Nieuwe verwijzing naar het HvJEU: Dun & Bradstreet Austria

16 april 2022 

Op 21 april 2021  heeft de Europese Commissie een voorstel gepresenteerd voor een Verordening met betrekking tot AI systemen (“de AI-Act”). Er circuleren inmiddels honderden voorstellen voor amendementen van de tekst van de AI-Act. Nog voordat de AI-Act van de Europese Unie een vaste vorm heeft, ontvangt het Hof van Justitie van het Verwaltungsgericht Wien uit Oostenrijk een aantal van de belangrijkste vragen over privacy en AI in de zaak Dun & Bradstreet Austria.

Op 21 april 2021  heeft de Europese Commissie een voorstel gepresenteerd voor een Verordening met betrekking tot AI systemen (“de AI-Act”). Er circuleren inmiddels honderden voorstellen voor amendementen van de tekst van de AI-Act. Nog voordat de AI-Act van de Europese Unie een vaste vorm heeft, ontvangt het Hof van Justitie van het Verwaltungsgericht Wien uit Oostenrijk een aantal van de belangrijkste vragen over privacy en AI in de zaak Dun & Bradstreet Austria.

Case C-203/22 (Dun & Bradstreet Austria, 16 Mar 2022)

AI-toepassingen kunnen voor een ongekende technische vooruitgang zorgen die de mensheid ten goede komt. Zij kunnen echter ook een grote impact hebben op fundamentele rechten. Het is daarom niet verwonderlijk dat in het wetgevingsproces rondom de AI-Act felle discussies worden gevoerd over bijvoorbeeld het risico op discriminatie of hoe om te gaan met het black-box karakter van AI toepassingen.

Black box

Een van de veel gehoorde bezwaren is dat AI-toepassingen functioneren als een soort “black box”. Niemand weet waarom bepaalde uitkomsten worden gegenereerd. Als die uitkomsten beslissingen (of aanbevelingen voor beslissingen) zijn ten aanzien van een persoon dan is het belang evident van de betreffende persoon om te weten, waarom een beslissing is genomen.

Stel dat een beslissing van een AI-toepassing ingrijpt in de rechten van het individu maar het individu kan niet achterhalen waarom, dan wordt ieder recht op beroep of bezwaar en daarmee de rechtsbescherming gefrustreerd. Er bestaat dus een duidelijk belang voor een nadere toelichting.

Explainabe AI

Er wordt dan ook veel gesproken over (en hard gewerkt aan) de “explainability” van AI-toepassingen. Dit is het leveren van een verklaring voor de beslissing tegelijk met de beslissing zelf. Voor explainable AI bestaat echter geen vaste vorm. Niet duidelijk is hoe veel informatie moet worden verstrekt en welke informatie moet worden verstrekt? Expalianbility is in ieder geval iets anders dan volledige transparantie. Door het simpelweg transparant verstrekken van alle gegevens zullen de meeste personen immers niet in staat worden gesteld om te achterhalen waarom een beslissing is genomen.

In de discussie rondom de AI-Act bestaat tot op heden nog geen duidelijkheid ten aanzien van de vraag wat explainability moet inhouden. En als de AI-Act wordt aangenomen dat is het de verwachting dat het nog enige tijd zal duren voordat de exacte kaders van explainability duidelijk zijn.

AVG (GDPR)

Als voor beslissingen door AI-toepassingen gebruik wordt gemaakt van persoonsgegevens, dan spelen de huidige regels van de AVG een belangrijke rol.  In de AVG is het basisprincipe vastgelegd dat Ieder individu het recht heeft om te achterhalen welke persoonsgegevens van hem of haar zijn verwerkt en waarom en vindt men ook speciale bepalingen voor geautomatiseerde gegevensverwerking.

Nuttige informatie moet worden verstrekt

Ten eerste heeft de betrokkene bij geautomatiseerde gegevensverwerking het recht om:

“van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:

  1. het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.” (artikel 15 lid 1 onder h AVG).

Expalinability moet dus omvatten “nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen”.

Het recht om een besluit aan te vechten

Ten tweede moet de verwerkingsverantwoordelijke passende maatregelen treffen:

ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten” (artikel 22 lid 3 AVG)

In aanvulling bij het verstrekken van nuttige informatie moeten dus maatregelen worden getroffen om het recht van een individu te beschermen om een besluit aan te vechten of om zijn standpunt kenbaar te maken.

Niet duidelijk is tot op heden of er een verband moet worden gelegd tussen artikel 15 lid 1 onder h en artikel 22 lid 3 AVG. Ook is onduidelijk of onder artikel 15 de werking van geheime algoritmes moet worden toegelicht.

Bedrijfsgeheim zijn beschermd

Bij vragen om informatie, wordt door de verwerkingsverantwoordelijke soms tegengeworpen dat het verstrekken van gegevens in strijd zou zijn met een bedrijfsgeheim op de werking van een algoritme. Dit verweer is zeker niet onterecht, nu bedrijfsgeheimen zijn beschermd door de Knowhow richtlijn (Richtlijn (EU) 2016/943 van 8 juni 2016) en algoritmen vaak kwalificeren als bedrijfsgeheimen. De vraag is dan ook wiens recht moet prevaleren, het recht van de burger om een besluit aan te vechten of het recht van een bedrijf om haar bedrijfsgeheimen beschermen.

Zaak C-203/22: Dun & Bradstreet  Austria

Dun & Bradstreet  Austria (eigenlijk Bisnode D&B Austria GmbH) is een onderneming die gespecialiseerd is in het verstrekken van kredietbeoordelingen. Het gaat om een Oostenrijkse burger die een overeenkomst voor mobiele telefonie wilde verlengen. De verlenging werd  door de telecomprovider geweigerd omdat de burger financieel niet (voldoende) kredietwaardig zou zijn. Deze veronderstelling was gebaseerd op een geautomatiseerde beoordeling van de kredietwaardigheid door Dun & Bradstreet.

De burger heeft zich tot de Oostenrijkse autoriteit voor gegevensbescherming gewend om toegang te krijgen tot de informatie waarop deze beoordeling berustte. De bestuursrechter oordeelde dat Dun & Bradstreet Austria inbreuk had gemaakt op het krachtens de AVG aan de burger toekomende recht van inzage en dat binnen twee weken de informatie diende te worden verstrekt.

Door het Verwaltungsgericht Wien worden nu zeer uitgebreide vragen gesteld over wat men moet verstaan onder het verstrekken van “nuttige informatie” volgens artikel 15 lid 1 onder h van de AVG, en ook of voor een juiste uitleg van die vraag moet worden aangeknoopt bij het recht om een besluit aan te vechten uit artikel 22 lid 3  AVG. Ook vraagt het Verwaltungsgericht welke rol het verweer betreffende de bescherming van bedrijfsgeheimen moet innemen. Een van de kenvragen is dan ook de volgende (m.i. terecht suggestieve) vraag:

Bestaat er tussen enerzijds het bij artikel 15, lid 1, onder h), van de algemene verordening gegevensbescherming (AVG) toegekende recht van inzage en anderzijds het door artikel 22, lid 3, van deze verordening gewaarborgde recht om het eigen standpunt kenbaar te maken en het geautomatiseerde besluit aan te vechten in zoverre een verband dat de omvang van de op grond van een verzoek om inzage in de zin van artikel 15, lid 1, onder h), van de algemene verordening gegevensbescherming (AVG) te verstrekken informatie enkel voldoende „nuttig” is wanneer de om inzage verzoekende betrokkene in de zin van artikel 15, lid 1, onder h), van deze verordening in staat wordt gesteld om daadwerkelijk, diepgaand en met kans van slagen de rechten uit te oefenen die hem worden gegarandeerd door artikel 22, lid 3, van die verordening, te weten het recht om zijn eigen standpunt kenbaar te maken en om het op hem betrekking-hebbende geautomatiseerde besluit als bedoeld in artikel 22 van de algemene verordening gegevensbescherming (AVG) aan te vechten?”

Naar mijn mening verdient deze vraag een bevestigend antwoord. Van een doeltreffende rechtsbescherming zou immers weinig terechtkomen als de verstrekte informatie de burger niet in staat stelt om zijn rechten uit te oefenen. De consequentie is wel dat mogelijk veel werk moet worden gestoken in het (laten) selecteren en verstrekken van  “nuttige informatie”.

Voor de zekerheid vraagt het Verwaltungsgericht ook of ten minste de volgende informatie moet worden verstrekt:

“a)    alle eventueel gepseudonimiseerde informatie, met name over de wijze van verwerking van de gegevens van de betrokkene, aan de hand waarvan kan worden nagegaan of de algemene verordening gegevensbescherming (AVG) wordt nageleefd,

b)    informatie over de voor de profilering gebruikte invoergegevens,

c)    informatie over de parameters en invoervariabelen die zijn gebruikt om de beoordeling te verrichten,

d)    informatie over de invloed van deze parameters en invoervariabelen op de verrichte beoordeling,

e)    informatie over de totstandkoming van de parameters en invoervariabelen,

f)    informatie over de reden waarom aan de inzagegerechtigde in de zin van artikel 15, lid 1, onder h), van de algemene verordening gegevensbescherming (AVG) een bepaald beoordelingsresultaat is toegekend en over de aan deze beoordeling verbonden conclusie,

g)    opsomming van de profielcategorieën en informatie over de beoordelingsconclusie die met elk van de profielcategorieën is verbonden?”

Wij mogen in spanning afwachten of ook het HvJEU van mening is dat explainabe-AI aan deze voorwaarden moet voldoen.

Interessant en van groot belang is daarnaast de vraag hoe de afweging zal worden getroffen tussen het beschermen van bedrijfsgeheimen en de vereiste verstrekken van “nuttige informatie over de onderliggende logica”  onder artikel 15 AVG.

Het Verwaltungsgericht stelt (vragenderwijs) voor dat het spanningsveld zou kunnen worden opgelost door de informatie uitsluiten aan een bevoegde autoriteit of rechter te verstrekken die vaststelt of sprake is van een bedrijfsgeheim en of de juiste informatie is verstrekt.

Mij lijkt dit een mooie oplossing voor incidentele gevallen mits de betreffende autoriteit voldoende personeel heeft om deze taak op zich te kunnen nemen.

Voor de dagelijkse praktijk is het echter van belang dat het HvJEU duidelijke richtlijnen geeft ter oplossing van dit dilemma. Ik blijf deze zaak dan ook met belangstelling volgen.