Overtredingen van de Algemene Verordening Gegevensbescherming (AVG) kunnen duur zijn. Dat moest ook een directe bank ondervinden, die een boete van 300.000 euro moet betalen.
De Algemene Verordening Gegevensbescherming – kortweg AVG – is geen tandeloze papieren tijger. Steeds meer bedrijven moeten dat ervaren, omdat ze voor overtredingen van de AVG op de bon geslingerd worden. De autoriteiten zijn verplicht, boetes op te leggen die merkbaar zijn, aldus de advocaten van MTR Legal die onder andere advies geven over IT-recht en gegevensbescherming.
In het onderhavige geval heeft de functionaris voor gegevensbescherming en informatievrijheid in Berlijn (BInBDI) een boete opgelegd aan een bank wegens gebrekkige transparantie bij geautomatiseerde beslissingen. Hiermee worden beslissingen bedoeld die zonder menselijke tussenkomst door een IT-systeem op basis van algoritmen worden genomen. Volgens de AVG gelden voor dergelijke mechanismen speciale transparantieplichten, die de bank niet heeft nageleefd.
Het ging concreet om een kredietaanvraag die de bank op basis van algoritmen heeft behandeld. Daarbij moet de aanvrager onder andere informatie over beroep, inkomen en persoonlijke gegevens verstrekken. Het algoritme nam op basis van deze en andere gegevens een geautomatiseerde beslissing en wees de aanvraag zonder verdere toelichting af. De klant was verbaasd over de afwijzing, aangezien hij een regelmatig hoog inkomen en een goede BKR-score heeft. Hij informeerde daarom bij de bank waarom de afwijzing had plaatsgevonden.
De bank gaf echter slechts algemene informatie over de scoringsmethode, zonder op het specifieke geval in te gaan. De klant kon daardoor niet begrijpen op basis van welke gegevens en factoren zijn kredietwaardigheid slecht werd beoordeeld en de aanvraag werd afgewezen. Zijn klacht bij de Berlijnse functionaris voor gegevensbescherming had echter succes.
Bij geautomatiseerde beslissingen zijn bedrijven verplicht deze overtuigend en begrijpelijk te motiveren. De bank had over de wezenlijke redenen voor de afwijzing moeten informeren. Dit heeft zij echter ook op verzoek niet transparant en begrijpelijk gedaan. Daarmee heeft zij volgens de functionaris voor gegevensbescherming artikel 22 lid 3, artikel 5 lid 1 sub a en artikel 15 lid 1 sub h AVG geschonden.
MTR Legal Rechtsanwälte adviseren in vragen van IT-recht en gegevensbescherming.
