De komende vijf jaar zal de AP zich actiever gaan bemoeien met wetgeving, gegevensverwerking stopzetten als er misstanden zijn en ‘onder de motorkap meekijken’ bij het gebruik van algoritmen. Dat stelt AP-voorzitter Aleid Wolfsen. De toezichthouder die nu vooral achteraf boetes uitschrijft, gaat vaker vooraf ingrijpen om misstanden te voorkomen.
Dat schrijft Wolfsen in een blog ter gelegenheid van de AVG, (Algemene Verordening Gegevensbescherming) die op 25 mei 2023 precies vijf jaar geleden is ingevoerd.
Wolfsen: ‘De eerste vijf jaar van de AVG hebben voor ons in het teken gestaan van het begrijpen, uitleggen en toepassen van de wet voor gegevensbescherming van persoonlijke informatie.’ Hij wijst op bedrijven en overheidsorganisaties die grote inspanningen hebben verricht om hun processen op orde te krijgen. ‘Dat kostte het nodige werk en stelde hen voor basale vragen: Welke data hebben we precies? Waarom worden data eigenlijk zo lang bewaard? Zijn de risico’s van de verwerking niet te hoog?’
Volgens de AP-voorzitter heeft de toezichthouder dat proces begeleid door te adviseren, aan te sturen en waar nodig handhavend op te treden. ‘In vijf jaar is daardoor een enorme slag gemaakt en houden veel burgers, bedrijven en overheidsinstanties zich goed aan de wet’, stelt hij.
Drie veranderingen
Hij ziet die rol in de komende vijf jaar veranderen en noemt drie ‘speerpunten’. Allereerst wordt de toezichthouder in plaats van ‘uitlegger’ van de AVG meer een ‘hoeder van de democratische rechtsstaat rondom datagedreven processen’. Dat betekent volgens Wolfsen dat de adviezen van de AP bij wetgevingstrajecten nog breder, fundamenteler en explicieter zullen worden. ‘Het gegevensbeschermingsrecht is in de digitale samenleving de hoeksteen van alle grondrechten. Het bevat de basisvoorwaarden voor een vrij en open debat, waakt tegen discriminatoire besluitvorming, geeft garanties voor eerlijke procedures, beschermt het privéleven en garandeert de individuele autonomie.’
Ten tweede zal de AP de komende jaren vaker proactief optreden, ambtshalve onderzoeken instellen en gegevensverwerkingsprocessen stopzetten bij gebleken misstanden, schrijft Wolfsen. ‘Naarmate digitalisering nog dieper op de levens van burgers ingrijpt en fouten nog grotere consequenties hebben, wordt het nog essentiëler om misstanden te voorkomen’, stelt hij.
Algoritmes
Ook verwacht hij dat de AP nog meer gaat toezien op algoritmes. Die taak ligt sinds 1 januari 2023 al op het bordje van de toezichthouder, maar krijgt een steeds prominentere rol, denkt Wolfsen.
‘Als algoritmetoezichthouder zal de AP zich de komende jaren niet alleen richten op de effecten van geautomatiseerde besluitvorming, maar ook onder de motorkap kijken: hoe worden algoritmes getraind, welke aannames zitten daarin verborgen en hoe zijn verantwoordelijkheden belegd?’
Nu bedrijven en overheden steeds vaker algoritmes gebruiken, ziet hij het ook vaker fout gaan. ‘Algoritmes met ‘bias’ leiden tot discriminatie en vergroten de maatschappelijke ongelijkheid, misstanden in geautomatiseerde processen worden vaak te laat onderkend en algoritmische besluiten kunnen ondoorzichtig, oncontroleerbaar en slecht uitlegbaar zijn, wat in strijd is met basale rechtsstatelijke principes.’ Daarom wordt het toezicht aangescherpt, schrijft hij. Hoe dat precies moet gebeuren deelt hij in zijn blog niet. Eind 2020 luidde Wolfsen nog de noodklok omdat de AP door personeelstekort niet aan alle taken van de privacy-toezichthouder toekwam.
Wolfsen lijkt in zijn blog overigens aan te geven dat hij voorlopig aanblijft als voorzitter van de AP. ‘Ik heb veel zin om samen met alle medewerkers de komende vijf jaar de volgende stap te zetten naar een vrije en veilige samenleving’, schrijft hij.
