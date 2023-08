Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Binnen het bedrijf waar ik Privacy Officer ben, heb ik de vraag gekregen of wij gegevens van personeelsdossiers mogen gebruiken voor het trainen van een machine learning model dat zoekt naar oorzaken van verloop van medewerkers. Uiteraard worden namen en adressen weggelaten, maar desondanks worstel ik met de vraag of dit wel mag gezien doelbinding, informatieplichten en proportionaliteit?

Antwoord: Er zijn grofweg twee manieren om op basis van persoonsgegevens een machine-learning analyse te doen:

1. Binnen de AVG, waarbij je te maken krijgt met beperkingen zoals doelbinding en grondslagen.

2. Buiten de AVG, waarbij die beperkingen niet gelden maar je wel écht anonieme data moet hebben.

Het idee dat je door namen en adressen weg te laten "anonieme" gegevens krijgt, is natuurlijk volstrekt naïef. Gegevens blijven persoonsgegevens zolang je ze nog direct of indirect terug kunt vertalen naar de personen. Een lijst van bijvoorbeeld verzuimdata over de jaren 2021-2023 is uniek voor een specifieke medewerker, en daarmee ook een persoonsgegeven als je diens naam of personeelsnummer weglaat.

De standaard truc is om die data vervolgens te gaan husselen, zodat het niet meer het patroon van een specifieke werknemer is. Dan heb je de data in AVG-termen echt geanonimiseerd, alleen heb je dan ook meteen alle waardevolle informatie weggegooid want het gaat juist om patroonanalyse om te herkennen waar verloop aan kan liggen. Ik zie dan ook niet hoe je dit kunt doen buiten de AVG om.

Binnen de AVG is het een stuk lastiger. Doelbinding wordt snel genoemd: die HR-gegevens (zoals in- en uitkloktijden) verzamelde je voor een heel ander doel. Alleen bepaalt artikel 5 lid 1 sub b AVG dat specifiek bij gebruik voor statistische doeleinden er géén sprake is van onverenigbaarheid. Maar de overige bepalingen van de AVG blijven gewoon staan, zoals recht van inzage en verwijdering en natuurlijk uitleg over wat je doet met die gegevens.

Te overwegen is dan ook dit uit te besteden bij een extern bureau. Die kunnen via artikel 44 Uitvoeringswet AVG de rechten van inzage (artikel 15 AVG), correctie (artikel 16 AVG) en beperking (artikel 18 AVG) buiten toepassing laten wanneer zij voorzieningen hebben getroffen om te zorgen dat de gegevens ook werkelijk alleen voor hun onderzoeksdoeleinden worden gebruikt. Dit maakt de praktijk iets makkelijker.

Een algemeen probleem blijft natuurlijk de betrouwbaarheid van zo'n data-analyse, zeker als je dat doet op basis van data van één bedrijf. Zorgen voor goede statistische betrouwbaarheid is ook een AVG eis (juistheid, behoorlijkheid, art. 5) en wie met kleine datasets statistiek bedrijft, kan daar flink de neus tegenaan stoten.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.