Het recht van de burger op informatie, inzage, rectificatie, wissing en verwerkingsbeperking, ongeacht het 'black box'-karakter van data-analyse en profilering
Voorstanders van geheime dataveillance voeren aan dat ongerichte dataveillance gerechtvaardigd is ten behoeve van de opsporing van fraude en delicten. De insteek van de discussie zou anders moeten zijn. Stel, u komt in de WIA na een arbeidsongeval en na afloop van de WIA ontvangt u een uitkering krachtens de Participatiewet. U hebt uw persoonsgegevens af moeten staan. Het overheidsorgaan laat uw gegevens verzamelen en verwerken zonder u daarvan op de hoogte te brengen. Volgens het overheidsorgaan is er een toereikende rechtsgrond voor de verzameling en verwerking van uw gegevens, omdat u een uitkering krachtens de Participatiewet ontvangt. Ontegenzeglijk hebt u uw gegevens niet afgestaan met de intentie dat instrumenten voor datamining en data-analyse zich een weg door uw persoonsgegevens banen. Als ik de pech heb dat ik een uitkering aan zou moeten vragen, dan geef ik mijn persoonlijke data niet af met het doel om deze over te leveren aan een inlichtingenbureau of een privaat bedrijfje in Big Data-analyse. Zamyatin heeft het goed ingezien: zoals hij in 1920 in zijn dystopische novel ‘Мы’ (‘Wij’) voorspelde, kan iedere seconde van het leven van de mens met behulp van kunstmatige intelligentie aan massasurveillance worden onderworpen.
Voorstanders van geheime dataveillance voeren aan dat ongerichte dataveillance gerechtvaardigd is ten behoeve van de opsporing van fraude en delicten. De insteek van de discussie zou anders moeten zijn. Stel, u komt in de WIA na een arbeidsongeval en na afloop van de WIA ontvangt u een uitkering krachtens de Participatiewet. U hebt uw persoonsgegevens af moeten staan. Het overheidsorgaan laat uw gegevens verzamelen en verwerken zonder u daarvan op de hoogte te brengen. Volgens het overheidsorgaan is er een toereikende rechtsgrond voor de verzameling en verwerking van uw gegevens, omdat u een uitkering krachtens de Participatiewet ontvangt. Ontegenzeglijk hebt u uw gegevens niet afgestaan met de intentie dat instrumenten voor datamining en data-analyse zich een weg door uw persoonsgegevens banen. Als ik de pech heb dat ik een uitkering aan zou moeten vragen, dan geef ik mijn persoonlijke data niet af met het doel om deze over te leveren aan een inlichtingenbureau of een privaat bedrijfje in Big Data-analyse. Zamyatin heeft het goed ingezien: zoals hij in 1920 in zijn dystopische novel ‘Мы’ (‘Wij’) voorspelde, kan iedere seconde van het leven van de mens met behulp van kunstmatige intelligentie aan massasurveillance worden onderworpen.
De discussie over de inzet van instrumenten
zoals SyRI, Hansken, iColumbo, het systeem Alert en door privaatrechtelijke bedrijfjes ontwikkelde instrumenten voor data-analyse en datamining, zou betrekking moeten hebben
op de effectiviteit waarmee iedere burger zijn of haar recht op eerbiediging
van de persoonlijke levenssfeer kan uitoefenen. De discussie zou wat mij
betreft dan ook niet uitsluitend op (discriminerende) algoritmen gericht moeten zijn. Toegepaste voorspellende
algoritmen zijn niet zo intelligent dat zij uit zichzelf onderscheid aan kunnen
brengen. Dit technische gegeven maakt dat het voor de betrokkene dan ook niet
interessant is om de 'black box'-problematiek te bestrijden door inzicht
in de voorspellende algoritmen te eisen. Zou een overheidsorgaan aan die eis
tegemoetkomen, dan krijgt de betrokkene waarschijnlijk een onbegrijpelijke
statistiek te zien die hem niet meer inzicht verschaft over hoe de
verwerkingsverantwoordelijke met zijn persoonsgegevens is omgegaan. Het
resultaat zou daarmee alsnog niet voldoen aan de eis van transparantie bij de
verstrekking van informatie aan de betrokkene als bedoeld in de Algemene
Verordening Gegevensbescherming (art. 12 AVG).
In een vorig bericht, 'Datamining, Machine Learning en voorspellende algoritmen: hoe geschikt zijn deze methoden voor risicotaxatie?', constateerde ik dat algoritmen worden getraind met datasets
die menselijke waardeoordelen van de opdrachtgever uitdrukken. Waar
inzicht in de algoritmen van instrumenten als SyRI voor de betrokkene weinig
zinvol zal zijn, wordt mijns inziens beter aangesloten bij de eisen van
transparantie, informatie, toegang en inzage (artt. 12-15 AVG) door inzicht in
de datasets en audit-logbestanden, alsmede in de uitvoering van het verplichte
Privacy Impact Assessment (PIA) te verschaffen. Ik kom hier nog op terug. In het onderstaande bericht ga ik in op uw concrete informatierechten, uw recht van inzage, rectificatie en wissing, onverschillig het 'black box'-karakter van de verwerking van uw persoonsgegevens.
Overzicht
Minimale vereisten voor dataverzameling, - verwerking en -analyse op grond van de AVG:
1. Transparantie;
2. Uw concrete informatierechten;
3. Uw recht van inzage, rectificatie, wissing en beperking van gegevensverwerking
Overzicht
Minimale vereisten voor dataverzameling, - verwerking en -analyse op grond van de AVG:
1. Transparantie;
2. Uw concrete informatierechten;
3. Uw recht van inzage, rectificatie, wissing en beperking van gegevensverwerking
Minimale vereisten voor dataverzameling,
-verwerking en -analyse op grond van de AVG
1. Transparantie
Persoonsgegevens behoren op transparante wijze te worden verwerkt (art. 5 lid 1 sub a AVG). De verwerker dient de betrokkene in verband met de verwerking van persoonsgegevens op transparante, begrijpelijke en gemakkelijk toegankelijke wijze informatie te verschaffen (art. 12 AVG). Zoals ik heb opgemerkt, neemt het heimelijke karakter van op ‘black box’-principes gebaseerde systemen voor dataveillance en -analyse (waaronder SyRI en het voormalige Systeem Alert) niet weg dat de betrokkene zijn informatierecht effectief moet kunnen uitoefenen. Indien de persoonsgegevens bij de betrokkene zijn verzameld, is art. 13 AVG op de informatieplicht van toepassing; zijn de persoonsgegevens niet van de betrokkene verkregen, dan gelden dezelfde voorwaarden o.g.v. art.14 AVG.
1. Transparantie
Persoonsgegevens behoren op transparante wijze te worden verwerkt (art. 5 lid 1 sub a AVG). De verwerker dient de betrokkene in verband met de verwerking van persoonsgegevens op transparante, begrijpelijke en gemakkelijk toegankelijke wijze informatie te verschaffen (art. 12 AVG). Zoals ik heb opgemerkt, neemt het heimelijke karakter van op ‘black box’-principes gebaseerde systemen voor dataveillance en -analyse (waaronder SyRI en het voormalige Systeem Alert) niet weg dat de betrokkene zijn informatierecht effectief moet kunnen uitoefenen. Indien de persoonsgegevens bij de betrokkene zijn verzameld, is art. 13 AVG op de informatieplicht van toepassing; zijn de persoonsgegevens niet van de betrokkene verkregen, dan gelden dezelfde voorwaarden o.g.v. art.14 AVG.
2. Uw concrete informatierechten
De verwerkingsverantwoordelijke dient de identiteit en contactgegevens van zichzelf en/of de vertegenwoordiger van de verwerkingsverantwoordelijke te verstrekken (art. 14 lid 1 onder a AVG). Dit betekent dat het overheidsorgaan als verwerkingsverantwoordelijke en de verwerker (een privaat bedrijf in data-analyse of het Inlichtingenbureau in Utrecht) de identiteit en contactgegevens behoren op te geven aan de betrokkene.
De verwerkingsverantwoordelijke dient de identiteit en contactgegevens van zichzelf en/of de vertegenwoordiger van de verwerkingsverantwoordelijke te verstrekken (art. 14 lid 1 onder a AVG). Dit betekent dat het overheidsorgaan als verwerkingsverantwoordelijke en de verwerker (een privaat bedrijf in data-analyse of het Inlichtingenbureau in Utrecht) de identiteit en contactgegevens behoren op te geven aan de betrokkene.
De verwerkingsdoeleinden waarvoor de
persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking dienen te
worden verstrekt, evenals de categorieën van persoonsgegevens die zijn
verzameld en verwerkt (art. 14 lid 1 onder c-d AVG). De persoon of instantie
die de persoonsgegevens van de verwerker ontvangt, dient te worden vermeld
(art. 14 lid 1 onder e AVG). De betrokkene moet worden geïnformeerd over de
periode van de opslag van persoonsgegevens (art. 14 lid 2 onder a AVG). Roept
de verwerkingsverantwoordelijke gerechtvaardigde belangen in als grond voor de
rechtmatigheid van de verwerking (art. 6 lid 1 onder f AVG), dan moet over deze
‘gerechtvaardigde belangen’ informatie worden verstrekt (art. 14 lid 2 onder b
AVG).
De betrokkene heeft het recht op inzage en
rectificatie van de persoonsgegevens. Ook kan de betrokkene om beperking van de
verwerking van zijn persoonsgegevens verzoeken en bezwaar maken tegen de
verwerking en overdracht van zijn persoonsgegevens (art. 14 lid 2 onder c AVG).
Tegen de verwerking van persoonsgegevens moet een klacht kunnen worden ingediend
bij de toezichthoudende autoriteit, de Autoriteit Persoonsgegevens (art. 14 lid
2 onder e AVG). De verwerkingsverantwoordelijke moet aangeven uit welke bronnen
de persoonsgegevens afkomstig zijn, ook als het openbare bronnen betreft (art.
14 lid 2 onder f AVG).
Relevant ten aanzien van systemen zoals SyRI is dat de
betrokkene het recht heeft om geïnformeerd te worden over hem betreffende
profilering. De verwerker is verplicht om informatie te verschaffen over het belang en de verwachte gevolgen van
de profilering voor de betrokkene (art. 14 lid 2 onder g AVG). Is de
verwerkingsverantwoordelijke voornemens om persoonsgegevens verder te verwerken
voor een ander doel waarvoor de gegevens zijn verkregen, dan dient de
betrokkene van nog vóór die verdere verwerking te worden geïnformeerd over het
nieuwe doeleinde (art. 14 lid 4 AVG).
3. Uw recht van inzage, rectificatie, wissing en
beperking van gegevensverwerking
De hiervoor besproken transparantie- en informatieverplichtingen van de verwerkingsverantwoordelijke dienen de uitoefening van uw recht van inzage, wissing en beperking van de verwerking van uw persoonsgegevens mogelijk te maken. De betrokkene dient van de verwerkingsverantwoordelijke uitsluitsel te krijgen over de verwerking. Het recht van inzage houdt in, dat u geïnformeerd moet worden over de doeleinden van de verwerking, de betrokken categorieën van persoonsgegevens, de ontvangers aan wie uw gegevens zijn of zullen worden verstrekt en de periode van de opslag van uw gegevens (art. 15 lid 1 onder a-d AVG).
De hiervoor besproken transparantie- en informatieverplichtingen van de verwerkingsverantwoordelijke dienen de uitoefening van uw recht van inzage, wissing en beperking van de verwerking van uw persoonsgegevens mogelijk te maken. De betrokkene dient van de verwerkingsverantwoordelijke uitsluitsel te krijgen over de verwerking. Het recht van inzage houdt in, dat u geïnformeerd moet worden over de doeleinden van de verwerking, de betrokken categorieën van persoonsgegevens, de ontvangers aan wie uw gegevens zijn of zullen worden verstrekt en de periode van de opslag van uw gegevens (art. 15 lid 1 onder a-d AVG).
In het geval van profilering of geautomatiseerde besluitvorming, dient u
te worden geïnformeerd over het belang en de gevolgen van de verwerking (art.
15 lid 1 onder h AVG). U hebt het recht om te verzoeken om rectificatie,
wissing of beperking van de verwerking van uw gegevens en om bezwaar te maken
(art. 15 lid 1 onder e AVG). U dient te worden geïnformeerd over de
mogelijkheid om de Autoriteit Persoonsgegevens in te schakelen (art. 15 lid 1
onder f AVG). De verwerkingsverantwoordelijke moet aangeven uit welke bronnen
de persoonsgegevens afkomstig zijn (art. 15 lid 1 onder g AVG).
U hebt het recht om van de
verwerkingsverantwoordelijke onverwijld rectificatie van onjuiste gegevens te
verkrijgen; tevens dient de verwerkingsverantwoordelijke ervoor te zorgen dat
uw persoonsgegevens volledig zijn. Indien u aanvulling verstrekt, moet de
verwerkingsverantwoordelijke deze verwerken (art. 16 AVG). Voorts hebt u het recht om gegevenswissing in het kader van uw recht op
vergetelheid te verzoeken bij de verwerkingsverantwoordelijke (art. 17 AVG).
U dient van de verwerkingsverantwoordelijke
beperking van de verwerking van uw persoonsgegevens te verkrijgen, indien u de
juistheid van uw gegevens betwist en de verwerkingsverantwoordelijke in staat
wordt gesteld om de juistheid van uw gegevens te controleren, de verwerking
onrechtmatig is, de verwerkte gegevens niet meer nodig zijn voor de
verwerkingsdoeleinden of indien u op grond van art. 21 AVG bezwaar hebt gemaakt
tegen de verwerking van uw gegevens (art. 18 lid 1 onder a-d AVG).
In het volgende bericht, deel II, ga ik in op uw recht om niet geprofileerd te worden. 