December 2020
Een korte terugblik op eerdere berichtgeving over dit specialisme (Privacyrechten bij de heimelijke inzet van Big Data-analyse en dataveillance):
1. SyRI is in strijd met de EHRM-criteria, maar de lagere rechter zal het gebruik ervan rechtmatig oordelen (3 november 2019, prognose van de uitkomst in de SyRI-zaak);
2. Datamining, Machine Learning en voorspellende algoritmen: hoe geschikt zijn deze methoden voor risicotaxatie? (algoritmen zijn niet geschikt om risico's te taxeren en daarom wezenlijk een invalide instrument, 11 november 2019);
3. Het "black box"-karakter van geheime dataveillance & Big Data-analyse en uw rechten (deel I) (17 november 2019);
4. Het "black box"-karakter van geheime dataveillance & Big Data-analyse en uw rechten (deel II);
5. Het "black box"-karakter van geheime dataveillance & Big Data-analyse en uw rechten (deel III);
6. Het "black box"-karakter van geheime dataveillance & Big Data-analyse en uw rechten (deel IV);
7. Het Privacy Impact Assessment (PIA) in geval van geheime dataveillance, risicotaxatie en profilering (30 november 2019);
8. Wat kunt u doen, wanneer u aan 'voorspellende' algoritmen wordt onderworpen? (14 december 2019);
9. Het uitoefenen van uw informatie- en inzagerecht onder de AVG (28 januari 2020);
10. Rechtbank Den Haag: SUWI-wetgeving als basis voor de inzet van SyRI in strijd met de EHRM-criteria (uitspraak in de SyRI-zaak, 5 februari 2020);
11. De discussie over de toelaatbaarheid van systemen zoals SyRI moet permanent zijn (6 februari 2020)
De
SyRI's worden nog altijd ingezet, waaronder door private bedrijfjes
("Data Labs") die persoonsgegevens in opdracht van gemeenten en andere
bestuurlijke overheidsorganen analyseren en verwerken. Instrumenten voor
risicotaxatie/-indicatie houden in, dat op grond van het samenvoegen
van persoonlijke gegevens wordt ingeschat hoe hoog het risico op fraude
is. In de volksmond wordt wel gesproken van "voorspellende algoritmen".
Voorspellende
algoritmen zijn formules die een indicatie geven van het frauderisico.
Het opvragen van voorspellende algoritmen heeft weinig betekenis ten
aanzien van de uitoefening van de informatierechten door een betrokkene.
Gemeenten zouden kunnen menen te volstaan met het verschaffen van
grafiekjes of rekenformules. Voor betrokkenen is het goed om te weten
dat zij hun informatie-, inzage- en rectificatierechten kunnen
uitoefenen, alsmede het recht op verwijdering van persoonsgegevens
("recht op vergeetbaarheid"). Gegevensverwerkers kunnen de plicht om te
voldoen aan deze eisen uit de AVG niet verzaken door een beroep te doen
op het "black box"-karakter van methoden voor (geheime)
surveillance/dataveillance, zoals SyRI.
1. Het uitoefenen van uw informatierecht: gegevens die u kunt vorderen
- De verwerkingsverantwoordelijke dient de identiteit en contactgegevens
van zichzelf
en/of de vertegenwoordiger te verstrekken op grond van art. 14 lid 1
onder a AVG. Onder meer de gemeentelijke instantie, het
Inlichtingenbureau of een
privaat Data lab/miningbedrijf dienen u de eigen identiteit en
contactgegevens te verstrekken;
- De verwerkingsdoeleinden waarvoor uw persoonsgegevens zijn bestemd en
de categorieën van persoonsgegevens moeten aan u worden verstrekt op grond van art. 14 lid 1 onder c-d AVG;
- Gegevens van de persoon of instantie die de persoonsgegevens van de
verwerker ontvangt dienen aan u te worden verstrekt o.g.v. art. 14 lid 1
onder e AVG;
- De verwerkingsverantwoordelijke dient u in klare taal informatie te
verschaffen over uw recht om bezwaar te maken tegen de verwerking van
uw persoonsgegevens (art. 14 lid 2 onder c AVG) en de mogelijkheid om
een klacht in te dienen bij de Autoriteit Persoonsgegevens art. 14 lid 2
onder e AVG);
- Informatie over de wijze waarop de verwerkingsverantwoordelijke
voldoet aan de plicht om u op grond van art. 13 of 14 AVG in verband met
art. 5 lid 1 AVG vooraf te informeren over het feit dat u aan
profilering wordt onderworpen;
- Gegevens over het belang van profilering voor de
verwerkingsverantwoordelijke en de door u te verwachten gevolgen van
profilering (art. 14 lid 2 AVG)
2. Het uitoefenen van uw recht van inzage (art. 15 AVG)
- Wijs de verwerkingsverantwoordelijke erop dat u inzage dient te
krijgen in de doeleinden van de verwerking, de betrokken categorieën van
persoonsgegevens die worden verwerkt, de ontvangers aan wie uw
persoonsgegevens zijn of zullen worden verstrekt, de periode van opslag
van uw gegevens en de bronnen waaruit uw gegevens zijn betrokken (art.
15 lid 1 AVG);
- De verwerkingsverantwoordelijke dient aan u een kopie te verstrekken van de gegevens die worden verwerkt (art. 15 lid 3 AVG);
- De verwerkingsverantwoordelijke dient u inzage te verschaffen in de
gegevens die als input zijn gebruikt (datasets) om een profiel over u op
te maken. U dient tevens inzage te krijgen in de informatie over de u
betreffende profilering en de details van de categorie waarin u bent
ingedeeld (Guidelines on automated Individual decision-making
and Profiling for the purposes of Regulation 2016/679, 6 feb. 2018,
WP251rev.01, p. 17).
3. Uw recht van rectificatie, verwerkingsbeperking en gegevenswissing
- Zijn de verwerkte persoonsgegevens die u betreffen, onjuist of
onvolledig? Verzoek dan om rectificatie (art. 15 lid 1 onder e AVG jo.
art. 16 AVG);
- Verzoek om beperking van de verwerking van uw persoonsgegevens (art.
15 lid 1 jo. 18 AVG). U hebt het recht op 'vergetelheid' (art. 15 lid 1
onder e AVG jo. 17 AVG);
- De verwerkingsverantwoordelijke dient u in kennis te stellen inzake
de rectificatie of wissing van uw persoonsgegevens of de
verwerkingsbeperking (art. 19 AVG);
- Maakt u bezwaar tegen de verwerking van uw gegevens onder toepassing
van art. 21 AVG, dan hebt u tevens recht op beperking van de verwerking
van uw persoonsgegevens (art. 18 lid 1 onder d AVG).
4. De plicht van verwerkingsverantwoordelijke om op transparante
wijze begrijpelijke informatie te verschaffen (art. 12 in verband met
art. 5 lid 1 sub a AVG)
De verwerkingsverantwoordelijke dient u op transparante, begrijpelijke
en gemakkelijk toegankelijke wijze informatie te verschaffen (art. 12
AVG). De informatie dient voor de gemiddelde betrokkene begrijpelijk te
zijn (Guideline WP260 rev.01, 11 April 2018, p. 7-8). Uit de informatie moet blijken hoe uw persoonsgegevens
zijn verwerkt en voor welke doeleinden. De informatieverplichtingen op
grond van art. 12 AVG dienen immers uw informatierecht (art. 13-14 AVG)
te faciliteren.
5. De plicht van de verwerkingsverantwoordelijke om een Privacy Impact Assessment (PIA of DPIA) uit te voeren
De verwerkingsverantwoordelijke dient vóór de verwerking van
persoonsgegevens een beoordeling uit te voeren van het effect van de
beoogde verwerkingsactiviteit op de bescherming van persoonsgegevens
(art. 35 lid 1 AVG). De beoordeling bevat ten minste een systematische
beschrijving van de beoogde verwerkingen en verwerkingsdoeleinden,
waaronder de belangen van de verwerkingsverantwoordelijke; ook dient de
verwerkingsverantwoordelijke een beoordeling te geven van de noodzaak en
evenredigheid van de verwerkingen met betrekking tot de doeleinden
(proportionaliteit en subsidiariteit); voorts dient de beoordeling te
omschrijven welke maatregelen zijn getroffen en aan te tonen hoe aan de
waarborging van de bescherming van de persoonsgegevens en de rechten en
gerechtvaardigde belangen van de betrokken burgers is voldaan (art. 35
lid 7 AVG).
Het verplichte Privacy Impact Assessment bij geheime dataveillance, profilering,
samenwerking met private bedrijven en de verwerking van biometrische
gegevens
De beperkingen op de transparantieverplichtingen van
verwerkingsverantwoordelijken en de beperkingen van het recht van de
burger op informatie en inzage gelden niet ten aanzien van
het PIA. Een verwerkingsverantwoordelijke die geheime methoden voor Big
Data-analyse/profilering/risicotaxatie toepast, is verplicht om het
Privacy Impact Assessment (PIA) uit te voeren. Dit is bepaald in art. 35
AVG en wordt nog eens onderstreept door het Besluit Verplichte Gegevensbeschermingseffectbeoordeling van 27 november 2019 (Staatscourant nr. 64418). De verplichte uitvoering van het DPIA geldt onder meer voor:
- Grootschalige verwerkingen van persoonsgegevens en stelselmatige
monitoring waarbij persoonsgegevens worden verzameld zonder de
betrokkene daarover vooraf in te lichten, bijvoorbeeld heimelijk
onderzoek door particuliere bureaus/Data Labs en onderzoek in het kader
van fraudebestrijding (waaronder SyRI);
- Grootschalige verwerkingen van gegevens en monitoring in het kader van fraudebestrijding door sociale diensten;
- Samenwerkingsverbanden waarin gemeenten en/of andere overheidsorganen
met andere publieke of private partijen bijzondere persoonsgegevens of
gegevens van gevoelige aard met elkaar uitwisselen;
- Grootschalige verwerking en monitoring van locatiegegevens,
herleidbaar tot natuurlijke personen, bijvoorbeeld door ANPR-mobiel, of
verwerking van gegevens van personen in het openbaar vervoer;
- Biometrische gegevens, waaronder vingerafdrukken,
toetsaanslaganalyses, irisscans, gezichtsprofielen en stemopnamen (de
verwerking van biometrische gegevens is enkel toegestaan wanneer de
verwerking van biometrische gegevens noodzakelijk is voor
beveiligingsdoeleinden);
- Profilering: de systematische beoordeling van persoonlijke aspecten
van natuurlijke personen, gebaseerd op geautomatiseerde verwerking
(profilering is geautomatiseerde verwerking).
Inhoud van het PIA: concrete verplichtingen van de verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke dient vóór de verwerking van
persoonsgegevens een beoordeling uit te voeren van het effect van de
beoogde verwerkingsactiviteit op de bescherming van persoonsgegevens
(art. 35 lid 1 AVG). De beoordeling bevat ten minste een systematische
beschrijving van de beoogde verwerkingen en verwerkingsdoeleinden,
waaronder de belangen van de verwerkingsverantwoordelijke; ook dient de
verwerkingsverantwoordelijke een beoordeling te geven van de noodzaak en
evenredigheid van de verwerkingen met betrekking tot de doeleinden
(proportionaliteit en subsidiariteit); voorts dient de beoordeling te
omschrijven welke maatregelen zijn getroffen en aan te tonen hoe aan de
waarborging van de bescherming van de persoonsgegevens en de rechten en
gerechtvaardigde belangen van de betrokken burgers is voldaan (art. 35
lid 7 AVG).
