Mark Jansen schreef voor VAST een artikel getiteld "Credit scoring en geautomatiseerde besluitvorming aan banden gelegd. De wetgever aan zet?" naar aanleiding van de twee Schufa-arresten van het Hof van Justitie
Er is veel te doen over aanstaande AI-wetgeving vanuit Europa. Door alle berichtgeving over nieuwe wetgeving sneeuwt het bestaande kader wel eens wat onder. Want een deel van wat de AI-wetgeving wil bereiken (bescherming tegen de risico's van autonomie digitale systemen) wordt al door bestaande wetgeving afgevangen. De AVG verbiedt (reguleert) immers nu al geautomatiseerde besluitvorming.
Er is veel te doen over het welke schadevergoeding er tegenover een privacyschending zou moeten staan. Hierover wordt steeds meer, en ook steeds vaker collectief, geprocedeerd. Dit verklaart dan ook dat er steeds meer uitspraken verschijnen. Een recente uitspraak van het Hof maakt duidelijk dat de betrokkene niet "zomaar" geld kan claimen: een incident is nog geen bewijs van structurele misstanden en de vermeende schade moet wel echt geleden zijn. Een korte beschouwing.
De Autoriteit Persoonsgegevens bracht onlangs twee handreikingen uit. Het eerste gaat over aandacht voor privacy in jaarverslagen. Het tweede is gericht op toezichthouders in de raad van commissarissen of raad van toezicht van een onderneming. Hierin roept de AP onder meer op om aandacht te schenken aan privacy in het jaarverslag. Is dit nu verstandig?
Het Hof van Justitie heeft op 5 december 2023 opnieuw een paar principiële knopen over het privacyrecht doorgehakt. (1) Wie een app laat ontwikkelen is in beginsel verantwoordelijk voor de daarmee verband houdende dataverzameling, ook al ligt de uitvoering bij die ontwikkelaar. (2) Er moet feitelijk worden getoetst of er sprake is van gezamenlijke verantwoordelijkheid, het al dan niet bestaan van de (daarvoor verplichte) contractuele regeling is hiervoor irrelevant. (3) Bij het verwerken van niet-herleidbare persoonsgegevens is de AVG niet meer van toepassing. (4) Voor het opleggen van een boete is enige schuld van de verwerkingsverantwoordelijke vereist, maar dat vergt niet een handelen of wetenschap van de leiding. (5) Een verwerkingsverantwoordelijke kan beboet worden voor gedrag door de verwerker, tenzij die verwerker de opdracht te buiten gaat. Dit levert een paar strategische aandachtspunten op.
In een geschil tussen een basisschool en ouders van een leerling is heeft de rechtbank geoordeeld dat de AVG is geschonden omdat de school niet kon verantwoorden waarom gegevens in het leerlingendossier waren opgenomen. Dat de AVG is geschonden betekent echter nog niet dat de lat voor schadevergoeding ook wordt gehaald.
Volgens de rechtbank heeft de Autoriteit Persoonsgegevens (AP) terecht een boete opgelegd aan het Bureau Kredietregistratie (BKR) voor het vragen van geld bij inzageverzoeken en voor het niet faciliteren van het inzagerecht. De boete wordt wel gematigd van 830.000 euro naar 668.000 euro.
Gisteren heeft de Europese Commissie na 2 jaar onzekerheid besloten dat de Verenigde Staten voldoende waarborgen bieden voor een veilige doorgifte van persoonsgegevens. Dit betekent dat het doorgeven van data naar de VS nu veel gemakkelijker is geworden. Waar komt dit besluit vandaan? En waarom heeft het zo lang geduurd?
Het recente arrest over Meta (o.a. Facebook) is verplichte kost voor iedereen die zich met privacyrecht bezighoudt. Het Hof hakt een paar belangrijke knopen door en geeft duidelijke vuistregels voor de praktijk. Toch roept de kwestie ook wel weer vervolgvragen op. Een korte beschouwing.
Aangezien het inzagerecht bedoeld is om te kunnen controleren of persoonsgegevens rechtmatig worden verwerkt, heeft de betrokkene volgens het Hof van Justitie ook het recht te weten wanneer en waarom de gegevens zijn geraadpleegd. Er bestaat niet per se een recht om ook te weten wie er in de gegevens heeft gekeken, tenzij die extra informatie echt nodig is om de rechtmatigheid te kunnen beoordelen. Dit geldt ook voor het verleden. Een flinke uitdaging voor organisaties, want er zal nu waarschijnlijk nog veel meer moeten worden gelogd.
Het Hof van Justitie heeft in een arrest op 4 mei 2023 geoordeeld dat het privacyrechtelijke inzagerecht ruim moet worden uitgelegd. Het doel van het inzagerecht is om te kunnen controleren of gegevens rechtmatig worden verwerkt en om zo nodig rechten uit te kunnen oefenen. Dat kan alleen als de verstrekte informatie volledig en begrijpelijk is en - waar nodig - in de juiste context wordt geplaatst. Dit maakt dat vaker dan tot op heden gebruikelijk in Nederland ook kopieën van de onderliggende documenten moeten worden verstrekt.
