Wat zijn de gevolgen van de AVG voor geautomatiseerde besluitvorming door de overheid?

Burgers en bedrijven worden regelmatig geconfronteerd met besluiten van de overheid die (deels) gebaseerd zijn op algoritmes. Dergelijke geautomatiseerde besluitvorming, zonder menselijke tussenkomst, komt bijvoorbeeld voor bij het toekennen van toeslagen, zoals kinderbijslag of studiefinanciering. Voor bedrijven is onder meer relevant het softwaresysteem AERIUS dat wordt gebruikt bij het Programma Aanpak Stikstof (PAS) dat voorziet in een toestemmingsregime voor activiteiten die stikstofneerslag veroorzaken op Natura 2000-gebieden. Zie over AERIUS een eerder Stibbe-blogbericht.De Algemene verordening gegevensbescherming (AVG) geeft regels voor de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens. Van belang is dat de AVG onder meer regels bevat voor geautomatiseerde besluitvorming. Zo is in artikel 22 AVG een verbod op geautomatiseerde besluitvorming neergelegd. In dit blog wordt ingegaan op de vraag wat de betekenis is van de AVG voor geautomatiseerde besluitvorming door de overheid.Is de AVG van toepassing op de overheid?De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de beginselen inzake de verwerking van persoonsgegevens (art. 5 lid 2 AVG). Dit betekent dat de verwerkingsverantwoordelijke normadressaat is van de AVG. Artikel 4 lid 7 definieert de verwerkingsverantwoordelijke als ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.’ Uit deze definitie blijkt onmiskenbaar dat de AVG ook van toepassing is op de overheid. Voor het Nederlandse recht gaat het hier in ieder geval om bestuursorganen in de zin van de Algemene wet bestuursrecht.Opgemerkt dient te worden dat in artikel 2 lid 2 aanhef en onder b en d AVG twee uitzonderingen op dit toepassingsbereik voor overheden worden gemaakt. Zo is de AVG niet van toepassing op lidstaten bij de uitvoering van activiteiten die binnen het gemeenschappelijk buitenlands en veiligheidsbeleid vallen of op bevoegde autoriteiten met het oog op voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten, tenuitvoerlegging van straffen of de voorkoming van gevaren voor de openbare veiligheid. Regels over verwerking van persoonsgegevens op deze terreinen laat de Europese wetgever aan de lidstaten zelf over.Verbod op geautomatiseerde besluitvormingIn artikel 22 lid 1 AVG is een verbod op geautomatiseerde besluitvorming neergelegd. Dit artikel bepaalt dat de betrokkene het recht heeft niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft. Het belang van deze bepaling is dat de mens niet wordt vervangen door een computer. Een betrokkene heeft in beginsel altijd het recht op een menselijke tussenkomst bij genomen besluiten. De vraag is wat de betekenis is van artikel 22 AVG voor geautomatiseerde besluitvorming door de overheid.Awb-besluitenUit de Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 van de Artikel 29-werkgroep blijkt dat ook geautomatiseerde overheidsbesluiten onder de werking van artikel 22 AVG vallen. De Nederlandse regering gaat daar eveneens vanuit. In de memorie van toelichting bij de Uitvoeringswet AVG wordt opgemerkt dat (geautomatiseerde) besluiten in de zin van de Algemene wet bestuursrecht (Awb) vallen onder de reikwijdte van artikel 22 AVG. Kamerstukken II 2017/18, 34851, 3, p. 46.UitsluitendHet verbod van artikel 22 lid 1 AVG ziet alleen op besluiten die ‘uitsluitend’ op geautomatiseerde verwerking zijn gebaseerd. Dat is niet altijd het geval. Te denken valt aan de datakoppeling in het sociaal domein via het Systeem Risico Indicatie (SyRi) met het oog op het signaleren van mogelijke fraudeurs. SyRi heeft een wettelijke basis in artikel 65 Wet structuur uitvoeringsorganisatie werk en inkomen. Het is een hulpmiddel bij het houden van toezicht in het sociaal domein, maar genereert zelf geen besluiten. Op basis van een risicomelding van het systeem wordt namelijk nog nader onderzoek ingesteld. Dit onderzoek kan uiteindelijk wel leiden tot het opleggen van een sanctie. Er vindt dus geen ‘uitsluitend’ geautomatiseerde besluitvorming plaats. Zie Kamerstukken II 2017/18, 34851, 7, p. 46-47; Kamerstukken II 2017/18, 32761, 122, p. 2. Dat neemt niet weg dat besluitvorming gebaseerd op SyRi wel is gebonden aan de algemene normen over verwerking van persoonsgegevens uit de AVG. Zo moet de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant zijn (art. 5 AVG). Wij komen hier verderop nog op terug.PersoonsgegevensArtikel 22 AVG is alleen van toepassing op geautomatiseerde besluitvorming op basis van persoonsgegevens. Gelet hierop valt wellicht de geautomatiseerde vaststelling van de WOZ-waarde van een woonhuis niet onder de reikwijdte van dit artikel. De WOZ-beschikking is namelijk niet gebaseerd op persoonsgegevens van de eigenaar. Zien wij het goed, dan worden ook geen persoonsgegevens gebruikt bij de berekening door het hiervoor genoemde softwaresysteem AERIUS. Dit zou betekenen dat AERIUS evenmin valt onder het verbod van artikel 22 AVG. We laten AERIUS daarom verder buiten beschouwing.Een geautomatiseerde beslissing die wel is gebaseerd op persoonsgegevens is het toekennen van kinderbijslag of het vaststellen van de hoogte van het recht op studiefinanciering.ProfileringHet is niet zo dat bij geautomatiseerde besluitvorming vanzelfsprekend sprake is van profilering. Profilering omvat elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen (art. 4 aanhef en onder 4 AVG). In geval van geautomatiseerde vaststelling van een boete wegens overtreding van de maximumsnelheid is van profilering geen sprake. Een dergelijke beslissing kan evenwel het karakter krijgen van profilering, wanneer de hoogte van de boete afhankelijk is van andere factoren, zoals recidive. Zie Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, p. 8.UitzonderingEen lidstaatrechtelijke bepalingUitzonderingen op het verbod tot geautomatiseerde besluitvorming zijn neergelegd in het tweede lid van artikel 22 AVG. Voor de overheid is met name van belang dat het verbod niet geldt indien geautomatiseerde besluitvorming is toegestaan bij een lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene (lid 2 aanhef en onder b). De in lid 2 bedoelde uitzonderingen gelden op grond van artikel 22 lid 4 AVG in beginsel niet voor besluiten gebaseerd op de in artikel 9 lid 1 AVG genoemde persoonsgegevens; de zogenaamde bijzondere categorie persoonsgegevens. Een uitzondering is mogelijk wanneer sprake is van een uitdrukkelijke toestemming van betrokkene of de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang op grond van Unierecht of lidstatelijk recht en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.Algemene wettelijke uitzonderingHet springt in het oog dat de Nederlandse wetgever in artikel 40 Uitvoeringswet AVG heeft voorzien in een algemene wettelijke uitzondering voor geautomatiseerde besluitvorming die geen profilering inhoudt. Artikel 40 lid 1 Uitvoeringswet AVG bepaalt dat artikel 22 lid 1 van de AVG niet geldt indien de in die bepaling bedoelde geautomatiseerde individuele besluitvorming, anders dan op basis van profilering, noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang. Uit de toelichting blijkt dat de regering met deze bepaling in het bijzonder het oog heeft op geautomatiseerde besluitvorming door de overheid op basis van strikt individuele kenmerken. Het gaat hier met name om de uitoefening van gebonden bevoegdheden, waarbij er zeer geringe beoordelingsruimte is. Te denken valt aan het toekennen van kinderbijslag, het opleggen van een boete in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften (Wahv), het bijstellen van de hoogte van het recht op studiefinanciering op basis van veranderingen in het inkomen van een van de ouders of het zonder menselijke tussenkomst vaststellen van een overtreding van de maximumsnelheid. Er is volgens de regering geen reden om vanuit het belang van bescherming van persoonsgegevens zulke geautomatiseerde besluitvorming onmogelijk te maken. De risico’s die de AVG beoogt tegen te gaan met artikel 22 AVG, doen zich hier feitelijk niet voor. Er is namelijk geen sprake van het tegenwerpen van generieke kenmerken aan een persoon, of van verwerkingen van persoonsgegevens die risicovol zijn in het licht van potentiele discriminatie. Het is volgens de regering voor de uitvoering van de publieke taak en voor het vervullen van wettelijke verplichtingen niet wenselijk om geautomatiseerde besluitvorming geheel te verbinden aan een specifieke wettelijke grondslag. Dat zou een vergaande verstarring van de ontwikkelingen in de uitvoering van de publieke taak betekenen. Daarnaast is er volgens de regering geen reden om bij de hiervoor bedoelde besluitvorming menselijke tussenkomst te vergen, omdat dit geen toegevoegde waarde heeft. Van belang hierbij is dat tegen dergelijke besluitvorming bestuursrechtelijke rechtsbescherming openstaat en de waarborgen uit de Awb gelden, zoals het zorgvuldigheids- en evenredigheidsbeginsel. Zie Kamerstukken II 2017/18, 34851, 3, p. 119-122; Kamerstukken II 2017/18, 34851, 7, p. 72-73.De vraag dringt zich op of een algemene wettelijke uitzondering zoals neergelegd in artikel 40 lid 1 Uitvoeringswet AVG wel in overeenstemming is met artikel 22 lid 2 aanhef en onder b AVG. Op grond van de AVG is een uitzondering toegestaan ‘bij een lidstaatrechtelijke bepaling’. Volgens de Afdeling advisering van de Raad van State duidt dit op een specifieke wettelijke grondslag. Kamerstukken II 2017/18, 34851, 4, p. 45. Het is dan ook de vraag of een uitzondering niet steevast moet worden opgenomen in sectorale wetgeving. De regering beantwoordt die vraag negatief. Kamerstukken II 2017/18, 34851, 4, p. 46-47. Een eventuele rechterlijke procedure over artikel 40 lid 1 Uitvoeringswet AVG zal in de toekomst uitsluitsel kunnen geven over deze kwestie.Een ander aspect dat de Afdeling aansnijdt, is dat een redelijke en zorgvuldige besluitvorming niet afhankelijk kan worden gemaakt van het al dan niet instellen van bezwaar op beroep. Kamerstukken II 2017/18, 34851, 4, p. 44-45. De regering merkt hierover op dat de waarborgen uit de Awb gelden, waaronder het zorgvuldigheids- en evenredigheidsbeginsel. De zorgvuldigheid en de redelijkheid van de besluitvorming is bij geautomatiseerde besluitvorming evenzeer afhankelijk van de inrichting van het proces en de regels die ten grondslag liggen aan het nemen van het besluit (de onderliggende algoritmes) als bij niet-geautomatiseerde besluitvorming, aldus de regering. Kamerstukken II 2017/18, 34851, 4, p. 46. De vraag rijst wellicht welke betekenis de hoorplicht van artikel 4:7 en artikel 4:8 Awb heeft bij een automatisch genomen besluit. Daarover kan in ieder geval worden opgemerkt dat volledig geautomatiseerde besluitvorming veelal voorkomt in situaties waarin het gaat om financiële beschikkingen. Daarvoor kent artikel 4:12 Awb een uitzondering op de hoorplicht.Algemene normen: informatieplicht en gegevensbeschermingseffectbeoordelingNiet moet uit het oog worden verloren dat wanneer gebruik wordt gemaakt van geautomatiseerde besluitvorming, ook de algemene normen uit de AVG gelden zoals neergelegd in de hoofdstukken 2 en 3. In het bijzonder is van belang dat de betrokkene actief (en ook op verzoek) moet worden geïnformeerd over het gebruik van geautomatiseerde besluitvorming (art. 13 lid 2 aanhef en onder f AVG; art. 14 lid 2 aanhef en onder g AVG; art. 15 lid 1 aanhef en onder h AVG). Daarbij moeten in ieder geval nuttige informatie over de onderliggende data, alsmede het belang en de verwachte gevolgen van de verwerking voor de betrokkene worden verstrekt. Hierbij kan een parallel worden getrokken met de normen die de Afdeling Bestuursrechtspraak van de Raad van State met het oog op een reële rechtsbescherming heeft geformuleerd voor het gebruik van het al meerdere keren genoemde softwareprogramma AERIUS. Zie daarover dit Stibbeblogbericht. Daarnaast moet op grond van artikel 35 AVG een gegevensbeschermingseffectbeoordeling worden uitgevoerd.Zie ook Afdeling bestuursrechtspraak verfijnt toetsingskader voor geautomatiseerde besluitvormingsprocessen (AERIUS)Door Niels Jak en Steven Bastiaans op Stibbeblog