Overtredingen van de Algemene verordening gegevensbescherming (AVG) kunnen duur worden. Dat moest nu ook een directe bank ervaren, die een boete van 300.000 euro moet betalen.
De Algemene verordening gegevensbescherming – kortweg AVG – is geen tandeloze tijger op papier. Dat moeten steeds meer bedrijven ervaren, die vanwege overtredingen van de AVG beboet worden. Daarbij zijn de autoriteiten gehouden om boetes op te leggen die merkbaar zijn, aldus het advocatenkantoor MTR Legal Rechtsanwälte, dat o.a. adviseert in IT-recht en gegevensbescherming.
In het onderhavige geval heeft de Berlijnse toezichthouder voor gegevensbescherming en informatievrijheid (BInBDI) een boete opgelegd aan een bank wegens gebrek aan transparantie bij geautomatiseerde beslissingen. Dit betreft beslissingen die zonder menselijke tussenkomst door een IT-systeem op basis van algoritmen worden genomen. Volgens de AVG gelden voor dergelijke mechanismen speciale transparantieverplichtingen, die de bank niet heeft nageleefd.
Concreet ging het om een kredietaanvraag die door de bank op basis van algoritmen is verwerkt. Daarbij moet de aanvrager o.a. gegevens over beroep, inkomen en personalia verstrekken. Het algoritme nam op basis van deze en andere gegevens een geautomatiseerde beslissing en wees de aanvraag zonder verdere toelichting af. De klant was verbaasd over de afwijzing, aangezien hij een regelmatig hoog inkomen en een goede SCHUFA-score had. Hij vroeg daarom bij de bank na waarom de afwijzing had plaatsgevonden.
De bank gaf echter slechts algemene informatie over de scoringprocedure, zonder in te gaan op het specifieke geval. De klant kon dus niet begrijpen op basis waarvan zijn kredietwaardigheid negatief werd beoordeeld en de aanvraag werd afgewezen. Zijn klacht bij de Berlijnse gegevensbeschermingsautoriteit had echter succes.
Bij geautomatiseerde beslissingen zijn bedrijven verplicht deze inhoudelijk te onderbouwen en begrijpelijk te maken. De bank had moeten informeren over de belangrijkste redenen voor de afwijzing. Dit heeft zij echter ook op verzoek niet transparant en begrijpelijk gedaan. Daarmee heeft zij volgens de gegevensbeschermingsautoriteit artikel 22 lid 3, artikel 5 lid 1, sub a, en artikel 15 lid 1, sub h, van de AVG overtreden.
MTR Legal Rechtsanwälte adviseren bij vragen over IT-recht en gegevensbescherming.
Neem contact op!➤ Advocaat IT-recht – nu meer te weten komen!
