"Juristen moeten de zin en onzin over (slimme) algoritmen kunnen onderscheiden"

Datum bericht: 26 april 2021

Friederike van der Jagt en Jaap-Henk HoepmanIn hoeverre is kennis van data science van belang om privacyregels goed te kunnen toepassen? En wat zijn de actuele ontwikkelingen op dit gebied? Advocaat Friederike van der Jagt en universitair hoofddocent Jaap-Henk Hoepman vertellen over de verschillende aspecten van data science en gegevensbescherming en de opleiding die zij daarover verzorgen.

Welke actuele ontwikkelingen spelen op het gebied van data science en gegevensbescherming?

"Er is steeds meer aandacht voor de inzet van algoritmes door bedrijven en de overheid", vertelt Friederike van der Jagt. "Kunstmatige intelligentie moet slim, maar ook ethisch en compliant worden ingezet. Hierbij speelt niet alleen het recht op privacy een belangrijke rol, maar ook moet voorkomen worden dat algoritmes discriminerend werken. Het College voor de Rechten van de Mens heeft dit onderwerp tot een van de speerpunten gemaakt voor de komende jaren. Voor de Autoriteit Persoonsgegevens (AP) is het toezicht op de inzet van AI en algoritmes een van de drie belangrijkste toezichtsthema's."

"Onder de noemer Fair Accountable and Transparent (FAT) Machine Learning is binnen de informatica recent ook meer aandacht voor dit onderwerp", vult Jaap-Henk Hoepman aan. "Daarnaast is een nieuw vakgebied ontstaan: privacy engineering. Dat beoogt privacy by design meer concreet te maken met methodologieën en standaarden."

Een datalek kan een grote impact hebben. Wat is de belangrijkste oorzaak van datalekken?

"De belangrijkste oorzaak van datalekken is al jaren hetzelfde", vertelt Van der Jagt. "66% van de datalekken in 2020 is veroorzaakt door het versturen of afgeven van persoonsgegevens aan de verkeerde persoon." Ze benadrukt daarom dat privacy awareness, training en het aanpassen van werkprocessen enorm belangrijk blijft.

Hoepman beaamt dat: "Met name op het gebied van de bestrijding van ransomware is nog veel winst te behalen. Je moet dan denken aan bewustwording om besmetting te voorkomen, maar ook het op de juiste wijze maken van back-ups en het vooraf opstellen van een recoveryplan zijn uitermate belangrijk. En het klinkt misschien als een open deur, maar test het recoveryplan ook."

Gaat de huidige wetgeving ver genoeg in het beschermen van persoonsgegevens, of is de huidige wetgeving misschien te streng?

Volgens Hoepman en Van der Jagt is het antwoord op deze vraag niet direct te geven. Op sommige punten is de wet bijvoorbeeld niet altijd even praktisch. Ook zijn de Autoriteit Persoonsgegevens en de markt het niet altijd eens over de uitleg van bepaalde bepalingen. Maar Hoepman en Van der Jagt zien vooral een probleem in de handhaving.

Van der Jagt: "Het is belangrijk dat de AP voldoende middelen heeft om haar werk te kunnen doen. Klagen bij de toezichthouder moet zin hebben, maar dat is momenteel nauwelijks het geval. Slechts 0,04% van de in 2019 gemelde klachten en/of overtredingen, dat waren er 27.800, heeft tot een sanctie geleid. De recent gepubliceerde cijfers over 2020 zijn niet veel beter en de AP had per 1 januari 2021 nog 9800 klachten op de plank liggen. In 2019 heeft slechts 0,3% van de datalekmeldingen tot een onderzoek geleid. Dit is nauwelijks uit te leggen."

"Ook andere Europese toezichthouders hebben bezettings- en budgetproblemen", vertelt Van der Jagt. "Door het in de Algemene verordening gegevensbescherming (AVG) gecreëerde toezichtsysteem moet de Ierse toezichthouder met een krappe bezetting toezicht houden op de verwerking van persoonsgegevens door de grootste techbedrijven: Facebook, Twitter, Google en sinds kort ook TikTok. Het is niet moeilijk om je voor te stellen dat dat in de praktijk tot problemen leidt."

Welke onderwerp binnen data science en gegevensbescherming heeft uw bijzondere aandacht?

Van der Jagt houdt zich in haar praktijk veel bezig met datalekken. Dat is ook het onderwerp dat zij behandelt in de opleiding. "Het bijzondere aan de opleiding 'Data Science en Gegevensbescherming' is dat we datalekken vanuit verschillende invalshoeken belichten." Zo krijgen de deelnemers van de Autoriteit Persoonsgegevens insights in hoe de toezichthouder omgaat met datalekken. Een medewerker van het National Cyber Security Centre vertelt over beveiligingsincidenten die door vitale sectoren moeten worden gemeld om maatschappelijke ontwrichting te voorkomen. En een legal counsel van FoxIT gaat in op de inzet van forensisch onderzoek. "We bieden een zeer gevarieerd programma aan", aldus Van der Jagt.

Hoepman is gespecialiseerd in privacy by design. "Met name ook het concreet maken daarvan voor ontwerpers en ontwikkelaars." Ook dit onderwerp komt terug in de opleiding. Naast genoemde werkzaamheden doet hij onderzoek naar privacy enhancing-technologieën, met name op het gebied van identity management.

Is kennis van data science van belang om privacyregels goed te kunnen toepassen?

Hoepman: "Het is belangrijk om de zin en de onzin wat betreft (slimme) algoritmen te kunnen onderscheiden. Daarvoor is basiskennis over data science essentieel. Die kennis helpt ook om in te schatten wat de risico's van algoritmisch datagebruik in een organisatie zijn, en hoe die te mitigeren zijn. Daarom hebben we in de opleiding 'Data Science en Gegevensbescherming' bewust als thema's aan elkaar gekoppeld."


Friederike van der Jagt is advocaat bij Hunter Legal en fellow bij het Onderzoekcentrum Onderneming & Recht Radboud Universiteit. Jaap-Henk Hoepman is universitair hoofddocent aan de Radboud Universiteit en de Rijksuniversiteit Groningen. Ze zijn hoofddocenten van de opleiding 'Data Science en Gegevensbescherming'. Meer info en inschrijven