AI en de AVG: juridische uitdagingen bij profilering en besluitvorming
Het artikel bespreekt de inzet van complexe algoritmes en machine-learningtechnieken binnen organisaties, en hoe deze systemen binnen het kader van de AVG moeten worden beoordeeld. Aan de hand van supervised, unsupervised en deep learning lichten de auteurs toe hoe algoritmes zelfstandig patronen herkennen en voorspellingen doen, variërend van fraudedetectie tot sollicitatie-selectie. Omdat diep-neurale netwerken bestaan uit vele lagen van ‘neuronen’ die elk abstractere kenmerken herkennen, zijn de onderliggende verbanden moeilijk te verklaren. Juist wanneer dit soort modellen wordt gebruikt in processen waarmee personen worden beoordeeld—zoals kredietverlening, recruitment of risicoprofielen—ontstaat een spanning tussen technologische complexiteit en de noodzaak tot uitlegbaarheid en transparantie. Deze spanning vormt de kern van de privacyrechtelijke uitdagingen die volgen uit het gebruik van AI en geavanceerde algoritmes. Waar het herkennen van dieren onschuldig is, krijgt het gebruik van dergelijke systemen in bedrijfsprocessen een normatieve dimensie: de uitkomsten beïnvloeden kansen, rechten en risico’s van individuen en moeten daarom voldoen aan strikte bescherming onder de AVG.
Het artikel zet vervolgens de belangrijkste verplichtingen onder de AVG uiteen, waaronder de verantwoordingsplicht (accountability), transparantie, doelbinding, minimale gegevensverwerking en rechtmatigheid. Organisaties moeten proactief aantonen dat zij aan deze verplichtingen voldoen en worden geconfronteerd met aanzienlijke boeterisico’s bij niet-naleving. Transparantie vormt een cruciale pijler: betrokkenen moeten begrijpen welke gegevens worden verwerkt, met welk doel, op basis van welke rechtsgrond en hoe besluiten tot stand komen. Dit geldt ook wanneer besluiten worden genomen met behulp van complexe algoritmes. De auteurs benadrukken dat transparantie niet alleen vooraf moet worden geboden, maar ook tijdens de verwerking—bijvoorbeeld wanneer de organisatie reageert op inzageverzoeken of wanneer de aard van de verwerking wijzigt. Profilering en geautomatiseerde besluitvorming worden vervolgens diepgaand behandeld. Profilering wordt gedefinieerd als geautomatiseerde evaluatie van persoonlijke aspecten van een individu, en kan in verschillende gradaties plaatsvinden. Geautomatiseerde besluitvorming (zonder wezenlijke menselijke tussenkomst) is in beginsel verboden, tenzij een van de uitzonderingsgronden van toepassing is, zoals noodzakelijkheid voor een overeenkomst of uitdrukkelijke toestemming. Zelfs wanneer een uitzondering geldt, moeten extra waarborgen worden ingebouwd, zoals het recht op menselijke tussenkomst en een duidelijke uitleg van de gebruikte logica. Dit plaatst organisaties die AI willen inzetten voor scoringssystemen—zoals kredietbeoordelingen of sollicitaties—voor aanzienlijke compliance-uitdagingen.
De problematiek wordt concreet gemaakt aan de hand van een sollicitatie-tool die CV’s beoordeelt via deep learning. Hieruit blijkt hoe moeilijk het is om aan de AVG te voldoen: gebruikte data zijn vaak verzameld voor andere doeleinden, bias kan leiden tot indirecte discriminatie, het transparantiebeginsel botst met de ondoorzichtigheid van neurale netwerken, en het beginsel van minimale gegevensverwerking conflicteert met de datagedreven natuur van machine learning. Het artikel toont dat geautomatiseerde besluitvorming in wervingsprocessen vrijwel nooit is toegestaan, omdat toestemming in een arbeidsverhouding problematisch is en de noodzakelijkheid voor een overeenkomst ontbreekt. De auteurs sluiten af met aanbevelingen voor organisaties: dataminimalisatie, duidelijke verwerkingsdoelen, toetsing van rechtsgronden, zorgvuldige toepassing van profilering, waarborgen bij geautomatiseerde besluitvorming, begrijpelijke uitleg van algoritmes, het opstellen en actualiseren van privacyverklaringen en het uitvoeren van DPIA’s. Deze stappen zijn essentieel nu de Autoriteit Persoonsgegevens werkt aan een specifiek toezichtstelsel voor algoritmes, waarbij uitlegbaarheid en inzichtelijkheid centraal zullen staan.
Lees verder:
Artificial Intelligence — Curtis, Nkune, Sijstermans & Straathof in Compliance, Ethics & Sustainability (CE&S)