Informatie over het uitoefenen van rechten van betrokkenen.

[jaspervanderheide]

Ha Floor, dat eerste is zeker iets waar we naar kunnen kijken. Vooral breder omdat niet altijd alle informatie in het register kan, bijvoorbeeld in het belang van opsporing. Een veld met reden daarvoor kan relevant zijn.

Op dit moment is er al een veld wat verwijst naar bezwaarprocedure, en ook een e-mailadres van contactpersoon. Kun je toelichten in hoeverre het dan nodig is om apart AVG uit te lichten (als deze al afwijkt)?

[floort]

Volgens mij is het goed om transparantie over de algoritmes in dit register los te koppelen van inzage in de concrete persoonsgegevens. En de plek om bezwaar te maken tegen een besluit is niet altijd de juiste plek om bijvoorbeeld inzage te vragen.

Er genoeg ruimte om mijn voorstel te verbeteren, zelfs in AVG-termen is het nog niet volledig dekkend. Maar gebrekkige inzage is zo'n fundamenteel en terugkerend probleem dat ik daar in ieder geval een voorstel voor wilde doen.

[jaspervanderheide]

Zeker dank voor je voorstellen, ze houden ons scherp! Ik ben het volledig eens met de eerste zin, maar zou daarom juist zeggen dat het niet thuis hoort in het Algoritmeregister. Op die manier wordt het Algoritmeregister een "duizenddingendoekje". Ook omdat niet alle verwerkingen algoritmes betreffen en dus opgenomen hoeven worden in het register. Ik zie dat meer passen in het verwerkingsregister. Via het avgregister van de overheid is bijvoorbeeld informatie te vinden over de AVG-rechten. In algemene zin ga ik wel even nader bestuderen hoe we kunnen aansluiten van de AVG, maar ook onderscheiden van AVG (en verwerkingsregister).

[floort]

Ik snap wat je zegt. Een goede oefening is denk ik om het register te benaderen vanuit die controleerbaarheid. Mijn voorstel is waarschijnlijk niet de juiste vorm. Maar ik denk wel dat ergens stevig beargumenteerd moet worden hoe en waarom controleerbaarheid is ingeperkt. Het is niet voor niets dat ook de AP daar ook zo zwaar op wijst. Wat zijn de meest significante beperkingen op controleerbaarheid en hoe kan je voorkomen dat men die 'vergeet' te benoemen?

[jaspervanderheide]

In bovenstaande refereer je voor controleerbaarheid vooral naar AVG, maar er zijn volgens mij ook nog de WOO en het register zelf (op andere niveaus). Voor alle drie geldt dat er uitzonderingen zullen zijn, die neem ik aan wettelijk gekaderd zijn (ik ben geen jurist). Belanghebbenden kunnen van dat recht gebruikmaken, en kunnen als zij het niet eens zijn met een besluit om niet alles te verlenen bezwaar aantekenen (zover ik weet). Vooraf aangeven wat er niet opgevraagd kan worden, draagt niet direct bij aan controleerbaarheid van het algoritme. Hooguit in algemene zin of niet teveel beperkingen opgelegd worden bij een eventueel AVG of WOB-verzoek. Of begrijp ik het dan verkeerd? Ik hoor het graag!

Belangrijk verder om op te merken dat toezichthouders hoe dan ook verdere bevoegdheden hebben voor controleerbaarheid. Het register zelf zal uitzonderingen bevatten voor bepaalde algoritmes, zoals voor opsporing, omdat volledige transparantie negatieve effecten kan hebben op opsporing. Ik zal verkennen - als de kaders daarvoor helderder zijn - of daar zo'n veld voor kan komen.

[floort]

Er lopen een aantal discussies door elkaar en dat begint bij de onduidelijke scope. Zoals ik het heb begrepen is de scope voor het algoritmeregister niet zuiver een voorbereiding op artikel 51 van de AI Act. Het wettelijk kader voor toezicht op algoritmes is heel breed en omvat o.a. de AI Act, de AVG, Algemene wet gelijke behandeling, bestuursrecht en andere wetgeving al naar gelang de toepassing van het algoritme. De AVG is in ieder geval een hele relevante verordening voor de meeste algoritmes waar men zich zorgen om dus daar focus ik me op met suggesties. Als het wettelijke kader waarbinnen het toezicht dat door het algoritmeregister anders is dan ik begrepen heb scheelt dat waarschijnlijk een hoop discussie. Het is latig om te specificeren welke informatie nodig is voor toezicht als de normen waaraan getoetst moet worden niet duidelijk zijn.

Dan de vraag wie er moet kunnen toetsen: Daar is de motie waar het register op gebaseerd is helder over. Dat moeten burgers/betrokkenen/etc ook kunnen. Hoe diep dat precies moet kunnen is wel afhankelijk van het wettelijk kader.

Ik hoop het in ieder geval moeilijk te maken om ongemakkelijk problemen niet herkenbaar te benoemen of te 'vergeten' om te benoemen. En vanuit de AVG is mijn ervaring dat het vrij gebruikelijk is dat niet wordt benoemd wat er niet transparant is wat fundamentele controleproblemen met zich meebrengt. Ook voor toezichthouders met bevoegdheden.

[jaspervanderheide]

Je hebt gelijk dat inderdaad breder is dan AVG en AI Act. In de communicatie kunnen we daar duidelijker over zijn, en die kaders explicieter benoemen. Dat heb ik intern uitgezet nu.

De AVG is zeker een belangrijke, dus goed dat je vanuit die hoek punten aandraagt. Wat ik meer wilde aankaarten was dat meerdere kaders controlemogelijkheden aanbieden, waaronder verzoeken. Het verkennen van een veld om uitzonderingen in register toe te lichten lijkt me goed (Dus wanneer een veld niet volledig ingevuld kon worden vanwege bijvoorbeeld "gaming the system"). Dat sluit denk ik al goed aan bij wat je als laatste meegeeft, transparant zijn over wat je niet meegeeft. Maar om vooraf al aan te geven waarom een WOO of AVG verzoek mogelijk niet volledig ingewilligd kan worden lijkt me voorbarig en niet direct nuttig, maar wel tot uitvoeringslast leiden. Of zie jij dat anders?

-------- Oorspronkelijk bericht -------- Op 2 feb. 2023 21:45, schreef Floor Terra :

Er lopen een aantal discussies door elkaar en dat begint bij de onduidelijke scope. Zoals ik het heb begrepen is de scope voor het algoritmeregister niet zuiver een voorbereiding op artikel 51 van de AI Act. Het wettelijk kader voor toezicht op algoritmes is heel breed en omvat o.a. de AI Act, de AVG, Algemene wet gelijke behandeling, bestuursrecht en andere wetgeving al naar gelang de toepassing van het algoritme. De AVG is in ieder geval een hele relevante verordening voor de meeste algoritmes waar men zich zorgen om dus daar focus ik me op met suggesties. Als het wettelijke kader waarbinnen het toezicht dat door het algoritmeregister anders is dan ik begrepen heb scheelt dat waarschijnlijk een hoop discussie. Het is latig om te specificeren welke informatie nodig is voor toezicht als de normen waaraan getoetst moet worden niet duidelijk zijn.

Dan de vraag wie er moet kunnen toetsen: Daar is de motie waar het register op gebaseerd is helder over. Dat moeten burgers/betrokkenen/etc ook kunnen. Hoe diep dat precies moet kunnen is wel afhankelijk van het wettelijk kader.

Ik hoop het in ieder geval moeilijk te maken om ongemakkelijk problemen niet herkenbaar te benoemen of te 'vergeten' om te benoemen. En vanuit de AVG is mijn ervaring dat het vrij gebruikelijk is dat niet wordt benoemd wat er niet transparant is wat fundamentele controleproblemen met zich meebrengt. Ook voor toezichthouders met bevoegdheden.

— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you commented.Message ID: @.***>

[floort]

Die vraag is lastig te beantwoorden zonder een norm te hebben om naar te verwijzen. Maar ik denk dat deze brief van de AP een redelijk argument geeft.

"In de AVG is een aantal rechten voor betrokkenen opgenomen met betrekking tot transparantie en informatie. En uiteraard moet altijd duidelijk zijn – ook al zit er een zogenoemde ‘human-inthe-loop’ – welke verwerkingen en welke logica en/of criteria in algoritmen en/of AI hebben geleid tot bijvoorbeeld (extra) controle of (daarna) tot een afwijzing of andere negatief besluit. Ook een ‘human-in-the-loop’ zal antwoord moeten kunnen geven op deze vragen en beredeneerd de garantie moeten kunnen geven dat bijvoorbeeld een algoritme en/of AI (al dan niet zelflerend) niet op een onrechtmatige wijze is gaan discrimineren. Geen antwoord kunnen geven op dit soort vragen maakt toetsing en doeltreffende betwisting – al dan niet in rechte – van dergelijke verwerkingen en besluiten feitelijk illusoir en zal een rechtmatigheidstoets alleen al om die reden niet snel kunnen doorstaan."

Gebrek aan transparantie is een zeer sterke factor in de rechtmatigheid. Een Awb-besluit dat niet is onderbouwd en daardoor niet inhoudelijk kan worden aangevochten is al snel onrechtmatig. Een verwerking onder de AVG die niet transparant is is niet is al vrij snel onrechtmatig. Mijn ervaring met de AVG is dat er zeker structurele beperkingen zijn op te noemen voor transparantie. Denk bijvoorbeeld aan:

• De leverancier die geen inzage geeft in technische logging waar persoonsgegevens in kunnen staan.
• "De toegepaste rekenmodellen zijn niet openbaar. Dit is vertrouwelijke bedrijfsinformatie." (De enige die ik kan vinden uit het register die daar transparant over is, niet zuiver AVG)
• De verantwoordelijke zelf wil geen inzage geven omdat er onvoldoende overzicht is wat er allemaal wordt verwerkt.
• Artikel 23 AVG geeft nog een hele lijst met rechtmatige redenen om transparantie te beperken.

In ieder geval onder de AVG moet je vantevoren de risico's voor de rechten en vrijheden van betrokkenen inschatten. Gebrekkige transparantie is op zichzelf zo'n risico. De verplichting om het te inventariseren is er dan al. Als dat niet goed is gebeurt zou dat wat mij betreft ook uit het register mogen blijken.

[jaspervanderheide]

Ik kom nog nader terug op je reactie, ik denk dat we op dat punt elkaar in algemeenheid zeker kunnen vinden. Misschien handig als ik even met een tegenvoorstel kom, dan is dat hopelijk duidelijker.

Ik wilde nog aanvullen op mijn vorige reactie dat het niet altijd hoeft te gaan om wettelijke kaders. De controle mag ook plaatsvinden op publieke waarden bijvoorbeeld. Zoals de vraag, vinden we het wenselijk om een algoritme te gebruiken? Ik denk dus dat het goed is om te kijken naar die wettelijke kaders, waardoor dank. Maar in ieder geval voor de open discussie die wij hier willen voeren, hoeft dat niet het enige te zijn.

[floort]

De kern is: het heeft niet veel zin om te discussiëren over welke informatie er nodig om te controleren als er niet duidelijk is wat er gecontroleerd moet worden en waarop gecontroleerd moet worden en door wie.

Zoals ik het nu begrijp is het register niet bedoeld om aan transparantie-vereisten in een of meer specifieke wetten te voldoen. Dat is prima, maar dan zit je straks wel meer meerdere overlappende transparantie-mechanismen. Ik dacht ook niet dat het de bedoeling was om te voorkomen dat mensen hun mening zouden kunnen vormen over de wenselijkheid van de algoritmen. Ik ben op zoek naar de minimale functionele requirements waar de standaard aan moet kunnen bijdragen.

[floort]

Zo helpt #16 deze discussie heel fijn verder. Beperking in het inzagerecht (voor zover het algoritme persoonsgegevens verwerkt) zijn zeer relevant voor de rechtmatigheid van de verwerking en daarmee ook voor de vraag of er onrechtmatige discriminatie plaatsvind. Een verwijzing naar de plek waar betrokkenen hu rechten kunnen uitoefenen is mogelijk minder relevant. Ik pas mijn voorstel aan op de keuze die in #16 is gemaakt.

[jaspervanderheide]

Bij 16 heb ik nog wel even uitgezet dat we iets moeten doen met jouw opmerking aldaar. Dat liep nu even door elkaar! Kom ik op terug.

[floort]

Volgens mij is dat al opgelost in d7ddd1b