Privacy Alerts #19: Een digitale kloof dreigt de trans-Atlantische economie in gevaar te brengen

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter

De Verenigde Staten en de Europese Unie hebben besloten om nauw te gaan samenwerken op het gebied van een groot aantal economische en technologische kwesties. Het bereiken van een akkoord omtrent het uitwisselen van gegevens is echter – sinds de verwerping van het VS-EU Privacy Shield – nog niet gelukt. Met alle gevolgen van dien voor de stabiliteit van de trans-Atlantische economie. Verder in deze bijdrage: Griekenland gebruikte een algoritme om reizigers aan de grens te testen op COVID-19 en burgerrechtenorganisatie Privacy First spant een kort geding aan tegen de Nederlandse Staat vanwege het gebruik van ANPR-camera’s.

Een digitale kloof dreigt de trans-Atlantische economie in gevaar te brengen

Afgelopen week zijn vertegenwoordigers van de Verenigde Staten (VS) en de Europese Unie (EU) in Pittsburgh bijeengekomen voor de inauguratie van de Raad voor handel en technologie (TTC). Tijdens de bijeenkomst hebben de VS en de EU besloten nauw te gaan samenwerken op het gebied van een groot aantal economische en technologische kwesties, waaronder een gemeenschappelijke aanpak van gegevensbeheer en beleid rond het gebruik van AI.

Het beheer van de gegevensuitwisseling tussen de VS en de EU kent een moeilijke periode sinds het Europees Hof van Justitie (EHvJ) het zogeheten VS-EU Privacy Shield ongeldig verklaarde (Schrems II). Deze overeenkomst regelde de trans-Atlantische gegevensstromen. Het Privacy Shield was zelf een opvolger van de (met veel moeite tot stand gekomen) Safe Harbor-overeenkomst, die in 2015 door het EHvJ ongeldig werd verklaard (Schrems I).

Het besluit van het EHvJ om het Privacy Shield te verwerpen – wegens ontoereikende bescherming – maakt duidelijk dat er sprake is van een toename van maatregelen omtrent het lokaliseren van gegevens die gepaard gaat met een groeiende bezorgdheid over ontoereikende normen inzake gegevensbescherming.

De rechtsonzekerheid die door de Schrems-uitspraak is ontstaan (zie ook onze whitepaper van januari 2021), heeft bedrijven die gegevens over de Atlantische Oceaan transporteren ertoe gedwongen terug te vallen op standaard contractbepalingen. De Europese Unie heeft de standaardbepalingen herzien en in overeenstemming gebracht met de Algemene Verordening Gegevensbescherming (AVG).

Hoewel de onderhandelingen over een vervanging voor het Privacy Shield worden voortgezet, is de hoop op een snelle uitweg uit deze impasse ijdel gebleken. De VS stelde de kwestie meermaals aan de orde, maar de EU keurde meerdere voorstellen met succes af. Ondanks de “verbeterde” privacy-oplossingen die door de Amerikaanse onderhandelaars werden aangeboden, heeft de Europese Unie gemeld dat een overeenkomst tot volgend jaar op zich kan laten wachten.

Uiteindelijk tonen de onderhandelingen over het bereiken van een akkoord aan dat de VS dringend hervormingen op het gebied van toezicht moeten doorvoeren en wetgeving inzake commerciële privacy moeten vaststellen als zij de economische vruchten van grensoverschrijdende gegevensoverdracht willen blijven plukken. Met het groeiende belang van datastromen in de internationale handel, is het versterken van de privacy- en veiligheidswaarborgen in de openbare en de particuliere sector een economische en geopolitieke verplichting voor de VS.

Tot nu toe is het aanzien van de regering-Biden in Europa allesbehalve stabiel. Als er niet snel een duurzame trans-Atlantische deal wordt bereikt, zal de onzekerheid die bedrijven in haar greep houdt een schadelijk effect kunnen hebben op de (stabiliteit van de) trans-Atlantische economie. Facebook heeft bijvoorbeeld laten weten dat het zijn activiteiten uit Europa zal terugtrekken als er geen oplossing wordt gevonden. Ook hebben een aantal Europese regelgevers hun ambtenaren opgedragen geen gebruik meer te maken van bepaalde Amerikaanse systemen en platforms. Dit zou kunnen leiden tot het lokaal opslaan van gegevens, met alle economische kosten en risico’s voor de cyberveiligheid van dien. Kortom, het resultaat van de onderhandelingen over de opvolger van het Privacy Shield zal bepalend zijn voor het toekomstig functioneren van de TTC .

Griekenland gebruikte algoritme om COVID-19 in te dammen

Overheden zijn steeds vaker op zoek naar mogelijkheden om big data te gebruiken in noodsituaties op gezondheidsgebied. Aan de Griekse grens werd in de periode tussen augustus en november 2020 een ‘’machine-learning’’ algoritme toegepast om reizigers gericht te testen op COVID-19. Het algoritme heeft de efficiëntie van het testen op het coronavirus SARS-CoV-2 aanzienlijk verhoogd, en heeft ertoe geleid dat Griekenland zijn grenzen tijdens de pandemie veilig open kon houden.

In veel landen worden reizigers willekeurig of op basis van risicocategorieën geselecteerd voor COVID-19-tests. Een persoon die uit een regio komt met een hoog percentage infecties kan bijvoorbeeld voorrang krijgen om getest te worden boven iemand die reist uit een regio met een lager percentage.

Het ‘’machine-learning’’ algoritme, genaamd ‘’Eva’’, ging echter doeltreffender en efficiënter te werk. Het gebruik van het algoritme was gericht op het testen van type passagiers die hoogstwaarschijnlijk positief zouden testen. Het algoritme verzamelde onder andere de reisgeschiedenis van passagiers, maar ook demografische gegevens zoals leeftijd en geslacht. Deze kenmerken werden vervolgens vergeleken met gegevens van eerder geteste passagiers. De resultaten die daaruit volgden werden gebruikt om het infectierisico van een persoon in te schatten. De COVID-tests werden daardoor gericht op reizigers waarvan was berekend dat zij het grootste risico liepen.

De grootste uitdagingen met betrekking tot het algoritme zijn met name van juridische aard – van het waarborgen dat de privacy van individuen wordt beschermd tot de noodzaak om de nauwkeurigheid van het algoritme te verifiëren. Instellingen die gebruikmaken van algoritmen moeten heel voorzichtig zijn met welke gegevens ze verzamelen, hoe ze deze beschermen en wie er toegang heeft tot de gegevens. Om te voldoen aan de privacywetgeving (AVG) hebben de ontwerpers van het algoritme in nauw overleg met onder andere juristen de voor het algoritme beschikbare gegevens – en dus de nauwkeurigheid ervan – bewust beperkt. Eva verzamelt alleen informatie die essentieel is en vermijdt data zoals die niet bruikbaar zijn voor het algoritme zoals burgerservicenummers. Er worden ook geen namen of andere identificerende details in het algoritme zelf ingevoerd.

Het gebruik van AI en big data kan in tijden als deze positieve ontwikkelingen op gang brengen. Tegen deze achtergrond herinnert het gebruik van het algoritme ons er tegelijkertijd aan dat moet worden nagedacht over regels en protocollen voor het gebruik van AI en big data. Er moeten duidelijke normen worden ontwikkeld om aan te geven wanneer gegevens – en de algoritmen – van voldoende kwaliteit zijn om te worden gebruikt voor het nemen van belangrijke beslissingen in noodsituaties. Deze moeten van tevoren worden opgesteld, zodat dergelijke analyses in een noodsituatie snel en veilig kunnen worden gebruikt. Ook moet er aandacht zijn voor transparantie over hoe algoritmen worden ontworpen en welke gegevens worden gebruikt om ze te trainen.

Nederlandse Staat voor de rechter gedaagd door Privacy First wegens gebruik van nummerplaat-camera’s

Burgerrechtenorganisatie Privacy First spant een kort geding aan tegen de Nederlandse Staat vanwege de massasurveillance aan de hand van het systeem dat met automatische herkenning van nummerplaten de kentekens van miljoenen auto’s opslaat. De politie mag de kentekens opslaan op grond van artikel 126jj Sv.

De zogenoemde ANPR-camera’s, die vaak langs snelwegen staan, herkennen sinds 2019 automatisch de kentekens van miljoenen auto’s. Politieagenten mogen een ANPR-camera overigens ook meenemen in de auto of plaatsen op “een onopvallende plek langs de weg”.

Het ANPR-systeem slaat de kentekens van miljoenen auto’s in Nederland op in een centrale politiedatabank. De kentekens worden gedurende vier weken bewaard voor opsporing en vervolging, ongeacht of men ergens van verdacht wordt of niet. Kentekens die niet in de lijst met gezochte kentekenplaten staan, worden volgens de politie echter direct verwijderd, behalve als de gegevens langer nodig zijn voor opsporingsonderzoeken. Daar moet het Openbaar Ministerie dan toestemming voor geven.

Volgens de politie maken de ANPR-camera’s vooral overzichtsfoto’s. Privacy First verwijst echter naar een onderzoek door het WODC, het kennisinstituut van het ministerie van Justitie en Veiligheid. Uit het onderzoek is gebleken dat het Openbaar Ministerie in minstens twee zaken de originele foto’s van de ANPR-camera’s heeft opgevraagd én gekregen. Op deze foto’s zouden mensen herkenbaar in beeld zijn.

In augustus werd bekend dat de politie behalve kentekens ook herkenbare foto’s van bestuurders of bijrijders, gemaakt door ANPR-camera’s, wil gaan gebruiken bij het opsporen van verdachten van ernstige misdrijven. Nu moeten andere gegevens, zoals mobiele data van zendmasten, worden gebruikt om een verdachte aan een geregistreerde auto te koppelen.

Volgens Privacy First is het ANPR-systeem in strijd met het Europese privacyrecht. Massasurveillance is slechts onder strenge voorwaarden toegestaan.‘’ Het ANPR-systeem is echter totaal niet noodzakelijk, volstrekt disproportioneel en bovendien ineffectief”, meldt Privacy First. Het kort geding dient op 10 november bij de rechtbank in Den Haag. De dagvaarding in kort geding is hier te vinden. Privacy First start later mogelijk ook een bodemprocedure.

Ivy Woanya

Ivy Woanya

Ivy Woanya is jurist bij The Privacy Factory. Momenteel volgt zij de Master Internet, IE en ICT aan de Vrije Universiteit Amsterdam. Zij heeft een passie voor privacy, big data en artificial intelligence.

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.