AVG vormt obstakel voor geautomatiseerd beslissen

Deze conclusie volgt uit onderzoek van het Future of Privacy Forum (FPF), een in Amerika gevestigde wereldwijd opererende privacybeschermingsorganisatie. De organisatie bracht daarover een rapport uit, waar Venturebeat over schrijft. De crux zit in artikel 22 van de GDPR, waarin omschreven wordt hoe organisaties zich bij het omgaan met data moeten richten op dataminimalisatie, beperken van de doelen van dataverwerking, een verplichte transparantie en het naleven van eerlijkheidsbeginselen.

Bij geautomatiseerde beslissystemen gaat het mis op het punt van de verplichte transparantie. Bij handmatige verwerking van persoonsgegevens kan altijd het beslistraject dat de gegevens doorlopen worden nagetrokken, maar dat lukt niet wanneer er algoritmen op basis van machine learning aan te pas komen. Dan is er vrijwel altijd sprake van een black box. In dat geval moeten organisaties verplicht aan elk individu (in ieder geval wanneer dat uit een EU-lidstaat komt) om een expliciete bevestiging vragen om diens gegevens aan een geautomatiseerde verwerking te onderwerpen. De betrokkene moet ook een mogelijkheid hebben zich daaraan te onttrekken.

Veel toepassingen op de korrel

De vice president Global Privacy bij FPF en coauteur van het rapport - Gabriela Zanfir-Fortuna - raadt organisaties aan een Data Protection Impact Assessments (DPIA) uit te voeren om problemen met de Europese toezichthouders te voorkomen. Het gaat bijvoorbeeld om organisaties die geautomatiseerd binnengekomen sollicitaties screenen, automatisch de kredietwaardigheid van iemand beoordelen of toepassingen inzetten die gebruik maken van gezichtsherkenning of emotieherkenning.