Laat ik beginnen met het plan om de Autoriteit Persoonsgegevens (AP) als algoritme-autoriteit aan te wijzen. Alhoewel de keuze op het eerste gezicht een logische lijkt, zijn er redenen om deze te heroverwegen. Allereerst vanuit het belang van ministeriële verantwoordelijkheid en parlementaire controle. Afgelopen juni heb ik op deze plaats,¹ voortbouwend op een ongevraagd advies van de Raad van State, gewezen op de staatsrechtelijke implicaties van het groeiend aantal en de steeds grotere rol van (Europese) toezichthouders. Kort gezegd: met het uitdijend arsenaal aan toezichthouders en activiteiten die daar worden belegd, kalft de ruimte voor ministeriële verantwoordelijkheid af. Sowieso is het wat mij betreft problematisch dat de AP nagenoeg zonder enige serieuze controle of reflectie standpunten uitdraagt die zich soms maar moeizaam verhouden met wat rechters of wetgever daarover hebben gezegd.² Slechts spaarzaam kunnen deze standpunten door de rechter worden gecorrigeerd. Kortom, voor een adequate (parlementaire) controle op – en daarmee vooral ook maatschappelijk debat over – het gebruik van algoritmen is de AP niet de aangewezen keuze.

Een tweede overweging heeft te maken met de ambitie zelf: meer transparantie van en controle op algoritmen. Los van wat we precies onder algoritmen verstaan: ze hebben vaak niets met privacy van doen en zitten vrijwel overal (in).³ Dus hoe willen we de geformuleerde ambitie überhaupt realistisch bij deze specifieke toezichthouder beleggen? Bovendien: moet het kabinet wel direct met een toezichthouder willen schermen? Inzicht in, begeleiding van en controle op de werking en effecten van algoritmen veronderstelt niet per se toezicht. Initiatieven zoals het algoritmeregister van de gemeente Amsterdam⁴ laten zien dat het ook anders kan.⁵

Dat brengt mij op mijn derde, wat bredere, punt. Moeten de AP en vooral de hardwerkende medewerkers niet eerst de ruimte krijgen de bestaande taakopdracht beter ter hand te nemen, in plaats van weer een nieuwe klus erbij? Het kabinet wil de AP versterken en geeft structureel extra geld. Weliswaar niet het budget van 100 miljoen euro waar de AP voor had gepleit, maar wel meer dan de nul op het rekest die de toezichthouder bij de recente miljoenennota kreeg. Toch, voor het versterken van de AP is meer nodig dan extra financiële armslag. Onlangs nog bleek de toezichthouder niet te hebben voorzien in essentieel instrumentarium als een systeem voor kwaliteitszorg en audits op het primaire proces. Ook ontbreken volgens het evaluatierapport een volwaardige controlfunctie en een geautomatiseerd zaakvolgsysteem.⁶ Daarbij komt dat de AP in de discussie over extra middelen steevast de nadruk legt op activiteiten, aantallen en budgetten. Nauwelijks op (maatschappelijke) doelen en resultaten. Andere toezichthouders en inspecties lijken daarin verder te zijn.⁷ Zo wordt uit de recente doorlichting van het Agentschap Telecom duidelijk dat men actief stuurt op kwaliteit van dienstverlening aan de hand van indicatoren voor klantwaarde en maatschappelijke waarde.⁸ En voor de ACM geldt dat er weliswaar kritiek op ‘de afschrikwekkende werking’ van het toezicht was, maar het veld zegt deze autoriteit wel te ervaren als een toegankelijke, deskundige en navolgbare toezichthouder.⁹ Min of meer vergelijkbaar is de conclusie in de evaluatie van de AFM.¹⁰ Een doorlichting aan de hand van soortgelijke indicatoren komt voor de AP al jaren niet beschikbaar. Waarom is mij niet duidelijk. Iedere lerende organisatie, ook als deze een onafhankelijke positie heeft, laat zich af en toe een spiegel voorhouden. En afgaand op signalen uit het veld vallen juist bij de AP nog wel stappen te zetten. Illustratief zijn de berichten over het meldloket voor datalekken dat daar is ondergebracht. Afgelopen november verscheen een open brief aan de AP die leest als een noodkreet, maar ook talloze waardevolle suggesties ter verbetering van dit meldloket bevat.¹¹ Twee maanden zijn verstreken, maar de afzenders – de Vereniging voor Privacyrecht Advocaten en de Vereniging Privacyrecht – hebben tot op heden geen reactie mogen ontvangen. Ook is, voor zover de opstellers van de brief¹² konden nagaan, niets met de suggesties gedaan. Op antwoord wachten ook de juristen die een WOB-verzoek bij de AP hebben ingediend om vast te kunnen stellen of sprake is van een beveiligingslek bij de AP zelf. Het vermoeden bestaat dat via het digitale formulier bedoeld om datalekken te melden, sprake is van onrechtmatige (namelijk bovenmatige) gegevensverwerking door de AP zelf.¹³ Eerder al kwamen via dit meldformulier persoonsgegevens beschikbaar voor daartoe onbevoegde derden.¹⁴ Momenteel loopt de evaluatie van de uitvoeringswet AVG. Ondanks dat de AP een cruciale rol speelt bij de uitvoering van deze wet, vormt het functioneren van deze toezichthouder geen onderdeel van deze evaluatie. Wellicht komt dit aspect zijdelings wel aan de orde bij de doorlichting van de regeling voor de meldplicht datalekken (deze is onderdeel van de evaluatie).

In talloze TV-praatprogramma’s is momenteel steevast de vraag: waar gaan de miljoenen die Rutte IV op diverse beleidsdossiers uittrekt nu precies naartoe? Wat betreft het privacytoezicht is dat hopelijk niet alleen: meer toezicht. Maar vooral ook toezicht dat voldoet aan meetbare indicatoren als responsiviteit, transparantie, consistentie, voorspelbaarheid en zorgvuldigheid.¹⁵ En: toezicht waarin de samenleving zich gerepresenteerd kan voelen.

Dit Vooraf verschijnt in NJB 2022/233, afl. 4.

Afbeelding: pixabay

1. https://njb.nl/blogs/toezichthouders-en-publiekelijke-verantwoording/
2. Een illustratief voorbeeld is de kwestie over het gebruik van telecomdata bij de Covid-bestrijding. Zie verhelderend: https://www.netkwesties.nl/1519/hoe-nederland-een-eiland-in-europa-wordt.htm
3. Mede hierom koos Spanje recent voor een ander type toezicht(houder): https://www.engage.hoganlovells.com/knowledgeservices/news/ai-algorithms-part-6-spain-to-create-europes-first-supervisory-agency-for-artificial-intelligence
4. https://algoritmeregister.amsterdam.nl/
5. WRR, Opgave AI. De nieuwe systeemtechnologie, 2021 p. 409, https://www.wrr.nl/publicaties/rapporten/2021/11/11/opgave-ai-de-nieuwe-systeemtechnologie
6. Onderzoek taken en financiële middelen bij AP, 2 november 2020 
7. Zie ook de volgende passage uit het werkprogramma van de per 1 januari 2022 gestarte Inspectie belastingen, toeslagen en douane (opgericht naar aanleiding van de Toeslagenaffaire): “De inspectie redeneert altijd vanuit de burger en het bedrijfsleven (…).”
8. Eindrapport Doorlichting Agentschap Telecom, 14 mei 2020. 
9. Evaluatie van de Autoriteit Consument en Markt, 27 november 2020. 
10. Evaluatie AFM, 4 november 2021. 
11. https://verenigingprivacyrecht.nl/wp-content/uploads/2021/11/20211108-Brief-VPRa-en-VPR-aan-AP-met-aanbevelingen-voor-aanpassing-meldloket.pdf
12. De advocaten Özer Zivali en Elisabeth Thole.
13. De indieners van het WOB-verzoek publiceren binnenkort een artikel over de kwestie.
14. Zie de Twitterdraadjes van Floor Terra op https://twitter.com/toezicht_AP/status/1399683583917400067 en https://twitter.com/floorter/status/1399385337571557376, waaruit bleek dat in mei 2021 metadata (incl. IP-adres) via het digitale meldformulier van de AP verzonden werd naar Google en de Financial Times, die uit het IP-adres mogelijk konden afleiden welk bedrijf de melding aan het invullen was.  
15. Ontleend aan een parlementaire discussie over indicatoren voor de evaluatie ACM: https://zoek.officielebekendmakingen.nl/h-ek-20122013-17-3.html

Over de auteur(s)

Corien Prins

Hoogleraar Recht en Informatisering