Column: Algoritmes…alleen maar negatief?

Deze week heeft iedereen het over de ontslagen bij Uber. Een aantal chauffeurs is door Uber ontslagen vanwege vermeende fraude. De chauffeurs geven aan dat zij op basis van een algoritme binnen Uber onterecht beschuldigd worden van fraude. Vervolgens zou die enkele constatering op basis van dat algoritme de reden voor hun ontslag zijn.
Dit levert natuurlijk een interessante discussie op. Volgens de Europese privacywet GDPR mag de grond voor een ontslag niet alleen gebaseerd zijn op een algoritme. Het uiteindelijke besluit tot een ontslag moet altijd door een mens genomen worden.

Wat mij interesseert is dat in deze tijd waar data meer geld waard zijn dan goud, die algoritmes een terugkerend negatief nieuwsitem lijken. Een bekend voorbeeld is de Amerikaanse verkiezing in 2016. En ook op Nederlandse bodem liet Arjen Lubach laatst zien, dat je binnen een paar klikken op YouTube in een trechter aan complottheorieën terecht kunt komen.
Netflix zorgt met docu’s als “The Social Dilemma” en “The Great Hack” ook voor een negatieve kijk op algoritmes en organisaties die jouw data verzamelen. Nu is de kanttekening hierbij dat Netflix met haar eigen algoritme ook tips naar voren weet te schuiven, afgestemd op jouw kijkgedrag.

De vraag is: hoe kwalijk zijn deze algoritmes nu eigenlijk? Dat wiskundige en natuurkundige formules losgelaten worden op bepaalde patronen is namelijk iets van alle tijden. Dat bewijst ook de Wet van Benford bijvoorbeeld. Deze formule werd in 1881 al ontdekt en is in 1938 opnieuw ontdekt en verder uitgewerkt. Grote (overheid)instellingen over de gehele wereld passen deze formule toe om fraude en criminaliteit op te sporen en vaak ook met succes.
De analyse van big data zorgt bij medische onderzoeken sneller tot een doorbraak en oplossing. Binnen de recherche kan door het analyseren van alle gegevens uit het verleden, beter ingesprongen worden op huidige situaties. En zo zijn er uiteraard nog meer positieve voorbeelden te benoemen.

Zolang organisaties op een verantwoorde en ethische manier omgaan met gegevens, is het loslaten van algoritmes of formules op gegevens uiteraard geen probleem. Nogmaals het leidt ook tot mooie en positieve uitkomsten. Misschien dat ook juist daarom de excessen in het nieuws komen, zoals bij Uber. De regie en tussenkomst van de mens is en blijft een essentiële factor.

Schrems II streng toegepast in Frankrijk. Urgentie Covid-19 geeft tijdelijk wat ruimte.

Dit artikel is relevant voor: alle organisaties die gebruikmaken van een verwerker die gevestigd is in de VS (Microsoft, Google, AWS, etc.), zelfs als de hosting door die verwerker in Europa plaatsvindt. 

 

De Franse privacytoezichthouder CNIL heeft zich van zijn strenge kant laten zien. De CNIL vindt hosting van gezondheidsgegevens in de Health Data Hub door Microsoft (op hostingservers in Nederland) ontoelaatbaar. De Health Data Hub is een centraal platform van de Franse overheid voor medische onderzoeksdoeleinden. In de Health Data Hub zijn diagnoses en andere gegevens opgeslagen, afkomstig van ziekenhuizen, de nationale ziektekostenverzekering en apotheken. Naar aanleiding van de Schrems II-uitspraak hebben belangengroeperingen een verzoekschrift ingediend bij de Conseil d’Etat, de hoogste administratieve rechtbank in Frankrijk, om de verwerking van gezondheidsgegevens in de Health Data Hub te stoppen. De CNIL ondersteunt dat standpunt, maar de Conseil d’Etat zet dat standpunt in zijn uitspraak van 13 oktober 2020 opzij, althans tijdelijk, onder andere vanwege de huidige urgentie rond Covid-19.

Schrems II – in het kort 

De Conseil d’Etat past in deze zaak de overwegingen toe van het Hof van Justitie van de Europese Unie in de Schrems II-uitspraak. De gevallen zijn niet helemaal vergelijkbaar. In het geval van de Health Data Hub gaat het om verwerking van persoonsgegevens binnen Europa. In de Schrems II-uitspraak gaat het om doorgifte van persoonsgegevens door Facebook naar de Verenigde Staten. In de Schrems II-uitspraak is het EU-VS Privacy Shield ongeldig verklaard. Doorgifte van persoonsgegevens naar de Verenigde Staten kan daardoor niet meer op basis van het Privacy Shield en zal voortaan op een andere basis moeten plaatsvinden, bijvoorbeeld op basis van Standard Contractual Clauses.

Bij de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte op basis van Standard Contractual Clauses moeten de passende waarborgen die vereist zijn (in artikel 46, lid 1, en artikel 46, lid 2, onder c, AVG), ervoor zorgen dat een bescherming wordt geboden die gelijkwaardig is aan het niveau dat door de AVG in de EU wordt gegarandeerd. Daarbij gaat het niet alleen om de contractuele bepalingen (de Standard Contractual Clauses), maar ook om de relevante elementen van het rechtsstelsel van dat derde land (als bedoeld in artikel 45, lid 2, AVG). Het Privacy Shield is juist hierom ongeldig verklaard. De Amerikaanse inlichtingen- en veiligheidsdiensten hebben een ruime (meer dan noodzakelijke) toegang tot persoonsgegevens en betrokkenen kunnen hun rechten niet via de rechter afdwingen in de VS. Naast het ongeldig verklaarde Privacy Shield, vormen ook de Standard Contractual Clauses naar mijn verwachting geen goede basis meer voor doorgifte naar de VS. Doorgifte van persoonsgegevens naar de Verenigde Staten is dan nog slechts mogelijk bij wijze van uitzondering (in de gevallen genoemd in artikel 49 AVG; daarover hieronder meer).

De CNIL is streng: verwerking is onrechtmatig, want niet iedere mogelijkheid van doorgifte naar de VS is uitgesloten

Microsoft kan niet volledig uitsluiten dat zij een verzoek van de Amerikaanse veiligheids- en inlichtingenautoriteiten zal moeten inwilligen. Zelfs als de hosting door Microsoft in Europa plaatsvindt – zoals in dit geval in Nederland zal Microsoft vanwege de CLOUD Act aan een dergelijk verzoek moeten voldoen. Ook is niet uitgesloten dat Microsoft onderhoud en beheer pleegt – en daarvoor bijvoorbeeld logging ontvangt van de Health Data Hub – in de Verenigde Staten. De doorgifte die in deze twee scenario’s het gevolg is, zal dan niet voldoen aan de uitleg van de AVG in de Schrems II-uitspraak en dus zou de hosting door Microsoft onrechtmatig zijn en herzien moeten worden.

Covid-19 weegt mee in het eindoordeel van de Conseil d’Etat 

De Conseil d’Etat is genuanceerder dan de CNIL en merkt op dat er geen directe schending van de AVG is, maar slechts een risico van schending van de AVG. De Conseil d’Etat verwacht niet dat de veiligheids- en inlichtingendiensten van de Verenigde Staten veel belangstelling zullen hebben voor de gezondheidsgegevens. En bovendien zijn de gegevens gepseudonimiseerd.

Vervolgens is doorslaggevend dat een zwaarwegend algemeen belang wordt gediend. De verwerking van de gezondheidsgegevens is noodzakelijk om de noodsituatie op gezondheidsgebied te beheersen en onderzoek te doen naar SARS-CoV-2 (het Coronavirus). De opslag van de gezondheidsgegevens bij Microsoft is in de huidige omstandigheden een evenredige maatregel, mede doordat een passende alternatieve technische oplossing op korte termijn ontbreekt. Bij de lancering van de Health Data Hub was immers Microsoft de enige partij die voldeed aan het programma van eisen. Wel heeft de Franse overheid toegezegd verdere maatregelen te zullen nemen om elk risico uit te sluiten. Alsnog gaat de Franse overheid bekijken of een Franse of Europese partij de dienst kan leveren.

Wat betekent deze uitspraak voor mij? 

De uitspraak toont aan dat de hoogste Franse bestuursrechter de Schrems II-uitspraak heel precies toepast. Dat is ook het advies van de Franse privacytoezichthouder CNIL. Slechts vanwege de uitzonderlijke situatie door Covid-19 staat de rechter tijdelijk toe dat enig risico wordt gelopen. De verwerking dient een zwaarwegend algemeen belang dat in de huidige urgente gezondheidssituatie een uitzondering rechtvaardigt. De rechter sorteert daarmee voor op de uitzondering als bedoeld in artikel 49, lid 1, onder d, AVG.

Eigenlijk wisten we het al. De Schrems II-uitspraak van 16 juli 2020 is verstrekkend. Het maakt doorgifte van persoonsgegevens naar de VS in essentie onmogelijk, tenzij sprake is van een uitzondering als bedoeld in artikel 49 AVG. Ook Standard Contractual Clauses bieden in het geval van doorgifte naar de VS nauwelijks een oplossing, tenzij er aanvullende maatregelen worden genomen (maar pseudonimisering bleek voor de Franse rechter niet afdoende). Wilt u niet wachten op een Privacy Shield 3.0 (voor zover dat te zijner tijd wel stand houdt), dan blijft voor u doorgifte naar de VS op basis van artikel 49 AVG over, kort gezegd:

  • uitdrukkelijke toestemming van de betrokkene voor de doorgifte, of

de doorgifte naar de VS is noodzakelijk voor:

  • uitvoering van een overeenkomst met de betrokkene,
  • uitvoering of sluiting van een overeenkomst in het belang van de betrokkene, 
  • een zwaarwegend algemeen belang,
  • een rechtsvordering,
  • bescherming van vitale belangen van de betrokkene of een andere persoon, of 
  • raadpleging van publieke registers.

De lat ligt daarmee zeer hoog, want wanneer is een doorgifte naar de VS noodzakelijk? Dan zal op z’n minst aangetoond moeten worden dat het doeleinde van de verwerking niet op een andere wijze (zonder doorgifte naar de VS) is te realiseren, bijvoorbeeld door gebruikmaking van een vergelijkbare hostingdienst van een Europese partij.

 

brown track and field

Lef en gewoon doen: kiezen voor ondernemen!

Al zo’n 15 jaar geleden gaven mensen om me heen mij de tip om voor mezelf te starten. Dat vonden ze echt iets voor mij! Toen wimpelde ik dat af met “nee joh, dat is niks voor mij, dat kan ik helemaal niet en is bovendien veel te spannend”. De keuze om niet te gaan ondernemen had toen vooral te maken met het ontbreken van lef en de onzekerheid over vaste inkomsten. Maar het bleef wel echoën in mijn hoofd…

Je hoeft niet geweldig te zijn om te starten, je hoeft alleen maar te starten om geweldig te zijn!

Lees meer

Thuis werken in privacy?

Thuis werken is nu eerder normaal en noodzakelijk geworden, dan dat het nog een uitzondering of privilege is. Ook tijdens de laatste persconferentie zijn we nogmaals opgeroepen om zoveel mogelijk vanuit huis te werken in plaats van op kantoor.

Waar dit voor de meesten in het begin nog wat onwennig was, heeft bijna iedereen nu een goede thuiswerkplek en routine voor zichzelf gecreëerd.

Waar we niet altijd bij stil staan, is dat thuis werken de nodige digitale risico’s met zich meebrengt. Wat als jouw buren via het open raam alles meekrijgen van jouw vertrouwelijke gesprek? Hoe ga je om met dossiers vol persoonsgegevens richting jouw familie of huisgenoten? Normaliter heeft een kantoor al een uitdaging om persoonsgegevens om een juiste manier te beschermen en bewaren en zijn daar de nodige richtlijnen voor.

Bedenk voor jezelf maar eens hoe dit geregeld is. Wellicht kom je tot de conclusie dat het goed geregeld is: top! Maar anderen zullen zich realiseren dat we thuis digitaal onveilig werken, zonder dat we het soms door hebben. Zaken die normaal goed beschermd worden vanuit kantoor, bijvoorbeeld het werken in een gesloten netwerk of het hebben van fysieke dossiers, zijn thuis nu veel toegankelijker voor derden en dus ook voor de verkeerde mensen.

Online uitgever Vakwereld heeft onderzoek gedaan naar onze digitale werkgewoontes. En wat bleek:
Uit de onderzoeksgroep van duizend mensen, is de helft werkzaam in de zakelijke dienstverlening. Daarnaast werkt men voornamelijk in het informatiebeheer, de evenementenorganisatie, zakelijke mobiliteit en beveiliging en werkt 18 procent bij de overheid. 84,9 procent van de ondervraagden gaf aan met vertrouwelijke informatie te werken, variërend van offertes tot persoonsgegevens. Meer dan 80 procent van de thuiswerkers vulde in dat die informatie beveiligd is, terwijl tegelijkertijd 62,3 procent op eigen apparaten werkt en 62,9 procent met deelapplicaties.

Ook ander recent onderzoek concludeert dat de cybersecurity thuis te wensen over laat en op de lange termijn voldoen sommige processen niet. Digitale veiligheid en privacy worden nog vaak over het hoofd gezien. Daarom hier wat tips om dit op de korte termijn zo goed mogelijk met elkaar op te vangen.
– Pas op met gratis apps: deze apps zijn vaak niet voor niks gratis. De eigenaar van de app kan jouw gegevens ook voor andere doeleinden gebruiken.
– Werk in een beschermde omgeving: als het goed is, wordt deze door jouw werkgever geboden. Sla gegevens niet op een lokale computer op, maar enkel in een beveiligde cloud of server.
– Behandel jouw huisgenoten niet anders: zorg dat je partner, familie of kinderen niet mee kunnen kijken of luisteren bij vertrouwelijke informatie.
– Wat te doen met fysieke dossiers en/of persoonsgegevens op papier? Bewaar papieren zoveel mogelijk op een plek die afgesloten kan worden. Scan papieren zoveel mogelijk in, als het niet perse noodzakelijk is om deze alleen maar op papier te hebben. Wees extra alert dat je nergens papieren laat slingeren!
– Een apparaat of dossier kwijt? Meld het meteen bij de werkgever om eventueel een apparaat op afstand te vergrendelen of de juiste maatregelen te nemen bij het verlies van gegevens.

Laten we thuis werken zo weer een stukje veiliger maken met elkaar!