Sat. Aug 13th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Opmerking van de redactie: ComplexDiscovery belicht van tijd tot tijd openbaar beschikbare of particulier te kopen aankondigingen, inhoudsupdates en onderzoek van cyber-, data- en juridische ontdekkingsproviders, onderzoeksorganisaties en ComplexDiscovery-communityleden. Hoewel ComplexDiscovery deze informatie regelmatig belicht, aanvaardt het geen enkele verantwoordelijkheid voor beweringen over inhoud.

    Neem vandaag nog contact met ons op om aanbevelingen in te dienen voor overweging en opname in ComplexDiscovery's cyber-, data- en juridische ontdekkingsgerichte service-, product- of onderzoeksaankondigingen.

    Achtergrondopmerking: Op 17 mei 2022 lanceerde het Future of Privacy Forum een uitgebreid rapport waarin de jurisprudentie wordt geanalyseerd onder de Algemene Verordening Gegevensbescherming (AVG) die wordt toegepast op real-life gevallen met geautomatiseerde besluitvorming (ADM). Het rapport is gebaseerd op uitgebreid onderzoek dat betrekking heeft op meer dan 70 arresten van het Hof, beslissingen van gegevensbeschermingsautoriteiten (gegevensbeschermingsautoriteiten), specifieke richtsnoeren en andere beleidsdocumenten van toezichthouders. Volgens de aankondiging van dit nieuwe rapport heeft de AVG een specifieke bepaling die van toepassing is op beslissingen die uitsluitend zijn gebaseerd op geautomatiseerde verwerking van persoonsgegevens, inclusief profilering, die rechtsgevolgen heeft voor een persoon of die persoon op vergelijkbare wijze treft: artikel 22. Deze bepaling bevat een van de „rechten van de betrokkene”, met name het recht om niet te worden onderworpen aan dergelijke beslissingen (d.w.z. „kwalificerende ADM”), die door gegevensbeschermingsautoriteiten is geïnterpreteerd als een verbod in plaats van een voorrecht dat individuen kunnen uitoefenen. Het rapport stelt echter dat de bescherming van personen tegen vormen van geautomatiseerde besluitvorming (ADM) en profilering van de AVG aanzienlijk verder gaat dan artikel 22. Gezien de mogelijke privacyuitdagingen van ADM, kan dit rapport gunstig zijn voor professionals op het gebied van cyberbeveiliging, informatiebeheer en juridische ontdekkingen die de mogelijke privacyuitdagingen en de huidige jurisprudentie met betrekking tot ADM beter willen begrijpen.

    Onderzoeksrapport Future of Privacy Forum*

    Geautomatiseerde besluitvorming onder de AVG: praktische zaken van rechtbanken en gegevensbeschermingsautoriteiten

    Door Sebastião Barros Vale en Gabriela Zanfir-Fortuna

    Rapportextract - Achtergrond en overzicht

    De Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie (EU) legt een van de fundamentele grondbeginselen vast in overweging 4, waarin staat dat „de verwerking van persoonsgegevens moet zijn ontworpen om de mensheid te dienen”. Dit verwijst naar elke verwerking van persoonlijke gegevens, van de verzameling tot de verschillende toepassingen ervan, net zo eenvoudig als het bijhouden van een dossier over iemands aankopen bij hun favoriete supermarkt en net zo complex als het gebruik van persoonlijke gegevens voor geautomatiseerde besluitvorming, zoals het vooraf screenen van kandidaten voor een baan door het gebruik van algoritmen , of dat persoonlijke gegevens het resultaat zijn van complexe verwerking, zoals het aanmaken van een profiel van de klant van een supermarkt op basis van hun aankoopgeschiedenis. Dezelfde onderliggende grondgedachte van de AVG is van toepassing als persoonsgegevens op enigerlei wijze worden verwerkt als onderdeel van een applicatie voor kunstmatige intelligentie (AI) of machine learning (ML) - hetzij als input of uitvoer van een dergelijke verwerking.

    Hoewel alle bepalingen van de AVG van toepassing zijn op een dergelijke complexe verwerking van persoonsgegevens - van de verplichting van de verwerkingsverantwoordelijke om een wettelijke grond voor verwerking te hebben, tot de verplichting om ervoor te zorgen dat de verwerking eerlijk en transparant wordt uitgevoerd, tot meer technische verplichtingen zoals het waarborgen van een toereikende niveau van gegevensbeveiliging en ervoor zorgen dat de bescherming van persoonsgegevens wordt ingebakken in het ontwerp van een verwerkingsoperatie, is een bepaalde bepaling van de AVG specifiek van toepassing op beslissingen „uitsluitend gebaseerd op geautomatiseerde verwerking [van persoonsgegevens — n.], inclusief profilering, wat rechtsgevolgen heeft ” betreffende een individu „of op dezelfde manier beïnvloedt” die persoon: artikel 22.

    Deze bepaling bevat een van de „rechten van de betrokkene”, met name „het recht om niet te worden onderworpen aan een beslissing die uitsluitend is gebaseerd op geautomatiseerde verwerking” die een juridisch of vergelijkbaar significant effect heeft op de persoon. Alle geautomatiseerde besluitvorming (ADM) die voldoet aan deze criteria zoals gedefinieerd in artikel 22 van de AVG, wordt in dit rapport aangeduid als „kwalificerende ADM”.

    Zelfs als blijkbaar geïntroduceerd in de GDPR om te reageren op het huidige tijdperk van algoritmen, AI- en ML-systemen, bestond deze bepaling in feite onder de voormalige EU-richtlijn gegevensbescherming die in 1995 werd aangenomen, en heeft het zijn wortels in een vergelijkbare bepaling van de eerste Franse gegevensbeschermingswet die eind jaren zeventig werd aangenomen. Het is echter slechts nauwelijks gehandhaafd op grond van de vorige wet. De zaken begonnen aan te pakken nadat de AVG in 2018 van toepassing werd, ook gezien het feit dat geautomatiseerde besluitvorming alomtegenwoordig wordt in het dagelijks leven, en het lijkt er nu op dat individuen steeds meer geïnteresseerd zijn in het toepassen van hun recht op grond van artikel 22.

    Dit rapport schetst hoe nationale rechtbanken en gegevensbeschermingsautoriteiten (gegevensbeschermingsautoriteiten) in de EU/Europese Economische Ruimte (EER) en het VK de relevante AVG-bepalingen inzake ADM tot nu toe hebben geïnterpreteerd en toegepast, evenals de opmerkelijke trends en uitschieters in dit opzicht. Om het rapport samen te stellen, hebben we gekeken naar openbaar beschikbare gerechtelijke en administratieve beslissingen en regelgevingsrichtlijnen in EU-EER-rechtsgebieden en het VK, dat tot december 2020 lid was van de EU en waarvan de regels inzake ADM nog steeds een implementatie zijn van de AVG op het moment van schrijven van dit rapport. Om de feiten van de besproken zaken aan te vullen, hebben we ook gekeken naar persberichten, jaarverslagen en mediaverhalen. Dit onderzoek is beperkt tot documenten die zijn vrijgegeven tot april 2022 en is gebaseerd op meer dan 70 zaken - 19 gerechtelijke uitspraken en meer dan 50 handhavingsbeslissingen, individuele adviezen of algemene richtlijnen van gegevensbeschermingsautoriteiten, - uit een periode van 18 EER-lidstaten, het VK en de Europese Toezichthouder voor gegevensbescherming (EDPS). De belangrijkste gevallen en documenten die ter referentie worden gebruikt, zijn opgesomd in bijlage I. Het verslag bevat voornamelijk samenvattingen van zaken en relevante richtsnoeren, waarbij de in detail behandelde gevallen consistent worden genummerd, zodat alle aantekeningen over een bepaald geval gemakkelijk in het hele document kunnen worden geïdentificeerd (bv. geval). 3 zal meerdere keren worden genoemd, onder verschillende secties).

    De gevallen die we hebben geïdentificeerd, komen vaak voort uit situaties in het dagelijks leven waarin ADM steeds meer een belangrijke rol speelt. Eén cluster van zaken voorziet bijvoorbeeld studenten en onderwijsinstellingen. Deze gevallen variëren van het gebruik van live gezichtsherkenningstechnologieën om de toegang op schoolgebouwen te beheren en het registreren van de aanwezigheid, tot online proctoring en verder tot volledig geautomatiseerde beoordeling op basis van het individuele profiel van een student, maar ook op het profiel van hun schooldistrict, als vervanging van high afstudeerexamens tijdens de COVID-19-pandemie.

    Een ander belangrijk cluster van zaken heeft in de kern de situatie van gig-werknemers en de manier waarop ze worden verdeeld over ploegen, optredens, inkomsten en straffen via hun respectieve platforms. Een aanzienlijk aantal gevallen betwist geautomatiseerde kredietscores. De manier waarop overheden sociale uitkeringen verdelen, zoals werkloosheid, en belastingontwijking en potentiële fraude beheren, wordt steeds vaker onderworpen aan meer gevallen - individuele uitdagingen of ambtshalve onderzoeken. We kwamen ook gevallen tegen waarin de onderliggende ADM werd aangevochten in situaties zoals het uitgeven van wapenvergunningen, het schrapen van openbaar beschikbare bronnen om een FR-product te bouwen, of profilering van potentiële klanten door een bank.

    Onze analyse zal aantonen dat de GDPR als geheel relevant is voor ADM-zaken en effectief is toegepast om de rechten van individuen in dergelijke gevallen te beschermen, zelfs in die situaties waarin de ADM in kwestie niet voldoet aan de hoge drempel die is vastgelegd in artikel 22 AVG, en het recht om niet uitsluitend te worden onderworpen aan geautomatiseerde besluitvorming is niet van toepassing. Zonder zelfs maar te analyseren of artikel 22 in die gevallen van toepassing is, hebben rechtbanken en gegevensbeschermingsautoriteiten vastgesteld dat de inzet van live FR-aanvragen om de toegang tot schoolgebouwen te beheren en de aanwezigheid te controleren onwettig was op grond van andere bepalingen van de AVG omdat het geen wettige grond had voor verwerking. en het voldeed niet aan de vereisten van noodzaak en evenredigheid, waardoor de rechten van studenten in Frankrijk en Zweden werden beschermd (zie zaken 30 en 31).

    Een vergelijkende lezing van relevante gevallen zal ook laten zien hoe complexe transparantievereisten in de praktijk worden overwogen, en wordt effectief vertaald in een recht van individuen om een uitleg op hoog niveau te ontvangen over de parameters die hebben geleid tot een individueel geautomatiseerd besluit over hen of over hoe profilering toegepast op hen.

    De beginselen van rechtmatigheid en billijkheid worden afzonderlijk toegepast in ADM-gerelateerde zaken, waarbij het beginsel van eerlijkheid in een stroomversnelling komt bij de handhaving. In een van de meest recente gevallen die in het rapport zijn vastgelegd, oordeelde de Nederlandse DPA bijvoorbeeld dat het algoritmische systeem dat door de overheid wordt gebruikt om fraude in verzoeken om sociale uitkeringen automatisch op te sporen, in strijd was met het billijkheidsbeginsel, aangezien de verwerking als „discriminerend” werd beschouwd omdat ze in aanmerking werden genomen rekening houden met de dubbele nationaliteit van de personen die een kinderopvanguitkering aanvragen.

    Een ander belangrijk punt dat uit ons onderzoek naar voren kwam, is dat wanneer handhavers de drempel van toepasbaarheid van artikel 22 beoordelen („uitsluitend” geautomatiseerd en „juridisch of vergelijkbaar significant effect” van ADM op individuen), de gebruikte criteria steeds geavanceerder worden naarmate de jurisprudentie groeit. Rechtbanken en gegevensbeschermingsautoriteiten kijken bijvoorbeeld naar de hele organisatieomgeving waarin een ADM plaatsvindt, van de organisatiestructuur tot rapportagelijnen en de effectieve opleiding van personeel, om te beslissen of een beslissing „uitsluitend” geautomatiseerd was of zinvolle menselijke betrokkenheid had. Evenzo kijken handhavingsinstanties bij de beoordeling van het tweede criterium voor de toepasselijkheid van artikel 22 of de inputgegevens voor een geautomatiseerde beslissing gevolgtrekkingen bevatten over het gedrag van individuen, en of de beslissing invloed heeft op het gedrag en de keuzes van de beoogde personen, onder andere multi- gelaagde criteria.

    Ten slotte moeten we benadrukken dat in vrijwel alle gevallen waarin een ADM-proces onwettig werd bevonden, gegevensbeschermingsautoriteiten verder gingen dan het opleggen van administratieve boetes door ook specifieke maatregelen te bevelen die uiteenliepen in omvang: bevelen tot stopzetting van praktijken, bevelen tot verwijdering van illegaal verzamelde persoonsgegevens, bevelen om te verbieden het verder verzamelen van persoonlijke gegevens.

    Alle secties van het verslag gaan vergezeld van samenvattingen van gevallen en een korte analyse waarin wordt gewezen op overeenkomsten en uitschieters. Het rapport onderzoekt in eerste instantie de context en de belangrijkste elementen van artikel 22 en andere relevante GDPR-bepalingen die zijn toegepast in ADM-gevallen, allemaal weerspiegeld in concrete voorbeelden (paragraaf 1). Vervolgens gaat het in op hoe de tweeledige drempel die vereist is door artikel 22 van de AVG in de praktijk is geïnterpreteerd en toegepast (paragraaf 2). Ten slotte wordt in paragraaf 3 uiteengezet hoe rechtbanken en gegevensbeschermingsautoriteiten artikel 22 hebben toegepast op sectorale gebieden, namelijk op het gebied van werkgelegenheid, live gezichtsherkenning en kredietwaardigheid. De conclusie zal enkele van de geïdentificeerde juridische interpretatie- en toepassingstrends uiteenzetten die uit ons onderzoek naar voren komen en de resterende gebieden van rechtsonzekerheid belichten die in de toekomst door toezichthouders of het HvJEU kunnen worden verduidelijkt (paragraaf 4).

    Lees de originele aankondiging.

    Volledig rapport - Geautomatiseerde besluitvorming onder de AVG: praktische zaken van rechtbanken en gegevensbeschermingsautoriteiten (pdf) - Mouseover to Scroll

    FPF-ADM-rapport - mei 2022

    Lees het originele rapport.

    *Gedeeld met toestemming onder Creative Commons, Attribution 4.0 International-licentie.

    Extra lezen

    Verschillen omarmen? Samenspel van digitaal forensisch onderzoek in eDiscovery

    Cyber Discovery definiëren? Een definitie en raamwerk

    Bron: ComplexDiscovery

    Het topje van de ijsberg? Nieuw ENISA-rapport over bedreigingslandschap voor ransomware-aanvallen

    According to ENISA, this threat landscape report analyzed a total of...

    Betalen consumenten de prijs? De kosten van een datalek bereiken recordhoogte volgens nieuw IBM-rapport

    According to IBM Security, the annual Cost of a Data Breach Report...

    EPHi beschermen? NIST actualiseert richtlijnen voor cyberbeveiliging in de gezondheidszorg

    This new NIST Special Publication aims to help educate readers about...

    Bedreigingsactoren tegengaan? Sociale netwerkanalyse gebruiken voor Cyber Threat Intelligence (CCDCOE)

    According to the NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE)...

    Tegenwind van inkomsten? KLDiscovery Inc. maakt financiële resultaten tweede kwartaal 2022 bekend

    According to Christopher Weiler, CEO of KLDiscovery Inc, “The second quarter...

    Meer dan inkomsten? DISCO maakt financiële resultaten tweede kwartaal 2022 bekend

    According to Kiwi Camara, Co-Founder and CEO of DISCO, “We are...

    Woon je bij Leeds? Exterro voltooit herkapitalisatie van meer dan $1 miljard

    According to the press release, with the support of a group...

    TCDI voltooit overname van de eDiscovery-praktijk van Aon

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    Onderweg? 2022 eDiscovery Market Kinetics: vijf interessegebieden

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Vertrouw end op het proces? 2021 eDiscovery Processing Taak-, bestedings- en kostengegevens

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Het jaar in review? 2021 eDiscovery Review Taak-, uitgaven- en kostengegevenspunten

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Een blik op eDiscovery Collection in 2021: gegevenspunten voor taken, uitgaven en kosten

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Vijf geweldige lezingen over cyber-, data- en juridische ontdekking voor juli 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Vijf geweldige lezingen over cyber, data en juridische ontdekking voor juni 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Vijf geweldige lezingen over cyber, data en juridische ontdekking voor mei 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Vijf geweldige lezingen over cyber, data en juridische ontdekking voor april 2022

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...

    Droning On? Conflictbeoordelingen in Oekraïne in kaarten (3 - 7 augustus 2022)

    According to a recent update from the Institute for the Study...

    Noodsituatie verzachten? Conflictbeoordelingen in Oekraïne in kaarten (29 juli - 2 augustus 2022)

    According to a recent update from the Institute for the Study...

    Momentum-uitdagingen? Conflictbeoordelingen in Oekraïne in kaarten (24 - 28 juli 2022)

    According to a recent update from the Institute for the Study...

    Ondersteuning voor de haven? Conflictbeoordelingen in Oekraïne in kaarten (19 - 23 juli 2022)

    According to a recent update from the Institute for the Study...