Geautomatiseerde besluitvorming en het EU-VS Privacy Shield

Steeds vaker zijn beslissingen die ons leven diepgaand beïnvloeden geautomatiseerd. Denk bijvoorbeeld aan een sollicitatiegesprek, een hypotheek of een verzekering. Algoritmes en data zijn de kern van dergelijke geautomatiseerde besluitvormingsprocessen (ADM). Voor de Europese Commissie onderzocht TNO met juristen in de VS het commercieel gebruik van persoonsgegevens uitgewisseld tussen de EU en de VS onder het Privacy Shield Framework.

De onderzoekers stelden vast dat de verschillende wettelijke regelingen in de EU en de VS het moeilijk maken om de bescherming in beide gebieden te vergelijken. Ondanks deze verschillen bestaat er in de Amerikaanse wetgeving wel degelijk bescherming waar geautomatiseerde verwerking en besluitvorming op basis van EU data plaats vindt. Aangezien aanzienlijke inspanningen worden geleverd om de commerciële toepassing van ADM te ontwikkelen en in te zetten, wordt een nauwlettend toezicht door de Europese Commissie (EC) aanbevolen.

Verdere conclusies

TNO en haar Amerikaanse juridische partners concludeerden in hun onderzoek, uitgevoerd in 2017-2018, verder dat:
1. In tegenstelling tot profilering de commerciële inzet van ADM zich nog in een opkomende fase bevindt: de meeste beslissingsbevoegdheid op het gebied van automatisering was eerder gedeeltelijk dan volledig geautomatiseerd.
2. De reeds beschikbare commerciële toepassingen met (gedeeltelijke) ADM-capaciteiten waren onder meer te vinden in de categorieën: financiële activiteiten (bv. kredietscore, commerciële leningen, commerciële verzekeringen), human resources (volgen van sollicitanten, achtergrondcontroles van sollicitanten, talentmanagement, recruitment), en marketing en reclame. Een opkomende categorie is die van gezondheidsgerelateerde ADM-toepassingen.
3. De meeste aanbieders van commerciële ADM-toepassingen waren niet klant- c.q. verkoopgericht en worden in de eerste plaats gekwalificeerd als gegevensverwerkers.
4. De feitelijke overdracht van EU-gegevens naar de VS kon niet worden geschat, ondanks dat bedrijven actief persoonlijke gegevens en profielen van personen, alsmede gegevensanalyse en besluitvormingssoftware aanbieden.
5. De meeste op ADM gebaseerde consumentendiensten zijn in de eerste plaats gericht op gebruikers in de VS en derhalve niet relevant zijn voor de betrokkenen in de EU.
6. Het feitelijke gebruik van uitsluitend ADM-toepassingen die wettelijke of vergelijkbare significante effecten zouden hebben op basis van EU-gegevens die door zelfgecertificeerde ondernemingen met een Privacy Shield aan de VS worden doorgegeven, is waarschijnlijk zeer gering geweest.

ADM & het privacyschild 2017-2018

Als onderdeel van de tweede jaarlijkse evaluatie van het EU-VS Privacy Shield had de EC behoefte aan een studie ter ondersteuning van haar beoordeling van dit kader. De EC wilde met name weten in hoeverre bedrijven in de VS met een Privacy Shield-certificaat besluiten nemen op basis van geautomatiseerde verwerking van persoonsgegevens die in het kader van het Privacy Shield van de EU naar de VS worden overgedragen. Daarbij wilde de EC weten welke invloed dit heeft op een individu. Verder wilde de EC weten welke waarborgen de federale wetgeving van de VS voor dergelijke situaties biedt en onder welke voorwaarden deze waarborgen van toepassing zijn.

Achtergrond

De EU-wetgeving inzake gegevensbescherming voorziet in de bescherming van personen in gevallen van geautomatiseerde besluitvorming (ADM). Artikel 22 van de algemene verordening inzake gegevensbescherming (AVG) voorziet in het recht van een betrokkene om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, met inbegrip van profilering, gebaseerde beslissing die rechtsgevolgen heeft, of voor hem of haar een soortgelijk significant effect heeft.

Dit beginsel is onderworpen aan uitzonderingen, in welke gevallen de voor de verwerking verantwoordelijke verplicht is passende waarborgen in te voeren ter bescherming van de rechten en vrijheden en de legitieme belangen van de betrokkene, ten minste het recht op menselijke tussenkomst van de voor de verwerking verantwoordelijke, het recht om zijn of haar standpunt kenbaar te maken en het besluit aan te vechten. Geen enkel beginsel dat een soortgelijke bescherming biedt als artikel 22 van het AVG is opgenomen in het EU-VS Privacy Shield - een vrijwillig zelfcertificeringssysteem waarbij Amerikaanse bedrijven zich ertoe verbinden zich aan een aantal privacybeginselen te houden.

Lees de TNO Privacy Shield studie

Download via de website van de Europese Commissie

Download
Kennis

Digital Policy: Data gedreven en toekomstbestendige beleidsontwikkeling

De maatschappij digitaliseert, dit heeft effect op de overheid en onder meer consequenties voor beleid. TNO helpt de overheid met haar kennis van digital policy met het verkennen van strategieën en onderzoeken... Lees verder

Strategy & Policy

VOLG TNO OP SOCIAL MEDIA

blijf op de hoogte van ons laatste nieuws, vacatures en activiteiten

Op TNO.nl maken we gebruik van cookies. De daarin opgeslagen informatie kan bij een volgend bezoek weer naar onze servers teruggestuurd  worden.