Thema 5: Rechten van betrokkene
Leerdoelen van deze week:
- De rechten van betrokkene benoemen;
- De reikwijdte van het recht op inzicht en verbod op geautomatiseerde besluitvorming uitleggen;
- Uitleggen wanneer er sprake is van uitzonderingen op de rechten van betrokkene;
- Beoordelen (en zijn of haar conclusies motiveren) of bepaalde hypothetische en reële gevallen van
gegevensverwerking de rechten van betrokkenen respecteren.
Literatuur 2
Kranenborg/Verhey, H10. 2
Margot E Kaminski, ‘Binary Governance: Lessons from the GDPR’s Approach to
Algorithmic Accountability’ 2
Bygrave, Lee A., “Minding the Machine v2.0: The EU General Data Protection Regulation
and Automated Decision Making” Karen Yeung and Martin Lodge (eds.), Algorithmic
Regulation 3
Groep gegevensbescherming artikel 29, Richtsnoeren inzake geautomatiseerde
individuele besluitvorming en profilering voor de toepassing van Verordening (EU)
2016/679, 6 februari 2018. pp. 23-34 4
Groep gegevensbescherming artikel 29, Richtsnoeren inzake transparantie
overeenkomstig Verordening (EU) 2016/679, 11 april 2018 5
Hoorcollege 7
Rechten van betrokkene 7
Transparantie 7
Recht op rectificatie (art. 16 AVG) 10
Recht op wissing (“recht op vergetelheid”) (art. 17 AVG) 11
Recht op beperking (art. 18 AVG) 11
Recht op overdraagbaarheid / data portabiliteit (art. 20 AVG) 12
Recht op bezwaar (art. 21 AVG) 12
Verbod geautomatiseerde beslissingen (art. 22 AVG) 13
Algemene beperkingen en uitzonderingen (art. 11 en 23 AVG) 14
Werkgroep 16
Jurisprudentie 19
HvJ EU 20 december 2017, Nowak 19
HvJ EU 4 mei 2023, Österreichische Datenschutzbehörde, CRIF GmbH 19
HvJ 7 december 2023, OQ tegen Land Hessen, in tegenwoordigheid van SCHUFA
Holding AG 20
,Literatuur
Kranenborg/Verhey, H10.
Hoofdstuk 10: Verantwoordingsplicht en Compliance
Algemeen
● Verantwoordingsplicht: Organisaties moeten kunnen aantonen dat zij voldoen aan de AVG. (Art. 5(2) AVG).
Specifieke Maatregelen
1. Technische en Organisatorische Maatregelen (Art. 24 AVG)
○ Beleid en Procedures: Implementatie van passende beleidsmaatregelen.
○ Beveiliging van Gegevens: Technische maatregelen zoals encryptie en pseudonimisering.
2. Data Protection by Design en by Default (Art. 25 AVG)
○ Doel: Gegevensbescherming integreren in de ontwerpfase van systemen en standaardinstellingen.
3. DPIA (Art. 35 AVG)
○ Doel: Evalueren van de impact van verwerkingen op de gegevensbescherming.
Belangrijke Uitspraken
● Google LLC v CNIL: Reikwijdte van het recht om vergeten te worden buiten de EU.
Margot E Kaminski, ‘Binary Governance: Lessons from the GDPR’s Approach to Algorithmic Accountability’
Inleiding
● Binary Governance: Concept waarbij governance wordt verdeeld in twee duidelijke categorieën: regels en
mechanismen voor verantwoording.
● Focus van het artikel: Onderzoek naar de benadering van de GDPR ten aanzien van algoritmische
verantwoordelijkheid en de lessen die hieruit kunnen worden getrokken voor bredere beleidsontwikkeling.
GDPR en Algoritmische Verantwoordelijkheid
● Artikel 22 GDPR: Richt zich op de rechten van individuen met betrekking tot geautomatiseerde besluitvorming en
profilering, waarbij een verbod wordt opgelegd op besluiten die uitsluitend zijn gebaseerd op geautomatiseerde
verwerking, inclusief profilering, die rechtsgevolgen hebben of de betrokkene significant beïnvloeden.
● Transparantie-eisen: Verantwoordelijken moeten transparant zijn over het gebruik van algoritmen en de betrokken
logica, betekenis en gevolgen voor de betrokkenen uitleggen.
Belangrijkste Elementen van Algoritmische Verantwoordelijkheid onder de GDPR
1. Recht op uitleg:
○ Betrokkenen hebben recht op betekenisvolle informatie over de logica, het belang en de verwachte gevolgen van de
verwerking.
○ Dit recht ondersteunt de transparantie en biedt betrokkenen inzicht in hoe en waarom beslissingen worden
genomen.
2. Menselijke tussenkomst:
○ Artikel 22 vereist dat beslissingen niet uitsluitend op geautomatiseerde verwerking zijn gebaseerd en dat er ruimte
is voor menselijke tussenkomst.
○ Dit moet zorgen voor controlemechanismen en het voorkomen van fouten of vooroordelen in geautomatiseerde
systemen.
3. Impact assessments:
○ Gegevensbeschermingseffectbeoordelingen (DPIA’s) zijn vereist voor verwerkingen die waarschijnlijk een hoog
risico inhouden voor de rechten en vrijheden van natuurlijke personen, waaronder geautomatiseerde
besluitvorming.
○ DPIA’s helpen risico’s te identificeren en te mitigeren voordat gegevensverwerkingen worden uitgevoerd.
Lessen voor Beleidsontwikkeling
, ● Holistische benadering: Beleidsmakers moeten een evenwicht vinden tussen bescherming van individuele rechten
en het stimuleren van innovatie.
● Flexibiliteit en aanpassing: Regelgeving moet flexibel genoeg zijn om zich aan te passen aan snelle technologische
veranderingen en diverse toepassingsgebieden.
● Balans tussen transparantie en praktische haalbaarheid: Te veel transparantie-eisen kunnen onrealistisch zijn,
terwijl te weinig transparantie kan leiden tot een gebrek aan vertrouwen en verantwoording.
● Menselijke controle: Het is essentieel om menselijke controle in geautomatiseerde systemen te waarborgen om
fouten, discriminatie en vooroordelen te minimaliseren.
Conclusie
● Noodzaak van gedetailleerde regelgeving: Algoritmische verantwoordelijkheid vereist gedetailleerde en specifieke
regelgeving om effectief te zijn.
● Inzichten van de GDPR: De GDPR biedt waardevolle lessen voor het ontwikkelen van regelgeving die
transparantie, verantwoording en bescherming van individuele rechten in het tijdperk van automatisering en
kunstmatige intelligentie bevordert.
● Toekomstige uitdagingen: Beleidsmakers moeten blijven innoveren en aanpassen om gelijke tred te houden met
technologische vooruitgang en de bijbehorende ethische en maatschappelijke implicaties.
Deze samenvatting benadrukt de kernpunten van Kaminski’s analyse van de GDPR’s aanpak van algoritmische
verantwoordelijkheid, de concepten van binary governance, en de belangrijke lessen die hieruit kunnen worden getrokken
voor toekomstig beleid rondom algoritmen en geautomatiseerde besluitvorming.
Bygrave, Lee A., “Minding the Machine v2.0: The EU General Data Protection Regulation and Automated Decision
Making” Karen Yeung and Martin Lodge (eds.), Algorithmic Regulation
Inleiding
● Onderwerp van het hoofdstuk: Analyse van de GDPR met betrekking tot geautomatiseerde besluitvorming en de
implicaties daarvan voor de regulering van algoritmen.
● Kernvraag: Hoe de GDPR mechanismen biedt om de risico's van geautomatiseerde besluitvorming te beheersen en
de rechten van individuen te beschermen.
Geautomatiseerde Besluitvorming en de GDPR
● Artikel 22 GDPR: Biedt bescherming tegen beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde
verwerking, inclusief profilering, die rechtsgevolgen hebben of de betrokkene significant beïnvloeden.
● Recht om niet te worden onderworpen: Individuen hebben het recht om niet onderworpen te worden aan dergelijke
beslissingen, tenzij bepaalde uitzonderingen van toepassing zijn.
Uitzonderingen op het Verbod
1. Toestemming: De betrokkene heeft uitdrukkelijke toestemming gegeven.
2. Noodzakelijkheid voor een contract: De geautomatiseerde beslissing is noodzakelijk voor de uitvoering van een
contract tussen de betrokkene en de verwerkingsverantwoordelijke.
3. Wettelijke grondslag: De beslissing is toegestaan door de wet die voorziet in passende maatregelen ter bescherming
van de rechten, vrijheden en gerechtvaardigde belangen van de betrokkene.
Vereisten en Beschermingsmaatregelen
● Informatie en transparantie: Verwerkingsverantwoordelijken moeten de betrokkene informeren over het bestaan van
geautomatiseerde besluitvorming, de onderliggende logica, en de betekenis en verwachte gevolgen van een
dergelijke verwerking.
● Menselijke tussenkomst: Er moeten waarborgen zijn dat de betrokkene kan verzoeken om menselijke tussenkomst,
zijn standpunt kan kenbaar maken en de beslissing kan aanvechten.
● Beveiliging van gegevens: Er moeten passende technische en organisatorische maatregelen worden genomen om de
rechten van betrokkenen te beschermen.
Toepassingsgebieden en Voorbeelden
● Financiële diensten: Geautomatiseerde beslissingen in kredietverlening en verzekering.