Categorie archieven: Blog

Profilering en geautomatiseerde besluiten: een te groot risico?

Door: Marlies van Eck

Handelsinformatiebureaus die adviseren of iemand wel of geen lening krijgt. Het is een advies gebaseerd op basis van gedragingen van andere consumenten en op basis van allerlei persoonsgegevens. Door de uitspraken in de SCHUFA-zaken van het Europees Hof van Justitie komt deze praktijk in een ander daglicht te staan.

SCHUFA verkoopt in Duitsland kredietwaardigheidsbeoordelingen aan banken en andere financiële instellingen. Dit gebeurt op basis van allerlei gegevens uit openbare bronnen en door middel van een creditscore. Hoe SCHUFA de score berekent, is niet bekend. Dit noemt men ‘bedrijfsgeheim’. Ook bewaart SCHUFA de gegevens drie jaar. Dit is aanmerkelijk langer dan de bewaartermijn die rust op het openbare register waaruit de gegevens komen. In een rechtszaak hierover grijpt de Europese rechter in:

  1. De persoonsgegevens langer bewaren dan de zes maanden die geldt voor de bron, het openbaar register, mag niet.
  2. De rechter vindt dat de creditscore een geautomatiseerd individueel besluit is zoals bedoeld in artikel 22 AVG. Daarom moet Duitsland goede regelgeving hebben. Als die regelgeving geen rekening houdt met de extra waarborgen van de AVG, handelt het bedrijf zonder rechtsgrond en schendt het artikel 22 AVG.

De uitspraak heeft ook gevolgen voor het verzamelen van gegevens zonder directe aanleiding, het bewaren van gegevens en gebruiken van statistische profielen en scores in Nederland.

Iedere inwoner van Duitsland ‘in SCHUFA’

In Duitsland gebruiken veel instellingen de diensten van SCHUFA. Dit is een bedrijf gespecialiseerd in het beoordelen van kredietwaardigheid van met name consumenten. Zoals hun eigen website (zie hier) al vermeldt, staat bijna iedere inwoner van Duitsland wel ‘in SCHUFA’. Op de vraag hoe je een goede SCHUFA-score krijgt, staat als antwoord dat het afhankelijk is van verschillende factoren maar dat het bijzonder belangrijk is om je rekeningen op tijd te betalen (!). Advies van SCHUFA: lees hier.  

Om de kredietwaardigheid te beoordelen, maakt SCHUFA kredietscores. Op basis van bepaalde kenmerken van een persoon en aan de hand van een wiskundig-statistische methode wordt een voorspelling gedaan over de waarschijnlijkheid van diens toekomstig gedrag (‘score’), zoals de terugbetaling van een lening. Het vaststellen van scores is gebaseerd op de veronderstelling dat een soortgelijk gedrag kan worden voorspeld door een persoon in te delen bij een groep van andere personen met vergelijkbare kenmerken die zich op een bepaalde manier hebben gedragen. Dit is een andere werkwijze dan het BKR. BKR werkt met het vastleggen van schulden en het terugbetalingsgedrag. De persoonsgegevens die gebruikt worden voor de berekening zijn onder meer afkomstig uit een openbaar insolventieregister. Op basis van Duitse wetgeving geldt voor dit register een bewaartermijn van 6 maanden.

schematisch overzicht SCHUFA werkwijze

SCHUFA geeft geen nadere uitleg en weigert persoonsgegevens te wissen

Toen consumenten hun persoonsgegevens bij SCHUFA wilden inzien en gewist wilden hebben, gaf SCHUFA wel hun individuele scoreniveaus. Ook gaf SCHUFA in grote lijnen aan hoe de scores worden berekend. Zij weigert verdere informatie. Dit zou een inbreuk zijn op het bedrijfsgeheim. Ook vindt SCHUFA dat niet zij, maar de instellingen aan wie zij de adviezen rond kredietwaardigheid geven, de eigenlijke contractuele besluiten namen. SCHUFA weigert ook om de persoonsgegevens die verkregen waren uit openbare registers te wissen. Ze beroept zich op een bewaartermijn van 3 jaar.

De Europese rechter over deze kwestie

De Duitse rechter stelde vragen aan het Europees Hof van Justitie. Er zijn twee uitspraken: het arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C 26/22 en C 64/22, ECLI:EU:C:2023:958 (lees hier); en het arrest van 7 december 2023, SCHUFA Holding, C-634/21, ECLI:EU:C:2023:957 (lees hier). Het Europees Hof van Justitie antwoordde als volgt:

  1. De creditscore is een geautomatiseerd besluit als bedoeld in 22 AVG ook al verleent SCHUFA zelf geen leningen. Dit betekent dat de creditscore niet mag, tenzij voldaan is aan extra waarborgen.
  2. Het langer bewaren dan de termijn die geldt voor de bron van de gegevens, het nationale solventieregister, mag niet.
  3. De Duitse rechter moet nagaan of de Duitse wetgeving voor het beoordelen van kredietwaardigheid voldoet aan de eisen van de AVG.
  4. Ook moet de Duitse rechter beoordelen of het rechtmatig is dat de persoonsgegevens parallel aan het openbaar register bewaard worden. Dit is een inmenging in de rechten beschermd door de artikelen 7 en 8 van het Handvest van de grondrechten voor de Europese Unie. De persoonsgegevens worden dan namelijk in verschillende bronnen verwerkt.

Gevolgen voor Nederland

Met deze uitspraak zijn mensen die een telefoonabonnement of andere financiële verplichting willen aangaan, beter beschermd dan voorheen. Het is nu duidelijk dat er een verbod geldt: het is verboden om op basis van profilering geautomatiseerde beslissingen te nemen met juridische of andere gevolgen voor betrokkenen. Dit verbod kan alleen worden doorbroken als er wetgeving komt of als aangetoond wordt dat de profilering noodzakelijk is voor de totstandkoming van een overeenkomst. Profilering lijkt niet noodzakelijk om de overeenkomst aan te gaan. Het is een optie om aan de persoon zelf te vragen wat de lopende schulden zijn. Ook maakt de rechter duidelijk dat artikel 5 en 6 van de AVG ook betrokken moeten worden. Dit betekent dat de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant moet zijn en dat er een grondslag voor het verwerken van de persoonsgegevens is.

Ook voor de overheid heeft deze uitspraak gevolgen. Bij allerlei taken zoals het verlenen van kwijtschelding, het innen van boeten en opschorten van betalingen worden risicomodellen gehanteerd. Het zou kunnen dat deze werkwijzen onder het verbod vallen. Of dit zo is, zal afhangen van het feitelijke gebruik van het risicomodel. Daarbij is vooral van belang dat de Europese rechter expliciet let op lacunes in de rechtsbescherming. En niet moet de rechter hierop letten, maar er ook voor zorgen dat deze vervolgens gedicht worden. In een evaluatie van de UAVG constateerden we al dat er nu hiaten lijken te zijn. Zie pagina 199 en 120 van ons rapport: hier. De lijn van de Europese rechter volgend, is denkbaar dat de rechter het hiaat in lijn met de beginselen van de AVG gaat opvullen.

Is de kredietscore van SCHUFA een geautomatiseerd besluit in de zin van artikel 22 AVG ondanks dat SCHUFA geen beslissing neemt om wel of geen lening te verstrekken?

Ja, zegt het Europees Hof van Justitie. De rechter stelt vast dat voldaan is aan de 3 cumulatieve eisen

  1.  Er is een besluit. Dat is de berekening van de solvabiliteit door een waarschijnlijkheidswaarde (probability value).
  2. Het is uitsluitend geautomatiseerd tot stand gekomen en valt in de categorie profilering. Dit komt omdat de persoonsgegevens van een consument worden gebruikt en het een geautomatiseerde vaststelling van een waarschijnlijkheidswaarde is.
  3. Het besluit heeft rechtsgevolgen of treft de betrokkene in aanmerkelijke mate. Het maakt hierbij niet uit dat SCHUFA zelf geen leningen verstrekt en dus ook niet besluit of de persoon een lening krijgt. Duidelijk is wel dat een slechte score bij SCHUFA in vrijwel alle gevallen leidt tot een weigering van de instelling om krediet te verlenen.

Vooral dit laatste is interessant. SCHUFA had haar rol klein gemaakt. De score was alleen een voorbereidende handeling, voor de weigering van de lening was de bank verantwoordelijk. Maar de rechter ziet hier een constructie die ertoe zou leiden dat er geen rechtsbescherming is. Zou je als consument naar de bank gaan en inzage vragen of vragen naar de achterliggende logica van de score, dan kan de bank dit namelijk niet geven.

Is artikel 22, eerste lid van de AVG een algemeen verbod op geautomatiseerde besluiten of een individueel recht om een handmatig besluit te vragen?

Sinds de inwerkingtreding van de AVG lag de vraag open of artikel 22 AVG een individueel recht is voor betrokkenen of een algemeen verbod voor geautomatiseerde besluiten. In het eerste geval kan een verantwoordelijke geautomatiseerd besluiten, maar moet deze op verzoek van een betrokkene een handmatig besluit nemen. De betrokkene heeft het recht er niet aan te worden onderworpen. De andere lezing is dat het een algemeen verbod inhoudt. Dit is ook de opvatting van de Nederlandse wetgever. In deze uitspraak heeft de Europese rechter het oordeel geveld; het is een algemeen verbod.

Mogen particuliere kredietinformatiebureaus persoonsgegevens afkomstig uit een officiële bron, langer bewaren dan de bewaartermijn van die officiële bron?

Nee. Dit is in strijd met artikel 5, lid 1, onder a en artikel 6, lid 1 onder f van de AVG. De rechter overweegt dat er een afweging moet plaatsvinden tussen tegenstelde rechten en belangen. Aan de ene kant het belang dat de analyse van een kredietinformatiebureau risico’s van fraude en onzekerheden kan verminderen. Aan de andere kant het belang van betrokkenen voor wie deze vorm van gegevensverwerking tot een inbreuk leidt van artikel 7 en 8 van het Handvest. Hoe langer de persoonsgegevens worden bewaard, hoe strenger de eisen zijn. Omdat de rechter kijkt naar de reden van de Duitse wetgever voor de bewaartermijn van 6 maanden, namelijk dat iemand weer kan deelnemen aan het economisch leven, oordeelt deze dat dit dus ook geldt voor deze verwerking.

Mag je persoonsgegevens kopiëren uit een openbaar register en verzamelen zonder aanleiding gedurende dezelfde bewaartermijn als die van de officiële openbare bron?

Deze vraag wordt doorgespeeld naar de rechter in Duitsland. De Duitse bestuursrechter moet nagaan of de bewaring van de gegevens door SCHUFA beperkt is tot hetgeen strikt noodzakelijk is voor de behartiging van het gerechtvaardigd belang. De rechter moet dan meenemen dat de gegevens ook in het openbaar register kunnen worden geraadpleegd. Ook moet de rechter meenemen dat de persoonsgegevens al verzameld worden zonder dat een commerciële onderneming in een concreet geval verzoekt om inlichtingen. De rechter vindt deze bewaring gedurende 6 maanden minder ernstig, maar nog steeds een inmenging in de rechten van de artikelen 7 en 8 van het Handvest.

Conclusie

Het lijkt erop dat de teugels strakker worden aangespannen als het gaat om geautomatiseerde besluiten en profilering. Dit heeft directe juridische gevolgen voor de particuliere sector, maar de uitspraken van het Europees Hof van Justitie over SCHUFA zetten ook de bestaande praktijk bij overheden onder druk. Want ook overheden werken met risicoprofilering. Omdat de rechter naar de geest van de AVG kijkt is het de vraag of risicoprofilering bij het controleren van burgers is toegestaan. Heeft u vragen over geautomatiseerd besluiten en profilering? Hooghiemstra & Partners helpt u graag op weg.

Grote taalmodellen: juridisch nog deels onverkend terrein

Grote Taalmodellen, ofwel Large Language Models. zijn bezig met een opmars. Daarmee brengen deze zogenoemde LLM’s (niet te verwarren met de afkorting van de meestertitel) de nodige juridische vragen met zich mee. Onze collega’s Walter van Holst en Mariette Lokin schreven een artikel voor ‘DIXIT’ en buigen zich over drie LLM vraagstukken en de ontwikkelingen op het gebied van wetgeving.

‘DIXIT’ is het tijdschrift van de Nederlandse Organisatie voor Taal- en Spraaktechnologie (NOTaS), die onderzoeksinstellingen en applicatieontwikkelaars in deze sector vertegenwoordigt. De 2022-editie van het tijdschrift stond in het teken van Grote Taal- en Spraakmodellen.

De technologie van LLM’s ontwikkelt zich in een sneltreinvaart. De vragen die Van Holst en Lokin bespreken in hun artikel hebben te maken met rechtmatigheid. Allereerst wordt ingezoomd op de rechtmatigheid van het trainingsproces; hoe worden Grote Taalmodellen nu getraind en in hoeverre is dat juridisch houdbaar? Er valt niet alleen te twisten over de auteursrechtelijke aspecten van data in deze modellen, maar ook over de rechtmatigheid van het gebruik van het LLM zelf. Dit kan namelijk in sommige gevallen leiden tot geautomatiseerde besluitvorming. Ten slotte spelen vragen omtrent de rechtmatigheid van de uitvoer, ofwel het resultaat, van een LLM. Grote Taalmodellen spreken niet altijd alleen maar waarheden en feiten. Van Holst en Lokin benoemen verschillende wetsvoorstellen op Europees niveau die het juridisch kader rond LLM’s verder moeten invullen.

Meer weten over de rechtmatigheid van Grote Taalmodellen? Lees dan het hele artikel hier.

Foto: Mojahid Mottakin via Unsplash

Brexit: uitwisseling persoonsgegevens problematisch

In maart 2021 schreef onze collega Walter van Holst een artikel in AG Connect over de gevolgen van de Brexit op het uitwisselen van persoonsgegevens met het Verenigd Koninkrijk. Doordat het land uit de EER is getreden, zijn andere regels van toepassing geworden. Het Verenigd Koninkrijk komt dan op dezelfde lijst van derde landen te staan als bijvoorbeeld China of de Verenigde Staten. Walter zoomt in zijn artikel in op drie belangrijke uitzonderingen die transfers naar derde landen mogelijk maken.

Meer lezen over de uitwisseling van persoonsgegevens na de Brexit? Bekijk het hele artikel hier.

Foto credit: Habib Ayoade op Unsplash

Blog algoritmeregisters: kookboek of fopspeen?

Mariette Lokin van Hooghiemstra en Partners schreef voor iBestuur een blog over algoritmeregisters. Ze duikt in de registers, die niet altijd even duidelijk zijn. Is het eigenlijk wel zo handig om algoritmes op te sommen op een website, of zijn er betere manieren om burgers in te laten zien hoe een beslissing is genomen? En is het algoritmeregister eerder een fopspeen, dan een kookboek dat inzicht geeft in het overheidsoptreden? Mariette is van mening dat er nog wel wat te winnen valt als het gaat over de publicatie van algoritmen.

Lees haar volledige blog via deze link.

Foto via Pixabay.

 

 

Privacyrecht in Nederland op zoek naar meer houvast

Voor het tijdschrift P&I schreven Thijs Drouen en Marlies van Eck een artikel over de recente evaluatie van de UAVG. Met co-auteurs Heinrich Winter en Chantal Ridderbos-Hovingh van Pro Facto concluderen ze dat de UAVG nauwelijks van toegevoegde waarde is voor het gegevensbeschermingsrecht in Nederland. Over de Functionaris Gegevensbescherming schrijven zij dat het opvallende bevinding is dat minder dan de helft van de respondenten in het onderzoek zich altijd vrij voelt om de AP te benaderen en dat een kwart zich nooit of soms vrij voelt. Ook uit de interviews blijkt dat FG’s worden gehinderd door de vrees dat contact met de AP kan leiden tot interventies of versterkte controle van de organisatie waarvoor de FG werkzaam is. 86% van de respondenten gaf aan altijd of meestal betrokken te worden bij gesprekken tussen de organisatie en de AP.

Het artikel vindt u hier.

BNR Eyeopeners: dit is de oplossing voor het delen van gevoelige data

BNR Eyeopeners besteedt elke week aandacht aan een onderwerp dat te maken heeft met technologie en innovatie. In de aflevering van deze week staat multi party computation, kortweg MPC centraal. Deze technologie maakt het mogelijk om gegevens in de bron met een hoogwaardige, state of the art versleuteling te verwerken. Dat maakt het mogelijk om ook gevoelige persoonsgegevens volgens de principes van privacy by design te verwerken.

In deze aflevering gaat onze collega Mariette Lokin  in op de juridische aspecten van toepassing van deze technologie. Thomas Attema van TNO en Roderick Rodenburg van Roseman Labs gaan in op de technische merites van MPC.

Je kan de podcast beluisteren via: https://www.bnr.nl/podcast/eyeopeners/10493216/dit-is-de-oplossing-voor-het-delen-van-gevoelige-data.

 

Sociaal medium BlueSky: centraal of decentraal organiseren?

Vorige week was onze collega Walter van Holst te gast bij het programma BNR Digitaal. Het gesprek met schaatslegende Ben van de Burg ging over het door Twitter-oprichter Jack Dorsey aangekondigde decentraal ingerichte sociaal medium BlueSky. Aan de orde kwam of het eigenlijk uitmaakt of een sociaal medium centraal of decentraal georganiseerd is.

De uitzending is terug te luisteren (in het tweede halfuur) via: https://www.bnr.nl/podcast/digitaal/10492524/microsoft-vs-de-waakhonden-bluesky-is-het-nieuwe-oude-twitter-en-tech-op-dutch-design-week .

Foto: Yujeong Huh via Unsplash

Met MPC: een data-archipel voor veilig gebruik van (medische) persoonsgegevens

Begin september deed Mariette Lokin van Hooghiemstra en Partners mee aan de rondetafelbijeenkomst over Multi Party Computation. Toen besprak ze enkele voorbeelden hoe deze techniek kan worden gebruikt om op een veilige manier (medische) persoonsgegevens te verwerken. Mariette heeft voor iBestuur een blog geschreven over deze state-of-the-art technologie.

Met Multi Party Computation worden gegevens versleuteld bij de bron en opgeknipt in ‘secret shares’. Met toestemming van de verwerkingsverantwoordelijken, die eigen sleutels hebben, kunnen de gegevens gebruikt worden om mee te rekenen. Dat is ook het enige: degene die de berekeningen uitvoert kan de gegevens niet inzien of bereiken. De informatie blijft dus geheim. Deze betrouwbare en veilige methode geeft een goede invulling aan privacy by design. Mariette ziet interessante mogelijkheden voor MPC, zoals wanneer er gewerkt wordt met gevoelige gegevens of om ondermijnende criminaliteit te bestrijden.

MPC is geen panacee. Aan de vereisten die de AVG stelt zal altijd voldaan moeten worden, zoals dat er een grondslag voor het verwerken moet zijn. De techniek is niet het antwoord op alles, maar biedt wel mooie opties om op een veilige manier met gegevens om te gaan.

De hele blogpost is hier te lezen.

Foto via Unsplash.

European Health Data Space: goede intenties, maar…

Een virtuele ruimte waarin gezondheidsgegevens veilig, zorgvuldig en met de juiste inhoud elektronisch uitgewisseld kunnen worden, onder controle van de patiënt met een nieuw recht op volledige dataportabiliteit en met mogelijkheden tot hergebruik. Het idee van de Europese Commissie klinkt veelbelovend. Maar de manier waarop zij dit wil realiseren brengt een afbreukrisico met zich mee. De voorgestelde concept-Europese verordening voor een European Health Data Space laat namelijk qua vorm en inhoud nog wel wat te wensen over, constateert Walter Van Holst in zijn bijdrage voor iBestuur. Lees de bijdrage via deze link.

Foto: Chris Levrani via Unsplash