Dit weekend in de Volkskrant: het Nederlandse bedrijf AdviceRobo gebruikt gegevens uit vragenlijsten, social media, surfgedrag en zoekgeschiedenissen om tot kredietscores te komen voor klanten die een geldlening aan willen gaan bij een bank. Dit soort berichten roept veel vragen op. Zijn al die gegevens echt nodig? Wat mag er wel en niet als we algoritmes en kunstmatige intelligentie dit soort beslissingen laten maken?

Win-winsituatie?
Voor een startende ondernemer kan het lastig zijn om je kredietwaardigheid aan te tonen op basis van financiële gegevens, terwijl uit een analyse van gedrags- en persoonlijkheidskenmerken kan blijken dat je betrouwbaar bent en in staat bent om aan je verplichtingen te voldoen. Het idee achter AdviceRobo, inmiddels actief in tien landen, is daarom dat meer MKB-ondernemers en consumenten de mogelijkheid moeten krijgen om geld te lenen, waar financiële instellingen juist in staat worden gesteld om de risico’s beter in te schatten en te monitoren. In Nederland maakt onder andere de Volksbank, moedermaatschappij van SNS en Regiobank, gebruik van AdviceRobo.

Hoe werkt het? Een softwarerobot aggregeert data over psychografische kenmerken (bijvoorbeeld politieke overtuiging, ideeën over geld, gevoeligheid voor mode en trends, geloof en zelfbeeld) door middel van vragenlijsten en doorzoekt online (surf)gedrag. Op basis hiervan wordt een persoonlijkheidsprofiel opgesteld, dat weer gekoppeld wordt aan een risicoprofiel. Behalve cijfers heeft een kredietverstrekker nu een schat aan andere informatie om een aanvraag op te beoordelen: gaat iemand verstandig om met geld of geeft hij alles uit aan dure spullen, reageert hij (of zij) impulsief, heeft hij weinig zelfvertrouwen of juist dusdanig veel dat hij onnodige risico’s neemt? AdviceRobo beoogt een win-winsituatie te creëren waarin beide partijen meer kansen en mogelijkheden krijgen. Toch kan ik me voorstellen dat niet iedereen staat te juichen bij het idee dat zijn of haar persoonlijkheid en/of online gedrag geanalyseerd wordt. Wat zegt de privacywetgeving hier eigenlijk over?

Vereisten aan geautomatiseerde besluitvorming
Allereerst is geautomatiseerde besluitvorming of profilering toegestaan als dit onderdeel uitmaakt van de besluitvorming en er op enig moment in het proces sprake is van menselijke tussenkomst. De Volksbank neemt de kredietscore van AdviceRobo als onderdeel mee in het uiteindelijke advies. Hieruit maak ik op dat er ook nog op andere factoren wordt beoordeeld door mensen. De Volksbank hoeft in dat geval niet aan extra wettelijke vereisten te voldoen. Let hierbij wel op dat als de menselijke factor enkel bestaat uit het klakkeloos overnemen van besluiten die door algoritmes zijn genomen, er alsnog sprake kan zijn van volledig geautomatiseerde besluitvorming.

Volledig geautomatiseerde besluitvorming zonder menselijke tussenkomst mag alleen als er aan bepaalde voorwaarden wordt voldaan:

  • Het is noodzakelijk om een overeenkomst te sluiten met de betrokkene en dit kan niet op een minder ingrijpende manier;
  • Het is toegestaan op basis van nationaal of Europees recht, denk bijvoorbeeld aan de automatische controle en voorkoming van belastingfraude en -ontduiking;
  • De betrokkene geeft uitdrukkelijke toestemming.

Laten we bij wijze van theoretische exercitie eens de aanname doen dat er bij de Volksbank sprake is van uitsluitend geautomatiseerde besluitvorming om te kijken in hoeverre dit zou voldoen aan de regels die de AVG stelt.

Uitdrukkelijke toestemming
Uit de Volkskrant maak ik op dat klanten van de Volksbank toestemming moeten geven voor het doorzoeken van hun data. Volgens Diederick Van Thiel, CEO van AdviceRobo, doet vrijwel iedereen dit, omdat ze erbij gebaat zijn om een krediet te krijgen. Om rechtsgeldig te zijn moet toestemming vrij, ondubbelzinnig, geïnformeerd en specifiek zijn. Bij uitdrukkelijke toestemming gelden deze vier eisen ook, maar zal de betrokkene op (jawel) uitdrukkelijke en expliciete wijze moeten laten blijken dat hij of zij akkoord gaat. Manieren om uitdrukkelijke toestemming te vragen zijn bijvoorbeeld het vragen om een schriftelijke verklaring van de betrokkene, het invullen van een elektronisch formulier, het versturen van een e-mail waarin iemand zijn toestemming uit, het uploaden van een gescand bestand met een handtekening of een elektronische handtekening. Ergens een vinkje zetten of in een privacyverklaring opnemen dat je gegevens verwerkt is hier dus niet voldoende. Aan kredietverleners de taak om ervoor te zorgen dat zij op de juiste wijze uitdrukkelijke toestemming verkrijgen.

Ik vraag mij overigens af wat er gebeurt als klanten geen toestemming geven. Wordt hun aanvraag dan beoordeeld zonder de gegevens die AdviceRobo verzamelt of worden ze direct richting de uitgang gedirigeerd? Toestemming kan niet vrij gegeven worden als een klant zich gedwongen voelt om toestemming te geven of geen werkelijke keuze heeft, omdat het weigeren van toestemming negatieve gevolgen zal hebben.

Bijzondere persoonsgegevens
Bij geautomatiseerde besluitvorming en profilering mag in principe geen gebruik gemaakt worden van bijzondere persoonsgegevens. Dit zijn gegevens die iets zeggen over bijvoorbeeld ras of etnische afkomst, politieke of religieuze opvattingen, gezondheid of seksueel gedrag. De kans is groot dat de persoonlijkheidstesten vragen naar bijzondere persoonsgegevens en zodra je social media en online gedrag gaat afstruinen is het haast onvermijdelijk dat je ze tegenkomt. Het verwerken van bijzondere persoonsgegevens mag (wederom) alleen als daar uitdrukkelijke toestemming voor gegeven is of als er sprake is van een algemeen zwaarwegend belang (in het geval van kredietverstrekking zal dit niet zo zijn).  Ook moeten er passende waarborgen genomen worden om de gerechtvaardigde belangen van betrokkenen te beschermen (deze worden hieronder deels toegelicht). In principe gelden al deze vereisten ook voor geautomatiseerde besluitvorming waar enkel “gewone” persoonsgegevens voor gebruikt worden, maar in het geval van bijzondere persoonsgegevens moet je de toestemming en de maatregelen hier nog eens expliciet op toespitsen.

Recht op menselijke tussenkomst
Bij het nemen van beslissingen op basis van algoritmes is het (nog) niet de bedoeling dat de computer de mens volledig vervangt en je als klant in geval van “computer says no” met lege handen en vol vraagtekens weer buiten staat. Als je gebruik maakt van algoritmes moet je kunnen uitleggen op basis van welke logica en criteria een besluit genomen wordt, wat het belang hiervan is en wat de beoogde gevolgen zijn voor de betrokkene. Bij de Volksbank gaat dit nog niet helemaal goed: als we het artikel in de krant mogen geloven, weet de bank niet op basis waarvan AdviceRobo tot een kredietscore komt. Een klant heeft gelukkig het recht om zijn standpunt over de beslissing kenbaar te maken, om het besluit aan te vechten en het recht op menselijke tussenkomst. Dat laatste houdt in dat er een nieuw besluit genomen wordt, waarbij een mens de gegevens beoordeelt.

Algoritmes met vooroordelen
Verder moeten er passende waarborgen genomen worden om verkeerde beslissingen te voorkomen. De wetgever noemt als voorbeeld “passende wiskundige en statistische procedures te hanteren en technische en organisatorische maatregelen te treffen waarmee factoren die aanleiding geven tot onjuistheden van persoonsgegevens worden gecorrigeerd en het risico op fouten wordt geminimaliseerd”. Denk hierbij aan algoritmes die bepaalde vooroordelen aangeleerd krijgen, doordat trainingsdata incompleet of incorrect is, en daardoor niet tot een objectief besluit komen. Een voorbeeld hiervan is Amazon, dat door middel van kunstmatige intelligentie de beste sollicitanten wilde selecteren. Wat bleek? Het algoritme werd getraind met CV’s van eerdere sollicitanten. Omdat het om ICT-banen ging waar vooral mannen op af kwamen, ontwikkelde het algoritme een voorkeur voor mannen en maakten vrouwen (ten onrechte) veel minder kans. Algoritmes kunnen bestaande vooroordelen en ongelijkheid op die manier versterken. Het beste is om dit te voorkomen, maar als je merkt dat het toch gebeurt, moet je als bedrijf in staat zijn om dit te corrigeren.

Privacy is perceptie
Vooralsnog lijkt de manier waarop de Volksbank AdviceRobo inzet als onderdeel van het besluitvormingsproces binnen de wettelijke kaders te vallen. Mocht er toch sprake zijn van volledig geautomatiseerde besluitvorming, dan zijn er een aantal punten waar zij extra aandacht aan moeten geven. Is de uitdrukkelijke toestemming rechtsgeldig? Worden klanten voldoende geïnformeerd? Is de bank in staat om globaal uit te leggen waar het algoritme op oordeelt en hoe het tot beslissingen komt? Wordt er serieus omgegaan met klanten die hun rechten uitoefenen?  Geen onoverkomelijke problemen. AdviceRobo geeft op haar website aan 100% compliant te zijn met huidige en op handen zijnde wetgeving. Ook dat zou dus geen probleem moeten zijn.

Heikel punt blijft toch dat analyseren van social media en surf- en zoekgedrag. Op dit moment biedt de in Nederland gebruikte versie van AdviceRobo deze mogelijkheid nog niet, maar vanaf begin volgend jaar kan dit wel. De Volksbank heeft al aangegeven dat zij hier geen gebruik van gaan maken, omdat ze vinden dat het te ver gaat. Dat lijkt me geen onverstandige beslissing. Dat je het wettelijk gezien recht kan breien door overal toestemming voor te vragen betekent niet dat je het ook moet doen of moet willen. In het kader van dataminimalisatie vraag ik me sowieso af in hoeverre gegevens van social media en surfgedrag noodzakelijk zijn om tot een beslissing over het verstrekken van een krediet te komen en of de vragenlijsten en overige informatie die aan de bank verstrekt wordt niet voldoende zijn. Dit blijft altijd een afweging bij privacyvraagstukken: iets kan juridisch gezien kloppen, maar kan voor betrokkenen toch wringen en ethische vraagstukken oproepen. Blijf dat altijd in het oog houden als je nieuwe toepassingen van kunstmatige intelligentie tot een succes wil maken! Privacy is niet alleen een kwestie van de wet, maar ook van perceptie.

Zou jij er akkoord mee gaan als een bank of andere instelling jouw social media en surfgedrag wil doorzoeken om een persoonlijkheidsprofiel op te stellen?

Bron: Volkskrant.nl

Ook interessant: