Category Archives: Publications
19
Jan
Jan
Ministers Van Gennip (SZW) en Schouten (Armoedebeleid, Participatie en Pensioenen) boden op 11 januari 2023 de Tweede Kamer de Stand van de uitvoering sociale zekerheid aan. Met de Stand van de uitvoering wordt de Kamer twee keer per jaar geïnformeerd over wat er speelt in de uitvoering van de sociale zekerheid.
Onderdeel van deze Stand van de Uitvoering Sociale Zekerheid is een onderzoek naar de governance van de Stichting Inlichtingenbureau (IB) en Bureau keteninformatisering werk en inkomen (BKWI). In het rapport Grip op gegevensuitwisseling geven AEF, de Beleidsonderzoekers en Hooghiemstra & Partners inzicht in knelpunten die er op dit moment zijn. Van daaruit adviseren de onderzoekers om voor het BKWI te kiezen voor een eenduidig sturingsmodel voor de ketens waarin BKWI werkt. In dat model is de minister van SZW op grond van zijn stelselverantwoordelijkheid duidelijk de opdrachtgever van alle BKWI-taken. Voor Stichting IB is het advies om de taken te voorzien van een wettelijke verankering en om het zicht van de Tweede Kamer op het IB te versterken.
16
Jan
Jan
Op 13 januari heeft minister Ollongren van Defensie het onderzoeksrapport ‘Grondslag gezocht’ naar de Tweede Kamer gestuurd. Het onderzoeksrapport is opgesteld door de onafhankelijke commissie onderzoek LIMC, voorgezeten door Brouwer. De commissie deed onderzoek naar het Land Information Manoeuvre Centre (LIMC), dat van maart tot november 2020 actief was tijdens de COVID-19 pandemie. Het LIMC volgde het verloop van de crisis en deed op basis hiervan voorspellingen voor de toekomst. Nadat het NRC in november 2020 berichtte dat het leger op grote schaal heimelijk data verzamelde, werd de eenheid stilgelegd. Uit ‘Grondslag gezocht’ blijkt dat er sprake is geweest van het verwerken van persoonsgegevens zonder een rechtmatige grondslag. Onze collega Helen Hukshorn was lid van de commissie onderzoek LIMC. Ollongren omarmt de conclusies en geeft in de brief aan hoe de aanbevelingen worden opgevolgd. De hele brief is hier terug te lezen.
Het hele rapport is terug te lezen via deze link.
Foto via Specna Arms op Unsplash .
06
Sep
Sep
De AVG bestaat uit open normen die zich in de praktijk niet altijd makkelijk laten toepassen. Invulling daarvan door de Uitvoeringswet AVG is niet goed uit de verf gekomen. Dit komt door de ‘beleidsneutrale’ opzet van de Uitvoeringswet AVG en het gebrek aan (latere) concretisering van die open normen. De UAVG heeft daarmee niet veel toegevoegde waarde ten opzichte van de AVG. Voor de uitvoeringspraktijk draagt de UAVG niet bij tot meer duidelijkheid. Dit is de hoofdconclusie van de wetsevaluatie die Pro Facto en Hooghiemstra & Partners hebben gedaan in opdracht van het WODC. Het onderzoek naar uitvoerbaarheid van de UAVG genaamd ‘Bescherming gegeven?‘ is op 6 september aangeboden aan de Tweede Kamer. Het rapport vindt u hier: https://hooghiemstra-en-partners.nl/wp-content/uploads/2022/09/3249-Eindrapport-Bescherming-gegeven-Evaluatie-UAVG-meldplicht-datalekken-en-boetebevoegdheid.pdf.
De onderzoekers raden aan de wet te verbeteren. Dit kan door de UAVG en de sectorale wetgeving te benutten om tot concretisering te komen. Hierbij kan inspiratie worden opgedaan in andere landen waar de AVG ook geldt.
Ook gedragscodes zouden een veel effectievere rol kunnen spelen bij het toepassen van algemene beginselen in een specifieke sector. Specifiek voor het verwerken van persoonsgegevens door de overheid adviseren de onderzoekers de rechtsbescherming voor burgers tegen de verwerking van persoonsgegevens te vereenvoudigen. Dit kan door een brug te slaag tussen de (U)AVG en de Awb. Ook het gat dat nu bestaat tussen de AVG en de Awb bij geautomatiseerde besluitvorming zou gedicht kunnen worden. De toezichthouder, de Autoriteit Persoonsgegevens, zou de werkwijze rondom de bestuurlijke boete meer transparant kunnen vormgegeven en bij de meldplicht datalekken het toezicht op niet-melders kunnen intensiveren.
Achtergrond
Sinds 25 mei 2018 geldt de Algemene Verordening Persoonsgegevens (AVG). Deze Europese verordening regelt de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens. De Uitvoeringswet Algemene verordening persoonsgegevens (UAVG) vult de ruimte in die Nederland als lidstaat heeft om op bepaalde punten meer specifieke nationale regelingen te treffen.
Open normen
In het evaluatieonderzoek is gekeken naar de uitvoering van de UAVG en is de werking van de wet geëvalueerd. Hierbij hebben de onderzoekers veel hulp gekregen van experts uit het veld, van Functionarissen Gegevensbescherming (FG’s), staatsraden en advocaten tot aan academische experts.
De AVG gaat uit van open normen. Deze normen zijn voor een belangrijk deel een voortzetting van regelgeving die er voor de AVG ook al was. Een verdere concretisering en specifieke invulling in de UAVG heeft niet plaatsgevonden. Ook heeft per branche via zogenaamde gedragscodes amper een operationalisering van normen plaatsgevonden, nu de gedragscode als instrument nauwelijks van de grond komt. De onderzoekers formuleren dan ook verschillende aanbevelingen die gelet op het samenstel van AVG, UAVG, bijzondere wetgeving en sectorale gedragscodes handvatten kunnen zijn voor de praktijk van het gegevensbeschermingsrecht.
Besluitvorming en rechtsbescherming
Bij de rechtsbescherming tegen het handelen van de overheid heeft het besluit een sleutelrol. Dit wringt met de systematiek van de (U)AVG waarin de verwerking van persoonsgegevens en daarmee de verwerkingsactiviteit – een feitelijke handeling – een meer centrale rol inneemt. De onderzoekers raden aan om een brug te slaan tussen de (U)AVG en de Awb, zowel op het vlak van geautomatiseerde besluitvorming als op het vlak van rechtsbescherming. Ook pleiten de onderzoekers ervoor om de toegang tot de civiele rechter laagdrempeliger te maken door de toegang tot de verzoekschriftprocedure in de UAVG te verruimen.
Kinderen
Speciale aandacht is nodig voor de huidige zwakke positie van kinderen en hun persoonsgegevens. Juist van de jonge generatie worden ongekend veel persoonsgegevens vastgelegd en verspreid, soms ook door ouders. Zij zouden beter beschermd moeten worden.
Toezichts- en handhavingsbeleid nodig
Behalve naar de werking van de UAVG is ook gekeken naar het functioneren van de boetebevoegdheid van de AP. Het onderzoek plaatst kanttekeningen bij de wijze waarop de toezichthouder deze bevoegdheden hanteert. Zo hebben de onderzoekers niet kunnen vaststellen hoe het toezicht er in de praktijk uit ziet. Er is geen gepubliceerd toezichts- en handhavingsbeleid, zoals dat bij veel andere toezichthouders het geval is. Ook hebben de onderzoekers, na bestudering van cases waarin een bestuurlijke boete is opgelegd, niet goed duidelijk kunnen krijgen hoe de AP de hoogte van de boetes vaststelt. Zij verwachten dat een meer transparante werkwijze voor het vaststellen en opleggen van boetes kan zorgen voor meer begrip en grotere acceptatie door de ondertoezichtstaanden.
Geef niet gemelde datalekken meer aandacht
Het onderzoek naar uitvoerbaarheid van de UAVG stelde ook de meldplicht datalekken aan de orde. Opvallende bevinding is dat de toezichthouder relatief veel handhavingscapaciteit steekt in gemelde datalekken. Ook wanneer de ondertoezichtstaande maatregelen heeft genomen en het probleem heeft opgelost, leidt dat soms tot stevige sancties. De vraag is of in het toezicht het evenwicht tussen gemelde en niet-gemelde datalekken niet op een andere manier zou kunnen worden gevonden.
25
Jul
Jul
Samen met professor Diana van Hout en Martijn Weijers onderzocht Marlies van Eck de FSV en wat de juridische gevolgen daarvan kunnen zijn. Wat was de FSV en hoe is dit juridisch te duiden? In het artikel delen zij inzichten uit verschillende rechtsgebieden; het gegevensbeschermingsrecht, formeel fiscaal recht en het bestuursrecht. Ze concluderen dat de gevolgen van een registratie in FSV niet ongedaan gemaakt zijn. Om rechtsbescherming te kunnen bieden zou een oplossing op systeem-niveau welkom zijn.
05
Jul
Jul
Onder leiding van Marlies van Eck ontwikkelde een groep experts De LegitiMaat. Dit is een werkmethode om de geautomatiseerde uitvoering van wetten te beoordelen. De LegitiMaat is op 1 juli 2022 aangeboden aan de opdrachtgever, het ministerie van BZK. Het instrument kan door iedereen uitgeprobeerd worden en staat op GitHub. De LegitiMaat hanteert een driedubbele blik: een juridisch perspectief, dat van een auditor en van een IT-ontwikkelaar. In de onderzoeksgroep zaten Mariette Lokin, Steven Gort, Maike Klip, Abram Klop, Giulia Bossenecker, Carlijn Oldeman en Robert van Doesburg.
Waarom is het nodig om geautomatiseerde uitvoering van wetten door de overheid te (laten) beoordelen?
De overheid heeft veel verschillende taken. Deze taken worden bij wet toegekend aan een bestuursorgaan. Een deel van deze wettelijke taken wordt geautomatiseerd uitgevoerd met algoritmen. Denk aan het opleggen van boetes voor te hard rijden, het terugvorderen van toeslagen of het verlenen van AOW of kinderbijslag. Net als bij een meer zichtbare uitvoering van taken zoals het ophogen van dijken, is het belangrijk om te weten hoe deze processen verlopen en welke keuzen daarbij gemaakt zijn. Want ook de geautomatiseerde uitvoering van wetten is publiek handelen en moet legitiem zijn.
Waarover gaat De LegitiMaat nog niet?
De LegitiMaat gaat nog niet over het gebruik van ML door de overheid. Tegen de hype van ‘zelflerende algoritmen’ in, wilde deze groep onderzoekers juist weten hoe mensen wetten vertalen in instructies aan de computer zodat de computer besluiten neemt. Vaak wordt dit gebied vergeten.
Maatschappelijk en wetenschappelijk verantwoord
Vanwege de toenemende roep op toezicht op algoritmen is gezocht naar deskundigen uit de praktijk om mee te sparren. In de klankbordgroep zaten vertegenwoordigers van de Algemene rekenkamer, de Autoriteit Persoonsgegevens en het Agentschap Telecom. Ook Stichting advisering bestuursrechtspraak was vertegenwoordigd alsmede Arjan Widlak van Stichting Kafkabrigade en promovendus Joris Krijger.
De Wetenschappelijke Begeleidingscommissie met professoren Sneller (Universiteit Nyenrode), Bovens (UU) en Zouridis (Tilburg University zorgde ervoor dat we het wiel niet opnieuw gingen uitvinden. Ook hielpen zij ons het grotere plaatje te blijven zien.
Getest in het echt
Wij voegen geen extra toezichtskader toe. Wij wilden eerst weten wat er gebeurt bij de uitvoeringsinstellingen en hoe er op een gestandaardiseerde wijze naar kan worden gekeken. Dankzij de hulp van DUO en SVB konden we onze ideeën uittesten. Nadat we de vakmanschap zagen in combinatie met de zeer ingewikkelde en wisselende uitvoeringspraktijken, kozen we voor het visitatie-onderzoek als werkmethode. Zo kan de organisatie zich eerst zelf een beeld vormen om vervolgens aan collega experts een oordeel te vragen.
GitHub
Wij kozen voor publicatie van De LegitiMaat op GitHub. Dit maakt het product toegankelijk, ook voor mensen die niet gewend zijn beleidsnota’s te lezen. Inleidende teksten zijn naar Frans voorbeeld geschreven.
Deuren geopend voor studenten
Om de verbinding met het huidig onderwijs te vergroten is er bij dit project aansluiting gezocht met studenten. Er werkten twee studenten mee aan het project en in totaal schreven drie studenten een scriptie door gebruik te maken van de geopende deuren. Dit zijn scripties geworden voor drie universiteiten in drie verschillende afstudeerrichtingen, respectievelijk Universiteit Leiden, bestuursrecht, Vrije Universiteit, AI en Radboud Universiteit, Computer Science & Society.
Niet makkelijk
Voor het beoordelen van algoritmen geldt dat als het makkelijk was, het al lang was gedaan. Het is haast niet mogelijk om taken die al zo’n twintig jaar door bestuursorganen geautomatiseerd worden verricht, van kop tot staart in te zien, te begrijpen of te beoordelen. En daar waar een wet soms een overzichtelijk aantal bepalingen kent, zijn de bijbehorende beslisregels vaak een veelvoud. De LegitiMaat is een eerste poging om de uitvoering vertrouwd te maken met het feit dat ook bij gebruik van technologie de regels gelden van de Awb, algemene beginselen van behoorlijk bestuur en het verbod van discriminatie. En dat de overheid ook hiervoor verantwoording moet afleggen.
Pas op voor de reflex
Het is verleidelijk om ons heil te zoeken in meer regels voor het aanleggen van documentatie, impact assessments en afvinklijsten. Dat gebeurt ook het voorstel van de EC voor de AI Wet. Maar dan gaat er veel tijd en energie zitten in het creëren (en onderzoeken) van een papieren werkelijkheid. Het toch al abstracte onderwerp raakt dan te veel verwijderd van het achterliggende belang. Dit is namelijk dat een overheid zich aantoonbaar aan regels houdt. Die regels zijn er ter bescherming van burgers. Ook bij het gebruik van algoritmen.
Meer Weten?
Over onze zoektocht is meer te vinden in dit overzicht. De Legitimaat (noti.st). We hebben veel documenten verzameld en op een plaats ondergebracht zodat iedereen het kan gebruiken: De LegitiMaat · Regelbeheersing (pleio.nl). Tot slot wordt alle relevante Engelstalige informatie hier bijgehouden: A cool experiment in NL: The LegitiMate. Working method to judge the use of algorithms in ADM from 3 perspectives. – Automated administrative decisions and the law (wordpress.com)
Vragen?
Meer weten over De LegitiMaat? Bel of mail Marlies.
02
Jun
Jun
In April 2021 the European Commission proposed a regulation aimed at the safe and efficient development, implementation and use of artificial intelligence (AI) in all market sectors, the so-called AI Act. Hooghiemstra & Partners and Axon Lawyers have made a legal analysis on request of the Dutch Ministry of Health, Welfare and Sport to compare the draft AI Act proposed by the European Commission with the Medical Device Regulation (MDR) that has already entered into force and soon also the In-vitro Diagnostic Medical Device Regulation (IVDR).
The report contains an analysis of the overlap and possible contradictions between the draft AI Act and the above mentioned legislation, identifies the problems that this may cause and suggests possible solutions. The report concludes that AI in healthcare must be properly regulated but doubts that the draft AI Act, as first proposed, can provide good guidance for the field. The findings of the report focus on the need for further clarification of the definitions and scope mentioned in the draft AI Act, in order to avoid ambiguities and double burdening of the field.
Read the report here.
12
May
May
Hooghiemstra & Partners has been commissioned by the Ministry of Interior to investigate the governance of E-invoicing.
Now the English translation is available: H+P report about E-invoicing
13
Apr
Apr
Eind maart verklaarden zowel de minister van Buitenlandse Zaken als de minister voor Rechtsbescherming dat zij iets belangrijks niet konden vanwege ‘de AVG’ of ‘de privacywet’. Reden voor Marlies van Eck om samen met Jeroen Terstegge, Friederike van der Jagt, Anna Berlee, Simone Huting en Simone van der Hof in de pen te klimmen. In Trouw betogen zij dat het uitblijven van actie eerder lijkt te worden veroorzaakt doordat de overheid te verkokerd is. Integraal zicht op problemen en dus ook op oplossingen is noodzakelijk. Lees de opinie van privacy experts hier: artikel Trouw.
21
Feb
Feb
De Europese Commissie heeft een voorstel voor een AI verordening opgesteld. Voor het juridische faculteitsblad Actioma van Radboud Universiteit, zet Marlies van Eck op een rij wat het voorstel betekent voor het Nederlandse bestuursrecht.
Klik hier om het artikel te lezen.