De tien grootste gemeenten van Nederland voldoen bij de inzet van algoritmen regelmatig niet aan de vereisten van de Algemene verordening gegevensbescherming (AVG). Dat blijkt uit een onlangs verschenen rapport over de naleving van de AVG omtrent algoritmen door Bits of Freedom.
Grote gemeenten voldoen niet aan regelgeving voor algoritmes
Bits of Freedom pleit voor verplichte registratie van impactvolle algoritmen in het Algoritmeregister.
Voor het onderzoek zijn Woo-verzoeken ingediend bij Amsterdam, Rotterdam, Den Haag, Utrecht, Eindhoven, Groningen, Tilburg, Almere, Breda en Nijmegen om impact assessments van gebruikte algoritmen openbaar te maken. Op twee gemeenten na overschreden alle gemeenten de wettelijke beslistermijn. In meerdere gevallen duurde het meer dan zes maanden voordat een reactie volgde, terwijl de wettelijke termijn vier weken bedraagt, met een mogelijke verlenging van twee weken.
Inzicht geven blijkt moeilijk
Uit het onderzoek blijkt dat gemeenten moeite hebben om inzicht te geven in hun algoritmegebruik. Registratie in het landelijke Algoritmeregister is vrijwillig, waardoor een onvolledig beeld ontstaat. Gemeenten zonder geregistreerde algoritmen blijken in de praktijk wel degelijk toepassingen te gebruiken. Bovendien bepalen gemeenten zelf of een algoritme als hoog risico moet worden geclassificeerd, wat leidt tot uiteenlopende interpretaties en beperkte vergelijkbaarheid.
Van de tien gemeenten konden uiteindelijk slechts vier gemeenten (Amsterdam, Groningen, Nijmegen en Utrecht) inhoudelijk worden meegenomen in de analyse van ontvangen documenten. In totaal zijn documenten over elf algoritmen onderzocht. Zeven daarvan zijn gericht op het opsporen van normovertredingen, zoals bijstandsfraude, ondermijning, vastgoedhandhaving en controle van de Basisregistratie Personen. Vier toepassingen zijn gericht op hulpverlening, waaronder vroegsignalering bij schulden en koppelen van werkzoekenden aan banen.
Veel algoritmes relatief eenvoudig
Veel toepassingen blijken relatief eenvoudig, bijvoorbeeld door gegevens te filteren op wettelijke vermogensgrenzen. Daarnaast zijn er complexere vormen van risicoprofilering, waarbij op basis van historische data profielen worden opgesteld om mogelijke overtredingen te signaleren. Volgens het rapport schuilt daarin het risico van directe of indirecte discriminatie, zeker wanneer kenmerken correleren met grondwettelijk beschermde eigenschappen.
Een belangrijk knelpunt is de wettelijke grondslag. Gemeenten verwijzen regelmatig naar algemene wettelijke taken, maar onderbouwen onvoldoende waarom specifieke algoritmische toepassingen noodzakelijk en proportioneel zijn. In sommige gevallen ontbreekt een duidelijke grondslag of wordt gezocht naar juridische rechtvaardiging nadat een toepassing al is ontwikkeld.
DPIA's ontbreken
Ook de uitvoering van verplichte Data Protection Impact Assessments (DPIA’s) is wisselend. Niet alle gemeenten voeren deze uit bij risicovolle verwerkingen, en wanneer ze wel bestaan, is het advies van de functionaris gegevensbescherming niet altijd inzichtelijk vastgelegd. Transparantie richting burgers blijft bovendien beperkt: privacyverklaringen vermelden vaak niet concreet bij welke processen algoritmen worden ingezet en wat de gevolgen daarvan zijn.
De onderzoekers pleiten daarom voor verplichte registratie van impactvolle algoritmen in het Algoritmeregister en actieve publicatie van impact assessments. Daarnaast roepen zij gemeenten op kritisch te toetsen of algoritmegebruik daadwerkelijk noodzakelijk is, gezien de risico’s voor grondrechten en de mogelijke gevolgen voor kwetsbare groepen.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.