Proefballon regering VK: recht om AI-beslissingen te betwisten inperken

ProefballonZeer recent, op 10 september 2021, raakte bekend dat het Department for Digital, Culture, Media & Sport (DCMS) van het Verenigd Koninkrijk het recht om Artificial Intelligence(AI) beslissingen als persoon te betwisten denkt te gaan inperken. Dit blijkt uit een document van dit ministerie het licht deed zien. De titel van dit document is veelzeggend: “Data, a new approach”. Het tech-magazine The Register wijdde daar, ook op 10 september j.l. een artikel aan. De publicatie van het document gebeurt in het kader van een publieke consultatie. Dat is een procedure die min of meer vergelijkbaar is met de internetconsultatie van wet- en regelgeving zoals we die in Nederland kennen. Het voornemen staat ergens midden in het stuk verstopt, onder punt 98 op pagina 39 van de 146. De proefballon die men over het inperken van het betwisten van op AI-gebaseerde beslissingen moet men ook zien in een breder kader.

Breder kader

Het document is doordrenkt van uitingen om de Britse privacywetgeving na de Brexit anders te willen gaan regelen dan wat Europa doet. In 2018 kwam de implementatie van de Europese General Data Protection Directive(GDPR) in de wetgeving van het VK tot stand. De VK GDPR zag zo het licht via de Britse Data Protection Act. Men zegt na de Brexit echter een eigen data-beleid te willen gaan volgen. Critici, waaronder juristen, waarschuwen daarbij voor het uit de pas lopen met de Europese privacyregelgeving.

Artikel 22  

Bij het uitschakelen van het recht om AI-beslissingen te betwisten gaat het om artikel 22 van de GDPR. Daarin staat:

 “The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.”

Wel 25 keer komt de vermelding van dit artikel in het document voor. Het artikel is cruciaal ter bescherming van het individu tegen geautomatiseerde beslissingen. Het rapport geeft als argumentatie dat de regering bezorgd is of de reikwijdte van dit artikel wel gelijke tred houdt met de “data-driven” economie en maatschappij. Ook vraagt de regering zich af of het wel de noodzakelijke bescherming biedt. Die laatste opmerking is natuurlijk erg zuur als je bedenkt dat het opheffen van artikel 22 juist de bescherming van het individu doet afnemen.

Voortborduren op eerder rapport

Met het willen afschaffen van artikel 22 borduurt men voort op de stellingname van de nogal bekritiseerde en bespotte Taskforce on Innovation, Growth and Regulatory Reform (TIGRR) die in mei 2021 haar rapport uitbracht. Die taskforce wilde het VK bevrijden van de boeien die de GDPR-regels vormen. Dat, om een toekomst vol innovatie door breed datagebruik mogelijk te maken. In een uitgebreide evaluatie van de Britse wetgeving op het gebied van gegevensbescherming en de gegevensstrategie zei het departement in het stuk van 10 september 2021 dat het gebruik van geautomatiseerde besluitvorming de komende jaren in veel sectoren waarschijnlijk sterk zal toenemen. En dat haar standpunt in die context moet worden gezien.

Artikel 5

Ook artikel 5 van de GDPR staat in het document ook ter discussie. Dat houdt nauw verband met de wens om artikel 22 af te schaffen.

Artikel 5 zegt namelijk:

“. Persoonsgegevens moeten:

a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (“rechtmatigheid, behoorlijkheid en transparantie”);

b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd (“doelbinding”);”

 Vervolg artikel 5

Dit artikel gaat verder met

“c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (“minimale gegevensverwerking”);

d) juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (“juistheid”).”

Samenhang

Aangezien artikel 5 toeziet op de transparantie van de gegevensverzameling en de rechten om bij onjuist gebruik die te doen wissen of te rectificeren bestaat een duidelijke samenhang met artikel 22.

Het verwijderen van beide artikelen zet het recht van het individu om invloed op geautomatiseerde beslissingen op basis van dataverzamelingen uit te oefenen volledig buiten spel. Dit voornemen van het afschaffen van het recht om AI-beslissingen te betwisten is derhalve zeer schadelijk voor het individu.

Kan hier ook zomaar gebeuren

De bespreking van het bovenstaande in het VK speelt ook bij de situatie alhier. Immers in ons land vinden ook regelmatig pogingen plaats om regels van de AVG, dus van de GDPR, te omzeilen of op te rekken.  Mijns inziens verdient datgene wat er in elders rond de GDPR gebeurt ook grote aandacht. Wat daar gebeurt, kan ook zo maar hier opeens plaats vinden.

Nu al bestaat de mogelijkheid dat als bij een trajectcontrole een geautomatiseerd systeem vaststelt dat een voertuig te hard reed, geheel geautomatiseerd een boete als administratieve juridische sanctie automatisch in de bus valt. Het afschaffen van de mogelijkheid als individu daar bezwaar tegen te maken zou menigeen toch wel erg zwaar op de maag vallen. Immers, de nummerplaat kan verkeerd uitgelezen zijn, de apparatuur kan niet geijkt zijn etc etc. Het is een groot goed dat menselijk interventie blijft bestaan.

W.J. Jongejan,  vrijdag 16 september

Afbeelding van brands amon via Pixabay