Author Archives: MvE

PAO cursus Privacy en Gegevensbescherming in de zorg

Tijd om medische (informatie)technologie in de praktijk en gegevensbescherming in de zorg met elkaar te verbinden. Dat is wat we gaan doen bij de PAO cursus Privacy en Gegevensbescherming in de zorg aan de Universiteit Leiden, met docenten Renée Dekker, Walter Van Holst, Theo Hooghiemstra, Irith Kist en Gerrit-Jan Zwenne.

Over de cursus

eHealth, gezondheidsapps en de mogelijkheden van AI, veranderen de zorg. De Covid-19 pandemie heeft de inzet van technologie in een stroomversnelling gebracht. Dit stelt zorgverleners, juristen voor nieuwe vraagstukken: Mogen gezondheidsgegevens gebruikt worden om een algoritme te trainen? Hoe kunnen patiëntgegevens veilig worden beschermd bij het gebruik van gezondheidsapps? In de zorg bestaat een waaier aan regels over het verwerken van persoonsgegevens. Zo is de Algemene verordening gegevensbescherming (AVG) van toepassing, maar ook geldt het medisch beroepsgeheim uit o.a. de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Deze wetgeving wordt daarbij aangevuld door de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en het wetsvoorstel elektronische gegevensuitwisseling in de zorg (Wegiz) en de European Health Data Space (EHDS) die ieder moment in werking kan treden, terwijl de AI-veordening al in werking is getreden. Ook de Cybersecuritywet zit er aan te komen, evenals de Wet kwaliteitsregistraties zorg. Welke afzonderlijke doelen zijn met deze verschillende wetten beoogd? En hoe komen deze samen in de toepassing van een concrete medische (informatie)technologie? Waar lopen juristen en zorgprofessionals die in de praktijk van de gezondheidszorg over privacy en gegevensbescherming adviseren tegenaan?

Tijd dus om medische (informatie)technologie in de praktijk en gegevensbescherming in de zorg met elkaar te verbinden. En dat is wat we gaan doen in 3 middagen, zoveel mogelijk op basis van de actualiteit. De stof zal behandeld worden aan de hand van concrete voorbeelden. Het programma is samengesteld met vooraanstaande deskundigen uit de wetenschap en de praktijk. Na het volgen van deze cursus bent u op de hoogte van de laatste ontwikkelingen en kunt u de opgedane kennis direct toepassen in uw praktijk.

Onderwerpen die onder meer zullen worden behandeld

  • Actualiteit van Europese ontwikkelingen
  • Medisch beroepsgeheim in de Wet BIG en WGBO; samenhang met AVG en UAVG
  • Digitale cliëntenrechten in de Wabvpz.
  • De EHDS en de Wegiz
  • Secundair gebruik van gezondheidsgegevens en lichaamsmateriaal
  • Gegevensbescherming, cybersecurity en technologie
  • Privacy-by-design
  • De AI Act
  • Welke invloed hebben nieuwe medische (informatie)technologieën in de zorg op de bestaande wetgeving rondom privacy en gegevensbescherming?

Leerdoelen
Na afloop van de cursus heeft u in het algemeen kennis en inzicht opgedaan:

  • hoe privacy en gegevensbescherming in de zorg in wetgeving is gewaarborgd;
  • van de wettelijke vereisten rondom privacy en gegevensbescherming in de zorg;
  • van het doel van privacy en gegevensbescherming in de zorg;
  • hoe de WGBO, AVG, UAVG en Wabvpz zich tot elkaar verhouden;
  • hoe bepaalde nieuwe medische (informatie)technologieën (zoals AI) invloed hebben op de bestaande wet- en regelgeving;
  • in een aantal actuele praktijkvraagstukken (en oplossingsmogelijkheden) op het gebied van privacy en gegevensbescherming in de zorg.
  • Europese ontwikkelingen rond de EHDS, in het bijzonder ook ten aanzien van secundair gebruik van gezondheidsgegevens;
  • Gegevensbescherming en Technologie, zoals Privacy-by-design en cybersecurity.

Cursusleiding

  • Mr. dr. T.F.M. (Theo) Hooghiemstra (directeur/partner bij Hooghiemstra & Partners)

Docenten

  • Mr. R.C. (Renée) Dekker (senior adviseur bij Hooghiemstra & Partners, docent en PhD-onderzoeker bij de Universiteit Twente)
  • Mr. dr. T.F.M. (Theo) Hooghiemstra (mede-oprichter en partner van Hooghiemstra & Partners)
  • Mr. drs. W. (Walter) van Holst, Principal Consultant bij Hooghiemstra en Partners
  • Mr. dr. I. (Irith) Kist, FG bij het AVL en gepromoveerd op secundair gebruik van gezondheidsgegevens
  • Prof. dr. mr. G.J (Gerrit Jan) Zwenne (hoogleraar recht en de informatiemaatschappij Universiteit Leiden & de Open Universiteit en advocaat/partner bij Pels Rijcken)

Doelgroep

Multidisciplinair werken wordt steeds belangrijker als het gaat om de inzet van technologie binnen het primaire zorgproces. Met deze cursus laten we zowel de praktijk in de zorg zien als de juridische kaders op het gebied van privacy en gegevensbescherming die daarbij van belang zijn.

De cursus is bedoeld voor zowel juristen als zorgprofessionals die op het snijvlak van zorg en technologie werken, zoals zorgprofessionals, (Privacy) advocaten, bedrijfsjuristen, overheidsjuristen, in-house (privacy) counsels, FG’s en DPO’s, juristen in de zorg, alsmede mensen vanuit andere disciplines die zich in het gezondheids- en gegevensrecht willen verdiepen.

Niveau
Basiskennis: deelnemer heeft beperkte kennis van privacy- en gegevensbeschermingsvraagstukken in zorg.

NOvA-punten
De cursus/het seminar is geaccrediteerd met 9 opleidingspunten van de NOvA (‘PO-punten’).

Mogelijkheden onderwijs op afstand   
Kunt u, wegens omstandigheden, niet aanwezig zijn bij de bijeenkomst(en) op locatie? Geen probleem! Wij zorgen voor een live verbinding met de cursuslocatie. Zo kunt u vanuit huis live deelnemen aan de opleiding. Ook kunt u vragen stellen aan de docent(en). U kunt de link om op afstand deel te nemen, vinden in de digitale leeromgeving.

Hiernaast zullen de bijeenkomst[en] worden opgenomen. Wij streven om de opname na één werkweek beschikbaar te stellen in de digitale leeromgeving. U kunt de bijeenkomst terugkijken op een moment dat u uitkomt.

Inschrijven
Inschrijven kan via deze link. Hier vindt u ook meer informatie over de cursus en de programmering.

Heeft u nog vragen?
Wij beantwoorden ze graag.

Per mail: pao@law.leidenuniv.nl
Telefonisch: 071 527 8666
Alle contactgegevens

Zie ook: paoleiden.nl/veelgestelde-vragen

Judith Zoë Blijden maakt overstap naar Hooghiemstra & Partners!  

Met trots melden we dat Judith Zoë Blijden het team van Hooghiemstra & Partners komt versterken. Judith is een creatieve en bevlogen jurist en filosoof die zich al jaren bezighoudt met data en recht. Ze is afkomstig van de Sociaal Economische Raad waar zij als Senior Beleidsmedewerker Digitale Transitie keek naar de impact van AI op werk en de economie. Naast haar werk bij de SER werkte zij aan een participatief filosofisch onderzoek over autonomie en menstruatie apps waarvoor zij het Landecker Democracy Fellowship ontving. Over haar onderzoek maakte ze de podcast serie The Digital Period.

Judith is dit jaar een van de genomineerde top 5 Responsible AI Leaders door Women in AI Benelux voor haar inzet voor verantwoorde AI.

Voor sommigen van ons is zij al een zeer vertrouwd gezicht; Judith werkte al eerder met  Walter en Theo als collega’s bij adviesbureau PBLQ. Judith zal zich bij Hooghiemstra & Partners bezighouden met juridische en ethische vraagstukken bij de inzet van technologie. Hierbij heeft zij in het bijzonder aandacht voor de impact van technologie op mensenrechten en de democratische rechtsstaat.  

Rapport: Oplossingsrichtingen voor betrouwbaar en gebruiksvriendelijk inloggen bij hybride zorg

De Wet digitale overheid (Wdo) is op 1 juli 2023 gefaseerd in werking getreden. In de zorg bestond de angst dat de Wdo het gebruiksgemak voor patiënten bij inloggen zou tegenwerken.

In opdracht van het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft Hooghiemstra & Partners vorig jaar onderzoek gedaan naar de knelpunten en zorgen in de zorg als gevolg van de inwerkingtreding van de Wdo. Naar aanleiding van het onderzoek is Hooghiemstra & Partners gekomen tot oplossingsrichtingen op korte en lange termijn. Het rapport met de knelpunten, zorgen en oplossingsrichtingen is hier te downloaden.

Het Hooghiemstra & Partners-team dat aan dit rapport heeft gewerkt bestond uit Theo Hooghiemstra, Helen Hukshorn en Riëlle Osepa.

Foto credit: National Cancer Institute via Unsplash

robin verhoef

Robin Verhoef: nieuwe medewerker bij Hooghiemstra & Partners!

Robin Verhoef is onze nieuwe collega! Robin is opgeleid in informatica en data science (TU Eindhoven) en in recht en technologie (Tilburg University). Voor de multidisciplinaire aanpak in zijn masterscriptie, dat zowel een juridisch als technisch deel bevat, won hij de Hans Franken scriptieprijs. Dit is een prijs die wordt toegekend door deskundigen aan meest innovatieve afstudeerscriptie op het gebied van ICT-recht. Zijn scriptie behandelt het probleem van het herkennen en voorkomen van discriminatie in besluiten genomen door algoritmes. Op dit moment legt hij de laatste hand aan zijn afstudeeropdracht aan de TU Eindhoven. Die gaat over het leren van eigenschappen van spellen met concurrerende spelers (inverse optimization of integer programming games). Wij kijken ernaar uit u samen met Robin bij te staan met betrouwbare, deskundige en praktische hulp bij het toepassen van data analytics en AI.

Walter van Holst

Walter van Holst: nieuwe Principal Consultant bij Hooghiemstra & Partners!

Wij zijn verheugd om te berichten dat Senior Adviseur Walter van Holst met ingang van 1 juni benoemd is tot Principal Consultant! We gaan zijn interdisciplinaire expertise meer zichtbaar benutten om onze strategie en ambitie te realiseren. Daarnaast blijft Walter ons intern helpen bij de verdere ontwikkeling van onze kennis over techniek en Europese regelgevingsinitiatieven. Walter volgt nauwgezet de vele ontwikkelingen in ons vakgebied. De afgelopen jaren adviseerde hij onze klanten over privacy-by-design, risicobeheersing en toetste hij aan (komende) Europese regels.

Zijn unieke aanpak en perspectief sluiten perfect aan bij onze missie om organisaties te assisteren bij het navigeren door de complexe wereld van regelgeving over data. Hooghiemstra & Partners kijkt er naar uit u -samen met Walter- te helpen bij het verwerken van (persoons)gegevens en het gebruiken van techniek op een juridisch verantwoorde manier.

Direct contact opnemen met Walter van Holst?

Stuur je bericht naar: walter@hooghiemstra-en-partners.nl

Vijf jaar Hooghiemstra & Partners: een impressie van een prachtig lustrum

Dinsdag 9 april 2024 stond in het teken van feest voor Hooghiemstra & Partners. Op deze heuglijke dag vierde ons kantoor, samen met tweehonderd aanwezigen, haar eerste lustrum.

“We hadden dit vijf jaar geleden nooit kunnen dromen”, aldus de partners Helen Hukshorn, Theo Hooghiemstra, Thijs Drouen en Marlies van Eck. “Wij hebben veel lol, we werken met ontzettend goede en bevlogen mensen en mogen helpen en adviseren bij belangrijke maatschappelijk vraagstukken.”

Meer dan genoeg redenen voor een feestelijk evenement. Het decor van de dag was de Kloosterkerk, een rijksmonument in het hartje van Den Haag en gelegen op de hoek van ons vorige kantoor. Het authentieke gebouw dat dateert uit de 15e eeuw werd aangekleed met moderne kunst van Tjibbe Hooghiemstra (geen familie van, overigens). Onder het genot van Haagsche turf kwamen zowel jonge als oude, en zowel bekende als nieuwe contacten bij elkaar voor het lustrum.

Onder leiding van Theo Hooghiemstra werden de genodigden getrakteerd op inhoudelijke en prikkelende lezingen. Ook was het de première van onze lustrumfilm, gemaakt door twee studenten van de Koninklijke Academie van Beeldende Kunsten. In deze film blikt het team terug op een groot aantal, maar gelet op de tijd zeker niet alle, hoogtepunten en persoonlijke anekdotes. Ook kijken we vooruit; wat hopen we over vijf jaar bij het tweede lustrum bereikt te hebben?

Professor Corien Prins zette ons weer even met beide benen op de grond: “Na vijf jaar ben je uit de luiers”. Dit maakt dat je nu moet nadenken over je rol en positie. Net als wij allemaal in de zaal die adviseren op moeilijke terreinen is ook de context van groot belang. Zeker nu we gewaarschuwd worden voor een dreigende oorlog, vertelde Prins.  We moeten met elkaar geoefend raken in het denken in scenario’s, want dan zijn we beter voorbereid.

In tijden van crisis het hoofd koel houden en blijven nadenken over de achterliggende waarden. Daarvoor gaf professor Lokke Moerel vast een voorzetje met een terugblik op de coronapandemie. Een onzekere tijd waarin goed leiderschap van onschatbare waarde is. Moerel illustreerde haar boodschap met een inkijkje in het advies dat zij samen met Hooghiemstra & Partners tijdens de coronapandemie uitbracht over wetenschappelijk onderzoek naar groepen met een hoog risico ernstig ziek te worden na besmetting.

De dag vloog voorbij, net als de afgelopen vijf jaren. Met een glaasje bubbels in de hand en overheerlijke hapjes van de Vegetarische Toko werd er nog lang nageborreld. Dankzij de sprekers en alle aanwezigen werd het een geslaagd feest. Dank voor jullie komst en tot gauw!

 

Hooghiemstra & Partners viert eerste lustrum!

Vijf jaar geleden waagden Helen Hukshorn en Theo Hooghiemstra de stap en richtten zij het ‘strategisch en juridisch adviesbureau’ Hooghiemstra & Partners op. Zij wilden graag samen ondernemen en werken aan een goede bescherming van persoonsgegevens bij innovaties.

Anno 2024 is Hooghiemstra & Partners een gevestigde naam en hebben we al veel mooie verantwoorde oplossingen bedacht voor maatschappelijke problemen. Daar waar data en technologie samen komen, zijn wij de logische verbinder met het recht.

In de afgelopen jaren maakten we al veel mee. We bestonden net 1 jaar toen we in de Corona pandemie belandden. Dit werd een vormende tijd voor ons kantoor waarin we online veel lief en leed met elkaar deelden.

We zijn uitgebreid, niet alleen in aantal medewerkers maar ook met baby’s die op de wereld werden gezet. We verhuisden en creëerden eigen tradities zoals onze Derde Donderdag van de Maand Borrel, vakinhoudelijke teamdagen en onze gezamenlijke lunches. We springen op rijdende treinen of we maken zelf een methode.

Standaard is ons werk nooit geworden. We kijken vol nieuwsgierigheid uit naar de volgende vijf jaren en komen je graag helpen met onze kennis, ervaring en lef.

Anna, Anna, Helen, Lena, Lieve, Lisanne, Mariette, Marlies, Theo, Thijs, Renée, Riëlle, Walter en Wimmy.

Overzicht openbare rapporten Hooghiemstra & Partners

Hooghiemstra & Partners heeft ervaring met het verrichten van onafhankelijk onderzoek in opdracht van gerenommeerde instituten. Onder andere de volgende onderzoeksrapporten verschenen:

Foto credit: Blair Fraser via Unsplash.

Hooghiemstra & Partners is verhuisd naar Bezuidenhoutseweg 161

Hooghiemstra & Partners heeft een nieuw kantoor. We blijven in Den Haag en zitten nu aan de Bezuidenhoutseweg nummer 161. Begonnen met een kamer en een printer op de Parkstraat, nemen we vijf jaar later onze intrek aan de andere zijde van de stad. We zijn zeer goed bereikbaar: op loopafstand van Den Haag Centraal Station en dichtbij de A12 en A44. Ons kantoor is in dezelfde straat als de kantoren van de SER en de Nationale ombudsman en vlakbij het Paleis van Justitie, de Tweede Kamer en het Haagse bos.

Vanuit dit adres werken we met veel plezier, enthousiasme en expertise aan de verbinding van recht, technologie en data. Samen met onze opdrachtgevers bereiken we verantwoorde en efficiënte oplossingen voor maatschappelijke vraagstukken. Je bent van harte welkom in ons nieuwe kantoor!

Contact

Hooghiemstra & Partners (nieuw adres)

Bezuidenhoutseweg 161

2594 AG Den Haag

06 39 27 85 33

 

Bereikbaarheid

🚅 Vanaf Den Haag CS: 12 minuten lopen

🚗 Vanaf A 12/Utrechtse baan: 5 minuten

🚋 Vanaf halte Oostinje of Ternoot (tram 6): 8-9 minuten lopen

🚌 Vanaf halte Laan van Nieuw Oost Indië, Boslaan of Koningin Marialaan (bus 43, 44 of 24): 1-5 minuten lopen

 

Plattegrond

 

Profilering en geautomatiseerde besluiten: een te groot risico?

Door: Marlies van Eck

Handelsinformatiebureaus die adviseren of iemand wel of geen lening krijgt. Het is een advies gebaseerd op basis van gedragingen van andere consumenten en op basis van allerlei persoonsgegevens. Door de uitspraken in de SCHUFA-zaken van het Europees Hof van Justitie komt deze praktijk in een ander daglicht te staan.

SCHUFA verkoopt in Duitsland kredietwaardigheidsbeoordelingen aan banken en andere financiële instellingen. Dit gebeurt op basis van allerlei gegevens uit openbare bronnen en door middel van een creditscore. Hoe SCHUFA de score berekent, is niet bekend. Dit noemt men ‘bedrijfsgeheim’. Ook bewaart SCHUFA de gegevens drie jaar. Dit is aanmerkelijk langer dan de bewaartermijn die rust op het openbare register waaruit de gegevens komen. In een rechtszaak hierover grijpt de Europese rechter in:

  1. De persoonsgegevens langer bewaren dan de zes maanden die geldt voor de bron, het openbaar register, mag niet.
  2. De rechter vindt dat de creditscore een geautomatiseerd individueel besluit is zoals bedoeld in artikel 22 AVG. Daarom moet Duitsland goede regelgeving hebben. Als die regelgeving geen rekening houdt met de extra waarborgen van de AVG, handelt het bedrijf zonder rechtsgrond en schendt het artikel 22 AVG.

De uitspraak heeft ook gevolgen voor het verzamelen van gegevens zonder directe aanleiding, het bewaren van gegevens en gebruiken van statistische profielen en scores in Nederland.

Iedere inwoner van Duitsland ‘in SCHUFA’

In Duitsland gebruiken veel instellingen de diensten van SCHUFA. Dit is een bedrijf gespecialiseerd in het beoordelen van kredietwaardigheid van met name consumenten. Zoals hun eigen website (zie hier) al vermeldt, staat bijna iedere inwoner van Duitsland wel ‘in SCHUFA’. Op de vraag hoe je een goede SCHUFA-score krijgt, staat als antwoord dat het afhankelijk is van verschillende factoren maar dat het bijzonder belangrijk is om je rekeningen op tijd te betalen (!). Advies van SCHUFA: lees hier.  

Om de kredietwaardigheid te beoordelen, maakt SCHUFA kredietscores. Op basis van bepaalde kenmerken van een persoon en aan de hand van een wiskundig-statistische methode wordt een voorspelling gedaan over de waarschijnlijkheid van diens toekomstig gedrag (‘score’), zoals de terugbetaling van een lening. Het vaststellen van scores is gebaseerd op de veronderstelling dat een soortgelijk gedrag kan worden voorspeld door een persoon in te delen bij een groep van andere personen met vergelijkbare kenmerken die zich op een bepaalde manier hebben gedragen. Dit is een andere werkwijze dan het BKR. BKR werkt met het vastleggen van schulden en het terugbetalingsgedrag. De persoonsgegevens die gebruikt worden voor de berekening zijn onder meer afkomstig uit een openbaar insolventieregister. Op basis van Duitse wetgeving geldt voor dit register een bewaartermijn van 6 maanden.

schematisch overzicht SCHUFA werkwijze

SCHUFA geeft geen nadere uitleg en weigert persoonsgegevens te wissen

Toen consumenten hun persoonsgegevens bij SCHUFA wilden inzien en gewist wilden hebben, gaf SCHUFA wel hun individuele scoreniveaus. Ook gaf SCHUFA in grote lijnen aan hoe de scores worden berekend. Zij weigert verdere informatie. Dit zou een inbreuk zijn op het bedrijfsgeheim. Ook vindt SCHUFA dat niet zij, maar de instellingen aan wie zij de adviezen rond kredietwaardigheid geven, de eigenlijke contractuele besluiten namen. SCHUFA weigert ook om de persoonsgegevens die verkregen waren uit openbare registers te wissen. Ze beroept zich op een bewaartermijn van 3 jaar.

De Europese rechter over deze kwestie

De Duitse rechter stelde vragen aan het Europees Hof van Justitie. Er zijn twee uitspraken: het arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C 26/22 en C 64/22, ECLI:EU:C:2023:958 (lees hier); en het arrest van 7 december 2023, SCHUFA Holding, C-634/21, ECLI:EU:C:2023:957 (lees hier). Het Europees Hof van Justitie antwoordde als volgt:

  1. De creditscore is een geautomatiseerd besluit als bedoeld in 22 AVG ook al verleent SCHUFA zelf geen leningen. Dit betekent dat de creditscore niet mag, tenzij voldaan is aan extra waarborgen.
  2. Het langer bewaren dan de termijn die geldt voor de bron van de gegevens, het nationale solventieregister, mag niet.
  3. De Duitse rechter moet nagaan of de Duitse wetgeving voor het beoordelen van kredietwaardigheid voldoet aan de eisen van de AVG.
  4. Ook moet de Duitse rechter beoordelen of het rechtmatig is dat de persoonsgegevens parallel aan het openbaar register bewaard worden. Dit is een inmenging in de rechten beschermd door de artikelen 7 en 8 van het Handvest van de grondrechten voor de Europese Unie. De persoonsgegevens worden dan namelijk in verschillende bronnen verwerkt.

Gevolgen voor Nederland

Met deze uitspraak zijn mensen die een telefoonabonnement of andere financiële verplichting willen aangaan, beter beschermd dan voorheen. Het is nu duidelijk dat er een verbod geldt: het is verboden om op basis van profilering geautomatiseerde beslissingen te nemen met juridische of andere gevolgen voor betrokkenen. Dit verbod kan alleen worden doorbroken als er wetgeving komt of als aangetoond wordt dat de profilering noodzakelijk is voor de totstandkoming van een overeenkomst. Profilering lijkt niet noodzakelijk om de overeenkomst aan te gaan. Het is een optie om aan de persoon zelf te vragen wat de lopende schulden zijn. Ook maakt de rechter duidelijk dat artikel 5 en 6 van de AVG ook betrokken moeten worden. Dit betekent dat de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant moet zijn en dat er een grondslag voor het verwerken van de persoonsgegevens is.

Ook voor de overheid heeft deze uitspraak gevolgen. Bij allerlei taken zoals het verlenen van kwijtschelding, het innen van boeten en opschorten van betalingen worden risicomodellen gehanteerd. Het zou kunnen dat deze werkwijzen onder het verbod vallen. Of dit zo is, zal afhangen van het feitelijke gebruik van het risicomodel. Daarbij is vooral van belang dat de Europese rechter expliciet let op lacunes in de rechtsbescherming. En niet moet de rechter hierop letten, maar er ook voor zorgen dat deze vervolgens gedicht worden. In een evaluatie van de UAVG constateerden we al dat er nu hiaten lijken te zijn. Zie pagina 199 en 120 van ons rapport: hier. De lijn van de Europese rechter volgend, is denkbaar dat de rechter het hiaat in lijn met de beginselen van de AVG gaat opvullen.

Is de kredietscore van SCHUFA een geautomatiseerd besluit in de zin van artikel 22 AVG ondanks dat SCHUFA geen beslissing neemt om wel of geen lening te verstrekken?

Ja, zegt het Europees Hof van Justitie. De rechter stelt vast dat voldaan is aan de 3 cumulatieve eisen

  1.  Er is een besluit. Dat is de berekening van de solvabiliteit door een waarschijnlijkheidswaarde (probability value).
  2. Het is uitsluitend geautomatiseerd tot stand gekomen en valt in de categorie profilering. Dit komt omdat de persoonsgegevens van een consument worden gebruikt en het een geautomatiseerde vaststelling van een waarschijnlijkheidswaarde is.
  3. Het besluit heeft rechtsgevolgen of treft de betrokkene in aanmerkelijke mate. Het maakt hierbij niet uit dat SCHUFA zelf geen leningen verstrekt en dus ook niet besluit of de persoon een lening krijgt. Duidelijk is wel dat een slechte score bij SCHUFA in vrijwel alle gevallen leidt tot een weigering van de instelling om krediet te verlenen.

Vooral dit laatste is interessant. SCHUFA had haar rol klein gemaakt. De score was alleen een voorbereidende handeling, voor de weigering van de lening was de bank verantwoordelijk. Maar de rechter ziet hier een constructie die ertoe zou leiden dat er geen rechtsbescherming is. Zou je als consument naar de bank gaan en inzage vragen of vragen naar de achterliggende logica van de score, dan kan de bank dit namelijk niet geven.

Is artikel 22, eerste lid van de AVG een algemeen verbod op geautomatiseerde besluiten of een individueel recht om een handmatig besluit te vragen?

Sinds de inwerkingtreding van de AVG lag de vraag open of artikel 22 AVG een individueel recht is voor betrokkenen of een algemeen verbod voor geautomatiseerde besluiten. In het eerste geval kan een verantwoordelijke geautomatiseerd besluiten, maar moet deze op verzoek van een betrokkene een handmatig besluit nemen. De betrokkene heeft het recht er niet aan te worden onderworpen. De andere lezing is dat het een algemeen verbod inhoudt. Dit is ook de opvatting van de Nederlandse wetgever. In deze uitspraak heeft de Europese rechter het oordeel geveld; het is een algemeen verbod.

Mogen particuliere kredietinformatiebureaus persoonsgegevens afkomstig uit een officiële bron, langer bewaren dan de bewaartermijn van die officiële bron?

Nee. Dit is in strijd met artikel 5, lid 1, onder a en artikel 6, lid 1 onder f van de AVG. De rechter overweegt dat er een afweging moet plaatsvinden tussen tegenstelde rechten en belangen. Aan de ene kant het belang dat de analyse van een kredietinformatiebureau risico’s van fraude en onzekerheden kan verminderen. Aan de andere kant het belang van betrokkenen voor wie deze vorm van gegevensverwerking tot een inbreuk leidt van artikel 7 en 8 van het Handvest. Hoe langer de persoonsgegevens worden bewaard, hoe strenger de eisen zijn. Omdat de rechter kijkt naar de reden van de Duitse wetgever voor de bewaartermijn van 6 maanden, namelijk dat iemand weer kan deelnemen aan het economisch leven, oordeelt deze dat dit dus ook geldt voor deze verwerking.

Mag je persoonsgegevens kopiëren uit een openbaar register en verzamelen zonder aanleiding gedurende dezelfde bewaartermijn als die van de officiële openbare bron?

Deze vraag wordt doorgespeeld naar de rechter in Duitsland. De Duitse bestuursrechter moet nagaan of de bewaring van de gegevens door SCHUFA beperkt is tot hetgeen strikt noodzakelijk is voor de behartiging van het gerechtvaardigd belang. De rechter moet dan meenemen dat de gegevens ook in het openbaar register kunnen worden geraadpleegd. Ook moet de rechter meenemen dat de persoonsgegevens al verzameld worden zonder dat een commerciële onderneming in een concreet geval verzoekt om inlichtingen. De rechter vindt deze bewaring gedurende 6 maanden minder ernstig, maar nog steeds een inmenging in de rechten van de artikelen 7 en 8 van het Handvest.

Conclusie

Het lijkt erop dat de teugels strakker worden aangespannen als het gaat om geautomatiseerde besluiten en profilering. Dit heeft directe juridische gevolgen voor de particuliere sector, maar de uitspraken van het Europees Hof van Justitie over SCHUFA zetten ook de bestaande praktijk bij overheden onder druk. Want ook overheden werken met risicoprofilering. Omdat de rechter naar de geest van de AVG kijkt is het de vraag of risicoprofilering bij het controleren van burgers is toegestaan. Heeft u vragen over geautomatiseerd besluiten en profilering? Hooghiemstra & Partners helpt u graag op weg.