Steeds meer organisaties maken gebruik van algoritmes en ‘big data’ om digitaal persoonsgegevens te analyseren. Daarmee kunnen bijvoorbeeld voorspellingen over gedrag gemaakt worden op basis van algemene kenmerken en gegevens over het gedrag van mensen met vergelijkbare kenmerken. Dit noemen we profiling.

In sommige gevallen worden op basis van deze automatische analyses besluiten over mensen genomen. Dat kan variëren van besluiten die weinig tot geen impact hebben, zoals welke folder iemand ontvangt, tot rechtsgevolgen of andere besluiten die wel een aanzienlijke impact op de betrokkene hebben. Denk aan de hoogte van een premie of een automatisch besluit over een sollicitatie. In deze gevallen kunnen betrokkenen zich beroepen op het recht op menselijk blik bij besluiten. In dit geval wordt een organisatie verplicht een medewerker naar een automatische aanvraag of verwerking te laten kijken om een nieuw besluit te nemen.

Ingewikkeld algoritme

Veel bedrijven die gebruik maken van profiling weten niet, of onvoldoende, hoe het algoritme dat gebruikt wordt werkt. Terwijl het algoritme mogelijk onwenselijke aannames maakt of onvoldoende rekening houdt met het verschil tussen correlatie en causaal verband. Daarbij wordt vaak ook gebruik gemaakt van data die verouderd, irrelevant, onjuist of illegaal verkregen is. Aan de hand van die informatie wordt een profielschets van de betrokkene gemaakt. Dit kan gaan over de financiële situatie of het arbeidsverleden, maar ook over politieke opvatting en etnische achtergrond. Door middel van dit profiel kunnen bedrijven hun diensten gericht aanbieden, of juist bepaalde groepen uitsluiten. Hierdoor kunnen mensen worden beperkt in hun rechten of andere belangrijke persoonlijke gevolgen ondervinden. Ook de bekende ‘bubbels’ en polarisatie op sociale media worden ermee in stand gehouden.

Een vaak genoemd voorbeeld gaat over het online aanvragen van kredieten. Wanneer iemand een online kredietaanvraag deed, kon deze automatisch worden afgekeurd. Onder de AVG moeten organisaties aan zeer strenge eisen voldoen voor het toepassen van automatische besluitvorming. Zo moet de besluitvorming noodzakelijk zijn voor het tot stand komen of uitvoeren van een contract met de betrokkene. Ook kan de besluitvorming op basis van wettelijke goedkeuring of vrije en expliciete toestemming van de betrokkene worden gedaan. Ook mag het algoritme geen bijzondere persoonsgegevens meenemen in de analyse. U moet betrokkenen informeren over de werking van het algoritme (en dit dus ook zelf snappen) en mogen betrokkenen zich altijd beroepen op het recht op menselijk blik. Wanneer u processen heeft ingeregeld waarbij automatische beslissingen worden genomen die niet aan de strenge eisen van de AVG voldoen loopt uw organisatie een groot risico.

Processen correct inrichten

Sinds invoering van de AVG is het aanzienlijk ingewikkelder om automatische beslissingen te nemen aan de hand van persoonsgegevens zonder menselijke tussenkomst. Dit betekent voor u dat u bepaalde processen en systemen anders zal moeten inrichten. Audittrail helpt u graag bij de herinrichting van uw processen en in de begeleiding van uw medewerkers in deze transitie. Voor een verhelderend gesprek kunt u contact opnemen met onze specialisten Dennis, Jorrit en Ralph. Zij komen graag bij u langs voor een kopje koffie met advies.

Bron: Audittrail

Plaats een reactie