In een recente uitspraak heeft het Hof van Justitie van de Europese Unie verduidelijkt wat organisaties wél en niet moeten mededelen wanneer zij mensen onderwerpen aan geautomatiseerde besluitvorming. In dit geval ging het om een kredietbeoordeling op basis van algoritmes. Deze uitspraak is niet alleen relevant onder de AVG, maar werpt ook een belangrijk licht op de aankomende AI-verordening, waarin een vergelijkbare informatieplicht geldt voor gebruikers van hoog-risico AI-systemen. Hoe die samenloop precies uitpakt, wordt toegelicht in dit blog.
Een onduidelijke kredietscore
De AVG biedt betrokkenen (personen van wie persoonsgegevens worden verwerkt) verschillende rechten, waaronder het recht op inzage (artikel 15 AVG). Op grond van dit recht kunnen betrokkenen te weten komen welke informatie een bedrijf precies verwerkt en voor welke doeleinden. Op grond van lid 1 sub h van dat artikel moet een betrokkene ook worden geïnformeerd indien er geautomatiseerde besluiten worden genomen aan de hand van zijn of haar persoonsgegevens. Als dat het geval is, dient nuttige informatie over de onderliggende logica en de verwachte gevolgen van die verwerking te worden verstrekt.
Maar wat valt er onder “onderliggende logica”? En wat moet je als organisatie precies uitleggen als een betrokkene vraagt hoe een geautomatiseerd besluit over hem of haar is genomen? Dat is waar het in deze zaak om ging. Een betrokkene werd namelijk een mobiel telefoonabonnement geweigerd omdat hij volgens de geautomatiseerde kredietscore van het bedrijf Dun & Bradstreet niet voldoende kredietwaardig zou zijn. Hij was het hier niet mee eens en stapte naar de Oostenrijkse privacy toezichthouder. Die toezichthouder verplichtte Dun & Bradstreet om (meer) nuttige informatie te verstrekken over de logica die ten grondslag lag aan de kredietscore. Dun & Bradstreet stelde dat zij die informatie niet kon verstrekken omdat dit een bedrijfsgeheim is.
Het oordeel van het Hof
Beknopte en begrijpelijke uitleg
Het Hof oordeelde uiteindelijk dat betrokkenen recht hebben op beknopte, begrijpelijke en concrete uitleg over welke procedure en beginselen er concreet zijn toegepast om geautomatiseerd gebruik te maken van de persoonsgegevens om zo een bepaald resultaat te verkrijgen, zoals een kredietprofiel. Het verstrekken van (slechts) het complexe wiskundige algoritme of een te gedetailleerde beschrijving van alle stappen voldoet hier dus in ieder geval niet aan. Dit is immers geen beknopte en begrijpelijke uitleg. Dit oordeel sluit aan bij artikel 12 AVG. Dit artikel bepaalt dat organisaties informatie (zoals in een privacyverklaring) in een “beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal” moeten verstrekken.
Deze informatie moet betrokkenen uiteindelijk in staat stellen om hun rechten (zoals het recht op rectificatie of verwijdering van persoonsgegevens) effectief te kunnen uitoefenen. Als zij namelijk niet in staat zijn om de achterliggende redenen van een geautomatiseerd besluit te begrijpen, dan kunnen zij ook niet beoordelen of het besluit onjuist, onrechtvaardig of discriminerend is en dus evenmin of zij gegevens willen laten corrigeren of het besluit willen aanvechten.
Belangenafweging
De rechten van betrokkenen onder de AVG zijn echter niet absoluut. Voor zover de te verstrekken informatie bijvoorbeeld beschermde gegevens van derden of bedrijfsgeheimen bevat, dan moet deze informatie worden verstrekt aan de bevoegde toezichthouder of nationale rechter. Die dient vervolgens een belangenafweging te maken en na te gaan of de bedrijfsgevoelige informatie wel of niet (volledig) moet worden verstrekt aan de betrokkene.
Samenloop AI-verordening
Deze uitspraak is dus enerzijds interessant omdat er duidelijkheid wordt verschaft over welke informatie precies moet worden verstrekt aan betrokkenen omtrent een geautomatiseerd besluit. Anderzijds is deze uitspraak interessant in het licht van de nieuwe AI-verordening, waarin een vergelijkbare bepaling staat.
Op grond van artikel 86 van de AI-verordening moet een organisatie die een hoog-risico AI-systeem gebruikt (zoals een AI-systeem dat kredietscores genereert), een persoon die te maken krijgt met een besluit dat rechtsgevolgen heeft of grote impact heeft op zijn of haar leven, goed en begrijpelijk uitleg geven. Die uitleg moet duidelijk maken welke rol het AI-systeem heeft gespeeld in het besluit, en wat de belangrijkste elementen waren die tot het besluit hebben geleid – zeker als die persoon het besluit als nadelig ervaart voor zijn of haar gezondheid, veiligheid of grondrechten.
Dit artikel blijft buiten toepassing wanneer een andere wet al een vergelijkbaar recht op uitleg biedt. Uit de uitleg van het Hof van Justitie in de besproken zaak blijkt dat artikel 15 lid 1 sub h AVG in veel gevallen inderdaad al een dergelijk recht biedt. Toch is het nieuwe recht op uitleg uit de AI-verordening geen papieren tijger.
Er zijn namelijk situaties denkbaar waarin een geautomatiseerd besluit niet op persoonsgegevens is gebaseerd, waardoor de AVG niet van toepassing is. Denk bijvoorbeeld aan algoritmische besluitvorming binnen publieke dienstverlening, waarbij andere soorten gegevens worden gebruikt. Ondanks het ontbreken van persoonsgegevens kan de impact van zo’n besluit op iemands leven aanzienlijk zijn. In een steeds verder digitaliserende samenleving is het dan ook van belang dat betrokkenen in zulke gevallen ook inzicht kunnen krijgen in de werking en invloed van het gebruikte AI-systeem.
Meer weten?
Wilt u meer weten over het verstrekken van (bedrijfsgevoelige) informatie onder de AVG of de verplichtingen die gaan gelden op grond van de AI-verordening? Neem dan contact op met ons IE, IT en Privacy team.
Neem contact op