Skip to content
Blog

Rechtmatig en rechtvaardig datagebruik

Laatste update: 16 juli 2024

Big data, big business!

De wereld van data en kunstmatige intelligentie (AI) wordt gezien als de motor van digitale transformatie: big data is big business. Onze levens worden steeds meer beïnvloed door slimme algoritmen die grote hoeveelheden (persoonlijke) data als brandstof gebruiken. Investeringen in IT groeien, in de hoop dat de volgende Apple, Amazon, Microsoft, Google of Facebook uit Europa komt.

De datadiscussie gaat hierbij over economische belangen versus privacy-rechten én over ‘goed’ en ‘slecht’ datagebruik als zodanig. Microsoft’s CEO Satya Nadella stelt: “We need to ask ourselves not only WHAT computers can do, but what computers SHOULD do.” Dat wat (juridisch) rechtmatig is, dient immers ook (ethisch) rechtvaardig te zijn. Daartoe moeten we de vier fasen van datagebruik bekijken:

1.  Dataverzameling – Organisaties verzamelen data voor marketingdoeleinden en het leveren van diensten, maar ook om snel te kunnen innoveren.
2. Data-analyse –
De te verwerken datahoeveelheden zijn zó groot dat deze niet door mensen, maar door software geanalyseerd worden. De output is steeds vaker een (zelflerend) algoritme, dat wederom toegepast wordt op nieuwe datavolumes.
3. Profilering –
Door data-analyse worden steeds nauwkeurigere profielen van datasubjecten (klanten, burgers, patiënten, etc.) opgebouwd. Dit roept vragen op: Wie stelt die profielen samen? Wat doen organisaties ermee? Wil ik wel dat een bedrijf mijn profiel bijhoudt? En hoe is het beveiligd?
4. Besluitvorming –
Profielen en algoritmen dienen de besluitvorming. Facebook bepaalt welk nieuws we zien, Google beslist welke zoekresultaten voor ons relevant zijn. Dergelijke beslissingen zijn niet altijd in ons belang. De grote vraag is wat wetmatig mag én wat ethisch wenselijk is.

Rechtmatigheid: de juridische voorwaarden

De  AVG (GDPR) stelt regels aan de verwerking van persoonsgegevens. Daarnaast spelen het databankenrecht, auteursrecht, contractuele afspraken en de bescherming van bedrijfsgeheimen een rol bij het gebruik van data. De verwarring omtrent geoorloofd datagebruik wordt steeds groter.

Door je per fase van datagebruik af te vragen welke rechtsgebieden een rol spelen, ontstaat een passend juridische kader voor dataverwerking in jouw organisatie:

Fase 1. Dataverzameling: In deze fase bekijk je eerst het soort gegevens waarmee je werkt. Gaat het om persoonsgegevens, oftewel: zijn de data niet anoniem en te herleiden tot individuen? Zo ja, heb je uitdrukkelijk toestemming gekregen om die data te verzamelen en op te slaan? Rusten er mogelijk nog andere rechten op de data die je verzamelt?

Fase 2. Data-analyse: Door analyse van de verzamelde data kunnen nieuwe – soms zelfs bijzondere – persoonsgegevens ontstaan. Technologie maakt het mogelijk om verbanden te leggen tussen op zich niet herleidbare data, die door combinatie met andere data ineens wél herleidbaar worden. De verkregen toestemming moet daarom niet enkel gelden voor het verzamelen van data, maar óók voor het analyseren ervan, en wel uitsluitend voor het aangegeven analysedoel. Bij AI en big data kan dit problematisch zijn, omdat daarmee steeds nieuwe verbanden en profielen kunnen ontstaan, die niets meer met het oorspronkelijke analysedoel te maken hebben.

Fase 3. Profilering: Door data-analyse is het mogelijk om een profiel aan een persoon toe te kennen. Zo kunnen nieuwe, geoptimaliseerde persoonsgegevens ontstaan. Daarom moet de toestemming die voor het verwerken van de persoonsgegevens gegeven is, óók gelden voor het profileren op basis van die data.

Fase 4. Besluitvorming: Een besluit dat op basis van de geanalyseerde data en zonder menselijke tussenkomst (geautomatiseerd) tot stand is gekomen, is niet zonder meer toegestaan. Zijn er bijvoorbeeld rechtsgevolgen voor degene op wie het besluit betrekking heeft, dan is geautomatiseerde besluitvorming – enige uitzonderingen daargelaten – bij wet (AVG) verboden. Daarnaast moet de manier waarop het besluit tot stand gekomen is, uitgelegd kunnen worden. Een geautomatiseerd besluit kán namelijk leiden tot onrechtmatige consequenties (discriminatie, prijsafspraken).

Afhankelijk van de data, de analysemethoden én het doel, zul je dus steeds goed moeten nadenken over de effecten (bewust of onbewust) van het gebruik van algoritmen.

Rechtvaardigheid: de ethische voorwaarden

Een organisatie die rechtmatig te werk gaat, handelt daarmee niet per definitie rechtvaardig. Zo worden privacy-verklaringen in de regel niet of nauwelijks gelezen en zijn de consequenties van toestemming moeilijk in te schatten (beluister daartoe ook eens deze podcast van BNR). Aan de wettelijke voorwaarden is dan weliswaar voldaan, maar de vraag rijst of er ethisch wordt gehandeld.

Organisaties worden steeds vaker beoordeeld op hoe zij omgaan met privacy, democratie, vrijheid en gelijkheid. Het is raadzaam om deze ethische discussie intern te voeren én te formaliseren. Ethische perspectieven als het utilitarisme en de deontologie helpen daarbij.

Utilitarisme (‘deugdethiek’) meet de morele waarde van een handeling af aan de bijdrage die deze levert aan het algemeen nut. Jurist, filosoof en utilitarist Jeremy Bentham (1748-1832) zei: “It is the greatest good to the greatest number of people which is the measure of right and wrong.” Volgens hem moeten we ons inzetten om maximale waarde te creëren en minimale ‘pijn’ te veroorzaken voor het grootste aantal mensen.

Positief handelen kan gericht zijn op ‘menselijke’ toegevoegde waarde, maar ook op betere diensten en producten. We ervaren het echter als negatief wanneer gegevens misbruikt worden, ons de toegang tot producten, diensten of kansen ontnomen wordt, of wanneer we gediscrimineerd worden (andere prijs/service/behandeling). Daarnaast willen we controle over de distributie en verwerking van onze data (privacy).

In het kader van ons ethische model is het dus zaak om te analyseren of je organisatie door datagebruik maatschappelijke waarde (positieve effecten) creëert, en zo ja, hoe je deze kunt vergroten. Tevens bekijk je of je organisatie met data maatschappelijk schade (negatieve effecten) veroorzaakt, en zo ja, hoe je deze kunt minimaliseren.

Deontologie (‘plichtethiek’) gaat uit van absolute morele gedragsregels (normen). Met AI kunnen we weliswaar razendsnel enorme aantallen analyseren en waarde creëren voor grote maatschappelijke groepen, maar tegelijkertijd kunnen minderheden daardoor benadeeld worden. Dat wordt als onethisch ervaren, ook als dit handelen het algemeen nut maximaliseert.

Immanuel Kant stelde: “Morality is not the doctrine of how we may make ourselves happy, but how we may make ourselves worthy of happiness.” Iedere organisatie heeft dus absolute grenzen die nooit overschreden mogen worden; zelfs de kans op overschrijding moet geëlimineerd worden.

Door samenvoeging van de deugdethiek (maximale waardecreatie, minimalisatie van negatieve effecten) en de plichtethiek (definitie van absolute, niet overschrijdbare grenzen), kunnen we ons ethisch model completeren a.d.h.v. de volgende vijf stappen:

Stap 1) Organisatienormen expliciteren
Allereerst moeten de in jouw organisatie geldende waarden en normen verhelderd en expliciet gemaakt worden. Kijk daarvoor naar de kernwaarden, waardeproposities en maatschappelijke doelstellingen van jouw organisatie en relateer deze aan dataverzameling, data-analyse, profilering en besluitvorming. Zo groeit het vertrouwen in het eigen ethisch handelen.

Stap 2) Negatieve effecten onderzoeken
Ondanks alle ethische normen zijn er altijd (potentiële) negatieve effecten. Geautomatiseerde besluitvorming op basis van slimme algoritmen kan leiden tot discriminatie en ongelijke behandeling. Minder slimme algoritmen kunnen zelfs levensbedreigende fouten veroorzaken.

Stap 3) Positieve effecten benadrukken
Positieve effecten van data zijn vaak intern gefocust (efficiency, kostenbesparing). De ethische business case gaat juist over de externe positieve effecten en de maatschappelijke waardecreatie door datagebruik. Datatechnologie kan bijvoorbeeld ingezet worden om beter in klantbehoeftes te voorzien, maar ook om schonere productieketens te ondersteunen.

Stap 4) Tegenmaatregelen opstellen
Vijf belangrijke maatregelen om negatieve effecten tegen te gaan, zijn:

  • Dataminimalisatie: Zijn alle data echt nodig? Voegen alle bewerkingen werkelijk waarde toe? Zo niet, beperk het databezit.
  • Databeveiliging: Hoe gevoeliger en groter de hoeveelheid, des te zwaarder de beveiliging.
  • Databeheer: Grote hoeveelheden gevoelige data vereisen zeer strikte toegangsregels.
  • Data-educatie: Leer je mensen ethisch om te gaan met data.
  • Datatransparantie: Zorg extern en intern voor inzicht in wat je hebt, wat je doet en waarom. Communiceer je databeveiliging, -beheer en -educatie.

Stap 5) Absolute ethische grenzen formuleren
Zijn er negatieve effecten die voor de organisatie absoluut onacceptabel zijn, ‘heilige’ grenzen die nooit overschreden mogen worden? Daarvoor kun je kijken naar:

  • Menswaardigheid: Kunnen door ons handelen schrijnende gevallen ontstaan, die we nooit mogen accepteren?
  • Zorgvuldigheid: Welke foutmarge is in welke context nog acceptabel? Wie neemt het uiteindelijke besluit?
  • Ongelijkheid: Voorkom dat algoritmen discrimineren op basis van (mogelijk niet-representatieve) datasets

Concurrentievoordeel door ethisch databeleid?

De wet vormt het ultieme kader: pas als aan de juridische voorwaarden voldaan is, volgen de ethische aspecten. Wij pleiten ervoor om dit om te draaien: éérst de ethische business case formuleren, daarna pas het juridische raamwerk vastleggen.

Wil je als organisatie naast een sterke concurrent óók een ‘force for good’ zijn, moet je eerst definiëren WIE je wilt zijn. Waarom? Omdat een feilloze reputatie op het gebied van Data & AI tegenwoordig een enorm concurrentievoordeel biedt.

Ook bij data gaat dit spelen. Bedrijven die hun verantwoordelijkheid nemen, zijn morele én economische winnaars. Transparantie en vertrouwen worden de belangrijkste woorden om AI of big data (‘het goud van de toekomst’) aan te prijzen.

Europa is gericht op privacy, identiteit en eigenheid. Wij lopen qua ethische mindset en wetgeving duidelijk vóór op de rest van de wereld. Juist op die manier kan Europa zich positief onderscheiden van de techgiganten uit China en de VS. Misschien is ‘bewerkt in Europa’ straks wel hetgeen, waarmee wij als continent in de datawereld van de toekomst hét verschil gaan maken.

Meer weten over de juridische aspecten van datagebruik en ons model om de ethische kwestie te tackelen? Lees onze whitepaper “Rechtmatig en rechtvaardig datagebruik”.

SHARE