Gegevensbeschermingseffectbeoordeling
of Privacy Impact Assessment (PIA)
Het
‘Privacy impact assessment’ (PIA) of ‘gegevensbeschermingseffectbeoordeling’
wordt in conceptartikel 4c van de Wijziging van de Wpg voorgesteld. Deze
verplicht een gegevensverwerker om bij toekomstige technologieën die een hoog
risico voor de vrijheden en rechten van natuurlijke personen opleveren, een
beoordeling van het effect van de verwerkingsactiviteiten op de bescherming van
persoonsgegevens te verrichten.[1] Het toetsmodel PIA heeft
als sterk punt dat alle eisen uit de Wpg en AVG in acht worden genomen; onder
meer de rechtsgrond, het doelbindingscriterium en de proportionaliteit en
subsidiariteit van de gegevensverwerking moeten in de
gegevensbeschermingseffectbeoordeling worden meegenomen.[2] Ook sterk zijn de
aanbevelingen om slechts data-analyses uit te voeren bij kwesties die zich
lenen voor patroonherkenning;[3] bij onregelmatig
voorkomende verschijnselen neemt het risico op invalide/vals-positieve
uitkomsten immers toe. Opgemerkt moet worden dat de toetsing op het niveau van
de individuele betrokkene ontbreekt.[4]
‘Soft-law’-instrumenten: Living Labs en Kafkaknoppen
‘Soft-law’-instrumenten: Living Labs en Kafkaknoppen
De
wetgever stelt vooralsnog geen ‘harde’ generieke wetten voor om de
transparantie bij de toepassing van technologische ontwikkelingen, waaronder de
inzet van algoritmen in de strafrechtelijke opsporing, te normeren.[5] In plaats daarvan verwijst
de wetgever naar het al enige tijd bestaande ‘Living Labs’,[6] het platform voor de
uitgave van Big Data Magazine en de symposia ‘Datakwaliteit’. Een concrete
uitkomst van de symposia is het uitgangspunt dat Big Data-systemen een
‘Kafkaknop’ moeten krijgen, een metafoor voor het direct stoppen van foutieve
geautomatiseerde systemen. De vereiste menselijke interventie brengt met zich
dat de organisatie in staat moet zijn om fouten door het gehele systeem te
herkennen én te herstellen. Een opvallend uitgangspunt houdt in dat zowel de
mens als de computer, in kwestie algoritmen, in eenzelfde dossier besluiten
voorbereiden. De uitkomst van de computer wordt gebruikt om de besluitvorming
door de mens te controleren.[7] Dit uitgangspunt sluit
goed aan bij de ‘expliciteringsplicht’ die door de Commissie is voorgesteld en
die in het gemoderniseerde Wetboek van Strafvordering zou moeten worden
opgenomen. Het uitgangspunt zou kunnen worden neergelegd in een concrete
wettelijke verplichting tot wederzijdse controle op de besluitvorming, door
mens en computer. Concreet en haalbaar lijkt het opnemen van een ‘Kafkameldplicht’
in geval van detectie van een systeemfout in data-analyse. Die plicht zou
kunnen worden neergelegd in de gewijzigde Wpg. Natuurlijk staat of valt een
meldplicht met de herkenning van een systeemfout door een opmerkzame ICT’er.
Een
algemene proportionaliteits- en subsidiariteitseis in Boek 2 van het Wetboek
van Strafvordering (nieuw)
Het
verdient ten slotte opmerking dat de wetgever met conceptartikel 2.1.2.2 een
algemene proportionaliteits- en subsidiariteitseis voor het opsporingsonderzoek
in het nieuwe Wetboek van Strafvordering op zal nemen.[8] Positief is dat de
rechter-commissaris bij het afgeven van een machtiging vol zal moeten toetsen
of de inzet van een opsporingsmethode door de Officier van Justitie voldoet aan
de doelmatigheidseis, die is uitgewerkt in het criterium van ‘dringende
noodzaak’. Een kanttekening die hierbij kan worden geplaatst, is dat die
dringende noodzaak alleen achteraf door de zittingsrechter kan worden getoetst
en slechts in gevallen waarin de tussenkomst van de rechter-commissaris niet
nodig was voor de inzet van de opsporingsbevoegdheid.
2.5 Deelconclusie
De
inzet van Big Data-analyses in het kader van strafrechtelijke opsporing wordt
gereguleerd door de Politiewet, Wet politiegegevens, het Wetboek van
Strafvordering en de Algemene Verordening Gegevensbescherming. Deze regulering en
bevoegdheidskwesties zijn besproken onder 2.2. De inzet van bestaande
instrumenten voor Big Data-analyse, maar ook toekomstige technologieën, kent
knelpunten en uitdagingen, waaronder bevoegdheidsoverschrijding en function
creep. Het in de praktijk gebruikte datamininginstrument iColumbo is
gebruikt ter illustratie van enkele knelpunten die onder het huidige recht
bestaan (2.3). Eén van die knelpunten is dat de proportionaliteit en
subsidiariteit (en het daarmee samenhangende principe van dataminimalisatie)
onder druk komen te staan door het karakter van Big Data-analyse. Ik heb
beoordeeld in hoeverre de toekomstige wetgeving de bestaande risico’s en
knelpunten kan wegnemen (2.4). Eén van de sterkste troeven is wat mij betreft
het voorstel van de Commissie-Koops, om een expliciteringseis in het Wetboek
van Strafvordering op te nemen. Deze houdt in dat bij een beslissing die is genomen
naar aanleiding van de uitkomst van geautomatiseerde besluitvorming, waaronder de
inzet van een predictive policing-methode of het instellen van de
vervolging, uitdrukkelijk uitgelegd zal moeten worden hoe en waarom tot de strafvorderlijke
beslissing is gekomen. Het nadeel is dat deze expliciteringseis géén normering
voorafgaand aan de inzet van data-analyses inhoudt, zodat het risico bestaat
dat begrippen als doelbinding, dataminimalisatie en subsidiariteit niet
(voldoende) worden toegepast.
[1] Kamerstukken II 2017/18, 34 889, nr. 3,
p. 64.
[2] Toelichting: Big Data analyse, Model GEB Rijksdienst (PIA),
Big Data JenV, versie 1 april 2018.
[4] Vgl. Richtlijn
(EU) 2016/680, punt (58) van de considerans.
[5] Kamerstukken II
2017/18, 34 889, nr. 3, p. 37.
[6] Kamerstukken II 2016/17, 26 643, nr.
426, p. 4.
[7] ‘Zeven uitgangspunten: Menselijke tussenkomst bij
geautomatiseerde besluitvorming’, Big
Data JenV, versie 27 maart 2019.
[8] Voorstel van wet
tot vaststelling van Boek 2 van het nieuwe Wetboek van Strafvordering
inhoudende bepalingen over het opsporingsonderzoek in verband met de
modernisering van het Wetboek van Strafvordering, Memorie van Toelichting, p. 18-19.
