Privacy Desk Alert - Computer vs. mens: wie is in charge van uw gegevens?

De nieuwe Privacy Verordening is met een overgangstermijn van twee jaar van toepassing met ingang van 25 mei 2018 en vervangt de oude privacyrichtlijn uit 1995. De Nederlandse overheid heeft op 9 december jl. de conceptversie van de Uitvoeringswet Algemene verordening gegevensbescherming gepubliceerd. Het doel van de Verordening is versterking en uitbreiding van privacyrechten. Consumenten en bedrijven worden zich steeds bewuster van het belang van deze groep bijzondere gegevens en de rechten en verplichtingen die in het kader van privacy op hen rusten.
 
De verwerking van persoonsgegevens is regelmatig in het nieuws. Zo berichtte het AD de afgelopen weken meerdere keren over persoonsgegevens: Philips werd gehackt met als gevolg een datalek waarbij de persoonsgegevens van 2000 (oud-)medewerkers op straat kwamen te liggen; ASML leed onder vermoedelijk datzelfde datalek; het Belgische bedrijf Gendia gebruikte persoonsgegevens van Nederlandse vrouwen die de NIPT-test hadden laten afnemen om hen te benaderen voor een kankerscreening; twintig gemeenten rondom Rotterdam werden slachtoffer van diefstal van een laptop bij een regionaal belastingkantoor met daarop duizenden gegevens voor de onroerendezaakbelasting; eenzelfde lot trof de gemeente Midden-Delfland en acht Limburgse gemeenten, die talloze gegevens van hun inwoners op die manier kwijtraakten.
 
Sinds 1 januari 2016 zijn organisaties verplicht de Autoriteit Persoonsgegevens op de hoogte te stellen van ernstige datalekken, bijvoorbeeld als het gaat om grote hoeveelheden gegevens of zeer gevoelige gegevens die ongewenst de organisatie verlaten. Eind december stond de teller op 5500 meldingen, waarvan ruim 300 afkomstig van ziekenhuizen. Nederlandse ziekenhuizen melden gemiddeld genomen elke dag één datalek.
 
Kortom, persoonsgegevens worden op grote schaal verwerkt, komen terecht in allerlei systemen en ondergaan – vaak geautomatiseerd – verwerking. Die verwerking vindt in veel gevallen plaats door middel van speciaal daarvoor ontworpen software die met behulp van algoritmen de gegevens ordent en indeelt in specifieke groepen. Eén van de belangrijkere en meest tot de verbeelding sprekende bepalingen uit de nieuwe Privacy Verordening is die over het recht op menselijke tussenkomst. Artikel 22 van de Verordening bepaalt dat een persoon het recht heeft om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem ‘rechtsgevolgen zijn verbonden’ of dat hem ‘anderszins in aanmerkelijke mate treft’. Kortom: computers mogen nooit zelfstandig een beslissing nemen die (grote) gevolgen heeft voor de persoon in kwestie. Een mens moet altijd het definitieve besluit nemen. Dat noemen we het ‘recht op menselijke tussenkomst’. De menselijke waardigheid vereist dat dergelijke beslissingen over iemand ook door een ander persoon, en niet slechts door een geautomatiseerd systeem, worden genomen.
 
Profilering is een specifiek voorbeeld waarbij automatische verwerking op grond van algoritmen gevaarlijk kan zijn. Volgens de Autoriteit Persoonsgegevens houdt ‘profilering’ in het verzamelen, analyseren en combineren van persoonsgegevens met als doel iemand in te delen in een bepaalde categorie. Door profilering toe te passen, kunnen bedrijven – bijvoorbeeld schadeverzekeraars – en overheden – bijvoorbeeld de Belastingdienst of Sociale Zaken – (risico)profielen maken op grond waarvan iemand wordt beoordeeld. Een (relatief onschuldig) voorbeeld is dat als gevolg van profilering er gepersonifieerde advertenties op internet worden getoond (direct marketing). Maar als men denkt aan profielen op grond waarvan iemands sollicitatie wel of niet wordt meegenomen door het systeem, iemands kredietwaardigheid automatisch wordt bepaald aan de hand van een bepaald profiel of op grond waarvan wordt beoordeeld of een veroordeelde op termijn weer de fout zal ingaan, dan is het recht op menselijke tussenkomst iets heel wezenlijks, een recht waar we ons bewust van moeten zijn en een principe wat absoluut niet verloren mag gaan.
 
Bedrijven die met geautomatiseerde verwerking van persoonsgegevens te maken hebben in hun bedrijfsvoering, moeten zich van dit recht op menselijke tussenkomst terdege rekenschap geven bij het compliant maken van hun bedrijfsvoering aan de nieuwe Privacy Verordening per 25 mei 2018. Belangrijk gegeven is dat de Europese toezichthouders, de zogenoemde Artikel 29 werkgroep (WP29), op 12 en 13 december 2016 een aantal begrippen uit de Privacy Verordening hebben verduidelijkt door middel van het publiceren van richtlijnen en FAQ’s.
 
Bron: Sophie den Held, 2 januari 2017
 
De Privacy Desk van Ekelmans & Meijer Advocaten is gespecialiseerd in het privacy proof maken van uw bedrijfsvoering. Kijk op de website voor meer informatie en onze contactgegevens: Privacyrecht.