Het begrijpen van de context: De vraag van de GDPR naar transparantie bij geautomatiseerde besluitvorming.
De toepassing van art. 15(1)(h) AVG, dat vereist dat een verwerkingsverantwoordelijke zinvolle informatie’ versterkt aan de betrokkene met betrekking tot geautomatiseerde besluitvorming (ADM), was altijd vaag en onderwerp van discussie.
In hun recente zaak C-203/22 Dun & Bradstreet heeft het HvJ-EU eindelijk wat licht geworpen op het bestaan van een ‘recht op uitlegbaarheid’ en tegelijkertijd de bescherming van bedrijfsgeheimen.
In deze blogpost geven we een overzicht van de belangrijkste onderdelen van dit arrest en wat het betekent voor uw organisatie.
De zaak Dun & Bradstreet: Waneer bedrijfsgeheimen botsen met transparantie.
In deze zaak ging het om CK, een persoon aan wie een contract voor een mobiele telefoon werd geweigerd op basis van een geautomatiseerde kredietbeoordeling door Dun & Bradstreet Austria GmbH (D&B). CK verzocht om zinvolle informatie over de logica achter de beslissing op grond van artikel 15(1)(h) AVG. D&B weigerde gedetailleerde informatie te verstrekken en verwees naar de bescherming van bedrijfsgeheimen.
CK bracht de zaak voor aan de Oostenrijkse Gegevensbeschermingsautoriteit, die in haar voordeel oordeelde en D&B opdroeg de relevante logica openbaar te maken. D&B ging in beroep met het argument dat hun scoringssysteem een bedrijfssgeheim was en niet openbaar hoefde te worden gemaakt. De zaak werd uiteindelijk verwezen naar het HvJ-EU, dat moest bepalen in hoeverre transparantie vereist is onder de AVG en of bedrijfsgeheimen het recht van de betrokkene op uitleg konden beperken.
Belangrijkste uitspraak van het HvJ-EU: Wat bedrijven wel (en niet) moeten bekendmaken
Op 27 februari 2025 oordeelde het HvJ-EU:
- Geen verplichting om het algoritme zelf bekend te maken: Bedrijven hoeven hun algoritme niet met individuen te delen (par. 59). In plaats daarvan moeten zij informatie verstrekken die “beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk” is (artikel 12(1) AVG). Conclusie: uitleggen is vereist, niet het bekendmaken van het algoritme. Deze uitspraak bevestigt het ‘recht op uitleg’.
- Uitleggen van de impact van gegevenswijzigingen: Bedrijven moeten informeren hoe wijzigingen in hun persoonsgegevens tot een ander resultaat hadden kunnen leiden (par. 62). Dit zorgt ervoor dat mensen begrijpen hoe hun persoonlijke gegevens de beslissing beïnvloeden.
- Balanceren van transparantie en bedrijfsgeheimen: Hoewel individuen recht hebben op informatie, kunnen bedrijven details achterhouden die als bedrijfsgeheimen worden beschouwd. Dit is echter geen automatische uitzondering (par. 68). Het recht op toegang ”mag geen afbreuk doen aan de rechten of vrijheden van anderen, met inbegrip van bedrijfsgeheimen of intellectuele eigendom” (par. 69 & 71, overweging 63 AVG).
- Toezicht door de toezichthoudende autoriteit: Als een bedrijf weigert informatie openbaar te maken vanwege de bescherming van bedrijfsgeheimen (zoals hierboven), moet het mogelijk de details toch verstrekken aan een Toezichthoudende Autoriteit of rechtbank, die zal beoordelen of het achterhouden van de informatie gerechtvaardigd is (par. 74).
Wat dit in praktijk betekent
Voor bedrijven
Bedrijven die ADM gebruiken, zijn niet verplicht hun algoritmes te delen, maar ze moeten wel de besluitvorming op een begrijpelijke manier uitleggen. Dit betekent het verstrekken van duidelijke voorbeelden van hoe verschillende gegevensinvoer tot verschillende resultaten kan leiden. De basisregel is dat een organisatie in staat moet zijn haar ADM’s uit te leggen.
Bedrijven moeten echter zorgvuldig beoordelen hoe zij hun bedrijfsgeheimen willen delen met toezichthouders (als ze dat al doen) als daarom gevraagd wordt. Bieden toezichthouders voldoende beveiliging om bedrijfsgeheimen direct naar hen te sturen? Geef je toezichthouders de mogelijkheid om je bedrijfsgeheimen ter plaatse te bekijken? Dit is een delicate vraag.
Voor de betrokkenen
Mensen die door geautomatiseerde beslissingen worden beïnvloed, hebben nu meer duidelijkheid over hun rechten. Hoewel zij geen toegang tot een algoritme kunnen eisen, kunnen zij wel uitleg vragen over hoe hun persoonlijke gegevens de beslissing hebben beïnvloed. Betrokkenen hebben nu een ‘recht op uitleg’. Dit maakt het gemakkelijker om onjuiste of onrechtvaardige beoordelingen aan te vechten.
Voor de toezichthoudende autoriteiten
Toezichthoudende autoriteiten zullen een rol spelen in het balanceren van transparantie en bedrijfsvertrouwelijkheid. Ze kunnen een toename zien van het aantal gevallen waarin bedrijven weigeren informatie bekend te maken, waardoor een zorgvuldige beoordeling van claims op bedrijfsgeheimen noodzakelijk wordt. Ze moeten echter ook beoordelen hoe ze bedrijfsgeheimen willen verwerken en hoe deze gedeeld kunnen worden met de toezichthoudende autoriteiten.
Volgende stappen
- Ontwikkel duidelijke, gebruiksvriendelijke uitleg voor uw geautomatiseerde besluitvormingsprocessen.
- Stel een procedure op en zorg voor een veilige manier om bedrijfsgeheimen met toezichthouders te delen.
- Zorg ervoor dat het privacybeleid en de antwoorden op verzoeken om toegang tot deze juridische verduidelijkingen weerspiegelen.
De uitspraak beoogt een balans te vinden tussen de bescherming van intellectuele eigendom en het waarborgen van transparantie. Hoewel bedrijven hun algoritmes kunnen beschermen, moeten ze nog steeds duidelijke en begrijpelijke uitleg geven om te voldoen aan de AVG, wat de rechten van de betrokkene versterkt.
