Datalekken, algoritmes en hoge boetes: hier moeten juristen rekening mee houden

Datum bericht: 1 juni 2021

Friederike van der Jagt en Jaap-Henk HoepmanHoe kun je een datalek voorkomen? En biedt de wetgeving voldoende bescherming? Advocaat Friederike van der Jagt en universitair hoofddocent Jaap-Henk Hoepman vertelden eerder al over de verschillende aspecten van data science en gegevensbescherming. In dit tweede interview gaan zij in op datalekken, algoritmes en hoge boetes.

Met regelmaat haalt een groot datalek het nieuws. Wat zijn veelgemaakte fouten rondom een datalek? Hoe kunnen die worden voorkomen?

Van der Jagt: "Recentelijk publiceerde de Autoriteit Persoonsgegevens (AP) haar jaarrapportage datalekken over 2020. Met name het aantal meldingen van datalekken als gevolg van hacking, malware en ransomware is enorm gestegen: met maar liefst 30%. Hierbij speelt uiteraard een rol dat de digitalisering door de coronacrisis een nog verdere vlucht heeft genomen. De AP geeft in haar jaarrapportage aan dat de impact van deze datalekken vaak beperkt had kunnen worden of het datalek zelfs volledig voorkomen had kunnen worden door de inzet van 'meerfactorauthenticatie' (MFA). Je maakt dan gebruik van meerdere authenticatiefactoren, zoals een wachtwoord en een token. De AP heeft aangegeven de komende periode strenger te gaan toezien op de inzet van MFA."

De Autoriteit Persoonsgegevens houdt toezicht op de gegevensbescherming. Op welke wijze treedt de AP op?

Van der Jagt: "De AP kan boetes opleggen tot maximaal 20 miljoen euro of 4% van de wereldwijde omzet van een organisatie. Door het toepassen van de Nederlandse boetebeleidsregels vallen de boetes in de praktijk lager uit. Zo is het OLVG onlangs beboet omdat het ziekenhuis de beveiliging van patiëntendossiers niet goed op orde had. Dit leidde tot een boete van 440.000 euro. Ook kreeg Booking.com eind maart een boete van 475.000 euro opgelegd wegens het 22 dagen te laat melden van een datalek. De hoogste boete die de AP voor zover bekend tot nu toe heeft opgelegd, is 830.000 euro. Overigens zien we in landen om ons heen veel hogere boetes. Zo kreeg modeketen H&M in Duitsland een boete van ruim 35 miljoen euro wegens het schenden van de privacy van werknemers."

In de opleiding 'Data Science en Gegevensbescherming' is uitgebreid aandacht voor de werkwijze van de Autoriteit Persoonsgegevens. Zo krijgen de deelnemers van de AP zelf bijvoorbeeld te horen hoe de toezichthouder omgaat met datalekken.

Kunt u de toename van het aantal rechtszaken verklaren waarbij de inzet van algoritmes en het nemen van geautomatiseerde besluiten wordt aangevochten?

Hoepman: "Onze samenleving wordt in toenemende mate door data en algoritmes gestuurd. Een logisch gevolg daarvan is dat het aantal rechtszaken daarover ook toeneemt. Als jurist is het daarom belangrijk om de zin en de onzin wat betreft (slimme) algoritmen te kunnen onderscheiden. Kennis van data science helpt ook om in te schatten wat de risico's van algoritmisch datagebruik in een organisatie zijn, en hoe die te mitigeren zijn."

Wat zijn spraakmakende voorbeelden van rechtszaken over de inzet van algoritmes?

Van der Jagt: "De bekendste zaak is denk ik de 'SyRi-zaak'. De overheid gebruikte een computersysteem, SyRi (Systeem Risico Indicatie) waarin persoonsgegevens van onder meer de Belastingdienst, het UWV, gemeentes en de Sociale Verzekeringsbank aan elkaar werden gekoppeld. Daarmee wilde de overheid fraude op bijvoorbeeld het terrein van uitkeringen, toeslagen en belastingen bestrijden. Er werd gebruik gemaakt van algoritmes om opvallende zaken die mogelijk konden duiden op fraude op te sporen. De rechter oordeelde echter dat een aantal wettelijke bepalingen waarop het gebruik van dit systeem was gebaseerd in strijd waren met artikel 8 lid 2 EVRM. Volgens de rechter was de inbreuk op het privéleven disproportioneel en het systeem niet transparant."

"Momenteel loopt er ook een interessante zaak van een aantal Uber-chauffeurs die stellen dat zij zijn ontslagen door het algoritme van Uber. Het algoritme zou hebben vastgesteld dat zij zich schuldig hadden gemaakt aan frauduleuze activiteiten. Op grond van de Algemene verordening gegevensbescherming (AVG) heeft iemand recht op menselijke tussenkomst bij besluiten van algoritmes waaraan voor hem rechtsgevolgen zijn verbonden of die hem in aanzienlijke mate treffen. Uber stelt dat er altijd nog een medewerker bij de besluitvorming betrokken is. De chauffeurs claimen echter dat van betekenisvolle menselijke tussenkomst geen sprake is. Ik ben benieuwd naar het oordeel van rechter hierover. Uiteraard komen ook deze actuele ontwikkelingen aan bod in de opleiding 'Data Science en Gegevensbescherming'."


Friederike van der Jagt is advocaat bij Hunter Legal en fellow bij het Onderzoekcentrum Onderneming & Recht Radboud Universiteit. Jaap-Henk Hoepman is universitair hoofddocent aan de Radboud Universiteit en de Rijksuniversiteit Groningen. Ze zijn hoofddocenten van de opleiding 'Data Science en Gegevensbescherming'. Meer info en inschrijven