AVG boetes bij schending privacy bij algoritmes / artificiële Intelligentie?

AVG boetes bij schending privacy bij algoritmes / artificiële Intelligentie?

Artificiële Intelligentie (AI) en algoritmes is een hot topic als het gaat om privacy: de Autoriteit Persoonsgegevens  is de daarbij de toezichthouder en kan boetes opleggen als de privacy in het geding is.  De inzet van algoritmes vindt inmiddels op grote schaal plaats en is een belangrijk onderwerp als het gaat om privacy / AVG. Dat geldt niet alleen voor bedrijven (denk aan online aanbieders), maar ook steeds meer publieke organisaties maken hier gebruik van om zo gegevens te verzamelen. Het verzamelen en verwerken aan persoonlijke gegevens is aan strenge regels gebonden. De inzet van AI en algoritmes kan vele voordelen bieden, maar kent ook risico’s en versterkt daarmee de roep om passend toezicht op systemen die gebruik maken van AI en algoritmes. De Autoriteit Persoonsgegevens is als toezichthouder verantwoordelijk voor het toezicht op de verwerking van persoonsgegevens en daarmee ook op de toepassing van AI en algoritmes waarbij persoonsgegevens worden gebruikt. Bedrijven moeten er ook rekening mee houden dat de Autoriteit Persoonsgegevens boetes kan opleggen, zoals de Autoriteit Persoonsgegevens dreigt met boete voor zorgverzekeraar CZ.

Toezichtkader AI & algoritmes: Autoriteit Persoonsgegevens en AVG

Als in een algoritme persoonsgegevens worden gebruikt, valt deze dus onder de AVG en het toezicht van de Autoriteit Persoonsgegevens. De privacywetgeving biedt belangrijke kaders voor het toezicht op algoritmes waarin persoonsgegevens worden gebruikt. De AVG bepaalt dat gegevens moeten worden verwerkt op een manier die rechtmatig, behoorlijk en transparant is. De AVG bevat duidelijke normen over wanneer het rechtmatig is om persoonsgegevens te verwerken. Ook schrijven de eisen van de AVG voor dat verwerkingsverantwoordelijke organisaties transparant moet zijn over welke persoonsgegevens zij verwerken, met welk doel en de wijze waarop die gegevens worden verwerkt. Het begrip behoorlijkheid kan worden ingevuld aan de hand van casuïstiek en bestaande normen.

Verantwoordingsplicht AVG

Ook is als beginsel vastgelegd dat de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving van alle beginselen uit de AVG, en dat ook kan aantonen. Deze verantwoordingsplicht geeft handvatten voor het toezicht op algoritmes. Zo moet een verwerkingsverantwoordelijke verplicht een register bijhouden, waarin activiteiten waarbij persoonsgegevens worden verwerkt worden beschreven, inclusief de doeleinden van die verwerkingen. Gebeurt dat allemaal niet, dan kan de Autoriteit Persoonsgegevens boetes opleggen.

Ook moet een organisatie die algoritmes gebruikt vooraf in kaart brengen welke risico’s er hierdoor voor de rechten en vrijheden van personen ontstaan.

Daarnaast moet er, indien er hoge risico’s komen kijken bij de verwerking van gegevens, een ‘Data Protection Impact Assessment’ (DPIA) worden opgesteld. Een DPIA is bij het gebruik van algoritmes veelal verplicht. Hierin moet een verwerkersverantwoordelijke goed onderbouwen waarom hij of zij bepaalde gegevens gebruikt in een algoritme, wat het doel van het gebruik van een algoritme is, maar ook waarom het nodig is te werken met dat algoritme.

Een ander onderdeel van de DPIA is het beschrijven van risico’s voor de rechten en vrijheden van natuurlijke personen, de vraag of deze risico’s kunnen worden verminderd en welke maatregelen daarvoor worden getroffen.Wanneer deze risico’s onvoldoende kunnen worden weggenomen is het verplicht om een voorafgaande raadpleging te laten doen door de Autoriteit Persoonsgegevens, waarbij de Autoriteit Persoonsgegevens dient te adviseren over de voorgenomen verwerking van persoonsgegevens.

Bestuurlijke boete door de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens dient toezicht te houden op de naleving van de regels uit de AVG. Mocht een organisatie hier niet aan voldoen, dan kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. De eerste bestuurlijke boetes zijn een feit. Gegeven de frequentie van het gebruik van algoritmes en AI (en de snelheid waarmee daar fouten in gemaakt kunnen worden), is aannemelijk dat er snel handhaving door Autoriteit Persoonsgegevens zal volgen.

Hebt u vragen over hoe u aan de AVG kunt voldoen of bent u in aanraking gekomen met de Autoriteit Persoonsgegevens? Neem vrijblijvend contact op met advocaat Jasper Hagers.