Moet Mollie informatie over algoritme verstrekken?
Deze zaak gaat over twee stichtingen die door Mollie als klant zijn opgezegd. Dit als gevolg van een Wwft cliëntenonderzoek naar de UBO’s van de klanten. Daarbij zou ook gebruik zijn gemaakt van artificiële intelligentie en algoritmes. De klant vermoedt dat sprake is geweest van profilering op basis van onbetrouwbare data. En dus wil de klant inzage in het algoritme en de werking ervan.
Betaaldienst Mollie moet een cliëntenonderzoek uitvoeren in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (hierna: Wwft). Daarvoor heeft Mollie gegevens opgevraagd en verkregen over de uiteindelijk belanghebbende (‘Ultimate Beneficial Owner’, hierna: UBO) van een klant. Mollie geeft in haar privacyverklaring aan dat zij gebruik maakt van artificiële intelligentie en algoritmes om het cliëntenonderzoek te verrichten. Mollie heeft, naar aanleiding van een (doorlopend) cliëntenonderzoek, de relatie met een klant opgezegd.
Inzageverzoek ogv AVG
Deze klant stelt, op basis van de AVG, recht te hebben op inzage in persoonsgegevens die zijn verwerkt in het kader van het cliëntenonderzoek en het doorlopende toezicht door Mollie. De klant baseert zijn verzoek op art. 15 lid 1 aanhef en art. 22 AVG (geautomatiseerde besluitvorming en profilering).
Mollie stelt dat zij bij het aangaan van de relatie met de klant persoonsgegevens heeft verkregen van de klant zelf en via de KvK. Daarbij gaat het om de geslachtsnaam, voornamen, geboortedatum en een kopie van het identiteitsbewijs. Mollie heeft deze gegevens ook aan de klant verstrekt. In deze procedure gaat het om de vraag of Mollie daarmee aan haar verplichtingen heeft voldaan. De klant stelt dat Mollie meer gegevens moet hebben verzameld. Zo vraagt de klant om inzage in “het opgestelde risicoprofiel, de risicoclassificering en de indeling in segmenten waarbij de persoonsgegevens van de klant zijn betrokken c.q. verwerkt, alsmede de gehanteerde objectieve en subjectieve risicofactoren die zijn gekoppeld aan de klant en die zijn gebruikt voor het opstellen van het risicoprofiel en/of de indeling in risicoclassificaties.”.
Mollie betwist dat zij profielen van UBO’s maakt of deze goed- of afkeurt. Zij betwist ook gebruik te maken van volledig geautomatiseerde besluiten. Van profilering is ook geen sprake.
De rechtbank overweegt dat er geen aanwijzingen zijn dat Mollie onvolledig is geweest in het verstrekken van de persoonsgegevens die zij in het kader van het cliëntenonderzoek heeft verwerkt. De klant stelt dat Mollie niet aan haar verplichtingen heeft voldaan, omdat de accountgegevens (e-mailadressen, contactgegevens, telefoonnummers, IP-adres etc.) niet zijn verstrekt. De rechtbank verwerpt deze stelling. Immers, het gaat hier om stichtingen en niet om een eenmanszaak, wat betekent dat de genoemde bedrijfsgegevens niet kwalificeren als persoonsgegevens van de klant.
Algoritme
De klant verzoekt inzage in het bestaan van geautomatiseerde besluitvorming, en informatie over – kort gezegd – de verwachte gevolgen van die verwerking voor de klant. Mollie heeft aangegeven artificiële intelligentie en algoritmes te gebruiken om het Wwft cliëntenonderzoek te verrichten. Daarnaast heeft Mollie aangegeven dat besluiten altijd door een mens worden beoordeeld. De klant vindt het niet geloofwaardig dat een betekenisvolle toets van automatisch genomen besluiten door een mens plaatsvindt. Daarom dient Mollie inzicht te geven in de logica en parameters van haar verwerkings- of algoritmeproces. Daarbij zou Mollie geen beroep kunnen doen op haar bedrijfsgeheimen, omdat de klant geen inzage vraagt in de techniek zelf, maar alleen in zijn persoonsgegevens.
Mollie stelt dat zij geen gebruik maakt van geautomatiseerde besluitvorming of profilering, en ook niet van geautomatiseerde besluitvorming op basis van profilering. Alle besluiten worden door gespecialiseerde en getrainde medewerkers genomen.
De rechtbank overweegt dat op grond van art. 13, 14 en 15 AVG informatie moet worden gegeven over het verwerken van persoonsgegevens in algoritmes. En wanneer sprake is van profilering en/of geautomatiseerde besluitvorming, dan moet dat kenbaar worden gemaakt door de verwerkingsverantwoordelijke. Omdat Mollie heeft betwist dat hier sprake van is, had de klant concrete aanwijzingen moeten geven waaruit het tegendeel blijkt. Dit heeft de klant niet gedaan. Dat derde partijen die Mollie heeft ingeschakeld mogelijk wel gebruik maken van artificiële intelligentie en machine learning, is onvoldoende om aan te nemen dat Mollie een verboden vorm van automatische besluitvorming toepast.
De verzoeken van de klant worden afgewezen.
Wat betekent dit voor de praktijk:
- Wanneer bij het verwerken van
persoonsgegevensgebruik wordt gemaakt van artificiële intelligentie en algoritmes, dan heeft een betrokkene het recht om daar informatie over te krijgen. - Wanneer gebruikt wordt gemaakt van profilering en/of geautomatiseerde besluitvorming, dan moet dit kenbaar worden gemaakt.
- Dit gaat niet zover dat informatie moet worden verstrekt over de logica en parameters van haar verwerkings- of algoritmeproces.
- Dit is mogelijk anders wanneer de betrokkene concrete aanwijzingen kan geven dat er wel degelijk sprake zou zijn van profilering en/of
geautomatiseerde besluitvorming. Het zou mij niet verbazen dat een rechter dan de bewijslast van het tegendeel bij de verwerker van de persoonsgegevens legt. - Concrete aanwijzingen zijn mogelijk te krijgen door een bewijsbeslag onder de verwerker van de persoonsgegevens. Maar ook voor het verkrijgen van toestemming (van een rechter) om dit bewijsbeslag te lagen leggen, zal een betrokkene concrete aanwijzingen moeten hebben voor profilering en/of geautomatiseerde besluitvorming.
Voor meer informatie over dit onderwerp kun je contact opnemen met Jos van der Wijst.
