De Wet digitale overheid (Wdo) is op 1 juli 2023 gefaseerd in werking getreden. In de zorg bestond de angst dat de Wdo het gebruiksgemak voor patiënten bij inloggen zou tegenwerken.
In opdracht van het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft Hooghiemstra & Partners vorig jaar onderzoek gedaan naar de knelpunten en zorgen in de zorg als gevolg van de inwerkingtreding van de Wdo. Naar aanleiding van het onderzoek is Hooghiemstra & Partners gekomen tot oplossingsrichtingen op korte en lange termijn. Het rapport met de knelpunten, zorgen en oplossingsrichtingen is hier te downloaden.
Robin Verhoef is onze nieuwe collega! Robin is opgeleid in informatica en data science (TU Eindhoven) en in recht en technologie (Tilburg University). Voor de multidisciplinaire aanpak in zijn masterscriptie, dat zowel een juridisch als technisch deel bevat, won hij de Hans Franken scriptieprijs. Dit is een prijs die wordt toegekend door deskundigen aan meest innovatieve afstudeerscriptie op het gebied van ICT-recht. Zijn scriptie behandelt het probleem van het herkennen en voorkomen van discriminatie in besluiten genomen door algoritmes. Op dit moment legt hij de laatste hand aan zijn afstudeeropdracht aan de TU Eindhoven. Die gaat over het leren van eigenschappen van spellen met concurrerende spelers (inverse optimization of integer programming games). Wij kijken ernaar uit u samen met Robin bij te staan met betrouwbare, deskundige en praktische hulp bij het toepassen van data analytics en AI.
Wij zijn verheugd om te berichten dat Senior Adviseur Walter van Holst met ingang van 1 juni benoemd is tot Principal Consultant! We gaan zijn interdisciplinaire expertise meer zichtbaar benutten om onze strategie en ambitie te realiseren. Daarnaast blijft Walter ons intern helpen bij de verdere ontwikkeling van onze kennis over techniek en Europese regelgevingsinitiatieven. Walter volgt nauwgezet de vele ontwikkelingen in ons vakgebied. De afgelopen jaren adviseerde hij onze klanten over privacy-by-design, risicobeheersing en toetste hij aan (komende) Europese regels.
Zijn unieke aanpak en perspectief sluiten perfect aan bij onze missie om organisaties te assisteren bij het navigeren door de complexe wereld van regelgeving over data. Hooghiemstra & Partners kijkt er naar uit u -samen met Walter- te helpen bij het verwerken van (persoons)gegevens en het gebruiken van techniek op een juridisch verantwoorde manier.
Dinsdag 9 april 2024 stond in het teken van feest voor Hooghiemstra & Partners. Op deze heuglijke dag vierde ons kantoor, samen met tweehonderd aanwezigen, haar eerste lustrum.
“We hadden dit vijf jaar geleden nooit kunnen dromen”, aldus de partners Helen Hukshorn, Theo Hooghiemstra, Thijs Drouen en Marlies van Eck. “Wij hebben veel lol, we werken met ontzettend goede en bevlogen mensen en mogen helpen en adviseren bij belangrijke maatschappelijk vraagstukken.”
Meer dan genoeg redenen voor een feestelijk evenement. Het decor van de dag was de Kloosterkerk, een rijksmonument in het hartje van Den Haag en gelegen op de hoek van ons vorige kantoor. Het authentieke gebouw dat dateert uit de 15e eeuw werd aangekleed met moderne kunst van Tjibbe Hooghiemstra (geen familie van, overigens). Onder het genot van Haagsche turf kwamen zowel jonge als oude, en zowel bekende als nieuwe contacten bij elkaar voor het lustrum.
Onder leiding van Theo Hooghiemstra werden de genodigden getrakteerd op inhoudelijke en prikkelende lezingen. Ook was het de première van onze lustrumfilm, gemaakt door twee studenten van de Koninklijke Academie van Beeldende Kunsten. In deze film blikt het team terug op een groot aantal, maar gelet op de tijd zeker niet alle, hoogtepunten en persoonlijke anekdotes. Ook kijken we vooruit; wat hopen we over vijf jaar bij het tweede lustrum bereikt te hebben?
Professor Corien Prins zette ons weer even met beide benen op de grond: “Na vijf jaar ben je uit de luiers”. Dit maakt dat je nu moet nadenken over je rol en positie. Net als wij allemaal in de zaal die adviseren op moeilijke terreinen is ook de context van groot belang. Zeker nu we gewaarschuwd worden voor een dreigende oorlog, vertelde Prins. We moeten met elkaar geoefend raken in het denken in scenario’s, want dan zijn we beter voorbereid.
In tijden van crisis het hoofd koel houden en blijven nadenken over de achterliggende waarden. Daarvoor gaf professor Lokke Moerel vast een voorzetje met een terugblik op de coronapandemie. Een onzekere tijd waarin goed leiderschap van onschatbare waarde is. Moerel illustreerde haar boodschap met een inkijkje in het advies dat zij samen met Hooghiemstra & Partners tijdens de coronapandemie uitbracht over wetenschappelijk onderzoek naar groepen met een hoog risico ernstig ziek te worden na besmetting.
De dag vloog voorbij, net als de afgelopen vijf jaren. Met een glaasje bubbels in de hand en overheerlijke hapjes van de Vegetarische Toko werd er nog lang nageborreld. Dankzij de sprekers en alle aanwezigen werd het een geslaagd feest. Dank voor jullie komst en tot gauw!
Vijf jaar geleden waagden Helen Hukshorn en Theo Hooghiemstra de stap en richtten zij het ‘strategisch en juridisch adviesbureau’ Hooghiemstra & Partners op. Zij wilden graag samen ondernemen en werken aan een goede bescherming van persoonsgegevens bij innovaties.
Anno 2024 is Hooghiemstra & Partners een gevestigde naam en hebben we al veel mooie verantwoorde oplossingen bedacht voor maatschappelijke problemen. Daar waar data en technologie samen komen, zijn wij de logische verbinder met het recht.
In de afgelopen jaren maakten we al veel mee. We bestonden net 1 jaar toen we in de Corona pandemie belandden. Dit werd een vormende tijd voor ons kantoor waarin we online veel lief en leed met elkaar deelden.
We zijn uitgebreid, niet alleen in aantal medewerkers maar ook met baby’s die op de wereld werden gezet. We verhuisden en creëerden eigen tradities zoals onze Derde Donderdag van de Maand Borrel, vakinhoudelijke teamdagen en onze gezamenlijke lunches. We springen op rijdende treinen of we maken zelf een methode.
Standaard is ons werk nooit geworden. We kijken vol nieuwsgierigheid uit naar de volgende vijf jaren en komen je graag helpen met onze kennis, ervaring en lef.
Anna, Anna, Helen, Lena, Lieve, Lisanne, Mariette, Marlies, Theo, Thijs, Renée, Riëlle, Walter en Wimmy.
Hooghiemstra & Partners heeft ervaring met het verrichten van onafhankelijk onderzoek in opdracht van gerenommeerde instituten. Onder andere de volgende onderzoeksrapporten verschenen:
Voor het WODC deden we samen met een Pro Facto een onderzoek naar de naleving van de AVG door overheden: ‘Naleving van de AVG door overheden’, december 2022.
Voor het Ministerie van Defensie het onafhankelijke onderzoek ‘Grondslag gezocht’ naar het Land Information Manoeuvre Centre (LIMC): Rapport ‘Grondslag gezocht’, december 2022.
Voor het Ministerie van Sociale Zaken en Werkgelegenheid deden we met AEF en de Beleidsonderzoekers een onderzoek naar governance van Stichting IB en BKWI: Grip op gegevensuitwisseling, november 2022.
Voor het Ministerie van VWS samen met Axon Lawyers een Engelstalig onderzoek naar de relatie tussen de Europese MDR en IVDR en het concept voor een AI wet: Rapport: AI act in relatie tot MDR en IVDR, 2 juni 2022.
Hooghiemstra & Partners heeft een nieuw kantoor. We blijven in Den Haag en zitten nu aan de Bezuidenhoutseweg nummer 161. Begonnen met een kamer en een printer op de Parkstraat, nemen we vijf jaar later onze intrek aan de andere zijde van de stad. We zijn zeer goed bereikbaar: op loopafstand van Den Haag Centraal Station en dichtbij de A12 en A44. Ons kantoor is in dezelfde straat als de kantoren van de SER en de Nationale ombudsman en vlakbij het Paleis van Justitie, de Tweede Kamer en het Haagse bos.
Vanuit dit adres werken we met veel plezier, enthousiasme en expertise aan de verbinding van recht, technologie en data. Samen met onze opdrachtgevers bereiken we verantwoorde en efficiënte oplossingen voor maatschappelijke vraagstukken. Je bent van harte welkom in ons nieuwe kantoor!
Handelsinformatiebureaus die adviseren of iemand wel of geen lening krijgt. Het is een advies gebaseerd op basis van gedragingen van andere consumenten en op basis van allerlei persoonsgegevens. Door de uitspraken in de SCHUFA-zaken van het Europees Hof van Justitie komt deze praktijk in een ander daglicht te staan.
SCHUFA verkoopt in Duitsland kredietwaardigheidsbeoordelingen aan banken en andere financiële instellingen. Dit gebeurt op basis van allerlei gegevens uit openbare bronnen en door middel van een creditscore. Hoe SCHUFA de score berekent, is niet bekend. Dit noemt men ‘bedrijfsgeheim’. Ook bewaart SCHUFA de gegevens drie jaar. Dit is aanmerkelijk langer dan de bewaartermijn die rust op het openbare register waaruit de gegevens komen. In een rechtszaak hierover grijpt de Europese rechter in:
De persoonsgegevens langer bewaren dan de zes maanden die geldt voor de bron, het openbaar register, mag niet.
De rechter vindt dat de creditscore een geautomatiseerd individueel besluit is zoals bedoeld in artikel 22 AVG. Daarom moet Duitsland goede regelgeving hebben. Als die regelgeving geen rekening houdt met de extra waarborgen van de AVG, handelt het bedrijf zonder rechtsgrond en schendt het artikel 22 AVG.
De uitspraak heeft ook gevolgen voor het verzamelen van gegevens zonder directe aanleiding, het bewaren van gegevens en gebruiken van statistische profielen en scores in Nederland.
Iedere inwoner van Duitsland ‘in SCHUFA’
In Duitsland gebruiken veel instellingen de diensten van SCHUFA. Dit is een bedrijf gespecialiseerd in het beoordelen van kredietwaardigheid van met name consumenten. Zoals hun eigen website (zie hier) al vermeldt, staat bijna iedere inwoner van Duitsland wel ‘in SCHUFA’. Op de vraag hoe je een goede SCHUFA-score krijgt, staat als antwoord dat het afhankelijk is van verschillende factoren maar dat het bijzonder belangrijk is om je rekeningen op tijd te betalen (!). Advies van SCHUFA: lees hier.
Om de kredietwaardigheid te beoordelen, maakt SCHUFA kredietscores. Op basis van bepaalde kenmerken van een persoon en aan de hand van een wiskundig-statistische methode wordt een voorspelling gedaan over de waarschijnlijkheid van diens toekomstig gedrag (‘score’), zoals de terugbetaling van een lening. Het vaststellen van scores is gebaseerd op de veronderstelling dat een soortgelijk gedrag kan worden voorspeld door een persoon in te delen bij een groep van andere personen met vergelijkbare kenmerken die zich op een bepaalde manier hebben gedragen. Dit is een andere werkwijze dan het BKR. BKR werkt met het vastleggen van schulden en het terugbetalingsgedrag. De persoonsgegevens die gebruikt worden voor de berekening zijn onder meer afkomstig uit een openbaar insolventieregister. Op basis van Duitse wetgeving geldt voor dit register een bewaartermijn van 6 maanden.
SCHUFA geeft geen nadere uitleg en weigert persoonsgegevens te wissen
Toen consumenten hun persoonsgegevens bij SCHUFA wilden inzien en gewist wilden hebben, gaf SCHUFA wel hun individuele scoreniveaus. Ook gaf SCHUFA in grote lijnen aan hoe de scores worden berekend. Zij weigert verdere informatie. Dit zou een inbreuk zijn op het bedrijfsgeheim. Ook vindt SCHUFA dat niet zij, maar de instellingen aan wie zij de adviezen rond kredietwaardigheid geven, de eigenlijke contractuele besluiten namen. SCHUFA weigert ook om de persoonsgegevens die verkregen waren uit openbare registers te wissen. Ze beroept zich op een bewaartermijn van 3 jaar.
De Europese rechter over deze kwestie
De Duitse rechter stelde vragen aan het Europees Hof van Justitie. Er zijn twee uitspraken: het arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C 26/22 en C 64/22, ECLI:EU:C:2023:958 (lees hier); en het arrest van 7 december 2023, SCHUFA Holding, C-634/21, ECLI:EU:C:2023:957 (lees hier). Het Europees Hof van Justitie antwoordde als volgt:
De creditscore is een geautomatiseerd besluit als bedoeld in 22 AVG ook al verleent SCHUFA zelf geen leningen. Dit betekent dat de creditscore niet mag, tenzij voldaan is aan extra waarborgen.
Het langer bewaren dan de termijn die geldt voor de bron van de gegevens, het nationale solventieregister, mag niet.
De Duitse rechter moet nagaan of de Duitse wetgeving voor het beoordelen van kredietwaardigheid voldoet aan de eisen van de AVG.
Ook moet de Duitse rechter beoordelen of het rechtmatig is dat de persoonsgegevens parallel aan het openbaar register bewaard worden. Dit is een inmenging in de rechten beschermd door de artikelen 7 en 8 van het Handvest van de grondrechten voor de Europese Unie. De persoonsgegevens worden dan namelijk in verschillende bronnen verwerkt.
Gevolgen voor Nederland
Met deze uitspraak zijn mensen die een telefoonabonnement of andere financiële verplichting willen aangaan, beter beschermd dan voorheen. Het is nu duidelijk dat er een verbod geldt: het is verboden om op basis van profilering geautomatiseerde beslissingen te nemen met juridische of andere gevolgen voor betrokkenen. Dit verbod kan alleen worden doorbroken als er wetgeving komt of als aangetoond wordt dat de profilering noodzakelijk is voor de totstandkoming van een overeenkomst. Profilering lijkt niet noodzakelijk om de overeenkomst aan te gaan. Het is een optie om aan de persoon zelf te vragen wat de lopende schulden zijn. Ook maakt de rechter duidelijk dat artikel 5 en 6 van de AVG ook betrokken moeten worden. Dit betekent dat de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant moet zijn en dat er een grondslag voor het verwerken van de persoonsgegevens is.
Ook voor de overheid heeft deze uitspraak gevolgen. Bij allerlei taken zoals het verlenen van kwijtschelding, het innen van boeten en opschorten van betalingen worden risicomodellen gehanteerd. Het zou kunnen dat deze werkwijzen onder het verbod vallen. Of dit zo is, zal afhangen van het feitelijke gebruik van het risicomodel. Daarbij is vooral van belang dat de Europese rechter expliciet let op lacunes in de rechtsbescherming. En niet moet de rechter hierop letten, maar er ook voor zorgen dat deze vervolgens gedicht worden. In een evaluatie van de UAVG constateerden we al dat er nu hiaten lijken te zijn. Zie pagina 199 en 120 van ons rapport: hier. De lijn van de Europese rechter volgend, is denkbaar dat de rechter het hiaat in lijn met de beginselen van de AVG gaat opvullen.
Is de kredietscore van SCHUFA een geautomatiseerd besluit in de zin van artikel 22 AVG ondanks dat SCHUFA geen beslissing neemt om wel of geen lening te verstrekken?
Ja, zegt het Europees Hof van Justitie. De rechter stelt vast dat voldaan is aan de 3 cumulatieve eisen
Er is een besluit. Dat is de berekening van de solvabiliteit door een waarschijnlijkheidswaarde (probability value).
Het is uitsluitend geautomatiseerd tot stand gekomen en valt in de categorie profilering. Dit komt omdat de persoonsgegevens van een consument worden gebruikt en het een geautomatiseerde vaststelling van een waarschijnlijkheidswaarde is.
Het besluit heeft rechtsgevolgen of treft de betrokkene in aanmerkelijke mate. Het maakt hierbij niet uit dat SCHUFA zelf geen leningen verstrekt en dus ook niet besluit of de persoon een lening krijgt. Duidelijk is wel dat een slechte score bij SCHUFA in vrijwel alle gevallen leidt tot een weigering van de instelling om krediet te verlenen.
Vooral dit laatste is interessant. SCHUFA had haar rol klein gemaakt. De score was alleen een voorbereidende handeling, voor de weigering van de lening was de bank verantwoordelijk. Maar de rechter ziet hier een constructie die ertoe zou leiden dat er geen rechtsbescherming is. Zou je als consument naar de bank gaan en inzage vragen of vragen naar de achterliggende logica van de score, dan kan de bank dit namelijk niet geven.
Is artikel 22, eerste lid van de AVG een algemeen verbod op geautomatiseerde besluiten of een individueel recht om een handmatig besluit te vragen?
Sinds de inwerkingtreding van de AVG lag de vraag open of artikel 22 AVG een individueel recht is voor betrokkenen of een algemeen verbod voor geautomatiseerde besluiten. In het eerste geval kan een verantwoordelijke geautomatiseerd besluiten, maar moet deze op verzoek van een betrokkene een handmatig besluit nemen. De betrokkene heeft het recht er niet aan te worden onderworpen. De andere lezing is dat het een algemeen verbod inhoudt. Dit is ook de opvatting van de Nederlandse wetgever. In deze uitspraak heeft de Europese rechter het oordeel geveld; het is een algemeen verbod.
Mogen particuliere kredietinformatiebureaus persoonsgegevens afkomstig uit een officiële bron, langer bewaren dan de bewaartermijn van die officiële bron?
Nee. Dit is in strijd met artikel 5, lid 1, onder a en artikel 6, lid 1 onder f van de AVG. De rechter overweegt dat er een afweging moet plaatsvinden tussen tegenstelde rechten en belangen. Aan de ene kant het belang dat de analyse van een kredietinformatiebureau risico’s van fraude en onzekerheden kan verminderen. Aan de andere kant het belang van betrokkenen voor wie deze vorm van gegevensverwerking tot een inbreuk leidt van artikel 7 en 8 van het Handvest. Hoe langer de persoonsgegevens worden bewaard, hoe strenger de eisen zijn. Omdat de rechter kijkt naar de reden van de Duitse wetgever voor de bewaartermijn van 6 maanden, namelijk dat iemand weer kan deelnemen aan het economisch leven, oordeelt deze dat dit dus ook geldt voor deze verwerking.
Mag je persoonsgegevens kopiëren uit een openbaar register en verzamelen zonder aanleiding gedurende dezelfde bewaartermijn als die van de officiële openbare bron?
Deze vraag wordt doorgespeeld naar de rechter in Duitsland. De Duitse bestuursrechter moet nagaan of de bewaring van de gegevens door SCHUFA beperkt is tot hetgeen strikt noodzakelijk is voor de behartiging van het gerechtvaardigd belang. De rechter moet dan meenemen dat de gegevens ook in het openbaar register kunnen worden geraadpleegd. Ook moet de rechter meenemen dat de persoonsgegevens al verzameld worden zonder dat een commerciële onderneming in een concreet geval verzoekt om inlichtingen. De rechter vindt deze bewaring gedurende 6 maanden minder ernstig, maar nog steeds een inmenging in de rechten van de artikelen 7 en 8 van het Handvest.
Conclusie
Het lijkt erop dat de teugels strakker worden aangespannen als het gaat om geautomatiseerde besluiten en profilering. Dit heeft directe juridische gevolgen voor de particuliere sector, maar de uitspraken van het Europees Hof van Justitie over SCHUFA zetten ook de bestaande praktijk bij overheden onder druk. Want ook overheden werken met risicoprofilering. Omdat de rechter naar de geest van de AVG kijkt is het de vraag of risicoprofilering bij het controleren van burgers is toegestaan. Heeft u vragen over geautomatiseerd besluiten en profilering? Hooghiemstra & Partners helpt u graag op weg.
Grote Taalmodellen, ofwel Large Language Models. zijn bezig met een opmars. Daarmee brengen deze zogenoemde LLM’s (niet te verwarren met de afkorting van de meestertitel) de nodige juridische vragen met zich mee. Onze collega’s Walter van Holst en Mariette Lokin schreven een artikel voor ‘DIXIT’ en buigen zich over drie LLM vraagstukken en de ontwikkelingen op het gebied van wetgeving.
‘DIXIT’ is het tijdschrift van de Nederlandse Organisatie voor Taal- en Spraaktechnologie (NOTaS), die onderzoeksinstellingen en applicatieontwikkelaars in deze sector vertegenwoordigt. De 2022-editie van het tijdschrift stond in het teken van Grote Taal- en Spraakmodellen.
De technologie van LLM’s ontwikkelt zich in een sneltreinvaart. De vragen die Van Holst en Lokin bespreken in hun artikel hebben te maken met rechtmatigheid. Allereerst wordt ingezoomd op de rechtmatigheid van het trainingsproces; hoe worden Grote Taalmodellen nu getraind en in hoeverre is dat juridisch houdbaar? Er valt niet alleen te twisten over de auteursrechtelijke aspecten van data in deze modellen, maar ook over de rechtmatigheid van het gebruik van het LLM zelf. Dit kan namelijk in sommige gevallen leiden tot geautomatiseerde besluitvorming. Ten slotte spelen vragen omtrent de rechtmatigheid van de uitvoer, ofwel het resultaat, van een LLM. Grote Taalmodellen spreken niet altijd alleen maar waarheden en feiten. Van Holst en Lokin benoemen verschillende wetsvoorstellen op Europees niveau die het juridisch kader rond LLM’s verder moeten invullen.
Meer weten over de rechtmatigheid van Grote Taalmodellen? Lees dan het hele artikel hier.
Weten wat de juridische implicaties zijn bij het starten van een data collaboration project?
Onze collega Renée Dekker spreekt samen met Toon Segers van Roseman Labs over praktijkvoorbeelden en de juridische details die je moet weten als je samenwerkt aan gevoelige gegevens:
– Wie moet je er juridisch bij betrekken?
– Welke autoriteiten zijn relevant?
– Welke regelgeving heeft invloed op mijn werk?
Schrijf je in voor de webinar ‘Uitdagingen in WMO-land; Samenwerken in vertrouwen’. De webinar vindt plaats op 21 november 2023 om 16:00 uur.
Klik hier om je aan te melden voor deze webinar.
Je kan je ook aanmelden via Linkedin.