veel gemeenten doen daarbij onderzoek in publiek toegankelijke bronnen, maar beseffen vaak onvoldoende dat ze daarbij gebonden zijn aan privacywetgeving.    

In opdracht van het Ministerie van Binnenlandse Zaken heeft Hooghiemstra & Partners samen met onderzoeksbureau Pro Facto een handreiking opgesteld waarin de mogelijkheden en begrenzingen van online onderzoek in publiek toegankelijke bronnen bij het handhaven van de openbare orde worden uitgelegd. Op 26 oktober jl. is de handreiking met bijbehorende documentatie aangeboden aan de Tweede Kamer. 

Gemeenten (specifiek: burgemeesters) hebben de taak om de openbare orde te handhaven, maar staan bij de uitoefening van die taak steeds vaker gesteld voor een lastige opgave. De verwevenheid tussen de digitale en fysieke wereld wordt steeds groter. Dreigende onrust kan zich aankondigen in de digitale wereld en leiden tot onrust in de fysieke wereld. Voor gemeenten ontbreken duidelijke kaders over hoe in dat soort gevallen online onderzoek kan worden gedaan in publiek toegankelijke bronnen.  

De handreiking bevat een stappenplan waarmee gemeenten kunnen beoordelen of zij online onderzoek mogen doen om bepaalde openbare orde bevoegdheden in te kunnen zetten of om een algemeen beeld te kunnen vormen van een (dreigende) openbare orde verstoring. Is het online onderzoek toegestaan, dan kunnen gemeenten in de handreiking zien op welke wijze en onder welke omstandigheden dat online onderzoek mogelijk is, ook wanneer dit betekent dat daarbij persoonsgegevens worden verwerkt. De mogelijkheden tot het uitvoeren van online onderzoek zijn niet onbegrensd, daarom wordt in de handreiking ook duidelijk aangegeven wat de buitengrenzen zijn en in welke vormen en onder welke omstandigheden online onderzoek in publiek toegankelijke bronnen voor het bewaren of herstellen van de openbare orde niet mogelijk is. 

De handreiking is hier te downloaden. Op die plek vind je ook een uitgebreide juridische toelichting op de handreiking en een Q&A-document waarin vooraf gestelde specifieke vragen van gemeenten worden beantwoord. 

Foto: Brett Jordan via Unsplash

Interview met Riëlle Osepa voor Mr. Magazine

Mr. Magazine Online, een online platform voor juristen, publiceerde een interview met onze collega Riëlle Osepa!

Elke week belicht Mr. een overstapper. Riëlle vertelde meer over haar switch in sector én land. Sinds 1 juli werkt zij als adviseur bij Hooghiemstra & Partners in Den Haag. Hiervoor was zij advocaat op Curaçao en gespecialiseerd in het privaatrecht.

“Elke dag leer ik iets nieuws. Door te emigreren naar Nederland en de overstap te maken van de advocatuur naar de adviespraktijk ben ik mijzelf niet alleen als juridisch adviseur verder aan het ontwikkelen, maar ook als persoon.”

Lees het hele interview met Riëlle Osepa hier.

Riëlle Osepa versterkt team Hooghiemstra & Partners!

Hooghiemstra & Partners is heel blij met de komst van onze nieuwe collega Riëlle Osepa. Riëlle is gisteren bij ons gestart en werkte hiervoor als advocaat op Curaçao. Zij adviseerde en procedeerde daar over financieelrechtelijke vraagstukken. Kortom, een mooie aanvulling voor ons kantoor!

Welkom Riëlle, wij zien uit naar een fijne samenwerking!

Best practices bij onze buren: Privacy en gegevensuitwisseling in België

In het kader van de Staat van de Uitvoering heeft Haagse Beek best practices in andere Europese landen in kaart gebracht, onder meer op het gebied van privacy en gegevensuitwisseling. In het webinar dat je hier kunt terugkijken gaan mensen van de Vlaamse overheid in op de manier waarop zij dienstverlening aan burgers inrichten, met optimaal gebruik van beschikbare gegevens. Onze collega Mariette Lokin reflecteert hierop.

Daar blijkt uit dat de regels die de AVG stelt aan gegevensbescherming evengoed gelden in België, maar dat de nationale wetgeving daar al meer is toegespitst op breed hergebruik van gegevens en op proactief toekennen van toeslagen e.d. op grond daarvan. In Nederland wordt gelukkig volop gewerkt aan soortgelijke oplossingen, onder meer door Regeringscommissaris Informatiehuishouding. Veel bouwstenen zijn er al, het komt er nu op aan daar een robuust bouwwerk van te maken.

Foto: Francois Genon via Unsplash

Mariette Lokin over het algoritmeregister en ‘zwarte zoemende dozen’ bij NOS

Vorig jaar schreef onze collega Mariette Lokin, principal consultant bij Hooghiemstra & Partners, al over het algoritmeregister van overheidsinstanties. Daarin stelde zij de vraag of het register een kookboek of fopspeen voorstelde. Afgelopen weekend was Mariette ook in het nieuws door dit onderwerp. De NOS wijdde een artikel aan het algoritmeregister, waarin ook de input van Mariette naar voren kwam.

Ze stelt vragen bij de huidige invulling van het register. In veel gevallen is de informatie niet beschikbaar of ontoegankelijk. Ook wordt het register nauwelijks gebruikt. Overheidsorganisaties zijn niet verplicht om er gebruik van te maken.

Mariette: “Waar het om gaat is dat je als overheid laat zien hoe je de wet toepast, nu dat steeds vaker gebeurt door ‘zwarte zoemende dozen’.”

Het hele artikel is te lezen op de website van de NOS.

Publicatie over Regelcomplexiteit

Onze collega’s Theo Hooghiemstra en Thijs Drouen hebben voor de Raad van State een casestudy uitgevoerd naar de belangrijke kenmerken en oorzaken van Regelcomplexiteit in het gegevensbeschermingsrecht. De Raad van State heeft de casestudy gepubliceerd. In de publicatie staat ook de casestudy van Frank Groothuijse en Marlon Boeve van Universiteit Utrecht naar de toegenomen complexiteit van regels in de ruimtelijke ordening.

Klik hier om de publicatie te lezen.