Please select a page template in page properties.

Techniekneutraal

De AVG reguleert de bescherming van persoonsgegevens; het is een algemene wet die techniekneutraal is. Maar wat betekent dit precies?

Technologieën

De AVG schrijft niet voor met welke technologieën men ‘passende waarborgen’ kan inzetten, bijvoorbeeld ten behoeve van encryptie of pseudonimisering binnen een onderzoek. 

De AVG stelt in recital 78 alleen in algemene zin:

Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. 

Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en uit het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren. 

Bij de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens, of die persoonsgegevens verwerken bij de uitvoering van hun opdracht, dienen de producenten van de producten, diensten en toepassingen te worden gestimuleerd om bij de ontwikkeling en de uitwerking van dergelijke producten, diensten en toepassingen rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen.

Zelfregulerend vermogen

Men doet hier dus een beroep op het zelfregulerend vermogen van de verwerkingsverantwoordelijke, waarbij men rekening houdt met wat binnen de betreffende sector gangbaar en passend is. Dit leidt bijvoorbeeld tot een gedragscode, die, - AVG artikel 40 lid 1 parafraserend - :

(...) met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingen binnen een sector, rekening houdend met de specifieke behoeften van het type instelling, moet bijdragen tot de juiste toepassing van de AVG.

Voor onderzoek betekent dit dus (AVG recital 78 volgend, zie citaat hierboven) dat het CvB van een instelling, als verwerkingsverantwoordelijke, interne beleidsmaatregelen neemt en voor onderzoekers maatregelen beschikbaar stelt die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen (respectievelijk ‘Privacy by Design’ en ‘Privacy by Default’).

Waarom techniekneutraal?

De ontwikkeling van de technologie gaat zo snel, dat iedere concretisering - in een wet - van het specifieke type technologie die men als ‘passende waarborg’ zou moeten inzetten, per definitie achterhaald zal zijn. Dat zou betekenen dat men de wet regelmatig moet aanpassen, wat alleen al om praktische redenen onwenselijk is.

Algemeen en principe gebaseerd

Om die reden is de AVG ‘algemeen’ en ‘principe gebaseerd’. Door de principes in artikel 5 van de AVG toe te passen weet een onderzoeker dat er technische en organisatorische maatregelen nodig zijn die de genoemde principes beschermen. De voortschrijdende technologische ontwikkeling brengt geheel nieuwe vraagstukken rondom de bescherming van onze persoonsgegevens met zich mee.

Denk ter illustratie eens aan het fenomeen ‘machine learning’: wie is dan verantwoordelijk voor het evoluerende (zelflerende) algoritme? Wie is in die situatie de verwerker ('processor') en wie is de verwerkingsverantwoordelijke ('controller')? Door jurisprudentie die ook op dit gebied gaat ontstaan krijgen we steeds beter zicht op hoe de principes uit de AVG zich ook tot deze nieuwe technologische ontwikkelingen verhouden.

Als actueel voorbeeld kunnen we eens kijken naar de toepassing van algoritmes:

Vragen rondom algoritmes

We zien namelijk dat algoritmes vaak fouten maken en mensen benadelen, soms ook kwetsbare groepen. Voor enkele bekende voorbeelden hiervan zie dit artikel in de NewScientist: Discriminating algorithms: 5 times AI showed prejudice.

Is de maker van het algoritme verantwoordelijk voor de discriminatie? Is de partij die de algoritmes toepast verantwoordelijk voor de discriminatie? Valt de leverancier van het algoritme iets te verwijten als de algoritmes zijn ontwikkeld met te kleine of verouderde testsets? Hoe voorkom je eigenlijk bias in algoritmes - is dat wel te voorkomen?

Op veel van deze vragen kun je geen specifiek antwoord vinden in de artikelen van de AVG, maar in de principes van de AVG wordt wel duidelijk dat techniek en de verwerking van persoonsgegevens ten dienste moeten staan van de mens (zie de AVG Artikel 5 principes: rechtmatigheid, behoorlijkheid en transparantie). 

Wel stelt de AVG in Artikel 22 dat:

Geautomatiseerde individuele besluitvorming, waaronder profilering” bepaalde grenzen aan de inzet van algoritmes stelt, door namelijk te bepalen in lid 1.: “De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.”

Artikel 22 geeft in combinatie met de beginselen uit Artikel 5 dus voldoende basis om maatregelen te selecteren en te implementeren die de verwerking van persoonsgegevens passend waarborgen. Voorts heeft de ICO, de Britse nationale toezichthouder in 2019 nuttige guidance opgesteld voor DPIAs en AI.

Tenslotte gebeurt er veel in de sector op het gebied van assessments van AI, ook door de Europese Commissie, bijvoorbeeld door het werk van door de EC ingestelde High-Level Expert Group on Artificial Intelligence. De HLEG leverde zo handzame documenten voor ethische richtsnoeren, aanbevelingen voor beleid en een self assessment check voor ontwikkelaars

De EC heeft voorts een whitepaper opgesteld over AI, heeft AI opgenomen in haar visie en heeft specifieke AI wetgeving aangekondigd.

Het bovenstaande geeft aan dat de context van sommige technische ontwikkelingen, zoals in het geval van Machine Learning en Artificial Intelligence, soms een eigen aanpak en zelfs wetgeving vereist, naast de AVG, voor de inzet van deze technologieën waarbij persoonsgegevens worden verwerkt.