DEIMPACTVANBIGDA TA,#SOCIALE MEDIA EN ALGORITMES BIJ ... · eigenlijke solliciteren, en anderzijds...

DE IMPACT VAN BIG DATA, SOCIALE MEDIA EN ALGORITMES BIJ WERVING EN SELECTIE JURIDISCHE IMPLICATIES Aantal woorden: 35158

Pauline Singelée Studentennummer: 01307983 Promotor: Prof. dr. Eva Lievens Commissaris: Dhr. Carl Vander Maelen Masterproef voorgelegd voor het behalen van de graad master in de richting Rechten

Academiejaar: 2017 - 2018

VOORWOORD

Met het voorleggen van deze masterproef leg ik tevens het sluitstuk van mijn 5-jaar durende

rechtenopleiding voor. Een verrijkende periode gedurende dewelke mij de kans geboden werd mezelf

te onplooien, hetgeen uitmondde in een ware passie voor ‘het recht’.

Het vervolledigen van deze masterproef betrof een uitdaging. Een uitdaging die ik bijzonder graag ben

aangegaan. Het onderzoek dat aan deze masterproef ten gronde ligt was een werk van lange adem

waarvan ik u vandaag graag het resultaat voorleg.

Mijn dank gaat in de eerste plaats uit naar mijn ouders, die mij gedurende de gehele opleiding hebben

gemotiveerd en zonder wiens steun deze realisatie een onbegonnen werk zou zijn geweest. Zij stelden

alles in het werk om mij maximaal te ondersteunen en aanhoorden maar al te graag talloze juridische

betogen.

Daarnaast wens ik mijn vrienden te bedanken die mij gedurende de aanloop naar de voltooiing van deze

masterproef bleven stimulerenen bij wie ik steeds voor eender wat terechtkon.

In het bijzonder wens ik tevens mijn promotor, Prof. dr. Eva Lievens, en commissaris, dhr. Carl Vander

Maelen, te bedanken voor de uitstekende begeleiding waarop ik gedurende dit proces kon rekenen.

i

INHOUDSOPGAVE

Hoofdstuk 1: Inleiding .................................................................................................................................... 1

1.1. Rekrutering: does it take two to tango? ...................................................................................................... 1 1.1.1. Afbakening onderzoeksveld ................................................................................................................. 1 1.1.2 Rekruteren versus solliciteren ............................................................................................................... 2

HOOFDSTUK 2. Big Data, sociale media en algoritmes: “het juiste talent op het juiste moment” .................... 4

2.1. Big Data, Big Impact? ................................................................................................................................... 4

2.2. Sociale media ............................................................................................................................................... 7

2.3. Algoritmes .................................................................................................................................................... 9 2.3.1. Kunstmatige of artificiële intelligentie ............................................................................................... 10 2.3.2. Voordelen en risico’s van algoritmes .................................................................................................. 10

2.4. Profilering ................................................................................................................................................... 13

HOOFDSTUK 3: De verenigbaarheid van het gebruik van Big Data, sociale media en algoritmes in het

rekruteringsproces met de Anti-‐discriminatiewetgeving ............................................................................... 15

3. 1. Discriminatie bij werving: schering en inslag? .......................................................................................... 15

3.2. Wettelijk kader ........................................................................................................................................... 17 3.2.1. Een historisch overzicht in vogelvlucht .............................................................................................. 17

3.2.1.1. Het drieluik van wetten van 10 mei 2007 ................................................................................... 17 3.2.1.2. CAO nr. 38 ................................................................................................................................... 18

3.2.2. De gesloten lijst van discriminatiegronden: beschermde criteria ...................................................... 19 3.2.3. Discriminatie: direct of indirect? ........................................................................................................ 19

3.2.3.1. Direct onderscheid en directe discriminatie ............................................................................... 20 3.2.3.2. Indirect onderscheid en indirecte discriminatie .......................................................................... 21

3.2.4. Rechtvaardigingsgronden: .................................................................................................................. 21 3.2.4.1. Direct onderscheid bij werving: ‘wezenlijke en bepalende beroepsvereiste’ ............................. 22

3.3. Oorzaak discriminatie bij algoritmes ......................................................................................................... 24

3.4. Het principe van de omkering van de bewijslast ........................................................................................ 25

3.5. Problematiek met betrekking tot de bewijsvoering bij algoritmische wervingsbeslissingen ..................... 26 3.5.1. Een weerlegbaar vermoeden van discriminatie bij geautomatiseerde besluitvorming? ................... 26 3.5.2. Schadevergoeding .............................................................................................................................. 27

3.6. Een geïntegreerde visie van anti-‐discriminatie-‐ en gegevensbeschermingswetgeving ............................. 29

ii

3.6.1. Gaan anti-‐discriminatie en gegevensbescherming voortaan hand in hand? ...................................... 29

3.7. Aanbevelingen ........................................................................................................................................... 35 3.7.1. “Positieve acties”: bruikbaar in geautomatiseerde wervingssystemen? ........................................... 36 3.7.2. Naar Amerikaans voorbeeld? FTC’s unfairness authority: .................................................................. 38

HOOFDSTUK 4: De verenigbaarheid van het gebruik van Big Data, sociale media en algoritmes in het

rekruteringsproces met de Privacywetgeving ............................................................................................... 39

4.1. Wettelijk kader ........................................................................................................................................... 39 4.1.1. De vroegere Belgische Privacywet: Wet Verwerking Persoonsgegevens ........................................... 43

4.1.1.1. Bijzondere categorieën van persoonsgegevens .......................................................................... 44 4.1.2. Het doorsturen van persoonsgegevens .............................................................................................. 45

4.2. The General Data Protection Regulation (GDPR) ....................................................................................... 46 4.2.1. De hoekstenen van de GDPR .............................................................................................................. 46 4.2.2. Toestemming: een noodzakelijk kwaad? ............................................................................................ 50 4.2.3. Geautomatiseerde besluitvorming en profilering: belang van de menselijke tussenkomst .............. 52

4.2.3.1. “Het recht om niet onderworpen te worden aan uitsluitend geautomatiseerde besluiten” ..... 52 a. Betekent dit het einde van het gebruik van algoritmes bij rekrutering? ......................................... 54

4.2.3.2. Introductie van een “recht op uitleg” bij geautomatiseerde besluitvorming? ........................... 56 a. Mogelijke doelstellingen van een recht op uitleg: Quid? ................................................................ 57 b. Rechtsgronden ................................................................................................................................. 59 c. Het recht op uitleg van een individuele geautomatiseerde beslissing versus de “algoritmische

black box” ............................................................................................................................................ 65 d. “La loi pour une République numérique”: de Franse variant van het ‘recht op uitleg’ .................... 67

4.2.3.3. Alternatieve manieren om sollicitanten inzicht te verschaffen in algoritmische beslissingen ... 69 a. Twee alternatieve gedaantes van het “recht op uitleg” uiteengezet .............................................. 70

4.2.4. Verplichtingen van de werkgever als verwerkingsverantwoordelijke ................................................ 75 4.2.5. Handhaving en sanctionering ............................................................................................................. 76 4.2.6. De GDPR doorgelicht: wat is de de balans? ........................................................................................ 77

4.3. Aanbevelingen ........................................................................................................................................... 81

Hoofdstuk 5: Besluit ..................................................................................................................................... 83

BIBLIOGRAFIE ................................................................................................................................................. i

BIJLAGEN & FIGUREN ..................................................................................................................................... I

Inleiding

1

HOOFDSTUK 1: INLEIDING

1.1. REKRUTERING: DOES IT TAKE TWO TO TANGO?

1.1.1. Afbakening onderzoeksveld

Wanneer men Van Dale raadpleegt om de betekenis van de term “rekruteren” te achterhalen, blijkt dat

voormeld begrip duidt op het werven of in dienst nemen van mensen voor niet nader gespecificeerde

doeleinden. Hoewel deze definiëring vrijwel duidelijk is en weinig interpretatiemarge laat, wijzigde het

concept “rekrutering” in de loop der jaren. Er is sprake van een wijziging in die zin dat je niet langer

steevast met twee partijen dient te zijn waarbij de ene blijk geeft van zijn1 wens om tot rekrutering over

te gaan en de andere op zijn beurt expliciet aangeeft op zoek te zijn naar een job en zodoende de wil om

gerekruteerd te worden tot uitdrukking brengt.

Steeds vaker worden mensen benaderd met het oog op de betrekking van een welbepaalde vacante

positie, hoewel zij hier zelf niet noodzakelijkerwijze actief naar op zoek gingen. Men spreekt in dit

opzicht ook wel van zogenaamde ‘passieve kandidaten’2. Dit zijn kandidaten die, in tegenstelling tot

actieve kandidaten, niet actief op zoek gaan naar werk. Dit betekent echter niet dat zij niet van job willen

veranderen, maar houdt eerder in dat zij zelf geen stappen zullen ondernemen om dit te doen. Voormeld

type kandidaat gaat met andere woorden niet in op vacatures, maar wacht liever tot rekruteerders met

hem/haar contact opnemen. Zo worden headhuntingkantoren vooreerst benaderd door ondernemingen

die een welbepaalde vacature aanleveren en derhalve in verhouding tot de headhunter als opdrachtgever

fungeren. Vertrekkend vanuit voormelde vacature gaan headhuntingkantoren vervolgens over tot

werving. Headhuntingkantoren dienen overeenkomstig de aangeleverde vacatures veelal op zoek te gaan

naar zeer specifieke kandidaten welke doorgaans reeds werkzaam zijn bij een andere onderneming. Het

headhuntingkantoor zal vervolgens de kandidaat trachten te overtuigen om in dienst te treden bij de

opdrachtgever die de headhunter hiertoe heeft ingeschakeld. Deze tendens houdt verband met de

bewustwording welke binnen ondernemingen speelt aangaande het belang van employer branding.

1 Wanneer in dit onderzoek verwezen wordt naar “hij/hem/zijn” wordt eveneens bedoeld “zij/haar/haar”. 2 In dit onderzoek wordt met de term ‘passieve kandidaten’ de bijzondere doelgroep bedoeld bestaande uit kandidaten die niet actief op zoek zijn naar een nieuwe uitdaging, maar bij een aanlokkelijk aanbod alsnog bereid zijn zich kandidaat te stellen. Deze ‘passieve kandidaten’ worden in de literatuur ook wel eens ‘latent werkzoekenden’ genoemd en vormen een voor ondernemingen interessante groep vermits zij enerzijds kritisch, maar anderzijds in geval van interesse bijzonder gemotiveerd zijn.

Inleiding

2

Steeds meer ondernemingen beseffen dat mensen het verschil maken waardoor employer branding zelfs

belangrijker wordt dan corporate branding3.

1.1.2 Rekruteren versus solliciteren

Rekrutering verschilt van het klassieke solliciteren in die zin dat de sollicitant bij rekrutering niet op

eigen initiatief naar een betrekking “dingt”. De sollicitant zal zich namelijk op eigen houtje kandidaat

stellen voor een functie en tracht gedurende het sollicitatieproces in deze functie te worden aangesteld.

Het is bijgevolg relevant om in het kader van dit onderzoek een duidelijk onderscheid te maken tussen

enerzijds kandidaten die zich uit vrije wil aanbieden teneinde een welbepaalde functie in te vullen, het

eigenlijke solliciteren, en anderzijds het actief op zoek gaan door hetzij de werkgever zelf, hetzij de door

de onderneming ingeschakelde arbeidsbemiddelaar naar geschikte profielen. Vermits de term

arbeidsbemiddeling vrij ruim is en verschillende vormen kent4 is het aangewezen voormeld begrip in

het kader van dit onderzoek enigszins te begrenzen. Dit onderzoek zal zich bijgevolg toespitsen op de

commerciële vormen van arbeidsbemiddeling vermits zij betrekking hebben op een groot aandeel van

de arbeidsbemiddeling op de arbeidsmarkt. Headhunter- en uitzendbureaus kunnen onder andere als

voorbeelden aangehaald worden. Algemeen geldt voor eender welke vorm van arbeidsbemiddeling,

zowel commercieel als niet-commercieel, dat zij als een tussenschakel fungeren in de verhouding tussen

werkgevers en werkzoekenden/kandidaten. In dit onderzoek zal het begrip “rekrutering” begrepen

worden als zijnde een driepartijenverhouding waarbij kandidaten door de (commerciële)

arbeidsbemiddelaar aangeleverd worden. Voornamelijk grote ondernemingen doen in toenemende mate

beroep op recruitment- en headhuntingkantoren teneinde gekwalificeerde kandidaten ter invulling van

een vacante functie voorgeschoteld te krijgen.

In dit onderzoek dienen in essentie twee onderscheiden situaties voor ogen te worden gehouden.

Namelijk enerzijds de situatie waarbij een individu zich uit eigen wil en spontaan voor een vacante

betrekking aanbiedt, en anderzijds de situatie waarbij een persoon rechtstreeks door de werkgever of

met behulp van een headhunterskantoor benaderd wordt. In deze laatste situatie is het perfect mogelijk

dat de persoon in kwestie reeds werkzaam was en bijgevolg niet op zoek naar werk. Bij een spontane

sollicitatie lijkt niet zozeer het recht op eerbiediging van het privéleven (hierna: recht op privacy) in het

gedrang te komen, maar zal eerder het discriminatievraagstuk spelen in de vergelijking van de sollicitant

ten overstaan van anderen. Wanneer een persoon zich daarentegen niet op eigen initiatief aanbiedt, maar

door een onderneming of headhuntersbureau gecontacteerd wordt, zal veeleer het recht op privacy in

3 Een sterk werkgeversmerk is essentieel bij de ontwikkeling van een sterke, toekomstbestendige reputatie. Het zorgt ervoor dat de onderneming op het juiste moment op de juiste plaats de juiste mensen aantrekt en vervolgens aan zich bindt teneinde de ondernmingsdoelstellingen te verwezenlijken. 4 De summa divisio betreft in dit kader de niet-commerciële arbeidsbemiddeling enerzijds, en de commerciële arbeidsbemiddeling (welke als hoofddoel het behalen van omzet en winst heeft) anderzijds.

Inleiding

3

nauwe schoentjes komen te zitten. De focus op de eerbiediging van het discriminatieverbod, dan wel op

het recht op privacy zal bijgevolg verschillend zijn naargelang de situatie.

Niettegenstaande Big Data, algortimes en sociale media nuttig kunnen zijn in elke fase van

arbeidsrelatie, zal dit onderzoek louter betrekking hebben op de rol van Big Data, algoritmes en sociale

media bij de beoordeling van kandidaten in het kader van werving en selectie. Door nieuwe

mogelijkheden op technologisch vlak kunnen we immers ook op een meer geavanceerde en nieuwe

manier werven en selecteren. Ik zal met andere woorden uitsluitend het rekruterings- en werving- en

selectieproces behandelen en geenszins ingaan op hetgeen zich afspeelt eens de kandidaat-werknemer

is aangeworven. Hierbij zullen de juridische uitdagingen welke rijzen ingevolge het gebruik van Big

Data, algoritmes en sociale media bij het rekruterings- en selectieproces centraal staan. In het bijzonder

zullen de problematieken inzake discriminatie en deze met betrekking tot het recht op bescherming van

de persoonlijke levenssfeer (of het recht op privacy) aan bod komen, waarbij specifiek aandacht zal

worden besteed aan de inwerkingtreding van de General Data Protection Regulation (hierna: GDPR).

Het juiste talent op het juiste moment

4

HOOFDSTUK 2. BIG DATA, SOCIALE MEDIA EN

ALGORITMES: “HET JUISTE TALENT OP HET JUISTE

MOMENT”

2.1. BIG DATA, BIG IMPACT?

“Data zijn het nieuwe goud”. Met deze uitspraak van Reinout van Zandycke, gespecialiseerd in

politieke communicatie, wordt met slechts enkele woorden de trending status van Big Data

weergegeven. Big Data belooft inzichten te verschaffen die voorheen verscholen zaten in een

onontginbare berg aan gegevens. Hoewel Big Data meer dan ooit als hot item bestempeld wordt lijkt

het toch aangewezen in te gaan op wat deze Engelse benaming precies inhoudt. Wat wordt met andere

woorden verstaan onder de noemer Big Data?

Vanuit een technisch oogpunt wijst de term Big Data (ook wel predictive analytics genoemd) op de

omstandigheid waarbij een volume gegevens niet meer kan worden verwerkt door reguliere database-

managementsystemen, tenzij met veel omwegen5. Technologisch ontwikkelingen hebben er echter toe

geleid dat niet langer sprake is van dergelijke technische beperking. Hoewel een eenduidige definiëring

van Big Data ontbreekt, kunnen drie kenmerken in nagenoeg alle begripsomschrijvingen teruggevonden

worden, met name volume, variëteit en veranderingssnelheid in de gegevensbronnen (ook wel de 3 V’s

genoemd).

Big Data onderscheidt zich bijgevolg van de reeds gekende technieken van statistische analyses6, en

verwerft zodoende zijn innovatief karakter, dankzij het enorme schaalverschil, de nadruk op

voorspellingen (in tegenstelling tot postfactum analyses) alsook de mogelijkheid om aan de hand van

data-analyse gedetailleerde profielen van individuele personen te verkrijgen7. De toenemende

rekenkracht en de aanwezigheid van grotere hoeveelheden data, als gevolg van de algemene

digitalisering, laten toe accurate toekomstvoorspellingen te doen.

5 M. CAPRONI, M. TRUYENS, “Big Data… Big Deal? Toepassing en knelpunten in het arbeidsrecht”, Or., 2015/6, 118. 6 Statistiek is de wetenschap, de methodiek en de techniek van het verzamelen, bewerken, interpreteren en presenteren van gegevens. Het is een onderdeel van de wiskunde. We onderscheiden drie deelgebieden, zijnde de beschrijvende, de inductieve en de exploratieve statistiek. Statistische analyse wordt gebruikt als middel om onderzoeksvragen te beantwoorden, of hypothesen die uit een onderzoeksvraag voortkomen te toetsen. Door middel van analyse van gegevens worden de gegevens samengevat, zodat een overzichtelijker beeld van het geheel ontstaat en de onderzoeksvraag kan worden beantwoord. 7 M. CAPRONI, M. TRUYENS, “Big Data… Big Deal? Toepassing en knelpunten in het arbeidsrecht”, Or., 2015/6, 118.


5

In het kader van dit juridisch onderzoek zal Big Data beschouwd worden als zijnde de verzameling en

analyse van zeer grote hoeveelheden gegevens teneinde nieuwe inzichten te verwerven en, zoals de term

predictive analytics zelf aangeeft, nauwkeurige voorspellingen te doen. Vroeger had men kennis nodig

om het verleden te begrijpen, nu evolueren we echter naar een situatie waarbij het bezit van data en

kennis eerder doorslaggevend is om toekomstige prestaties te voorspellen.

In tegenstelling tot wat heel wat mensen bij het horen van de term ‘Big Data’ voor ogen hebben, komt

de overgrote meerderheid van de bevolking er op regelmatige basis mee in aanraking. Indien een

persoon bijvoorbeeld een smartphone of kredietkaart bezit, af en toe iets op Google opzoekt of via een

webshop een bepaald product aankoopt, komt deze reeds in aanraking met dit veelbesproken fenomeen.

Zij het wel dat men zich vaak niet bewust is van de enorme digitale voetafdruk die men bij de uitvoering

van dergelijke alledaagse en veelal banale handelingen, achterlaat. Smartphone- en tabletgebruikers

laten dag en nacht sporen na op de “gegevenssnelwegen” van het wereldwijde web. Middels het

verzamelen van de virtuele voetsporen slagen ondernemingen erin een gedetailleerd gedragspatroon te

destilleren uit de aanzienlijke voorraad wijdverspreide gegevens.

Big Data dringt de laatste jaren aan een gestaag tempo door in tal van sectoren, gaande van de financiële

sector tot sport en landbouw en tevens de medische sector blijkt aan het Big Data-fenomeen onderhevig

te zijn. De voordelen van Big Data reiken als dusdanig verder dan het commerciële domein. Indien op

een juiste manier aangewend, kan Big Data tal van sociale doelstellingen dienen en tevens

efficiëntieverhogingen bewerkstelligen.

Het spreekwoord “time is money” in het achterhoofd houdend, trachten ondernemingen ook het

wervingsproces een efficiënter karakter toe te meten door geautomatiseerde systemen aan te wenden.

Waarom zouden HR-managers zich door stapels cv’s heen worstelen als een computer dat een miljoen

keer sneller kan? Systemen die in een honderste van een seconde een match weten te vinden tussen de

beschikbare cv’s en de wensen van de onderneming waarbij je finaal de perfecte kandidaat op een

presenteerblaadje aangereikt krijgt. Big Data is the next big thing en zou het allemaal waar moeten

maken.

Dat de HR-sector werkelijk baat heeft bij Big Data en data-analyse werd in het bijzonder aangetoond

door de zogenaamde Talent Acquisition Marketing Optimizer (hierna: TAMO-oplossing). Dit is een

slimme recruitment marketing strategie gebaseerd op Big Data-analyse waarbij gefragmenteerde

gegevens uit verschillende interne en externe bronnen (o.a. Google Analytics, jobsites en diverse sociale

media) worden samengebracht, hetgeen een uniek inzicht in de actieve en passieve arbeidsmarkt biedt.

Via TAMO verwerft een onderneming inzicht in haar time to hire, cost per hire en de verwachte

dynamiek op de arbeidsmarkt. Een onderneming ontdekt onder meer welke wervingskanalen het meest

waardevol zijn en welke acties het meest renderen. Daarnaast biedt TAMO eveneens een visueel

overzicht van het gedrag van de kandidaten. Ondernemingen komen onder meer te weten hoe lang


6

kandidaten een vacature bekijken, hoe vaak zij terugkeren en wanneer kandidaten afhaken gedurende

het proces8. Deze Big Data-tool vormt bijgevolg een sprekend voorbeeld van de faciliterende rol die Big

Data bij het rekruterings- en selectieproces kan vervullen.

Daarnaast maken zowel grote bedrijven als uitzendkantoren in toenemende mate gebruik van

Application Tracking Systems (ATS’s)9. Aan de hand van deze systemen gaat men op elektronische wijze

het rekruteringsproces sturen en persoonlijke informatie van sollicitanten beheren. Application Tracking

Systems kunnen sollicitatiebrieven en allerhande relevante persoonlijke informatie analyseren en op

basis van bepaalde criteria een selectie maken. Vervolgens worden de sollicitanten gerangschikt

teneinde te achterhalen welke sollicitant het meest geschikt is voor de vacature in kwestie. Bijgevolg

zullen slechts 10 à 20 van de duizend(en) sollicitatiebrieven erin slagen zich een weg naar de HR-

manager te banen. Niettegenstaande de vele voordelen die dergelijke systemen impliceren, dient men er

zich van bewust te zijn dat Application Tracking Systems evenwel geen feilloze indicator vormen om

de best gekwalificeerde kandida(a)t(en) te selecteren. Zij hebben immers tot gevolg dat HR-managers

aangespoord worden om een keuze te maken uit de reeds voorafgaandelijk door het algortime

geselecteerde sollicitanten.

Uit de verschillende voorbeelden die reeds aan bod kwamen blijkt duidelijk dat Big Data daadwerkelijk

een “Big Impact” heeft, eentje die vandaag de dag bovendien alsmaar toeneemt. Maar is dit wel steeds

zo positief? Het vermogen van Big Data om te voorspellen kent immers ook een keerzijde. De

voorspellingskracht van Big Data kan namelijk dermate verstrekkende gevolgen hebben dat een inbreuk

op het recht op privacy en/of het non-discriminatiebeginsel wordt gepleegd.

Dergelijk controversieel gebruik van Big Data kan geïllustreerd worden aan de hand van een voorbeeld

waarin Amerikaans retailer Target de hoofdrol vertolkte10. Target slaagde er immers in om op basis van

Big Data-analyse zwangerschappen te voorspellen. Nu Target dankzij Big Data een zicht had op welke

vrouwen al dan niet zwanger waren, kon deze informatie worden aangewend om allerhande

babyartikelen aan de man te brengen. Door de aankoopgegevens waarover Target reeds beschikte te

vergelijken met andere gegevens (zoals geboortelijsten, geregistreerde babyborrels etc.), slaagden zij

erin een twintigtal artikelen te identificeren die zwangere klanten gewoonlijk aankochten in de maanden

voorafgaand aan de bevalling. Dit profiel werd vervolgens toegepast op de database van Target’s huidige

klanten. Zo gebeurde het dat een vrouw verschillende van de geïdentificeerde producten had aangekocht

8 X. “Recruitment en Big Data: de toekomst is begonnen”, 7 juni 2017. 9 A. ROSENBLAT, T. KNEESE and D. BOYD, “Networked Employment Discrimination”, (October 08, 2014), Available at SSRN: https://ssrn.com/abstract=2543507. 10 D. D. HIRSCH, “That’s Unfair! Or is it? Big Data, Discrimination and the FTC’s Unfairness Authority” (2015). Kentucky Law Journal, Vol. 103., 350, p. 350-351. Available at SSRN: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2598545.


7

waardoor zij een hoge ‘voorspellingsscore voor zwangerschap’ toegewezen kreeg en derhalve vanwege

Target tal van babygerelateerde advertenties en kortingsbonnen ontving. De “vrouw” in kwestie bleek

echter een 15-jarig meisje te zijn wiens vader allesbehalve opgezet was met feit dat Target zijn

tienerdochter babygerelateerde kortingsbonnen toestuurde. Echter, kort nadat Target zijn excuses voor

het misverstand aanbood, bleek het 15-jarige meisje toch zwanger te zijn. Target was op basis van Big

Data met andere woorden eerder op de hoogte van de tienerzwangerschap dan de vader zelf.

Dit voorbeeld illustreert de twee gevarenzones alwaar voorspellende Big Data-analyses zich in sommige

gevallen dreigen te begeven.

Ten eerste onthulden de toegestuurde babygerelateerde advertenties en kortingsbonnen de

zwangerschap van het meisje ten aanzien van haar vader, zonder dat zij daar op om het even welke

manier toe instemde. Dit betreft derhalve een schending van het recht op privacy in hoofde van het

meisje. Het recht op privacy kan bijgevolg aangewezen worden als zijnde de eerste gevarenzone.

De tweede gevarenzone betreft het verbod op discriminatie. Stel dat Target, na de zwangerschappen te

hebben voorspeld, deze inzichten aanwendde om sollicitatiegesprekken en jobinterviews te weigeren

aan vrouwelijke kandidaten die bij de zwangschapsvoorspelling een hoge score toegewezen kregen. In

voorkomend geval wordt derhalve een ongerechtvaardigd onderscheid tussen mannen en vrouwen in

het leven roepen. Hierdoor genieten mannen immers een voorkeursbehandeling alwaar vrouwen

daarentegen een discriminatie op basis van een beschermd criterium (geslacht) ervaren. Dergelijke

praktijken zijn derhalve niet alleen schadelijk, maar bovendien ook onrechtmatig.

Uit dit alles volgt dat Big Data en Big Data-analyses enerzijds een bijzonder nuttig instrument vormen

vermits zij tal van betekenisvolle inzichten kunnen opleveren, anderzijds bleek uit het Target-voorbeeld

dat het gebruik van Big Data eveneens bijzonder risicovol kan zijn. Big Data-analyses kunnen immers

inzichten opleveren die gebruikt (lees: misbruikt) worden om discriminerende praktijken in de hand te

werken. Daarnaast kan Big Data-analyse zodanig persoonlijke inzichten opleveren dat zij bij

aanwending ervan het recht op privéleven van een individu aantasten. Hoewel het Target-voorbeeld

slechts een aspect van de problematiek betreft, vormt dit reeds stof tot nadenken.

2.2. SOCIALE MEDIA

Tot nog toe werd voornamelijk ingegaan op de rol van Big Data en Big Data-analyse bij de ontwikkeling

van allerhande tools, zoals hogervermelde TAMO-oplossing, die het nut van Big Data bij werving en

selectie aangeven. Uiteraard gaat niet elke onderneming investeren in Big Data-analyse, voornamelijk

kleinere ondernemingen zullen zich eerder louter wenden tot sociale netwerksites.

Het belang van het gebruik van sociale netwerksites tijdens de rekruteringsfase werd onder andere

aangetoond door een onderzoek uitgaande van de University of Illinois waaruit bleek dat het gedurende


8

10 minuten bestuderen van het Facebookprofiel van een sollicitant een grotere voorspelkracht heeft dan

het invullen van een zelfevaluatietest. Donald Kluemper, hoogleraar aan de Northern Illinois University,

merkte hierover op dat het raadplegen van iemands voorstelling op sociale media een verandering van

het referentiekader tot gevolg heeft. Waar sollicitanten tijdens een zelfevalutatietest normaliter sociaal

wenselijke antwoorden zullen voorleggen, valt het beeld dat sociale netwerksites van hen weergeeft

(zoals onder meer Facebook) minder gemakkelijk te manipuleren. Voormeld onderzoek wees derhalve

uit dat het raadplegen en vluchtig analyseren van iemands Facebookprofiel een betere voorspeller van

toekomstig succes in een welbepaalde functie vormt dan reguliere

zelfevaluatietesten/persoonlijkheidstesten11. Datagestuurde wervingssystemen veranderen immers de

manier waarop kandidaten gedurende het rekruteringsproces beoordeeld worden. Deze beoordeling kan

hetzij op directe wijze plaatsvinden aan de hand van psychometrische testen, hetzij op indirecte wijze

via databanken die de namen bevatten van de kandidaten die verdacht worden zich schuldig te maken

aan wangedrag op de werkvloer. Hierdoor dreigen kandidaten te worden uitgesloten van het

rekruteringsproces. Kandidaten kunnen tevens positief of negatief beoordeeld worden op basis van de

ongeleide persoonlijke gegevens welke eenvoudigweg via een Google-zoekopdracht geraadpleegd

kunnen worden, sommige negatieve associaties worden zelfs in de hand gewerkt door de advertenties

welke naast de zoekresultaten verschijnen12.

Daarnaast vormen de Social Job Ads van sociale netwerksite Facebook wederom een praktijkvoorbeeld

dat de rol van sociale media bij werving en rekrutering, alsmede de verwevenheid tussen beide,

illustreert. Sedert 2016 bestaat op sociale netwerksite Facebook (in navolging van Twitter) namelijk de

mogelijkheid voor ondernemingen om aan de hand van unieke targeting-technologieën gericht vacatures

te promoten13. Met Social Job Ads worden vacatures getoond aan zowel actieve als passieve kandidaten

op Facebook die vooreerst geselecteerd werden aan de hand van een bijzonder geavanceerde targeting-

technologie waardoor de vacatures rechtstreeks en geheel automatisch terechtkomen bij de mensen voor

wie ze daadwerkelijk relevant zijn. Eens een match gevonden wordt tussen de vaardigheden, functietitels

en/of locatie welke overeenkomstig de vacature vereist zijn en kandidaten wiens kwalificaties op

Facebook hiermee overeenstemmen, wordt de vacature automatisch verzonden en prominent

weergegeven op het niewsoverzicht van de gekwalificeerde kandidaten.

11 D. KLUEMPER, P. ROSEN en K. MOSSHOLDER, “Social Networking Websites, Personality Ratings, and the Organizational Context: More than Meets the Eye?”, Journal of Applied Social Psychology mei 2012, 1143-1172. 12 A. ROSENBLAT, T. KNEESE and D. BOYD, “Networked Employment Discrimination”, (October 08, 2014), Available at SSRN: https://ssrn.com/abstract=2543507. 13 B.VERCOUTEREN, “Kandidaten vinden op Facebook met Social Job Ads”, 23 mei 2016. Beschikbaar op: www.monsterboardblog.nl.


9

2.3. ALGORITMES

In tal van systemen, zoals een navigatiesysteem, aanbevelingen op Netflix, advertenties op Facebook

alsook in toenemende mate bij werving en selectie, wordt gebruik gemaakt van algoritmes. Wat in wezen

een formule is bestaande uit een reeks instructies die op automatische wijze worden toegepast teneinde

een probleem op te lossen14. Voormelde instructies kunnen worden uitgebreid waardoor de complexiteit

van het algoritme alsmaar toeneemt.

Een algoritme dat op behoorlijk wat belangstelling kon rekenen was dat van onderzoeker Colin Lee. Hij

slaagde er immers in om aan de hand van Big Data een algoritme te ontwikkelen dat louter op basis van

een cv met 80% nauwkeurigheid kan voorspellen of een sollicitant al dan niet op gesprek zal worden

uitgenodigd. Dit algoritme kwam tot stand op basis van een uitgebreide cv-analyse waarbij de

verschillende in de cv’s terug te vinden variabelen (zoals leeftijd, opleiding) onder de loep genomen

werden Vervolgens werd nagegaan of de kandidaat al dan niet een uitnodiging tot gesprek aangeboden

kreeg. Steunend op deze informatie kon een algoritme worden ontwikkeld dat met 80% accuraatheid de

beslissing van de opdrachtgever kan voorspellen15. Het algoritme voorspelt met andere woorden met

een behoorlijk hoge nauwkeurigheidsgraad hetgeen de opdrachtgever van de rekruteerder verlangt.

Dergelijk algoritme is derhalve voornamelijk nuttig voor bedrijven die geconfronteerd worden met grote

hoeveelheden cv’s. Voormelde bedrijven zullen met het oog op efficiëntie en tijdsbesparing een beroep

doen op dergelijk algoritme, wat meteen ook de hoofdreden voor het gebruik van algoritmes in het

rekruteringsproces vormt.

Hoewel algoritmes in toenemende mate ingang vinden in de rekruteringsproces, maken lang niet alle

ondernemingen er gebruik van. Meer nog, uitzendkantoor T-interim stelde in dit kader een duidelijk

statement met haar zogenaamde universele online survey ter optimalisatie van de zoektocht naar het

meest geschikte profiel. T-interim is het vijfde grootste uitzendkantoor van België en maakt zogezegd

gebruik van een universele online survey welke door kandidaten vrijblijvend kon worden ingevuld.

Vervolgens zou een algoritme op basis van de verkregen informatie (er wordt gepeild naar competenties

en achtergrond) onmiddellijk de best gekwalificeerde personen voor een job in de HR-industrie

selecteren alsook kandidaten welke niet aan de vereisten voldoen elimineren. Dit alles gebeurt, althans

beweerderlijk, op basis van een algoritme waardoor talenten op een efficiënte manier worden

aangeleverd. Niets is echter minder waar, eens de online vragenlijst op de website werd ingevuld wordt

in een volgende stap bekendgemaakt dat T-interim er niet voor opteert algoritmes aan te wenden vermits

zij aangeeft te weten dat niet iedereen over dezelfde achtergrond, competenties of diploma’s beschikt.

Voorts beweren zij samenwerking voorop te stellen en ernaar te streven alle mensen die een job zoeken

14 D. DECKMYN, “Eerherstel voor het algoritme”, De Standaard, 26 november 2016. 15 C. VAN ’T WOUT, “Het selectieproces aan mensen overlaten is nog enger”, De Standaard, 7 april 2016.


10

een eerlijke kans te bieden. Hiermee lijkt T-interim te beweren dat bij het gebruik van algoritmes tijdens

het wervings- en selectieproces dit niet, althans niet te allen tijde, gebeurt en derhalve bepaalde (groepen

van) kandidaten, al dan niet op consistente wijze, uit de boot vallen. Of dit ook daadwerkelijk het geval

is zal dit onderzoek verder moeten uitwijzen.

Dit vormt met andere woorden de keerzijde van de medaille en zal verder in deze masterproef uitgebreid

aan bod komen bij de bespreking van de discriminatieproblematiek bij werving en selectie. Hierbij zal

een uiteenzetting van de huidige antidiscriminatiewetgeving gegeven worden, alsmede welke

wetswijzigingen al dan niet noodzakelijk zijn teneinde het recht op deze ontwikkelingen af te stemmen.

Gelet op het actuele karakter van deze ontwikkelingen bestaat vandaag de dag in België immers geen

nationale wetgeving die specifiek tot doel heeft e-recruiting praktijken (i.e. het online verwerken van

sollicitaties zonder menselijke tussenkomst) te reguleren. Bij de creatie van de

antidiscriminatiewetgeving was er immers nog lang geen sprake van het aanwenden van algoritmes om

het rekruteringsproces te optimaliseren. Het door T-interim gemaakte statement toont eveneens aan dat

het gebruik van algoritmes bij rekrutering geen louter Amerikaans gegeven is, maar dat evenzeer

Belgische uitzendkantoren zich bewust zijn van deze nieuwe ontwikkelingen die ook de HR-sector

grondig dreigen te hervormen.

2.3.1. Kunstmatige of artificiële intelligentie

Men kan echter nog een stap verder gaan met name door algoritmes aan te leren zelf patronen te

herkennen op basis van grote hoeveelheden data teneinde hiernavolgens hun gedrag aan te passen. In

voorkomend geval zal sprake zijn van zogenaamde “kunstmatige of artificiële intelligentie” waarbij de

aanlevering van grote hoeveelheden data een must is.

Nu de digitale revolutie tot de massale terbeschikkingstelling van omvangrijke datasets leidde, kwamen

deze ontwikkelingen in een stroomversnelling terecht. De toegang tot deze data lijkt daarenboven steeds

sneller en gemakkelijker plaats te vinden. Hoe meer data vrijgegeven wordt, hoe specifieker de

instructiereeksen worden. Dit alles dreigt bijgevolg de ingebouwde wettelijke beperkingen, die dienen

te waarborgen dat de informatie enkel en alleen verzameld wordt voor doeleinden waartoe de persoon

in kwestie heeft toegestemd, te ondermijnen.

2.3.2. Voordelen en risico’s van algoritmes

De hoofdbeweegreden om algoritmes in wervingsprocessen aan te wenden is de enorme effeciëntie en

effectiviteit waarmee zij kwalitatieve beslissingen produceren. Algoritmes zijn immers bijzonder goed

in het detecteren van patronen en correlaties. Meer dan eens betreffen het patronen en correlaties die

ervaren rekruteerders soms uit het oog durven verliezen, zo blijkt. Hoewel rekruteerders als geen ander


11

op de hoogte zijn van de vereiste competenties voor een welbepaalde functie en tevens getraind zijn in

het ontfutselen van informatie van kandidaten, toonde een analyse van Harvard University aan dat een

simpele geautomatiseerde wervingsbeslissing de klassieke menselijke beoordelingen met ten minste

25% overtreft16.

Het probleem blijkt te zijn dat mensen gemakkelijker afgeleid worden door elementen die van gering

belang zijn. Daarnaast zouden mensen informatie op inconsistente wijze kunnen aanwenden17. Zo

worden mensen bijvoorbeeld beïnvloedt door onbelangrijke informatie zoals door de kandidaat gegeven

complimenten of opmerkingen met betrekking tot willekeurige onderwerpen. Als gevolg hiervan wordt

onbedoeld een groot deel van het verrichte werk om de criteria voor de job in kwestie vast te stellen

alsook het verzamelen van de data van de kandidaten, teniet gedaan.

Om deze reden besluit men in dit onderzoek dat het overlaten van de selectiebeslissingen aan machines

geen onverstandige beslissing is. Voormeld standpunt kan ongetwijfeld op hevige weerstand rekenen.

Des te meer omdat enquêtes aantonen dat bij de beoordeling van kandidaten 85% tot 97% van de

rektrudeerders in zekere mate simpelweg vertrouwt op intuïtie of een eigen samenvatting van de

informatie. Heel wat managers zijn er bijgevolg van overtuigd dat zij in staat zijn om de beste beslissing

te nemen op basis van een cv-analyse en een face-to-face interview. Zij zijn de mening toegedaan dat

geen algoritme opgewassen is tegen de verworven kennis van een HR-manager met jarenlange ervaring.

Omwille van de tegenkanting, stelt Harvard University in zijn onderzoek een tussenoplossing voorop

waarbij een zuiver geautomatiseerd, algoritmisch systeem overgaat tot een eerste selectie18. Hierdoor

heeft een eerste schifting reeds plaatsgevonden alvorens beroep te doen op het menselijke

beoordelingsvermogen om finaal tot werving van één of enkele kandidaten over te gaan19. Daarnaast

hebben algoritmes tot voordeel dat zij bijzonder kostenefficiënt zijn vermits een algoritme geen last

16 N. R. KUNCEL, D.S. ONES, and D.M. KLIEGER, “In Hiring, Algorithms Beat Instinct”, Harvard Business Review, mei 2014. 17 In dit kader kan eveneens verwezen worden naar het veelbesproken onderzoek gevoerd door Amerikaanse onderzoekers van de Columbia Business School in New York en Israëlische onderzoekers van de Ben Gurion Universiteit. Voormeld onderzoek toonde aan dat rechters na hun lunchpauze aanzienlijk milder oordeelden inzake het verzoek tot voorwaardelijke vrijlating. De wetenschappers stelden hieromtrent dat het niet verrassend is dat rechters zich bij hun beslissingen laten leiden door vermoeidheid of honger. Dit onderzoek vormt derhalve een illustratie van het feit dat algoritmes consistenter zijn in het nemen van beslissingen aangezien zij in tegenstelling tot mensen geen last hebben van factoren zoals vermoeidheid en honger. 18 Verder in deze masterproef zal uitgebreid ingegaan worden op enkele bepalingen van de nieuwe Europese regels inzake gegevensverwerking (=General Data Protection Regulation). Deze nieuwe regeling bevat immers een bepaling waarin het belang van een menselijke tussenkomst bij geautomatiseerde besluitvorming wettelijk verankerd wordt. In art. 22, lid 1 wordt immers gesteld dat de betrokkene het recht heeft niet onderworpen te worden aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of hem anderszins in aanmerkelijke mate treffen. aangaande de interpretatie van de GDPR n kenerking"code die door de oorspronkelijke gegevensverwerker werd aangenomen, zomaar n 19 N. R. KUNCEL, D.S. ONES, and D.M. KLIEGER, “In Hiring, Algorithms Beat Instinct”, Harvard Business Review, mei 2014.


12

heeft van vermoeidheid en evenmin behoefte heeft aan vakantie, hetgeen algoritmes voor

ondernemingen interessant maakt als middel om de kosten te drukken.

De voorgestelde tussenoplossing waarbij de automatisering beperkt wordt tot een eerste selectie waarna

een menselijke tussenkomst wordt vereist, illustreert de moeilijke evenwichtsoefening die in deze

context dient te worden gemaakt.

Naast de talrijke voordelen die aan algoritmische besluitvorming verbonden zijn, kent het systeem

evenzeer minpunten. Allereerst worden algoritmes steeds complexer waardoor het risico ontstaat dat

men elk inzicht in algoritmische besluitvormingssystemen verliest.

Om deze problematiek te duiden wordt in de literatuur gewag gemaakt van de algoritmische black box20.

Het voornaamste probleem van algoritmes is derhalve het gebrek aan verstaanbaarheid voor de personen

die er rechtstreeks bij betrokken zijn21. Beslissingen op basis van algoritmische

besluitvormingssystemen dreigen onverklaarbaar te worden vermits de algoritmische systemen

evolueren naar een zodanig complex gegeven dat zij niet langer door de mens begrepen dreigen te

worden. Derhalve zou gesteld kunnen worden det de autonomie van het systeem toeneemt waardoor het

niet langer onder de volledige controle van de gegevensverwerker komt te staan. Gegevensverwerkers

worden in voorkomend geval immers geconfronteerd met een zeker resultaat (output) zonder te weten

hoe dit resultaat precies bekomen werd.

De complexiteit van algoritmes bemoeilijkt logischerwijze het vermogen om geautomatiseerde

besluitvormingsprocessen over te brengen in klare taal hetgeen uiteraard niet bevorderlijk is voor het

vertrouwen van de betrokkenen in algoritmische systemen.

Wanneer men een oordeel van mensen laat afhangen gebeurt het echter ook meer dan eens dat niet

geheel duidelijk is hoe een rekruteerder tot een welbepaalde selectiebeslissing is gekomen. Hoewel

traditioneel bijgevolg wordt aangenomen dat men niet steeds ontegensprekelijk in staat is de redenering

van een menselijke beslisser in twijfel te trekken, zal de redenering van heel wat complexe algoritmische

beslissingssystemen bijzonder ontoegankelijk zijn voor de mensen die door de beslissingen getroffen

worden22. Door een rekruteerder kan bijvoorbeeld gezegd worden aan een kandidaat dat het feit dat deze

naast de job greep niets te maken had met diens geslacht, maar is dit werkelijk zo?

20 B. MITTELSTADT, S. WACHTER, “Could counterfactuals explain algorithmic decisions without opening the black box?”, Oxford Internet Institute, 3,15 januari 2018. 21 G. MALGIERI en G. COMANDE, “Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation”, International Data Privacy Law, vol. 7, Issue 3, 2, 13 november 2017. 22 B. MITTELSTADT, S. WACHTER, “Could counterfactuals explain algorithmic decisions without opening the black box?”, Oxford Internet Institute, 5,15 januari 2018.


13

Het verschil zit hem in het gegeven dat een algoritme niet in staat is intentioneel te liegen. Dit in

tegenstelling tot mensen die er wel bewust voor kunnen kiezen om de werkelijke reden van jobweigering

achter te houden. Uiteraard kan een algoritme wel bevooroordeeld zijn, onder andere wanneer het

afgericht werd op basis van bevooroordeelde data. In voorkomend geval zal het algoritme de

vooroordelen die in onze samenleving heersen gewoonweg reproduceren. Het is bijgevolg vrij

eenvoudig om de in de samenleving bestaande ongelijk- en vooringenomenheden te transponeren naar

algoritmische besluitvormingssystemen. Algoritmes worden immers afgericht met behulp van bestaande

data. Zodoende kunnen onopzettelijk of doelbewust vooringenomenheden in het systeem respectievelijk

‘binnensluipen’ of inbouwd worden23. Eenmaal aangeleerd kunnen deze vooroordelen zich op grote

schaal verspreiden alsook bestaande ongelijkheden uitvergroten. Het elimineren van deze vooroordelen

uit de systemen is bovendien niet altijd evident.

Deze potentiële risico’s vormen echter niet noodzakelijk redenen om volledig van algoritmische

besluitvorming af te zien. Zij dienen eerder beschouwd te worden als zijnde potentiële effecten die op

andere manieren kunnen worden verminderd of op zijn minst dienen te worden afgewogen ten opzichte

van de potentiële voordelen bij de keuze om het systeem al dan niet te hanteren.

Recht en ethiek zullen hierbij een belangrijke rol te vervullen hebben. Het gebrek aan transparantie, de

onvoorspelbaarheid van algoritmes en de potentieel discriminerende aard ervan vereist dat reeds in een

vroeg stadium van de evolutie over wettelijke en ethische implicaties moet worden nagedacht en dat

idealiter reeds maatregelen getroffen worden. Hierbij kan eventueel inspiratie geput worden uit in het

buitenland reeds ontwikkelde juridische innovaties die het Belgische recht (nog) niet kent. Zo werd bij

wijze van voorbeeld in Frankrijk door een aantal rekruteringsbedrijven een charter ondertekend teneinde

op een ethische en professionele manier om te gaan met de informatie die via sociale media ter

beschikking wordt gesteld.

2.4. PROFILERING

Wat ondernemingen, alsook headhunters, met behulp van Big Data, algoritmes en sociale netwerksites

bij het wervingsproces dikwijls trachten te doen is het profileren van kandidaten.

Dankzij de mogelijkheden van Big Data-analyse en artificiële intelligentie is het immers nog

gemakkelijker geworden om profielen samen te stellen en geautomatiseerde beslissingen te nemen.

Het begrip profilering wordt overeenkomstig artikel 4, 4) GDPR gedefinieerd als zijnde:

23 S. BAROCAS en A. D. SELBST, “Big Data’s Disparate Impact”, 104 California Law Review, 671 (2016), 674, 2016.


14

…“elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand

van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden

geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie,

gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of

verplaatsingen te analyseren of voorspellen”…

Men gaat met andere woorden op basis van de analyse en combinatie van diverse persoonsgegevens

(zoals bijvoorbeeld likes en vrienden op Facebook, surfgedrag, opleiding,…) allerhande kenmerken aan

natuurlijke personen toeschrijven en zodoende een bepaald profiel van de persoon in kwestie

samenstellen.

Verenigbaarheid met discriminatiewetgeving

15

HOOFDSTUK 3: DE VERENIGBAARHEID VAN HET

GEBRUIK VAN BIG DATA, SOCIALE MEDIA EN ALGORITMES

IN HET REKRUTERINGSPROCES MET DE ANTI-

DISCRIMINATIEWETGEVING

3. 1. DISCRIMINATIE BIJ WERVING: SCHERING EN INSLAG?

Uit het jaarverslag van het Interfederaal Centrum voor Gelijkheid van Kansen en Racismebestrijding24

(hierna “Unia” genoemd) van 200925 bleek reeds dat de geformuleerde klachten in belangrijke mate

betrekking hadden op het domein van de werkgelegenheid26. Het merendeel van de gevallen betrof

namelijk klachten aangaande discriminatie bij de aanwerving.

Anno 2018 blijkt de discriminatieproblematiek bij aanwerving echter nog steeds een bijzonder actueel

gegeven te zijn. Zo geeft de recente invoering van de mystery calls andermaal blijk van het bestaan van

een discriminatieproblematiek bij de beoordeling van sollicitanten. Voormeld initiatief schept immers

de mogelijkheid voor sociale inspecteurs om discriminatie bij aanwerving actief op te sporen. Volgens

CD&V-Kamerlid Nahima Lanjri, één van de pleitbezorgers van de maatregel, zijn de mystery calls

uiterst noodzakelijk vermits een onderzoek van de KU Leuven aantoonde dat er sprake was van

discriminatie bij aanwerving. Het onderzoek wees uit dat wanneer het aantal kandidaten voor een

vacature voldoende groot is, mensen met een anders klinkende naam slechts de helft zoveel kans hebben

om te worden uitgenodigd voor een sollicitatiegesprek, zelfs indien ze over gelijkaardige kwalificaties

beschikken27. Gelet op de bewijsvoeringsmoeilijkheden bij discriminatie, kunnen mystery calls, een

bijzonder interessant instrument vormen28.

Nu werving- en selectieprocedures steeds vaker (geheel of gedeeltelijk) via digitale weg verlopen, rijst

in het kader van dit onderzoek de vraag hoe de opsporing van discriminatoire praktijken in deze context

dient te geschieden. Voor deze ‘niewe’ vorm van werving bieden mystery calls immers geen oplossing,

maar wat dan wel?

24 Sinds 22 februari 2016 is de roepnaam van het Centrum voor Gelijkheid van Kansen en Racismebestrijding “Unia”, voorheen werd het Centrum afgekort als “CGKR”. 25 Jaarverslag Discriminatie/Diversiteit 2009, gepubliceerd in augustus 2010, www.diversiteit.be. 26 I. VERHELST en S. RAETS, “Discriminatie op de arbeidsplaats: gewikt en gewogen. Een overzicht van de rechtspraak van de arbeidsgerechten betreffende de antidiscriminatiewetten van 10 mei 2007”, Or., 2011/4, 91. 27 X., “Kamer laat mystery calls toe voor opsporing discriminatie”, De Standaard, 11 januari 2018. 28 Al moet dit enigszins genuanceerd worden. De mystery calls worden immers aan tal van voorwaarden onderworpen waardoor zij de facto slechts in laatste instantie zullen kunnen worden aangewend wanneer andere onderzoeksmethodes ontoereikend blijken.


16

Verder in dit onderzoek zal voornamelijk aandacht worden besteed aan discriminatie op basis van

beslissingsalgoritmes. Hoewel het aanwenden van algoritmes bij wervingsprocedures op het eerste

gezicht een grotere objectiviteit lijkt te waarborgen, blijken algoritmes niet garant te staan voor een

feilloze objectieve beoordeling29. Algoritmes zijn immers evenzeer vatbaat voor bias.

Zo maakt het professionele online netwerk LinkedIn bijvoorbeeld gebruik van een algoritme in het kader

van haar zogenaamde Talent Match-toepassing. Genoemd algoritme doorzoekt 60 miljoen LinkedIn-

profielen, waarna 24 geselecteerde profielen worden voorgesteld als potentiële kandidaten bij nieuwe

vacatures. De door het algoritme uitgevoerde selectie kan echter een afspiegeling vormen van bestaande

vooringenomenheden, die op basis van het klikgedrag van ondernemingen het algoritme binnensluipen.

Dergelijk aanbevelingsmechanisme kan er bijgevolg ten onrechte voor zorgen dat bepaalde profielen

telkenmale minder zichtbaar worden gemaakt30.

Alvorens in te gaan op het wettelijke kader van de Belgische antidiscriminatieregelgeving, is het niet

onbelangrijk stil te staan bij het feit dat een louter gebruik van sociale netwerksites door ondernemingen

in het kader van rekrutering reeds tot discriminatie aanleiding kan geven.

Dit laatste werd immers geïllustreerd door het door Professor Stijn Baert (UGent) gevoerde onderzoek

waarbij gedurende de voorbije 5 jaren 20.000 fictieve sollicitaties werden uitgestuurd 31. Voormeld

onderzoek bracht aan het licht dat discriminatie in het wervingsproces absoluut niet beperkt is tot de

klassieke discriminatiegronden zijnde geslacht en etnische afkomst (bijv. het hebben van een vreemde

naam). Het onderzoek schoof onder meer leeftijd en de profielfoto op sociale netwerksite Facebook als

doorslaggevende factoren naar voren om al dan niet op een sollicitatiegesprek te worden uitgenodigd.

Opmerkelijk is dat het hebben van een “mooiere” profielfoto op Facebook ertoe leidt dat de kans om op

een sollicitatiegesprek te worden uitgenodigd toeneemt met maar liefst 38%. Het onderzoek werd vorm

gegeven door vooreerst de profielfoto’s aan het oordeel van een jury, samengesteld uit 195 mannen en

vrouwen, te onderwerpen. Deze beoordeling gebeurde op basis van criteria zoals aantrekkelijkheid en

betrouwbaarheid. Men kwam tot de vaststelling dat het overgrote deel van de werkgevers sollicitanten

screent via Facebook vermits bij de sollicitatiebrieven bewust geen foto werd gevoegd.

Uit onderzoek bleek daarenboven dat maar liefst 67% van de Vlaamse bedrijven actief informatie over

kandidaat-werknemers op LinkedIn opzoekt en 44% op Facebook32. Het is bijgevolg veeleer de regel

29 A., ROSENBLAT, T., KNEESE and D., BOYD, “Networked Employment Discrimination”, 8, 8 oktober 2014, 2014), Available at SSRN: https://ssrn.com/abstract=2543507. 30 A., ROSENBLAT, T., KNEESE and D., BOYD, “Networked Employment Discrimination”, 6, 8 oktober 2014, 2014), Available at SSRN: https://ssrn.com/abstract=2543507. 31 S.,BAERT, “Facebook profile picture appearance affects recruiters’ first hiring decisions”, New Media & Society, 20, 1220–1239, 2018. 32 V. CASTELYNS, “LinkedIn And Facebook In Flanders: The Influences And Biases Of Social Networking Sites In Recruitment And Selection Procedures”,www.scriptiebank.be; zie ook Knack, 26 april 2011.


17

dan de uitzondering geworden om potentiëlie werknemers voorafgaandelijk via sociale netwerksites te

“screenen”.

Dergelijke vaststellingen doen bijgevolg de vraag rijzen of het bestaand wetgevend kader inzake

antidiscriminatie nog voldoende bescherming biedt. Is men met andere woorden aan de hand van de

huidige juridische instrumenten in staat het hoofd te bieden aan geautomatiseerde systemen die

discriminatoire resultaten afleveren? Deze vraag zal in dit hoofdstuk vanuit het oogpunt van werving en

selectie grondig onderzocht worden.

3.2. WETTELIJK KADER

3.2.1. Een historisch overzicht in vogelvlucht

3.2.1.1. Het drieluik van wetten van 10 mei 2007

Naar Belgisch recht wordt het discriminatievraagstuk geregeld aan de hand van het zogenaamde

‘drieluik van wetten van 10 mei 2007’33, bestaande uit de Wet ter bestrijding van discriminatie tussen

vrouwen en mannen (hierna: Genderwet)34, de Wet tot wijziging van de wet van 30 juli 1981 tot

bestraffing van bepaalde door racisme of xenofobie ingegeven daden (hierna: Racismewet)35 en de Wet

ter bestrijding van bepaalde vormen van discriminatie (hierna: Algemene Antidiscriminatiewet)36.

Gemakshalve spreken we van de Antidiscriminatiewetten, welke werden uitgevaardigd ter

implementatie van de Europese antidiscriminatierichtlijnen37. Concreet vormt de Genderwet de

omzetting van de Europese ‘Genderrichtlijn38’, de Racismewet de omzetting van de Europese

‘Rasrichtlijn39’ en de Algemene Antidiscriminatiewet de omzetting van de Europese ‘Kaderrichtlijn40’.

33 Dit drieluik wordt gevormd door de algemene Antidiscriminatiewet, de Racismewet en de Genderwet. 34 Wet 10 mei 2007 ter bestrijding van discriminatie tussen vrouwen en mannen, BS 30 mei 2007, 29031. 35 Wet 30 juli 1981 tot bestraffing van bepaalde door racisme of xenofobie ingegeven daden, BS 8 augustus 1981, 9928. 36 Wet 10 mei 2007 ter bestrijding van bepaalde vormen van discriminatie, BS 30 mei 2007, 29016. 37 I. VERHELST en S. RAETS, “Discriminatie op de arbeidsplaats: gewikt en gewogen. Een overzicht van de rechtspraak van de arbeidsgerechten betreffende de antidiscriminatiewetten van 10 mei 2007”, Or., 2011/4, 90.

38 Richtl. nr. 76/207/EEG, 9 februari 1976 betreffende de tenuitvoerlegging van het beginsel van gelijke behandeling van mannen en vrouwen ten aanzien van de toegang tot het arbeidsproces, de beroepsopleiding en de promotiekansen ten aanzien van de arbeidsvoorwaarden, gewijzigd door Richtl. nr. 2002/73/EG, 23 september 2002 en Richtl. nr. 2004/113/EG, 13 december 2004 houdende toepassing van het beginsel van gelijke behandeling van mannen en vrouwen bij de toegang tot en het aanbod van goederen en diensten (zie art. 2 Genderwet).

39 Richtl. nr. 2000/43/EG, 29 juni 2000 houdende toepassing van het beginsel van gelijke behandeling van personen ongeacht ras en etnische afstamming (zie art. 1 §1 Racismewet).

40 Richtl. nr. 2000/78/EG, 27 november 2000 tot instelling van een algemeen kader voor gelijke behandeling in arbeid en beroep (zie art. 2 Algemene Antidiscriminatiewet).


18

Elk van de drie wetten vat onder de noemer ‘discriminatie’ vier soorten gedragingen, met name directe

discriminatie, indirecte discriminatie, intimidatie en de opdracht geven tot discrimineren41. In de

Algemene Antidiscriminatiewet wordt tevens het ontbreken van redelijke aanpassingen voor personen

met een handicap vermeld als een bijzondere vorm van discriminatie42.

De Antidiscriminatiewetten zijn van toepassing in het kader van de arbeidsbetrekkingen43.

Overeenkomstig artikel 4, 1° Algemene Antidiscriminatiewet, artikel 5, 1° Genderwet en artikel 4, 1°

Racismewet worden arbeidsbetrekkingen als volgt gedefinieerd:

…”de betrekkingen die ondermeer omvatten de werkgelegenheid, de voorwaarden voor

toegang tot arbeid, de arbeidsvoorwaarden en de ontslagregelingen”…

De Antidiscriminatiewetten bieden tevens een niet-limitatieve opsomming van allerhande elementen die

onder de notie ‘arbeidsbetrekkingen’ kunnen worden gekwalificeerd. De opsomming is bijzonder

uitgebreid en omvat onder meer “de voorwaarden voor toegang tot arbeid”, waaronder bijvoorbeeld de

selectiecriteria en selectiekanalen bij wervingsprocessen begrepen dienen te worden.

De Antidiscriminatiewetten laten derhalve geen twijfel bestaan over het feit dat zij integraal toepassing

vinden in het kader van wervings- en selectieprocessen, ongeacht of deze al dan niet op

geautomatiseerde wijze verlopen. Hieruit volgt dat deze Antidiscriminatiewetten een essentiële rol

zullen vervullen in het kader van dit onderzoek.

3.2.1.2. CAO nr. 38

In België kennen we dankzij CAO nr. 38 reeds sedert 1983 een aantal concrete richtlijnen inzake

werving en selectie44. Deze CAO behelst de verhouding sollicitant-rekruteerder en is bedoeld om een

regeling uit te werken betreffende het beleid van werving en selectie, gericht op het waarborgen van de

gelijke behandeling van sollicitanten45.

Dit betekent dat elke vorm van discriminatie op grond van leeftijd, geslacht of seksuele geaardheid,

burgerlijke staat, ziekteverleden, ras, huidskleur, afkomst of etnische afstamming, politieke of

levensovertuiging, handicap, lidmaatschap van een vakbond of een andere organisatie verboden is46.

41 Art. 14 Algemene Antidiscriminatiewet en Racismewet en art. 19 Genderwet. 42 Art. 14 Algemene Antidiscriminatiewet. 43 Art. 5, §1, 5° Algemene Antidiscriminatiewet en Racismewet en art. 6, §1, 5° Genderwet. 44 CAO nr. 38 van 6 december 1983 betreffende de werving en selectie van werknemers, B.S. 28 juli 1984. 45 Art. 2bis CAO nr. 38. 46 Art. 2 CAO nr. 95 van 10 oktober 2008 betreffende de gelijke behandeling gedurende alle fasen van de arbeidsrelatie (waarnaar art. 2bis van de CAO nr. 38 verwijst).


19

Een overtreding van één van de normatieve bepalingen van deze CAO is tevens strafrechtelijk

sanctioneerbaar47.

3.2.2. De gesloten lijst van discriminatiegronden: beschermde criteria

De Antidiscrimintiewetten worden gekenmerkt door een gesloten lijst van verboden

discriminatiegronden. Deze lijst vormt een samenstelling van discriminatiegronden uit de Europese

richtlijnen enerzijds en discriminatiegronden die de Belgische wetgever heeft toegevoegd anderzijds:

De Europese Richtlijnen verbieden discriminatie op grond van:

- geslacht48;

- ras of etnische afstamming49;

- godsdienst of overtuiging, handicap, leeftijd of seksuele geaardheid50.

De Algemene Antidiscriminatiewet voegt hier nog discriminatie op grond van burgerlijke staat,

geboorte, vermogen, politieke overtuiging, syndicale overtuiging, taal, huidige of toekomstige

gezondheidstoestand, fysieke of genetische eigenschap en sociale afkomst aan toe51.

Het Grondwettelijk Hof merkte echter op dat het aannemen van een gesloten lijst in geen geval kan

worden geïnterpreteerd in die zin dat discriminaties op andere gronden, die niet in die lijst voorkomen,

worden toegestaan52. Het Grondwettelijk Hof oordeelde immers dat elke niet-verantwoorde, ongelijke

behandeling op een andere grond, gesactioneerd kan worden op basis van de algemene burgerrechtelijke

principes (i.e. artikel 1134 en/of artikel 1382 BW).

3.2.3. Discriminatie: direct of indirect?

De Belgische Antidiscriminatiewetgeving verbiedt zowel directe als indirecte discriminatie. Teneinde

verwarring te vermijden zal hiernavolgens kort worden ingegaan op het verschil tussen beide. Daarnaast

dient te worden opgemerkt dat een direct of indirect onderscheid geenszins mag worden gelijkgesteld

met een directe of indirecte discriminatie. ‘Onderscheid’ en ‘discriminatie’ vormen derhalve geen

synoniemen.

47 Art. 56, eerste lid, 1° van de wet van 5 december 1968 betreffende de collectieve arbeidsovereenkomsten en de paritaire comités, BS 16 januari 1969. 48 Art. 2 Richtl. 2002/73/EG van 23 september 2002. 49 Art. 2.1 Rasrichtlijn. 50 Art. 1 Kaderrichtlijn. 51 Art. 3 Algemene Antidiscriminatiewet. 52 GwH 2 april 2009, nr. 64/2009.


20

Het louter bestaan van een onderscheid vormt op zich immers geen probleem. Problematisch dreigt het

te worden wanneer personen die zich in een vergelijkbare situatie bevinden verschillend worden

behandeld op basis van een beschermd criterium. De opvatting dat elk onderscheid of iedere benadeling

een discriminatie uitmaakt is derhalve onjuist. Belangrijk is om steeds rekening te houden met de

concrete omstandigheden van het geval (in concreto-beoordeling). Een onderscheid gesteund op één

van de beschermde criteria kan immers onder strikte wettelijke voorwaarden gerechtvaardigd worden53.

3.2.3.1. Direct onderscheid en directe discriminatie

Overeenkomstig de Antidiscriminatiewetten54 wordt een direct onderscheid omschreven als zijnde:

…“de situatie die zich voordoet wanneer iemand ongunstiger wordt behandeld dan een ander

in een vergelijkbare situatie, is of zou worden behandeld op basis van één van de beschermde

criteria”…

Een directe discriminaite daarentegen wordt conform artikel 4, 7° Algemene Antidiscriminatiewet,

artikel 5, 6° Genderwet en artikel 4, 7° Racismewet gedefinieerd als:

…“direct onderscheid op grond van een beschermd criterium dat niet gerechtvaardigd kan

worden op grond van de bepalingen van Titel II”…

Uit bovenvermelde definitie kunnen 3 constitutieve bestanddelen worden gedestilleerd. Opdat derhalve

sprake zou kunnen zijn van een directe discriminatie dienen volgende 3 elementen te worden

aangetoond:

Ten eerste wordt het bestaan van een ongunstige behandeling vereist. Een weigering tot aanwerving

zou bijvoorbeeld als ongunstige behandeling kunnen worden beschouwd55.

Ten tweede dient de referentiepersoon of referentiegroep, waarmee het slachtoffer van discriminatie

zich wil vergelijken, zich in een vergelijkbare situatie te bevinden. Om die reden ook wel de

‘vergelijkbaarheidstest’ genoemd. Bij aanwerving zal bijvoorbeeld de opleidingsgraad een belangrijke

rol spelen hetgeen het bestaan van een vergelijkbare opleidingsgraad in hoofde van het slachtoffer en de

referentiegroep impliceert.

Ten derde dient een causaal verbond met een beschermd criterium te worden aangetoond. De ongunstige

behandeling moet derhalve rechtstreeks in verband staan met een beschermd criterium56.

54 Art. 4, 6° Algemene Antidiscriminatiewet en Racismewet en art. 5, 5° Genderwet. 55 F. SINE en I.VERHELST, “Tien jaar antidiscriminatiewetgeving voor de Belgische arbeidsgerechten: wat maakt het verschil?, Or. 2017/5, 6. 56 Hieruit volgt een behoorlijk zware bewijslast in hoofde van het slachtoffer. Om die reden werd bijgevolg in verschuiving van de bewijslast voorzien. Dit principe komt in een later onderdeel echter uitgebreid aan bod.


21

Ter illustratie, kan in het kader van direct discriminerende praktijken bij aanwerving gedacht worden

aan het voormalige wervings- en selectiebeleid van Amerikaanse modeketen ‘Abercrombie & Fitch’.

Het wervingsbeleid van Abercrombie & Fitch bepaalde immers dat enkel “mooie en slanke personen”

in aanmerking kwamen om in hun winkels te werken. Hier werden daarenboven concrete vereisten aan

gekoppeld, zo moesten vrouwen bijvoorbeeld een minimumlengte van 1m70 hebben alwaar dit bij

mannen 1m80 bedroeg57. Een dergelijk beleid wijst derhalve zeer sterk in de richting van een directe

discriminatie op basis van fysieke eigenschappen. Het lijkt immers bijzonder moeilijk om het niet

aanwerven van “minder aantrekkelijke personen” objectief te verantwoorden, gezien het twijfelachtige

legitieme karakter van het doel. Daarnaast lijkt ook de proportionaliteit van de maatregel zeer

onwaarschijnlijk. Hieruit volgt dat de rechtvaardigingsgrond ex artikel 7 Algemene

Antidiscriminatiewet vermoedelijk niet aan de orde zal zijn.

3.2.3.2. Indirect onderscheid en indirecte discriminatie

Krachtens artikel 4, 8° Algemene Antidiscriminatiewet, artikel 5, 7° Genderwet en artikel 4, 8°

Racismewet dient indirect onderscheid te worden beschouwd:

…”de situatie die zich voordoet wanneer een ogenschijnlijk neutrale bepaling, maatstaf of

handelwijze personen gekenmerkt door een bepaald beschermd criterium, in vergelijking met

andere personen bijzonder kan benadelen”…

Naar analogie met directe discriminatie, wordt indirecte discriminatie overeenkomstig artikel 4, 9°

Algemene Antidiscriminatiewet, artikel 5, 8° Genderwet en artikel 4, 9° Racismewet omschreven als

volgt:

…”indirect onderscheid op grond van een beschermd criterium dat niet gerechtvaardigd kan

worden op grond van de bepalingen van titel II”…

3.2.4. Rechtvaardigingsgronden:

Een onderscheid zal geen discriminatie vormen indien het kan worden gerechtvaardigd op grond van de

in de Antidiscriminatiewetten voorziene bepalingen.

De mogelijkheid tot rechtvaardiging van een onderscheid verschilt naargelang de discriminatiegrond

(i.e. het beschermd criterium) waarop een beroep wordt gedaan en de vraag of een directe dan wel een

57 P. PECINOVSKY, “Arbeidsrecht - Deel 1”, Brugge, die Keure /la Charte, 2017, 273.


22

indirecte discriminatie wordt ingeroepen. We onderscheiden derhalve een zogenaamd ‘open systeem’

van een ‘gesloten rechtvaardigingsregime’58.

Wat indirecte onderscheiden betreft dient geen verdere differentiatie te gebeuren naargelang de

beschermde criteria. De Antidiscriminatiewetten bepalen immers het volgende:

…” Elk indirect onderscheid op grond van een van de beschermde criteria vormt een indirecte

discriminatie, tenzij de ogenschijnlijk neutrale bepaling, maatstaf of handelswijze die aan de

grondslag ligt van dit indirecte onderscheid objectief wordt gerechtvaardigd door een legitiem

doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn59”…

Uit het arrest Bilka60 van het Hof van Justitie volgt dat de beoordeling door de rechter steeds op

drie vragen gesteund dient te zijn.

Ten eerste zal moeten worden nagegaan of het onderscheid een legitieme doelstelling beoogd

(doeltoets). Ten tweede wordt vereist dat het onderscheid pertinent (passend) is om het doel te bereiken

(pertinentietoets). Ten derde dient te worden onderzocht of het onderscheid noodzakelijk is om het doel

te bereiken of toch minstens niet kennelijk onredelijk of willekeurig in het licht van de doelstelling

(proportionaliteitstoets).

Wat de mogelijke rechtvaardigingsgronden bij directe onderscheiden betreft zal naargelang het

beschermd criterium het open, dan wel het gesloten rechtvaardigingsregime van toepassing zijn.

Een direct onderscheid op grond van de in de Europese richtlijnen voorziene beschermde criteria kan,

met uitzondering van leeftijd, slechts worden gerechtvaardigd door een wezenlijke en bepalende

beroepsvereiste61.

Directe onderscheiden op basis van niet-Europese discriminatiegronden kunnen gerechtvaardigd

worden op grond van een objectieve rechtvaardiging door een legitiem doel en indien de middelen voor

het bereiken van dat doel passend en noodzakelijk zijn.

3.2.4.1. Direct onderscheid bij werving: ‘wezenlijke en bepalende beroepsvereiste’

In arbeidsbetrekkingen kan een direct onderscheid op grond van leeftijd, seksuele geaardheid, geloof of

levensbeschouwing, een handicap, een zogenaamd ras, huidskleur, afkomst, nationale of etnische

afstamming, uitsluitend gesteund zijn op een ‘wezenlijke en bepalende beroepsvereiste’62.

58 I. VERHELST en S. RAETS, “Discriminatie op de arbeidsplaats: gewikt en gewogen. Een overzicht van de rechtspraak van de arbeidsgerechten betreffende de antidiscriminatiewetten van 10 mei 2007”, Or., 2011/4, 172. 59 Art. 9 Algemene Antidiscriminatiewet en Racismewet en art. 15 Genderwet. 60 HvJ 13 mei 1986, nr. C-170/84, Bilka, www.curia.europa.eu. 61 Art. 8, §1 Algemene Antidiscriminatiewet en Racismewet en art. 13, § 1 Genderwet. 62 Art. 8 Algemene Antidiscriminatiewet en art. 8 Racismewet.


23

Wanneer zich bijgevolg een direct onderscheid voordoet tijdens het wervings- en selectieproces, zal

slechts een gesloten rechtvaardigingsregime ter beschikking staan.

Krachtens artikel 8, § 2 Algemene Antidiscriminatiewet, artikel 13, § 2 Genderwet en artikel 8, § 2

Racismewet wordt een ‘wezenlijke en bepalende beroepsvereiste’ als volgt gedefinieerd:

…”een bepaald kenmerk, dat verband houdt met leeftijd, seksuele geaardheid, geloof of

levensbeschouwing of een handicap, vanwege de aard van de betrokken specifieke

beroepsactiviteiten of de context waarin deze worden uitgevoerd, wezenlijk en bepalend is, en;

het vereiste berust op een legitieme doelstelling en evenredig is ten aanzien van deze

nagestreefde doelstelling”…

Voorts benadrukt het Hof van Justitie in zijn rechspraak dat een wezenlijke en bepalende beroepsvereiste

een verband moet hebben met het beschermde criterium en tevens restrictief moet worden

geïnterpreteerd63.

Ter illustratie van voormelde ‘wezenlijke en bepalende beroepsvereiste’ kan het arrest Wolf van het Hof

van Justitie d.d. 12 januari 2010 aangehaald worden64. In dit arrest sprak het Hof zich immers uit over

de vraag in welke mate een leeftijdsgrens toelaatbaar kan zijn bij aanwerving. Het betrof in casu een

aanwerving voor de brandweertechnische dienst waarbij een leeftijdsgrens van 30 jaar werd gehanteerd.

Kandidaten ouder dan 30 jaar werden bijgevolg automatisch uit het wervingsproces geweerd. Deze

leeftijdsgrens was ingegeven door de vereiste fysieke capaciteiten voor het uitoefenen van de functie

van brandweer. Het Hof van Justitie oordeelde dat het beschikken over fysieke capaciteiten van een

bijzonder hoog niveau een wezenlijke en bepalende beroepsvereiste kan vormen voor de uitoefening

van noodhulpdiensten.

Voormeld arrest toont derhalve aan dat het stellen van een leeftijdsgrens bij aanwerving een wezenlijke

en bepalende beroepsvereiste kan vormen. Bepalend zullen echter steeds de concrete omstandigheden

van het geval zijn. Indien de aanwerving geen betrekking had gehad op een fysiek intensieve functie

waarbij specifieke fysieke capaciteiten onontbeerlijk zijn, zou de leeftijdsgrens naar grote

waarschijnlijkheid niet als wezenlijke bepalende beroepsvereiste worden aanvaard, hetgeen

desgevallend een ongerechtvaardigd direct onderscheid op basis van leeftijd impliceert.

63 HvJ 14 maart 2017, nr. C-188/15, Bougnaoui, www.curia.europa.eu. 64 HvJ 12 januari 2010, Wolf, C-229/08.


24

3.3. OORZAAK DISCRIMINATIE BIJ ALGORITMES

Fervente voorstanders zijn er steevast van overtuigd dat algoritmes de menselijke vooroordelen in het

besluitvormingsproces elimineren65. Hetgeen impliceert dat algoritmes bij een besluitvorming een

indicator van objectiviteit vormen.

Niets is echter minder waar, “an algorithm is only as good as the data it works with”, en data is vaak

biased.

Het risico op discriminatoire resultaten zal bijgevolg het hoogst zijn wanneer de historische gegevens

(zoals bijvoorbeeld wervingsbeslissingen uit het verleden), welke worden aangewend om het algoritme

als het ware te ‘trainen’, behept zijn met vooringenomenheden waardoor bepaalde (groepen van)

personen gunstiger worden behandeld dan andere.

Zo kan bijvoorbeeld bij wervingssystemen het gebrek aan vrouwen die in het verleden werden

aangenomen betekenen dat het systeem de waarde van vrouwelijke sollicitanten niet erkent, hetgeen

zelfs kan uitmonden in een persistente vorm van discriminatie66.

In voorkomend geval kan de selectie van best gekwalificeerde kandidaat een sterke correlatie vertonen

met een beschermde discriminatiegrond, met name geslacht. Dit kan evenzeer het geval zijn wanneer

men bij de ontwikkeling het algoritme allerminst de bedoeling had om vroegere wervingsbeslissingen

waarbij bepaalde groepen van personen gemarginaliseerd werden op basis van één (of meerdere) van de

beschermde criteria, blindelings over te nemen. Zodoende kunnen door ondernemingen algoritmische

wervingspraktijken gehandhaafd worden die een discriminatie inhouden, zonder dat de onderneming

zich hiervan bewust is67.

Het is derhalve bijzonder belangrijk de herkomst van de gegevens die gebruikt worden bij algoritmische

besluitvorming na te gaan. Wanneer men immers niet op de hoogte is van de oorsprong van de data of

geen kennis heeft betreffende de accuraatheid, volledigheid en eventuele vooringenomenheid van de

data, kan dit één van de redenen zijn waarom men soms met bevooroordeelde beslissingen

geconfronteerd wordt. Naast een kritische beoordeling van de herkomst van de gegevens kunnen tevens

organisatorische maatregelen geïmplementeerd worden om de nauwkeurigheid en betrouwbaarheid van

de verzamelde gegevens te garanderen68.

65 S. BAROCAS en A. D. SELBST, “Big Data’s Disparate Impact”, 104 California Law Review, 671 (2016), 671, 2016. 66 L., EDWARDS, M., VEALE, “Enslaving the Algorithm: From a ‘Right to an Explanation’ to a ‘Right to Better Decisions’, IEEE Security & Privacy (2018) 16 (3), 2, 2018. 67 A. ROSENBLAT, T. KNEESE and D. BOYD, “Networked Employment Discrimination”, 8 oktober 2014. 68 O. TENE en J. POLONETSKY, “Big Data for All: Privacy and User Control in the Age of Analytics”, 2013.


25

Al is het uiteraard ook mogelijk dat ondernemingen een beroep doen op algoritmes om bewust

wervingsprocessen die discriminerende elementen in zich dragen te maskeren69. De kans bestaat immers

dat zogenaamde gevoelige persoonsgegevens, zoals bijvoorbeeld gezondheidsinformatie, geïntegreerd

worden in complexe wervingsalgoritmes. Hierdoor dreigen werknemers waarvan de werkelijke of

veronderstelde medische toestand hoge kosten voor de werkgever zou kunnen impliceren, uit het

selectieproces geweerd te worden.

Naast een directe discriminatie op basis van beschermde criteria kunnen wervingsbeslissingen, genomen

aan de hand van Big Data en algoritmes, eveneens tot discriminatoire resultaten aanleiding geven,

hoewel zij niet rechtstreeks op een beschermd criterium gesteund zijn. In situaties waarbij HR-managers

geen wervingsbeslissingen nemen op basis van beschermde klasse-informatie, is het immers niet

uitgesloten dat een algoritme dat cv’s sorteert aan de hand van vage, niet-transparante criteria correlaties

ontwikkelt tussen beschermde criteria en de eigenschappen die het succes van werknemers

voorspellen70.

Van zodra een onderneming via softwarehulpmiddelen en technologische tools allerhande HR-

voorspellingen tracht te bewerkstelligen steunend op onder meer beschermde criteria, bestaat

daarenboven het gevaar dat dergelijke discriminatie zich gaandeweg op een eerder permanente wijze

manifesteert.

Dit impliceert dat ondernemingen zich bewust dienen te zijn van de potentiële gebreken die ook

algoritmes kennen.

3.4. HET PRINCIPE VAN DE OMKERING VAN DE BEWIJSLAST

In België voorzien de Antidiscriminatiewetten in een zogenaamde omkering van de bewijslast. Naast

de lijst van verboden discriminatiegronden vormt deze verschuiving van de bewijslast één van de

hoekstenen van het Belgische antidiscriminatierecht71. Dit principe houdt immers in dat wanneer feiten

worden aangedragen die het bestaan van discriminatie kunnen doen vermoeden, de bewijslast naar de

verweerder verschuift. Deze laatste zal vervolgens moeten aantonen dat het niet om een discriminatie

gaat (‘prima facie test’). De wervende onderneming kan zich in dit kader op drie onderscheiden

manieren verweren. In eerste instantie kan zij aanvoeren dat er geen onderscheid is, dan wel dat er geen

sprake is van een vergelijkbare situatie. Daarnaast kan opgeworpen worden dat het onderscheid niet

gesteund is op een beschermde criterium. Tot slot kan een beroep worden gedaan op een

rechtvaardigingsgrond.

69 A. ROSENBLAT, T. KNEESE and D. BOYD, “Networked Employment Discrimination”, 8 oktober 2014. 70 Ibid. 71 Art. 28, § 1 Algemene discriminatiewet; art. 33, § 1 Genderwet; art. 30, § 1 Racismewet.


26

Het Grondwettelijk Hof oordeelde hierover dat de ‘prima facie test’ toegelaten is, op voorwaarde dat de

aangevoerde feiten voldoende sterk en pertinent zijn72. Uit rechtspraak-analyse blijkt dat de Belgische

feitenrechters in de praktijk eerder streng oordelen over de prima facie bewijslast73. Het prima facie

bewijs van discriminatie wordt immers, eerder dan op basis van statistische gegevens en patronen van

ongunstige behandeling74, geleverd op basis van de gewoonlijke bewijsmiddelen die voor de

arbeidsrechtbanken worden gebruikt, zoals de getuigenverklaring, e-mails of de chronologie van

bepaalde gebeurtenissen. Het loutere feit dat een sollicitant kan aantonen tot een beschermde categorie

te behoren zal derhalve niet volstaan om de prima facie test te doorstaan. De Belgische rechtbanken zijn

immers van oordeel dat tevens feiten dienen te worden bewezen die erop lijken te wijzen dat de

ongunstige behandeling is ingegeven door ongeoorloofde motieven. De feiten mogen daarenboven niet

algemeen van aard zijn en moeten duidelijk toe te schrijven zijn aan de persoon aan wie de discriminatie

wordt verweten75.

Dergelijke strenge houding ten overstaan van het prima facie bewijs zet in het kader van dit onderzoek

aan tot juridische reflectie. Derhalve zal worden onderzocht of de prima facie test voldoende

bescherming biedt aan de kandidaat die bij het geautomatiseerde wervingsproces meent gediscrimineerd

te zijn op basis van een algoritme.

3.5. PROBLEMATIEK MET BETREKKING TOT DE BEWIJSVOERING BIJ

ALGORITMISCHE WERVINGSBESLISSINGEN

Hoewel op heden nog maar weinig onderzoek gevoerd werd naar de bewijsvoeringsproblematiek bij

discriminatoire geautomatiseerde wervingsbeslissingen, is met deze masterproef getracht enkele

voorstellen te formuleren teneinde het bestaande wettelijk kader optimaal af te stemmen op de huidige

en toekomstige ontwikkelingen inherent aan het digitale tijdperk.

3.5.1. Een weerlegbaar vermoeden van discriminatie bij geautomatiseerde

besluitvorming?

De toenemende complexiteit (en soms zelfs ondoorgrondelijkheid) van algoritmes in combinatie met de

strenge interpretatie van de prima facie bewijslast, maken het voor de bij een geautomatiseerde

wervingsprocedure betrokken kandidaat bijzonder moeilijk om feiten aan te dragen die het bestaan van

discriminatie doen vermoeden.

72 GwH 12 februari 2009, nr. 17/2009, www.const.-court.-be; bevestigd in het arrest 39/2009 van 11 maart 2009. 73 R., BOONE, “Tien jaar antidiscriminatiewetten: hoe oordelen de arbeidsgerechten?”, Juristenkrant 2017, afl. 357, 12. 74 Art. 28, § 3 Algemene Antidiscriminatiewet; art. 30, § 3 Racismewet en art. 33, § 3 Genderwet. 75 GwH 12 februari 2009, nr. 17/2009, www.const.-court.-be; bevestigd in het arrest 39/2009 van 11 maart 2009.


27

Om die reden lijkt het in het licht van de bewijsmoeilijkheden bijzonder interessant en tevens

noodzakelijk een weerlegbaar vermoeden76 van discriminatie te introduceren voor situaties waarbij de

sollicitant aan een uitsluitend geautomatiseerde wervingsbeslissing onderworpen wordt.

De toepassing van dit weerlegbaar vermoeden zou wezenlijk beperkt worden tot zuiver

geautomatiseerde wervingssystemen of geautomatiseerde wervingssystemen met een niet-substantiële

menselijke tussenkomst.

Op die manier zou de zwakke positie waarin de kandidaat zich bevindt immers in zekere zin verholpen

kunnen worden. De vraag hierbij is echter ten aanzien van wie de kandidaat dit weerlegbaar vermoeden

dient in te roepen. Bij geautomatiseerde wervingsbeslissingen, uitsluitend genomen op basis van

algoritmes, is het immers vaak onduidelijk wie verantwoordelijk is voor de discriminatie. Teneinde een

oplossing voor dit probleem te vinden kan eventueel inspiratie geput worden uit de nieuwe Europese

Privacyverordening77 (of General Data Protection Regulation) welke namelijk voorziet in een centrale

figuur die in het kader van de verwerking van persoonsgegevens een sleutelpositie zal innemen.

3.5.2. Schadevergoeding

Niettegenstaande de besproken voorbeelden de mogelijkheid tot misbruik illustreerden bij het gebruik

van algoritmes in het rekruteringsproces, blijkt het niet evident om de werkelijk geleden schade aan te

tonen en de rekruteerder/werkgevende onderneming desgevallend aansprakelijk te stellen. Artikel 18, §

1 Algemene Antidiscriminatiewet biedt slachtoffers echter ook de mogelijkheid een forfaitaire

schadevergoeding te vorderen. Slachtoffers van discriminatie beschikken bijgevolg over de vrije keuze

om hetzij een forfaitaire schadevergoeding, hetzij een vergoeding voor de werkelijk geleden schade te

vorderen. In het laaste geval wordt echter wel het bewijs door het slachtoffer van de omvang van de

werkelijk geleden schade vereist. Wat de hoegrootheid van de forfaitaire schadevergoeding betreft,

wordt een belangrijk onderscheid gemaakt tussen enerzijds discriminatie in het kader van de

arbeidsbetrekkingen, en anderzijds alle andere vormen van discriminatie. Gelet op de definiëring van

‘arbeidsbetrekkingen’ ex. artikel 4, 1° Algemene Antidiscriminatiewet, kan een discriminatie tijdens het

wervingsproces gekwalificeerd worden als zijnde een discriminatie in het kader van de

arbeidsbetrekkingen. Dit impliceert derhalve dat de vergoeding in voorkomende geval een hoger

forfaitair bedrag omvat. Bij discriminatie in het kader van arbeidsbetrekkingen zal de schadevergoeding

namelijk gelijk zijn aan de bruto beloning voor 6 maanden, tenzij de werkgever aantoont dat de betwiste

of ongunstige of nadelige behandeling ook op niet-discriminerende gronden getroffen zou zijn. In het

76 Een weerlegbaar vermoeden is een vermoeden dat geldt tot bewijs van het tegendeel. 77 Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.


28

laatste geval zal de schadevergoeding gehalveerd worden en derhalve 3 maanden bruto beloning

betreffen78. Nu is het zo dat deze wet niet voorziet in een specifieke toepassing van deze regeling in het

kader van discriminatie gedurende het wervingsproces op basis van algoritmes (hierna: algoritmische

discriminatie).

Dit impliceert dat naarmate de evolutie bettreffende het gebruik van algoritmes bij rekrutering zich

verder ontwikkelt, naar alle waarschijnlijkheid vragen zullen rijzen omtrent de toepasbaarheid van deze

bijzondere bepaling. Zal deze bijzondere bepaling, voorzien voor discriminatie in het kader van de

arbeidsbetrekkingen, onverlet toepassing vinden in de context van algoritmische werving? Daarnaast

besaat geenszins duidelijkheid over de voorwaarden die in dit kader zullen worden gesteld. Heeft men

de bedoeling de draagwijdte van deze bijzondere bepaling beperkend te interpreteren waardoor enkel

een algoritmische discriminatie in hoofde van de (potentiële) werkgever tot toepassing ervan leidt, of

zal algoritmische discriminatie in hoofde van headhuntigkantoren evenzeer aanleiding geven tot een

hogere forfaitaire schadevergoeding? Dergelijke vragen en bedenkingen rijzen als gevolg van het

ontbreken van duidelijk omschreven, wettelijke bepalingen die handelen over algoritmische

discriminatie. De wet kan op dit punt duidelijkheid scheppen door de bijzondere bepaling betreffende

de forfaitaire schadevergoeding, hetzij integraal van toepassing te verklaren in geval van algoritmische

discriminatie bij het wervingsproces, hetzij aan specifieke voorwaarden te onderwerpen.

Tevens wordt deze tendens van vooringenomenheid (algoritmische bias) vaak niet herkent door de

bedrijven zelf die een beroep doen op geautomatiseerde besluitvormingssystemen.

Beoordelingsalgoritmes gaan daarnaast vaak gebruik maken van informatie die prima facie niet relevant

lijkt te zijn met betrekking tot de openstaande vacature. Daarenboven is het vaak onduidelijk welke

informatie nu juist in aanmerking werd genomen en in welke mate de gebruikers van deze algoritmes

invloed hebben (gehad) op de wijze waarop de stroom aan informatie wordt geïnterpreteerd. Hierdoor

zal een sollicitant die gedurende de elektronische wervingsproces geweigerd werd en bijgevolg niet de

mogelijkheid geboden kreeg om op gesprek te komen, misschien nooit te weten komen welke reden nu

precies aan de basis van de weigeringsbeslissing lag.

Bij de analyse van algoritmische wervingsmodellen kan de voornaamste juridische uitdaging gevonden

worden in het achterhalen waar de schade zich precies situeert wanneer de oorsprong van de schade

geenszins bestaat uit voor de hand liggende twistpunten, dan wel in andere criteria. Tevens zal het niet

evident zijn om vervolgens aan te wijzen wie/welk platform/netwerk aansprakelijk is voor de resultaten.

78 Art. 18, §2, 2° Antidiscriminatiewet.


29

3.6. EEN GEÏNTEGREERDE VISIE VAN ANTI-DISCRIMINATIE- EN

GEGEVENSBESCHERMINGSWETGEVING

3.6.1. Gaan anti-discriminatie en gegevensbescherming voortaan hand in hand?

Na zowel het wettelijk kader aangaande antidiscriminatie als de General Data Protection Regulation te

hebben geanalyseerd, bleek een zekere complementariteit tussen beide regelingen te bestaan. Derhalve

rees de vraag of een integratie van de doelstellingen van de antidiscriminatiewetgeving in de nieuwe

regelgeving betreffende gegevensbescherming mogelijk en/of wenselijk was. Deze piste werd derhalve

onderzocht.

In de digitale wereld lijkt een geïntegreerd begrip van deze bepalingen immers noodzakelijk vermits

sollicitanten steeds vaker (onvermijdelijk) data subjecten worden. Tewerkstelling is immers intrinsiek

gekoppeld aan gegevensverwerking.

Hoewel in het volgende hoofdstuk de implicaties van de inwerkingtreding van de General Data

Protection Regulation uitgebreid aan bod komen, zullen nu reeds enkele aspecten worden aangehaald

die noodzakelijk zijn in het kader van de analyse betreffende de bewijsvoeringsproblematiek.

Verder in dit onderzoek zal gezien worden dat het de zogenaamde ‘verwerkingsverantwoordelijke’ is

die onder de GDPR de belangrijkste verantwoordelijkheden draagt. De verwerkingsverantwoordelijke

is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan

die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van

persoonsgegevens vaststelt79. In het kader van werving en selectie zal in de meeste gevallen de

werkgever als verwerkingsverantwoordelijke fungeren80. De verwerkingsverantwoordelijke beschikt

echter ook over de mogelijkheid een externe onderaannemer aan te stellen voor de verwerking van de

persoonsgegevens. In dergelijke situatie zal de onderaannemer als ‘verwerker’ optreden81. De

verwerkingsverantwoordelijke dient erop toe te zien dat de door de GDPR vooropgestelde principes en

bepalingen worden nageleefd en dient tevens in staat te zijn hiervan bewijs te leveren

(verantwoordingsplicht).

De huidige anti-discriminatiewetgeving daarentegen voorziet (nog) niet in de aanstelling van dergelijke

“verantwoordelijke”. Men zou deze kans bijgevolg kunnen aangrijpen om beide regelingen met elkaar

79 Art. 4, 7) GDPR. 80 Al is het echter ook mogelijk dat er meerdere verwerkingsverantwoordelijken zijn die samen de doeleinden en de middelen van de verwerking bepalen. 81 Overeenkomstig artikel 4, 8) GDPR wordt een verwerker gedefinieerd als zijnde een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.


30

in verband te brengen door middel van de aanstelling van een variant op de

“verwerkingsverantwoordelijke” zoals bedoeld in artikel 4, 7) GDPR, wiens taak er, naast het toezien

op de rechtmatige verwerking van persoonsgegevens, in bestaat discriminatie bij geautomatiseerde

beslissingssystemen te vermijden.

Één van de knelpunten waarmee betrokkenen geconfronteerd worden bij het “aannemelijk maken van

discriminatie” in het kader van algoritmische wervingsbeslissingen, is de onduidelijkheid aangaande de

voor discriminatie verantwoordelijk te houden persoon. Nog complexer wordt de situatie immers

wanneer door de onderneming beroep werd gedaan op een headhunter teneinde gekwalificeerde

kandidaten aan te leveren. Wanneer de betrokkene slachtoffer meent te zijn van discriminerende

praktijken, wordt deze nagenoeg aan een heus trial and error-proces onderworpen teneinde uit te zoeken

wie aan de basis van de discriminatie ligt en tevens verantwoordelijk kan worden gehouden. Wanneer

we de concepten ‘verwerker’ en ‘verwerkingsverantwoordelijke’ uit het gegevensbeschermingsrecht

vervolgens op het discriminatievraagstuk toepassen, betekent dit in het kader van rekrutering dat de

opdrachtgever van de headhunter als “verwerkingsverantwoordelijke” zou worden gekwalificeerd.

Indien men, zoals hierboven voorgesteld, in het kader van geautomatiseerde besluitvorming telkenmale

een verantwoordelijke zou aanwijzen die zowel dient in te staan voor een correcte naleving van de

GDPR, als van de anti-discriminatiewetgeving (en dit tevens dient te kunnen aantonen op basis van de

verantwoordingsplicht), schept dit voor de betrokkene de nodige duidelijkheid. De rol die de

verantwoordelijke heeft in relatie tot de betrokkene (in casu de kandidaat) dient derhalve duidelijk te

worden gecommuniceerd.

Wanneer een kandidaat bijgevolg bij een volstrekt geautomatiseerde selectiebeslissing slachtoffer meent

te zijn geworden van discriminatie, kan deze zich op het weerlegbaar vermoeden van discriminatie bij

geautomatiseerde besluitvorming beroepen, waardoor het aan de aangeduide verantwoordelijke

(doorgaans de (potentiële) werkgever) toekomt om het tegendeel te bewijzen. Deze zal derhalve dienen

aan te tonen dat het wervingsalgoritme gedurende de trainingsfase onderworpen werd aan neutrale data

en tevens zorgvuldig getest werd op het produceren van discriminatoire resultaten.

Op die manier kunnen de nieuwe regelen ter bescherming van het recht op privacy en de anti-

discriminatieregelgeving aan elkaar gelinkt worden, hetgeen een bijzonder grote troef lijkt te zijn, vooral

in het kader van geautomatiseerde besluitvorming. Beide fundamentele belangen, met name het recht

op privacy alsook het verbod op discriminatie, zouden in voorkomend geval immers door een centraal

figuur/centrale instantie behartigd worden.

In heel wat opzichten lijkt de combinatie van de concepten uit het anti-discriminatierecht enerzijds, en

de nieuwe handhavingsinstrumenten in de GDPR anderzijds, een krachtig instrument tot resultaat te

hebben waarmee de genoemde tekortkomingen kunnen worden verholpen. Naast individuele rechten

voorziet de GDPR immers ook in instrumenten, zoals de DPIA waarbij men wordt aangespoord ex ante


31

over de proportionaliteit en risico’s van een beoogde gegevensverwerking te reflecteren. Dergelijk

instrument zou tevens kunnen worden aangewend om, naar analogie met ‘privacy by design’, ‘equal

treatment by design’ oftewel ‘gelijke behandeling bij ontwerp’ af te dwingen.

Hoewel critici zouden kunnen beweren dat het integreren van anti-discriminatie in de GDPR een

uitholling van de anti-discriminatiewetgeving tot gevolg heeft, lijkt dergelijke integratie, dankzij de door

de GDPR geboden bijkomende bescherming en handhavingsinstrumenten, eerder een bevorderend

effect te hebben voor de doelstellingen van de anti-discriminatiewetgeving. De doelstellingen van de

GDPR zijn daarenboven bijzonder ruim omschreven82, hetgeen marge creëert om dergelijke

samenvoeging door te voeren. Tot slot, worden de verplichtingen welke in hoofde van de

verwerkingsverantwoordelijke bestaan, geenszins uitgebreid door de integratie van algoritmische

discriminatie in de GDPR. Los van enige integratie, is men immers reeds verplicht zich van

ongerechtvaardigde discriminatie te onthouden.

Opdat men in het kader van algoritmische discriminatie een beroep zou kunnen doen op de GDPR-

instrumenten, zal uiteraard de miskenning van één van de verplichtingen die uit de GDPR voortvloeien,

vereist zijn.

Discriminerende, algoritmische beslissingen zorgen er doorgaans voor dat twee van de 7 basisprincipes

uit de GDPR83 op de helling komen te staan. Ten eerste zal een beslissing, genomen op basis van een

algoritme waarvan de traingsdata met vooroordelen behept was, in strijd zijn met het juistheidsprincipe

(art. 5, lid 1, d) GDPR), vermits de voorspellingen van dergelijk algoritme een lage graad van

nauwkeurigheid kennen. Ten tweede levert een discriminerende, algoritmische beslissing eveneens een

schending van het behoorlijkheidsbeginsel (art. 5, lid 1, a) GDPR) op. Aangezien inhoudelijk noties van

het behoorlijkheidsbeginsel in de anti-discriminatiewetgeving vervat zitten, vormt een

ongerechtvaardigde algoritmische discriminatie tevens een onbehoorlijke gegevensverwerking84. Deze

stelling wordt eveneens erkend in overweging 71 GDPR, waar immers gesteld wordt dat teneinde een

voor de betrokkene behoorlijke en transparantie verwerking te garanderen de

verwerkingsverantwoordelijke de persoonsgegevens zodanig dient te bewaren dat rekening wordt

gehouden met de potentiële risico’s voor de belangen en rechten van de betrokkene en dat onder meer

wordt voorkomen dat zulks voor natuurlijke personen discriminerende gevolgen zou hebben. Hieruit

volgt dat bij een discriminerende, algoritmische beslissing het sanctioneringsarsenaal van de GDPR ter

beschikking komt te staan, hetgeen onder meer impliceert dat aan de discriminerende onderneming fikse

82 Zie overweging 1 tot en met 3 GDPR. 83 Art. 5 GDPR. 84 Article 29 Working Party, “Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679”, 18, 3 oktober 2017.


32

administratieve geldboetes kunnen worden opgelegd85. Voorts voorziet artikel 58, lid 1, b) GDPR in de

mogelijkheid voor nationale toezichthoudende autoriteiten om gegevensbeschermingscontroles (audits)

te verrichten. Volgens WP29 omvatten dergelijke audits het testen van algoritmes, die door machine

learning-systemen werden ontwikkeld, teneinde aan te tonen dat zij daadwerkelijk presteren zoals

bedoeld en geen discriminerende, foutieve of onrechtvaardige resultaten opleveren86. Dergelijke

controle vormt bijgevolg een geschikt instrument om algoritmes op het produceren van discriminerende

resultaten te controleren.

De GDPR voorziet uiteraard ook in andere instrumenten, zoal de in dit onderdeel aangehaalde DPIA’s,

op grond waarvan de vooringenomenheid van het wervingsalgoritme door de beslissende onderneming

zelf kan worden ontdekt en het algoritme dienovereenkomstig kan worden aangepast. Aangezien het

recht om niet gediscrimineerd te worden een fundamenteel recht vormt dat tevens van essentieel belang

is in de context van gegevensverwerking87, zou algoritmische vertekening de verplichting tot het

uitvoeren van een DPIA ongetwijfeld moeten triggeren88. Wanneer in het kader van werving en selectie

de wervende onderneming bijgevolg de aanwezigheid van (historisch gegroeide) vooroordelen

vermoedt, kan zij derhalve, eventueel in samenwerking met derde partijen, een discriminatie-analyse

doorvoeren.

De voornaamste uitdaging bij discriminatie op basis van algoritmische wervingsbeslissingen bestaat

erin de bewijsvoering voor het (potentiële) slachtoffer te vergemakkelijken.

In tegenstelling tot geheel geautomatiseerde wervingsprocessen (zonder enige menselijke tussenkomst),

kunnen bij wervingsprocedures die aan de hand van interviews met fysieke personen verlopen,

elementen van discriminatie worden afgeleid uit hetgeen verbaal, alsook non-verbaal, wordt gezegd of

hoe op bepaalde zaken wordt gereageerd. Zo werd in een recente zaak van de arbeidsrechtbank te Luik89

een sollicitant, na een sollicitatiegesprek te hebben gehad, afgewezen voor een job als rijinstructeur

omwille van zijn zwaarlijvigheid. De sollicitant ontving na afloop immers een bericht waarin hem werd

meegedeeld dat zijn uiterlijk ongeschikt bleek en hem daarenboven gevraagd werd gewicht te verliezen.

De werkgever in desbetreffende zaak achtte de sollicitant immers niet in staat de functie naar behoren

te kunnen uitoefenen vermits hij niet in een standaardwagen zou passen en derhalve de veiligheid van

85 Art. 83 GDPR. 86 Article 29 Working Party, “Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679”, 30, 3 oktober 2017. 87 Dit blijkt onder meer uit overweging 75 GDPR, alwaar een gegevenverwerking welke leidt tot discriminerende resultaten expliciet genoemd wordt. 88 P. HACKER, “Teaching Fairness to Artificial Intelligence: Existing and Novel Strategies against Algorithmic Discrimination under EU Law”, Common Market Law Review, 31, 18 april 2018. 89 Arbrb. Luik 20 juni 2016, NjW 2017, afl. 362, 366.


33

de leerlingen in gevaar zou brengen. Dergelijke uitspraak wijst duidelijk op een directe discriminatie

vanwege handicap en fysieke eigenschap, welke in casu geenszins kon worden gerechtvaardigd90. Bij

het “klassieke” wervingsproces, waarmee het proces met menselijke tussenkomst in de zin van fysieke

sollicitatiegesprekken en interviews wordt bedoeld, duiken met andere woorden veel sneller elementen

op die door de betrokkene kunnen worden aangewend teneinde het bestaan van discriminatie

aannemelijk te maken.

Wanneer daarentegen een cv dient te worden doorgestuurd naar een databank, waarna er een algoritme

op wordt toegepast om de werving en selectie door te voeren, heb je nooit een menselijke interactie en

is discriminatie derhalve veel moeilijker aantoonbaar. Daarnaast is de vraag ook wie precies gaat

discrimineren bij een algoritme? En meer nog, welke elementen van discriminatie kan men als

(potentieel) slachtoffer opwerpen? Een bewering waarbij wordt gesteld dat een geheel algoritme

discriminatoir is kan immers geenszins gegrond zijn vermits je dat algoritme als sollicitant helemaal

niet gaat kennen.

Teneinde in staat te zijn elementen aan te voeren die het bestaan van discriminatie doen vermoeden, zou

de sollicitant idealiter een overzicht moeten worden geboden op de resultaten van het algoritme,

verspreid over de verschillende (beschermde) categorieën van personen die eveneens appliceerden91.

Overeenkomstig artikel 15, lid 1, h) GDPR dient de verwerkingsverantwoordelijke bij geautomatiseerde

besluitvorming de betrokkene nuttige informatie over de onderliggende logica, alsmede het belang en

de verwachte gevolgen van die verwerking voor de betrokkene, te verschaffen. Hoewel dergelijk recht

van inzage een faciliterende functie zou kunnen vervullen voor wat de aantoonbaarheid van

algoritmische discriminatie betreft, wordt echter niet in een gelijkaardig instrument voorzien in de anti-

discriminatiewetgeving. Niettegenstaande de reikwijdte van deze bepaling onduidelijk is92, moeten in

elk geval de gevolgen voor de basisprincipes van gegevensverwerking (artikel 5 GDPR) worden

vermeld93 en zoals reeds werd aangegeven impliceert een discriminerende, algoritmische beslissing een

schending van het juistheids- en behoorlijkheidsprincipe.

90 Volledigheidshalve kan nog worden toegevoegd dat wanneer er een rechtvaardiging voor de afwijzing voorhanden zou zijn, in hoofde van de rijschool wel nog steeds een verplichting geldt om passende maatregelen te treffen die in een concrete situatie een persoon met een handicap in staat moeten stellen toegang te hebben tot een bepaalde functie (art. 14 Anti-discriminatiewet). De arbeidsrechtbank gaf tevens enkele voorbeelden aan van mogelijke aanpassingen, zoals de aankoop van een groter voertuig of het aanstellen van de sollicitant als theoretische lector. Dit arrest vormt derhalve de eerste Belgische uitspraak waarin de redelijke aanpassingsplicht in de sollicitatiefase dermate geconcretiseerd wordt; M. VANHEGEN, “Afwijzing sollicitant wegens zwaarlijvigheid is discriminatie op grond van handicap”, Soc.Weg, nr. 362, 17 mei 2017. 91 P., HACKER, “Teaching Fairness to Artificial Intelligence: Existing and Novel Strategies against Algorithmic Discrimination under EU Law”, Common Market Law Review, 27, 18 april 2018. 92 S. WACHTER, B. MITTELSTADT en L. FLORIDI, “Why a right to explanation of automated decision-making does not exist in the General Data Protection Regulation”, 83, 28 december 2016. 93 P., HACKER, “Teaching Fairness to Artificial Intelligence: Existing and Novel Strategies against Algorithmic Discrimination under EU Law”, Common Market Law Review, 27, 18 april 2018.


34

Op basis hiervan zou gesteld kunnen worden dat de verwerkingsverantwoordelijke er krachtens artikel

15, lid 1, h) GDPR tevens toe gehouden is, de sollicitant (in de hoedanigheid van data subject) een

overzicht van de informatie omtrent het bestaan van algoritmische vertekening te verschaffen. Deze

stelling houdt uiteraard slechts stand voor zover de vertekening en vooringenomenheid van een

algoritme als verwachte gevolgen van de verwerking voor de betrokkene beschouwd kunnen worden. In

ieder geval, werd door WP29 het belang van discriminatie in het kader van profilering (artikel 22 GDPR)

benadrukt94. Vermits in artikel 15, lid 1, h) GDPR expliciet verwezen naar het artikel betreffende

profilering (artikel 22 GDPR), kan dit als argument pro integratie pleiten. Tot slot, dient te worden

beklemtoont dat het aan de verwerkingsverantwoordelijke geenszins is toegestaan de (beweerdelijke)

rechtvaardiging van een vorm van discriminatie aan te wenden om inzage aan de betrokkene te

weigeren. De verwerkingsverantwoordelijke dient daarentegen feitelijk bewijsmateriaal bekend te

maken teneinde ruimte te creëren om argumenten voor en tegen de aangevoerde rechtvaardiging aan te

brengen.

Indien deze redenering zou worden gevolgd, en anti-discriminatie derhalve wordt ondergebracht in

artikel 15, lid 1, h) GDPR (recht van inzage), kent ook dit systeem een aantal praktische minpunten.

Ten eerste, kan het onrealistisch zijn om aan te nemen dat sollicitanten, die menen slachtoffer te zijn

geworden van discriminatie, actief naar inzage betreffende specifieke, technische analyses zouden

vragen. Ten tweede, lijkt de verplichting in hoofde van de verwerkingsverantwoordelijke om de

sollicitant, op diens verzoek, te informeren over de discriminerende uitwerking van het algoritme, geen

verplichting in te houden de oorzaak van de discriminatie te onderzoeken alsmede aan de sollicitant

bekend te maken. De oorzaak van discriminatie bij algoritmes kan mogelijks gevonden worden in de

vooringenomenheid van de trainingsdata, op basis waarvan de ontwikkeling van het algoritme vorm

wordt gegeven. In voorkomend geval zal de oorzaak die aan de discriminatie ten grondslag ligt, eerder

een onderdeel van het algoritme uitmaken, zonder echter de “onderliggende logica” te betreffen, dan

een “gevolg van de verwerking” op basis van het algoritme95. Deze laatste opmerking lijkt voor de

Belgische anti-discriminatieregeling echter weinig implicaties te hebben vermits het aanbrengen van

elementen die het bestaan van discriminatie doen vermoeden reeds volstaat om de bewijslast naar de

verweerder (in casu de werkgever) te doen verschuiven.

94 Article 29 Working Party, “Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679”, p. 10, 3 oktober 2017. 95 P., HACKER, “Teaching Fairness to Artificial Intelligence: Existing and Novel Strategies against Algorithmic Discrimination under EU Law”, Common Market Law Review, 27, 18 april 2018.


35

3.7. AANBEVELINGEN

Een aantal onderzoekers (o.a.J. Kroll, J. Huey, S. Barocas, en E. Felten) schoven als oplossing om aan

de discriminatie-problematiek bij algoritmische besluitvorming tegemoet te komen onder meer naar

voor dat ondernemingen een zekere willekeur aan de dag dienden te leggen teneinde bepaalde

kandidaten, op basis van wiens karakteristieken het algoritme niet voorspeld dat zij “the best fit” zijn,

alsnog aan te nemen. Door vervolgens de werkelijke prestaties van deze personen verder op te volgen

en te vergelijken met hetgeen verwacht werd, kan de werking van het wervingssysteem nagegaan

worden, wat finaal de billijkheid van het proces zou bevorderen96. Het algoritme zou immers

bijkomende gegevens verzamelen door sporadisch een kandidaat aan te nemen waarover het geen

betrouwbare voorspellingen kon doen. Deze nieuwe informatie strekt ertoe het algoritme in staat te

stellen te evolueren naar een realistisch model dat meer aansluit op de praktijk. Deze analyse mag in

theorie dan wel goed klinken, in de praktijk vormt dit voor ondernemingen allerminst een realistische,

haalbare oplossing. Men kan immers moeilijk van werkgevers verwachten dat zij de minst geschikte

kandidaat aanwerven om het algoritme te verbeteren.

Er dienen met andere woorden praktijkvriendelijkere oplossingen te worden bedacht om discriminatie

op basis van algoritmes zo veel mogelijk te vermijden.

Allereerst zouden hulpmiddelen zoals ethische, algoritmische audits, die ertoe strekken het bestaan van

discriminatie te signaleren, door ondernemingen geïmplementeerd moeten worden. Interne audits

dienen er enerzijds over te waken dat zich geen discriminerende praktijken ten aanzien van beschermde

groepen voordoen, anderzijds hebben zij tot taak de slachtoffers van onverwachte discriminatie te

beschermen97. Om grootschalige inbreuken op het discriminatieverbod te vermijden is ethische auditing

voor algoritmes van essentieel belang om te garanderen dat geautomatiseerde systemen niet

bevooroordeeld zijn. Hoewel dit mogelijks voor de hand liggend lijkt, worden ondernemingen hier op

geen enkele juridisch bindende grond toe verplicht.

Idealiter dient ook in een regeling aangaande de praktijken van het delen van informatie te worden

voorzien. Potentiële discriminatie houdt immers niet op bij de gegevensverwerker die de gegevens

initieel verzamelde. Deze gegevens kunnen immers gedeeld of doorgestuurd worden. Om te vermijden

96 J.A. KROLL, J.HUEY, S. BAROCAS, E. W. FELTEN, J. R. REIDENBERG, D.G. ROBINSON and H. YU, “Accountbale algorithms”, University of Pennsylvania Law Review, 19 november 2016, 46. 97 S. WACHTER, “GDPR and the Internet of Things: Guidelines to Protect User’s Identity and Privacy, p?,5 februari 2018.


36

dat de ontvanger van de gegevens de ethische gedragscode die door de oorspronkelijke

gegevensverwerker werd aangenomen, zomaar naast zich neerlegt, dient met betrekking tot het

doorsturen van data in een gelijkaardige regeling te worden voorzien. Er zullen bijgevolg passende

waarborgen moeten worden opgezet voor wat betreft internationale gegevensstromen. Over het

verzenden van persoonsgegevens buiten de Europese Unie zal nader worden ingegaan in het volgende

hoofdstuk aangaande privacy.

3.7.1. “Positieve acties”: bruikbaar in geautomatiseerde wervingssystemen?

In aritkel 10 Algemene Anti-discriminatiewet werd de mogelijkheid voorzien om zogenaamde

maatregelen van positieve actie uit te voeren. Gelet op artikel 4, 11° Algemene Anti-discriminatiewet

worden onder positieve acties specifieke maatregelen om de nadelen verband houdende met een van de

beschermde criteria te voorkomen of te compenseren, met het oog op het waarborgen van een volledige

gelijkheid in de praktijk, begrepen.

Voormelde positieve acties worden echter aan strikte, wettelijke voorwaarden onderworpen. Ten eerste

wordt het bestaan van een kennelijke ongelijkheid vereist. Ten tweede dient het verdwijnen van deze

ongelijkheid te worden aangewezen als een te bevorderen doelstelling. Als derde vereiste wordt het het

tijdelijk karakter van de actie verplicht gesteld. Tot slot, mag de maatregel van positieve actie geen

onnodige bepereking van andermans rechten tot gevolg hebben98. Voor zover deze vereisten cumulatief

vervuld zijn, en er derhalve sprake is van een maatregel van positieve actie, zal een direct of indirect

onderscheid op grond van één van de beschermde criteria nooit aanleiding geven tot de vaststelling van

enige vorm van discriminatie99.

Aan de hand van positieve actie-maatregelen kunnen ondernemingen bij werving bijvoorbeeld tijdelijk

extra kansen bieden aan groepen van personen die het moeilijk hebben op de arbeidsmarkt, zoals

personen met een handicap of migratieachtergornd100.

Gezien de aandacht die recent, onder andere in de media101, naar de concretisering van deze positieve

acties uitging, rees de vraag of dit instrument ook in het kader van discriminatie bij algoritmische

wervingsprocedures beteknisvol kan zijn. Na deze piste te hebben onderzocht, stuitte ik echter op een

inherente tegenstelling. Ondernemingen gaan immers eerder gebruik maken van positieve maatregelen

98 Art. 10, §2 Algemene Anti-discriminatiewet. 99 Art. 10, §1 Algemene Anti-discriminatiewet. 100 Hoewel de Belgische anti-discriminatiewetgeving reeds sedert 2007 in deze mogelijkheid voorzag, beschikte men in België niet over een concretiserend KB alwaar de randvoorwaarden werden vastgesteld. Hierdoor waren de positieve acties in de private sector strikt juridisch niet toepasbaar en kon in de praktijk derhalve geen werkelijke betekenis gegeven worden aan dit concept. Sinds 24 juli 2018 beschikt België echter wel over het vereiste KB waardoor de positieve acties, sinds kort, ook in de praktijk hun ingang kunnen vinden. 101 E. KEYTSMAN, “Antidiscriminatiewet is nog geitenkaas”, De Tijd, 30 januari 2018.


37

voor welbepaalde, concrete functies teneinde een eventueel onevenwicht in de onderneming, tussen

geslachten bijvoorbeeld, te verhelpen. Een algoritme daarentegen lijkt doorgaans niet te worden

ontwikkeld voor één welbepaalde vacature, maar eerder een manier om op algemene basis bepaalde

profielen te selecteren voor een onderneming of zelfs een sector. Wanneer men derhalve een positivieve

actie-maatregel zou gaan invoegen in een algoritme, zal het moeilijk zijn om aan te tonen dat dit gebeurt

om een tijdelijk probleem te verhelpen en dat dit een welbepaalde, concrete situatie beoogt. Een

algoritme wordt immers niet geschreven om één welbepaalde vacature in te vullen in één welbepaalde

onderneming vermits het ontwikkelingsproces geruime tijd in beslag neemt.

Hierbij valt de integratie van positieve maatregelen in algoritmes, als zijnde een mogelijke piste om

discriminatie tegen te gaan, uit de boot. Het illustreert echter wel dat er toch wat schort aan het gebruik

van algoritmes van zodra discriminatoire gegevens het algoritme binnendringen.

Er is derhalve nood aan ontwikkeling van ethische principes en best practices waarbij ondernemingen

richting geboden wordt.

Het is voor ondernemingen tevens raadzaam om op periodieke tijdstippen, routinematig de algoritmes

waarop zij vertrouwen bij hun wervingsbeslissingen, te evalueren teneinde discriminatoire resultaten

tegen te gaan. Dit betekent dat er een rol is weggelegd voor advocaten die enerzijds gespecialiseerd zijn

in het arbeidsrecht en anderzijds ook thuis zijn in de datawetenschappen. Zij zijn immers bekwaam te

adviseren of zelfs intern samen te werken met de personeelsafdelingen van grote ondernemingen en de

ingenieurs die voor de ontwikkeling van de wervingsalgoritmes instaan. Deze samenwerking dient

ervoor te zorgen dat ondernemingen niet onbedoeld handelen in strijd met de anti-

discriminatiewetgeving102.

Idealiter zou men voor grote ondernemingen de uitvoering van zelfevaluaties en het publiceren van

resultatenrapporten wettelijk verplicht moeten stellen als onderdeel van een anti-discriminatiemaatregel.

Dit om ervoor te zorgen dat het wervingsbeleid geen praktijken in de hand werkt waarbij de werving

van personen van beschermde klasses, onbedoeld, niet in overweging wordt genomen en zij derhalve

een uitsluiting van het wervingsproces ervaren, niettegenstaande zij beantwoordden aan de vereiste

competenties voor de functie in kwestie.

Dergelijk “gegevensherstel” zou ook kunnen worden aangewend om de kans op tewerkstelling voor

categorieën van benadeelde personen, die echter (nog) niet als zogenaamde beschermde klasses

aangemerkt worden, te verruimen. Hierbij kan gedacht worden aan voormalige gevangenen, langdurig

102 I., AJUNWA, S., FREIDLER, C., SCHEIDEGGER, en S., VENKATASUBRAMANIAN, “Hiring by algorithm: predicting and preventing disparate impact”, p.25, 2016. Available at: http://friedler.net/papers/SSRN-id2746078.pdf.


38

werklozen, moeders, etc. Zij vormen immers categorieën van personen die vrij snel, zonder enige

discretie, gedurende het selectieproces afvallen indien de algoritmes bijvoorbeeld werden ingesteld om

te controleren op periodes van afwezigheid in de werkgeschiedenis.

3.7.2. Naar Amerikaans voorbeeld? FTC’s unfairness authority:

De bewustwording met betrekking tot het potentieel discriminatoir karakter van Big Data-

voorspellingen had onder meer tot gevolg dat ook in de V.S. stemmen opgingen die het gebruik van Big

Data en algoritmes bij besluitvorming bekritiseerden103. Het is uiterst belangrijk hieraan gevolg te

geven. Indien deze bekommernissen immers niet zouden worden aagepakt, dreigen zij een tegenkanting

ten overstaan van Big Data-analyse te creëren.

Teneinde dit te voorkomen, en derhalve het potentieel van Big Data integraal te benutten, heeft de

samenleving nood aan een coherente manier om de voordelen van Big Data af te wegen ten aanzien van

de mogelijks aan te richten schade. Op die manier zou men in staat moeten worden gesteld praktijken

die binnen de grenzen van de proportionaliteit en redelijkheid gelegen zijn te onderscheiden van andere,

grensoverschrijdende praktijken.

Hoewel de automatisering zich steeds verder ontwikkeld, ontbreekt echter een kritisch kader om

verantwoorde Big Data-praktijken te definiëren en tevens het gebruik ervan te stimuleren.

Om deze leemte op te vullen, voorzag de “unfairness authority” van de Amerikaanse Federal Trade

Commission (hierna: FTC) in een bruikbaar, juridische gegrond kader om te bepalen of een specifiek

Big Data-gebruik geschikt of grensoverschrijdend, billijk of onbillijk is104. Om te vermijden dat de FTC

zich hierbij te sterk zou laten leiden door haar eigen subjectieve overtuigingen, werd haar opgedragen

deze beslissingen te baseren op bestaande wetgeving en algemeen aanvaard openbaar beleid. Dit dient

de FTC in staat te stellen een juridische gegrond referentiekader te ontwikkelen dat derhalve toelaat

proportionele en gunstige Big Data-praktijken van schadelijke en onbillijke Big Data-voorspellingen te

onderscheiden.

103 B. FUNG, “Why Civil Rights Groups are Warning Against Big Data”, The Washington Post, 27 februari 2014. 104 D. D. HIRSCH, “That’s Unfair! Or is it? Big Data, Discrimination and the FTC’s Unfairness Authority” (2015). Kentucky Law Journal, Vol. 103., 350.

De verenigbaarheid met privacywetgeving

39

HOOFDSTUK 4: DE VERENIGBAARHEID VAN HET

GEBRUIK VAN BIG DATA, SOCIALE MEDIA EN ALGORITMES

IN HET REKRUTERINGSPROCES MET DE

PRIVACYWETGEVING

Het belang van een degelijke persoonsgegevensbescherming: geïllustreerd aan de hand van een

actueel voorbeeld

Optimaal gebruik van Big Data gaat gepaard met het prijsgeven van steeds meer persoonlijke informatie.

Wat gebeurt er echter wanneer deze datasets zomaar worden vrijgegeven en in verkeerde handen

terechtkomen? Grootschalige datalekken zijn steeds vaker voorwerp van debat. Denk maar aan het

ophefmakende Facebook-privacyschandaal waarbij het recht op privacy van miljoenen Facebook-

gebruikers met de voeten werd getreden. De bal ging aan het rollen toen het databedrijf Cambridge

Analytica de data van 87 miljoen Facebook-gebruikers vergaarde via een onschuldig ogende applicatie.

Hoewel Cambridge Analytica aan Facebook bekendgemaakt had deze gegevens aan te wenden voor

academisch onderzoek, registreerde de applicatie in werkelijkheid alle gegevens van de gebruikers

evenals deze van hun Facebook-vrienden. Vervolgens werd van de vergaarde informatie gretig gebruik

gemaakt bij de ontwikkeling van een softwareprogramma waarmee het stemgedrag van kiezers

voorspeld en bovendien beïnvloed werd105. Wat dit incident tevens van andere situaties onderscheidt

waarbij bedrijven persoonlijke informatie verkopen, is dat in dit geval de Facebook-gebruiker de app

niet zelf toegang gaf tot de informatie106.

Dit actueel gebeuren illustreert in eerste instantie hoe laks door grote ondernemingen met

persoonsgegevens en privacyinstellingen omgesprongen wordt en tot welke verregaande gevolgen

dergelijke houding kan leiden. Het belang van een degelijk wettelijk kader aangaande

persoonsgegevensbescherming wordt door incidenten als deze nogmaals benadrukt.

4.1. WETTELIJK KADER

Het recht op eerbiediging van het privéleven is een grondrecht dat omschreven wordt in artikel 22 van

de Grondwet, artikel 8 van het Europees Verdrag ter Bescherming van de Rechten van de Mens (hierna:

105 N. CONFESSORE, “Cambridge Analytica and Facebook: The Scandal and the Fallout so Far”, The New York Times, 4 april 2018. 106 M. DE DECKER, “Sorry” volstaat niet meer”, Het Nieuwsblad, 6 april 2018.


40

EVRM) en artikel 17 van het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (hierna:

BUPO). Grondrechten zijn rechten die fundamentele waarden in de maatschappelijke ordening behelzen

en bijgevolg uiterst belangrijk zijn. In essentie houdt het recht op eerbiediging van het privéleven (of

het recht op privacy) in dat de persoonlijke levenssfeer van individuen (en zo ook sollicitanten)

beschermd wordt. Daarnaast zal in gevallen waar de inmenging in de persoonlijke levenssfeer niet

verboden is, dergelijke inmenging slechts toelaatbaar zijn wanneer aan het legaliteits-, legitimiteits-, en

proportionaliteitsbeginsel is voldaan. De verwerking van persoonsgegevens is daarenboven enkel

gerechtvaardigd wanneer de gegevens rechtmatig worden verwerkt met respect voor de wettelijke

beginselen107.

In het licht van de geautomatiseerde verwerking die door de technologische ontwikkeling mogelijk was

geworden, rees in de jaren ’70 echter de vraag of het recht op privéleven als grondrecht voldoende

bescherming bood. Vrij snel ontstond de overtuiging108 dat het kader van het EVRM ontoereikend was

om een algehele bescherming te bieden. Middels het opleggen van verplichtingen ten aanzien van de

verantwoordelijke voor de verwerking van persoonsgegevens en de toekenning van een reeks rechten

aan de betrokkene, konden de persoonsgegevens immers beter beschermd worden. Vermits de

technologische ontwikkelingen zich op internationaal niveau situeerden, werd in 1995 Richtlijn

95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van

natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije

verkeer van die gegevens (hierna: Richtlijn 95/46/EG), uitgevaardigd. Deze richtlijn voorziet in

spelregels voor het verwerken van persoonsgegevens.

Ten tijde van de uitvaardiging van Richtlijn 95/46/EG beschikte België reeds over CAO nr. 38 van 6

december 1983 betreffende de werving en selectie van werknemers. Deze CAO kwam reeds in het

voorgaande hoofdstuk betreffend discriminatie aan bod maar is tevens met betrekking tot het recht op

privacy vermeldenswaardig. Artikel 11 CAO nr. 38 poneert immers het beginsel van de persoonlijke

levenssfeer van de sollicitant. Oorspronkelijk doelde dit artikel op het vermijden van persoonlijke (en

vaak professioneel irrelevante) vragen tijdens een sollicitatiegesprek of selectieproef109. Dit impliceert

in concreto dat vragen over het privéleven vanwege een potentiële werkgever slechts verantwoord zijn

wanneer zij relevant zijn wegens de aard en uitoefeningsvoorwaarden van de functie110. Hier lijkt echter

het onderscheid tussen openbare sociale netwerkprofielen en privé-accounts relevant te zijn. Het hebben

van een openbaar Facebookprofiel alwaar persoonlijke informatie publiek wordt gemaakt impliceert

107 Y.S. VAN DER SYPE en A. VEDDER, “Privacy, werk en internet of things”, Or., 2016/5, 120. 108 Zie o.m. het Rapport van het Comité van Experten inzake Mensenrechten bij de Raad van Europa van 1970 waarnaar wordt verwezen in F.W. HONDIUS, Emerging data protection in Europe, Amsterdam – Oxford, North-Holland publishing company en New York, American Elsevier Publishing Company Inc., 1975, p 63-69. 109 J. LORRE, “Facebook en arbeidsrecht: mysterium tremendum et fascians”, RW 2010-11, nr. 36, 1501, 7 mei 2011. 110 S. COCKX, “Sociale media in de arbeidsrelatie: ‘vriend’ of vijand?”, Or., 2012/1, 13.


41

echter niet automatisch dat de kandidaat zich niet meer op zijn recht op privacy kan beroepen. Een

omgekeerde bewering zou immers te kort door de bocht zijn. De huidige context van sociale media en

Big Data biedt namelijk de mogelijkheid in hoofde van de potentiële werkgever om zonder al te veel

moeite persoonlijke informatie op een indirecte manier te bemachtigen. Dit kan bijvoorbeeld gaan om

informatie die de kandidaat niet rechtstreeks aan de potentiële werkgever bekendmaakte, dan wel om

informatie waarvan het niet de bedoeling was ze vrij te geven. Een belangrijk vraagstuk is bijgevolg hoe

het in dergelijke situaties gesteld is met de bescherming van de persoonlijke levenssfeer en desgevallend

de aanspraken van de sollicitant. De reeds geruime tijd bestaande CAO nr. 38 maakt deze differentiatie

immers niet.

In de huidige tijdsgeest111 zou derhalve een nieuwe invulling aan artikel 11 CAO nr. 38 kunnen worden

gegeven door sommige verregaande pogingen tot informatievergaring te viseren. Gedacht kan

bijvoorbeeld worden aan het onder impliciete druk aanvaarden van een virtueel vriendschapsverzoek

van een potentiële werkgever.

Naast CAO nr. 38 kende men in België eveneens de wet van 8 december 1992 tot bescherming van de

persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna: de “Wet

Verwerking Persoonsgegevens”). Deze Wet Verwerking Persoonsgegevens werd door de Wet van 11

december 1998 echter grondig herwerkt naar aanleiding van de omzetting van Richtlijn 95/46/EG112.

Door het opnemen van het recht op bescherming van de persoonsgegevens in een afzonderlijk artikel

(artikel 8) van het Europees Handvest van 7 december 2000 (“Handvest van de grondrechten van de

Europese Unie) verwierf het recht op bescherming van de persoonsgegevens, los van het recht op

eerbiediging van het privéleven, tevens de status van grondrecht.

Onder impuls van de wijzigingen op vlak van technologie was men echter genoodzaakt heel wat

internationale rechtsinstrumenten inzake het recht op bescherming van de persoonsgegevens te

actualiseren. Van cruciaal belang in het kader van dit onderzoek is de Verordening 2016/679 of General

Data Protection Regulation (hierna: GDPR113). Hier zal dan ook in het volgende onderdeel uitgebreid

op worden ingegaan.

111 De meest recente aanpassing van deze cao dateert immers van 2008, wat slechts de ontstaansperiode van sociale media betreft. 112 Een richtlijn moet immers steeds omgezet worden in nationale wetgeving binnen een bepaalde termijn, in dit geval 3 jaar. 113 Volledigheidshalve wordt In de nederlandstalige literatuur ook de term Algemene Verordening Gegevensbescherming (of: AVG) gebruikt om deze Verordening aan te duiden. In deze masterproef zal echter de engels benaming, General Data Protection Regulation (of: GDPR) aangewend worden. Beide termen verwijzen echter naar één en dezelfde Verordening.


42

Uit deze korte historiek volgt dat de bescherming van persoonsgegevens in belangrijke mate door

Europese wetgevende initiatieven gedomineerd wordt. Zowel de Richtlijn 95/46/EG als de GDPR

bepalen de kaders voor rechten en plichten van enerzijds personen wiens gegevens verzameld en

verwerkt worden en anderzijds van personen, bedrijven en overheidsinstellingen welke overgaan tot het

verzamelen en verwerken van persoonsgegevens.

De wijze waarop de feitelijke bescherming concreet vorm zal worden gegeven is echter niet alleen

afhankelijk van het wettelijk kader, maar wordt mede bepaald door de verdere invulling en interpretatie,

alsook de wijze waarop de handhaving plaatsvindt.

De regelgeving aangaande privacy en de bescherming van persoonsgegevens kent vrij veel open

normen. Het voordeel hiervan is dat de bepalingen langer bruikbaar blijven wanneer zich verdere

technologische ontwikkelingen manifesteren. Dankzij de flexibiliteit van open normen kunnen situaties,

bijvoorbeeld in bepaalde sectoren, tevens op maat beoordeeld worden omdat de bepalingen verder

kunnen worden in- en aangevuld.

De keerzijde is echter dat de geboden rechtsbescherming in de onderscheiden lidstaten in belangrijke

mate dreigt te gaan verschillen. De open normen leiden er immers toe dat op uiteenlopende wijzen aan

de weten regelgeving uitvoering kan worden gegeven. In de ene lidstaat worden de open normen

immers veel gedetailleerder ingevuld dan in de andere. Sommige lidstaten richten zich uitsluitend op de

minimale vereisten die uit de wettelijke bepalingen voortvloeien, alwaar andere lidstaten aanvullende

regels bepalen.

De Amerikaanse professoren Kenneth A. Bamberger en Deirdre K. Mulligan vergeleken de

verschillende manieren waarop landen invulling geven aan de privacyregels en de regels betreffende de

bescherming van persoonsgegevens. Bij die vergelijking kwamen Duitsland, Spanje, Frankrijk, het

Verenigd Koninkrijk en de V.S. aan bod. Uit het onderzoek bleek dat in Spanje privacy en bescherming

van persoonsgegevens opgevat worden als zijnde een juridische tekst en administratieve last. In

Frankrijk en Duitsland daarentegen gaat men echter actief optreden en worden bedrijven en

overheidsinstellingen expliciet verantwoordelijk gesteld voor het beheer van privacy. In het Verenigd

Koninkrijk en de V.S. wordt privacy voornamelijk gezien als een element waarop bedrijven kunnen

inspelen en derhalve concurreren. Wat privacymanagement betreft bleek de stevigste aanpak aan

Duitsland en de V.S. te kunnen worden toegeschreven. Privacy vervult in toenemende mate een

strategische rol voor ondernemingen, waarbij meer op het spel staat dan het loutere vervullen van de

regels. Privacy wordt, ingevolge de technologische evoluties, meer en meer gezien als een sociale

waarde en verantwoordelijkheid114. België maakte echter geen deel uit van het onderzoek. De organisatie

114 K.A. BAMBERGER, D.K. MULIGAN, “Privacy on the ground. Driving corporate behavior in the United States and Europe”, Mit Press, oktober 2015.


43

van initiatieven zoals de uitreiking van de “Big Brother Awards” waarbij zowel personen,

ondernemingen als overheidsinstellingen in aanmerking komen om de beschamende “prijs” van grootste

privacyschender van het jaar te ontvangen115, geven echter wel blijk van een eerder proactieve aanpak.

Hoewel de GDPR, als zijnde een verordening en derhalve rechtstreeks toepasselijk in elke lidstaat, een

verdere harmonisering teweegbrengt, is het bestaan van verschillen in de praktijk redelijk voorzienbaar.

De GDPR laat de lidstaten immers enige appreciatiemarge door onder meer in kernbepalingen tal van

open normen te hanteren die allerminst duidelijk afgelijnd zijn116.

Om die reden is het bijzonder interessant na te gaan hoe het met de bescherming van persoonsgegevens

in andere Europese landen is gesteld. Welke landen vormen de koplopers op het vlak van

privacybescherming? Bovendien biedt dergelijk onderzoek de mogelijkheid inspiratie op te doen met

het oog op de creatie van aanvullende maatregelen voor het Belgische gegevensbeschermingsrecht.

4.1.1. De vroegere Belgische Privacywet: Wet Verwerking Persoonsgegevens

De Wet Verwerking Persoonsgegevens117 strekte er, zoals de naam reeds zelf aangaf, toe om in geval

van verwerking voor de bescherming van persoonsgegevens in te staan. Overeenkomstig artikel 1, §1

Wet Verwerking Persoonsgegevens omvat de notie ‘persoonsgegevens’:

…”iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke

persoon...; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden

geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer

specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische,

economische, culturele of sociale identiteit”…

Persoonsgegevens zijn met andere woorden alle gegevens die toelaten een natuurlijke persoon direct of

indirect te identificeren (bijvoorbeeld een naam, adres, klantennummer, IP-adres, nummerplaat, etc.).

Logischerwijze zijn de op een cv terug te vinden gegevens evenzeer als persoonsgegevens te

kwalificeren.

Krachtens artikel 1, §2 Wet Verwerking Persoonsgegevens wordt onder ‘verwerking’ begrepen:

…”elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan

niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen,

ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door

115 https://bigbrotherawards.be/press/nl/, 5 augustus 2018. 116 Bijvoorbeeld artikel 22 GDPR. 117 Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993, 5801 tot omzetting van Richtlijk 95/48/EG.


44

middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen,

samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of

vernietigen van persoonsgegevens”…

Genoemde begripsomschrijvingen bleven met de inwerkingtreding van de GDPR echter onveranderd

behouden.

Daarnaast implementeerde de Wet Verwerking Persoonsgegevens ook reeds de beginselen voor een

eerlijke verwerking van persoonsgegevens118. Hoewel deze basisbeginselen voortaan in de GDPR terug

te vinden zijn, vonden amper inhoudelijke wijzigingen plaats. Één van die kernprincipes was de

doelgebondenheid van elke verwerking. Overeenkomstig dit principe mogen persoonsgegevens enkel

voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verwerkt worden119. De

doelstelling van de verwerking wordt bij het begin vastgelegd en bepaalt als dusdanig het verdere

verloop van de verwerkingsactiviteiten vermits enkel handelingen mogen worden verricht die binnen de

nagestreefde doelstellingen kaderen. Daarenboven mogen de gegevens naderhand niet voor andere

doeleinden worden aangewend die onverenigbaar zijn met de initieel aangeduide doelstelling(en). De

onverenigbaarheid van doeleinden vormt een in concreto-beoordeling die geval per geval dient te

geschieden. Ingevolge de inwerkingtreding van de GDPR worden de vereisten voor verenigbaar gebruik

voortaan wettelijk verankerd in artikel 6, lid 4 GDPR.

Tevens bood de Wet Verwerking Persoonsgegevens reeds een limitatieve opsomming van

rechtsgronden op basis waarvan persoonsgegevens verwerkt konden worden120. De GDPR liet deze

rechtsgronden voor gegevensverwerking grotendeels, met uitzondering van de rechtvaardigingsgrond

van de ‘geïnformeerde toestemming’ welke door de toevoeging van de voorwaarde van

‘ondubbelzinnigheid’ verstrengd werd, onverlet.

De gelijkenissen tussen de Wet Verwerking Persoonsgegevens en de GDPR tonen derhalve aan dat de

krachtlijnen van de vroegere Wet Verwerking Persoonsgegevens met de inwerkingstreding van de

GDPR overeind bleven.

4.1.1.1. Bijzondere categorieën van persoonsgegevens

Bepaalde persoonsgegevens zijn van gevoeligere aard dan andere. De naam en het adres van een persoon

zijn in feite vrijwel onschuldige gegevens. Informatie over diens politieke overtuigingen, seksuele

voorkeuren of gerechtelijk verleden is daarentegen andere koek. Het gaat concreet om gegevens

betreffende ras, etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke

118 Art. 4 Wet Verwerking Persoonsgegevens. 119 Art. 4, §1, 2° Wet Verwerking Persoonsgegevens. 120 Art. 5 Wet Verwerking Persoonsgegevens.


45

overtuigingen, lidmaatschap van een vakvereniging, gezondheid, seksuele leven, verdenkingen,

vervolgingen of strafrechtelijke of bestuurlijke veroordelingen121. De Wet Verwerking

Persoonsgegevens regelde met andere woorden de registratie en het gebruik van deze gevoelige

gegevens op bijzonder strikte wijze. Omwille van het delicate karakter van deze gegevens is het in

beginsel bij wet ze te verwerken, behoudens in een aantal nauwkeurig omschreven gevallen.

De verwerkingsverantwoordelijke mag zich bijvoorbeeld wel inlaten met de verwerking van gevoelige

gegevens (met uitzondering van gerechtelijke gegevens) ingeval de schriftelijke toestemming van de

betrokken persoon verkregen werd122.

Daarnaast mogen gevoelige gegevens onder andere ook verwerkt worden wanneer zij door de

betrokkene zelf duidelijk openbaar werden gemaakt123. Gedacht zou kunnen worden aan de via sociale

netwerksites tentoongespreide informatie, voor zover deze gegevens niet door de betrokkene worden

afgeschermd aan de hand van privacy-instellingen. Deze rechtsgrond lijkt derhalve in zeker zin te

impliceren dat de Wet Verwerking Persoonsgegevens zich niet al te expliciet verzette tegen het

verwerken van op sociale netwerksites publiekelijk beschikbare informatie betreffende een sollicitant,

zoals een openbaar Facebook-profiel bijvoorbeeld.

4.1.2. Het doorsturen van persoonsgegevens

In dit onderdeel volgt een beknopte bespreking van de wettelijke regeling inzake de doorgifte van

persoonsgegevens. Vermits de regeling betreffende de verwerking van persoonsgegevens gesteund is

op Europese (minimum)harmonisatie, dient een onderscheid te worden gemaakt tussen een doorgifte

van persoonsgegevens binnen de EU en doorgiften van persoonsgegevens vanuit een EU-lidstaat naar

landen buiten de EU (i.e. “Doorgiften van persoonsgegevens aan derde landen of internationale

organisaties”). Dit onderscheid is essentieel vermits naargelang het geval andere regels van toepassing

zullen zijn.

In het kader van dit onderzoek zullen in de verhouding headhuntigkantoor – opdrachtgever

onvermijdelijk persoonsgegevens worden uitgewisseld. Bij grootschalige wervingsopdrachten voor

internationale ondernemingen is het derhalve denkbaar dat persoonsgegevens de EU verlaten. Om die

reden is het voor dit onderzoek van belang de ter zake geldende regelen te bespreken.

121 Art. 6, §1 Wet Verwerking Persoonsgegevens; art. 7, §1 Wet Verwerking Persoonsgegevens en art. 8, §1 Wet Verwerking Persoonsgegevens. 122 Art. 6, §2, a) Wet Verwerking Persoonsgegevens en art. 7, §2, a) Wet Verwerking Persoonsgegevens. 123 Art. 7, §2, h) Wet Verwerking Persoonsgegevens.


46

In principe zijn transacties waarbij persoonsgegevens de grenzen van de EU oversteken niet toegestaan,

tenzij in het derde land een adequaat beschermingsniveau124 of passende waarborgen125 geboden

worden126.

Een specifieke regeling werd echter voorzien met betrekking tot het verkeer van persoonsgegevens

tussen de EU en de VS. Na lange onderhandelingen werd in 2000 door de Europese Commissie de Safe

Harbor-beschikking127 aangenomen. Voormelde regeling moest een brug vormen tussen de op

zelfregulering gesteunde Amerikaanse aanpak en de Europese aanpak die daarentegen op wetgeving

gesteund is.

In oktober 2015 werd de regeling echter vernietigd door het Europese Hof van Justitie nadat de

Oostenrijkse privacy-activist Max Schrems een klacht indiende128. Met het Schrems-arrest oordeelde

het Hof immers dat het Safe Harbor-regime onvoldoende garanties bood ter bescherming van de privacy

van Europese burgers in de VS.

Als reactie hierop werd het EU-US Privacy Shield, ter vervanging van de Safe Harbor-regeling,

ontwikkeld129. Dit is in wezen een overeenkomst betreffende de bescherming van persoonsgegevens van

EU-burgers die in de VS worden verwerkt. Het EU-US Privacy Shield is inmiddels twee jaar

opertationeel en werd in het verslag van de Europese Commissie van 18 oktober 2017 vrijwel positief

geëvalueerd130. Finaal werd geoordeeld dat door het Privacy Shield nog steeds een passend

beschermingsniveau geboden wordt.

4.2. THE GENERAL DATA PROTECTION REGULATION (GDPR)

Sinds mei 2016 bestaat op Europees niveau een nieuw juridisch instrument betreffende de verwerking

van persoonsgegevens: de veelbesproken ‘GDPR’131. Deze Europese verordening harmoniseert de

voorheen bestaande privacyregelgeving en vervangt bijgevolg Richtlijn 95/46/EG vermits zij niet langer

op het huidige digitale tijdperk aansloot. Het resultaat is een verregaande bescherming van

persoonsgegevens waarbij individuen opnieuw meer controle krijgen over wie hun persoonsgegevens

124 Art. 45 GDPR. 125 Art. 46 GDPR. 126 Volledigheidshalve kan worden opgemerkt dat deze bepalingen eveneens bestonden onder Richtlijn 95/46/EG. 127 2000/520/EG Beschikking van de Commissie van 26 juli 2000. 128 HvJ, 6 oktober 2015, C-362/14, Maximilian Schrems t. Data Protection Commissioner. 129 De Europese Commissie keurde de overeenkomst op 12 juli 2016 goed en het privacyschildkader is sinds 1 augustus 2016 operationeel. 130 Report from the Commission to the European Parliament and The Council on the first annual review of the functioning of the EU-U.S. Privacy Shield, Brussels, 18 oktober 2017. 131 Verordening 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).


47

gebruikt en voor welke doeleinden132. Uit de speciale Eurobarometer met betrekking tot

gegevensbescherming (juni 2015) bleek immers dat 69% van de Europeanen zich zorgen maakt dat hun

persoonsgegevens die door bedrijven worden opgeslagen kunnen worden gebruikt voor een ander doel

dan waarvoor ze werden verzameld. Voorts meenden de respondenten weinig zicht te hebben op wie

hun gegevens verwerkt en voor welke doeleinden133. Daarnaast gaven ze aan het gevoel te hebben over

weinig controle te beschikken met betrekking tot hun persoonsgegevens134. Uit deze gegevens blijkt als

dusdanig de maatschappelijke relevantie van de invoering van de GDPR.

De GDPR heeft tot doel geharmoniseerde normen voor gegevensbescherming in de EU te creëren, welke

een evenwicht scheppen tussen enerzijds de vrije stroom van gegevens en anderzijds de fundamentele

belangen van de betrokkenen (bijvoorbeeld privacy). De GDPR tracht met andere woorden het hoofd te

bieden aan de voorheen bestaande fragmentatie. Kenmerkend voor een verordening is immers dat zij

rechtstreekse werking geniet in de nationale rechtsorde van elke lidstaat.

Hoewel deze Verordening gepubliceerd werd in het Europees Publicatieblad op 4 mei 2016 en in

werking is getreden op 25 mei 2016, vond zij slecht toepassing vanaf 25 mei 2018135. Deze

overgangsperiode werd ingebouwd teneinde ondernemingen ruimschoots de tijd te geven om

conformiteit te scheppen tussen de binnen de onderneming gangbare praktijken en de

Europeesrechtelijke bepalingen.

Hoewel de GDPR op 25 mei 2018 in de EU van kracht ging, werd in België op 16 maart 2018 pas een

voorontwerp van wet door de ministerraad goedgekeurd en ter advies voorgelegd aan de Raad van State.

Pas op de datum van de eigenlijk deadline (i.e. 25 mei 2018) werd de Belgische Kaderwet Privacy, die

in ons land de omzetting van de nieuwe Europese databeschermingsregels (GDPR) vormt, door de

federale regering goedgekeurd. Vermits de Kaderwet nog door het parlement gestemd diende te worden

slaagde België er, als één van de acht Europese lidstaten136, niet in de privacydeadline te halen.

Bijna twee maanden na de inwerkingstreding van de GDPR werd door het Belgische federale parlement

de nieuwe kaderwet goedgekeurd. De kaderwet stopt de Europese regels in een Belgisch jasje en vult

onder meer een aantal leemtes alwaar de GDPR een beoordelingsmarge aan de individuele lidstaten

132 P. HAECK, “D-day voor uw data: wat verandert GDPR vanaf vandaag?”, De Tijd, 25 mei 2018. 133 Slechts 2 op de 10 EU-burgers geven aan geïnformeerd te zijn over welke gegevens over hen worden verzameld en wat daarmee gebeurt. Eurobarometer 431 (2015). 134 Slechts 15% van de EU-burgers geeft aan volledige controle te voelen over gegevens die ze online afstaan. 31% daarentegen geeft aan het gevoel te hebben helemaal geen controle te hebben. 50% geeft aan gedeeltelijk controle te hebben. Twee derde geeft aan zich zorgen te maken over het gebrek aan controle over hun persoonsgegevens. Specialised Eurobarometer Data Protection 431 (2015). 135 S. RAETS, “Alles wat werkegevers moeten weten over de Algemene Verordening Gegevensbescherming (GDPR)”, Or., 2016/7, 208. 136 Naast België slaagden 7 andere EU-lidstaten er niet in de deadline te halen, namelijk Bulgarije, Cyprus, Griekenland, Litouwen, Tsjechië en Slovenië.


48

liet137. Met de Belgische Kaderwet Privacy vormde de federale overheid tevens de Privacycommissie

om tot een nieuwe entiteit met een veel bredere bevoegdheid.

Het toepassingsgebeid van de GDPR strekt zich uit tot alle bedrijven, verenigingen en

overheidsinstanties gevestigd in de Europese Unie138 die op een (geheel of gedeeltelijke)

geautomatiseerde of gestructureerde manier persoonsgegevens verwerken139.

De ruime toepasbaarheid van de GDPR in alle sectoren die persoonsgegevens verwerken, alsook buiten

de grenzen van de EU wanneer gegevensbeheerders de persoonsgegevens van Europese ingezetenen

verwerken140, maakt het een ideale basis om niet-sectorale vereisten met betrekking tot de bescherming

van persoonsgegevens in relatie tot Big Data-analyses en algoritmische besluitvorming te evalueren.

4.2.1. De hoekstenen van de GDPR

In dit onderdeel zullen volledigheidshalve alle basisbeginselen van de GDPR, welke als het ware de

grondpijlers van de regelgeving vormen, aan bod komen. Enkel de beginselen die relevant zijn in het

kader van dit onderzoek zullen echter verder worden uitgewerkt.

De zogenaamde hoekstenen van de GDPR liggen vervat in artikel 5 GDPR. Voormeld artikel

onderschrijft met name het transparantiebeginsel (ook wel rechtmatigheids- of behoorlijkheidsbeginsel

genoemd), het doelgebondenheidsprincipe, het beginsel van de minimale gegevensverwerking (of

dataminimalisatie), het juistheidsbeginsel, het beginsel betreffende de beperkte bewaartermijn en tot slot

het vertrouwelijkheidsbeginsel141.

In artikel 5, lid 2, GDPR werd daarenboven een verantwoordingsplicht in hoofde van de

verwerkingsverantwoordelijke ingevoerd op basis waarvan de verwerkingsverantwoordelijke

verantwoordelijk is voor de naleving van de hierboven omschreven algemene, overkoepelende

basisbeginselen. De verantwoordingsplicht komt de facto neer op een omkering van de

bewijslast142aangezien de verwerkingsverantwoordelijke tevens in staat dient te zien een correcte

naleving aan te tonen. Immers, wanneer een sollicitant of kandidaat van oordeel was dat diens potentiële

werkgever of rekruteerder een inbreuk op de regels inzake gegevensbescherming had gepleegd, was de

kandidaat er op basis van de vroegere privacyregelgeving (Richtlijn 95/46/EG en de Belgische Wet

Verwerking Persoonsgegevens) toe gehouden het nodige bewijsmateriaal aan te leveren teneinde zijn

137 De minimumleeftijd voor sociale media is daar een voorbeeld van en werd in België vastgelegd op 13 jaar. 138 Art. 3, lid 1 GDPR. 139 Art. 2, lid 1 GDPR. 140 Art. 3, lid 2 GDPR. 141 Art. 5, lid 1, a) tot en met f) GDPR. 142 S., RAETS, “Alles wat werkgevers moeten weten over de Algemene Verordening Gegevensbescherming (GDPR)”, Or. 2016/7, 223.


49

stelling hard te maken. Dit volgt namelijk uit het algemene principe dat iedere partij het bewijs moet

leveren van de feiten die zij aanvoert143. Dankzij de inwerkingtreding van de GDPR zal de bewijslast

voortaan echter omgekeerd zijn. Indien er bijgevolg twijfel rijst over de vraag of de

verwerkingsverantwoordelijke de GDPR correct naleeft, zal deze voortaan moeten kunnen aantonen dat

dit daadwerkelijk het geval is. De feitelijke omkering van de bewijslast vormt een ingrijpende

verandering en heeft onder andere tot gevolg dat de werkgever of headhunter er des te meer over dient

te waken dat men in het kader van werving en selectie op basis van algoritmes steeds in staat is bewijs

van uitdrukkelijke toestemming van de kandidaat te leveren teneinde de geautomatiseerde

wervingsbeslissing te rechtvaardigen.

Verder behoeft het doelgebondenheidsprincipe in het kader van dit onderzoek een nadere toelichting.

Dit principe, dat vervat ligt in artikel 5, lid 1, b) GDPR, volgt uit de verplichting voor

gegevensverwerkers om persoonsgegevens uitsluitend te verwerken voor welbepaalde, uitdrukkelijk

omschreven en gerechtvaardigde doeleinden. Deze verplichting kan echter problemen opleveren voor

wat Big Data-analyse en algoritmische besluitvorming betreft. De combinatie van reeds bestaande maar

voorheen niet-verbonden datasets kan immers nieuwe mogelijkheden bieden voor data-analyse, welke

echter niet voorzien waren ten tijde van de gegevensverzameling. Bij Big Data is de combinatie van

persoonsgegevens en het hergebruiken van informatie immers essentieel. Tevens, mogen deze gegevens

naderhand niet voor onverenigbare doeleinden worden aangewend. De onverenigbaarheid van

doeleinden vormt een in concreto-beoordeling die geval per geval dient te gebeuren. Ingevolge de

inwerkingtreding van de GDPR worden de vereisten voor vernenigbaar gebruik voortaan wettelijk

verankerd in artikel 6, lid 4 GDPR.

Het hergebruiken van persoonsgegevens bemoeilijkt niet alleen de voorafgaande kennisgeving aan de

betrokkene van de doeleinden waarvoor de persoonsgegevens zullen worden aangewend, maar staat

tevens op gespannen voet met het verbod op onverenigbare verdere verwerking. De

verwerkingsverantwoordelijke bij Big Data weet immers vooralsnog niet waarvoor en of bepaalde

gegevens überhaupt ooit nog zullen worden gebruikt. Zekerheidshalve worden ze echter wel bewaard.

Wanneer het bijgevolg gaat om het hergebruiken van een veelheid aan informatiebronnen die

afzonderlijk beschouwd geenszins privacybedreigend zijn, maar enkel in combinatie met voldoende

andere gegevens nieuwe inzichten kunnen opleveren, lijkt de onverenigbaarheidsbeoordeling mijn

inziens minder absoluut te moeten worden toegepast.

De grootste tegenstrijdigheid tussen de GDPR enerzijds en Big Data-analyse anderzijds wordt gevonden

in artikel 5, lid 1, c) dat de verplichting in hoofde van gegevensverwerkers tot minimale

gegevensverwerking (of gegevensminimalisatie) inhoudt. Dit principe daagt immers het typerende

143 Art. 870 Gerechtelijk Wetboek.


50

‘gegevensmaximalisme’ van Big Data-analyses uit, waar uitgebreide gegevensverzameling en een

samenvoeging van tal van verschillende datasets schering en inslag zijn.

De basisbeginselen uit artikel 5 GDPR verduidelijken wat de Europese regelgevers bij een “rechtmatige,

behoorlijke en transparante verwerking” voor ogen hadden. Hoewel bepaalde inherente kenmerken van

Big Data-analyse onvermijdelijk haaks staan op basisbeginselen zoals de doel- en opslagbeperkingen

alsook de verplichting tot gegevensminimalisatie, en deze beginselen in een Big Data-context derhalve

soepeler geïnterpreteerd moeten worden, neemt dit niet weg dat ook bij Big Data-analyse een zekere

limiet dient te bestaan aangaande de hoeveelheid gegevens die mag worden verzameld. Helaas is de

GDPR hier onvoldoende op toegesneden waardoor zij hieromtrent geen instructies bevat.

4.2.2. Toestemming: een noodzakelijk kwaad?

De GDPR, maar eigenlijk ook de Privacywetgeving zoals die voorheen reeds bestond, draait om

toestemming. De GDPR zet echter nog iets zwaarder in op de vereiste van de geïnformeerde

toestemming dan de vroegere Richtlijn 95/46/EG. De toestemming moet overeenkomstig de GDPR, net

zoals Richtlijn 95/46/EG reeds voorschreef, geïnformeerd zijn. Deze vereiste heeft tot doel de

betrokkene in staat te stellen om op basis van voldoende informatie een weloverwogen beslissing te

nemen.

Overeenkomstig artikel 4 GDPR wordt de vereiste van toestemming echter nog strikter omschreven. Zo

volstaat niet langer dat de wilsuiting vrij, specifiek en geïnformeerd is, zij dient daarenboven

ondubbelzinnig te zijn. Teneinde hieraan te beantwoorden zal de betrokkene door middel van hetzij een

verklaring, hetzij een ondubbelzinnige actieve handeling de verwerking van zijn persoonsgegevens

dienen te aanvaarden. Een louter ondubbelzinnige toestemming volstaat bijgevolg niet meer. Dit heeft

logischerwijs ook implicaties voor rekruteerders (zoals headhunters) en in het bijzonder de

mogelijkheden waarover zij beschikken bij de uitoefening van hun job.

In de inleiding werd reeds het onderscheid aangestipt tussen actieve (“sollicitanten”) en passieve

kandidaten. Deze laatste categorie gaat zelf niet actief op zoek naar een nieuwe job maar wordt klassiek

benaderd door een rekruteerder, die een bepaalde functie in de aanbieding heeft. De doelstelling van de

nieuwe regeling aangaande de verwerking van persoonsgegevens kan samengevat worden in één enkele

zin, namelijk het individu in staat stellen de controle te behouden over wie zijn persoonsgegevens

gebruikt en voor welke doeleinden144. Omdat rekruteerders evenzeer onderworpen zijn aan de vereisten

van de GDPR, zal het voor hen voortaan minder eenvoudig zijn passieve kandidaten te contacteren.

Rekruteerders moeten overeenkomstig de nieuwe regelgeving immers kunnen aantonen dat zij de

144 P. HAECK, “D-day voor uw data: wat verandert GDPR vanaf vandaag?”, De Tijd, 25 mei 2018.


51

persoonsgegevens van een kandidaat verkregen hebben, nadat de kandidaat het gebruik ervan expliciet

heeft goedgekeurd. Dit impliceert bijgevolg dat passieve kandidaten die weigeren akkoord te gaan met

het delen van hun gegevens met rekruteerders, het risico lopen de benaderingsmethoden van deze laatste

drastisch te zien afnemen. Dit vormt allerminst een onbelangrijk punt vermits het aanwerven van

passieve kandidaten tot norm verworden is voor heel wat bedrijven, en niet alleen voor prestigieuze

functies145.

Vermits de bewijslast op de verwerkingsverantwoordelijke rust zal een onderneming derhalve in staat

moeten zijn om voor elke verwerking van persoonsgegevens bewijs van toestemming (en

toestemmingswijze) te leveren. Tevens zal meermaals toestemming gevraagd moeten worden indien

men de persoonsgegevens voor meerdere doeleinden wenst aan te wenden. In de GDPR wordt ten slotte

een onderscheid gemaakt tussen expliciete toestemming en ‘gewone toestemming’. Voor het verwerken

van gevoelige data, profilering of bij doorgifte van gegevens over de grenzen heen moet de toestemming

expliciet gegeven worden146. Hoewel het onderscheid tussen beide toestemmingsvormen niet glashelder

is, blijkt uit een aanbeveling van de Artikel 29-Werkgroep (hierna: WP29)147 dat een expliciete

toestemming doorgaans gegeven wordt via een uitdrukkelijke vraag tot goedkeuring vanwege de

gegevensverwerker, waarop vervolgens de toestemming geuit wordt in de vorm van een geschreven

document (idealiter gehandtekend). In de digitale/online context is het echter ook mogelijk voor het data

subject om zijn toestemming via het invullen van een elektronisch formulier, het versturen van een e-

mail, het inscannen van een gehandtekend document of via een elektronische handtekening, te uiten148.

Hoewel de vereiste van geïnformeerde toestemming een uiting vormt van het zelfbeschikkingsrecht

inzake persoonsgegevens is de tenuitvoerlegging ervan allerminst evident. Bij Big Data worden immers

enorm grote hoeveelheden informatie verzameld waarbij de relevantie van deze gegevens afzonderlijk

beschouwd dadelijk niet steeds duidelijk is. De onvoorspelbaarheid van de analyses en de mogelijkheid

tot hergebruik van de informatie kunnen eveneens problemen opleveren. Het reeds besproken voorbeeld

van de Amerikaanse retailer Target toont tevens aan dat uit triviale publieke gegevens belangrijke

private informatie kan worden afgeleid.

145 X., “Heeft AVG gevolgen voor passieve jobkandidaten”, De Standaard, 23 juli 2018. 146 A. RUPPEL, “Toestemming in de GDPR: een noodzakelijk kwaad?”, deJuristenGent, 18 oktober 2017. 147 In toepassing van Richtlijn 95/46/EG was elke lidstaat van de Europese Unie ertoe gehouden een toezichthoudende autoriteit op te richten. Deze autoriteiten voor gegevensbescherming vergaderen in het raam van van de Werkgroep Artikel 29 (WP29), zo genoemd omdat zij werd opgericht op grond van artikel 29 Richtlijn 95/46/EG. De WP29 is derhalve een onafhankelijke Europese werkgroep die kwesties aangaande de bescherming van persoonsgegevens en privacy behandelt. Volledigheidshalve kan nog worden toegvoegd dat op 25 mei 2018, in het licht van de nieuwe Europese Privacyverordening (GDPR), de WP29 werd opgeheven en vervangen door de European Data Protection Board (EDPB). Net zoals de WP29 zal zij onder meer richtlijnen uitbrengen betreffende de toepassing en interpretatie van GDPR-bepalingen. 148 Article 29 Working Party, “Guidelines on consent under Regulation 2016/679”, p. 18, 28 november 2017.


52

Naast het aspect toestemming voorziet de GDPR nog in vijf andere rechtsgronden die de verwerking

van persoonsgegevens kunnen rechtvaardigen. Het betreft onder andere het noodzakelijk karakter van

de verwerking voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op

verzoek van de betrokkene voor de sluiting van een overeenkomst maatregelen te nemen149. In

voorkomend geval dienen de persoonsgegevens met andere woorden te worden verwerkt teneinde in

staat te zijn contractuele verplichtingen na te komen.

Daarnaast kan de verwerking van persoonsgegevens gesteund zijn op de nakoming van wettelijke

verplichtingen die in hoofde van de verwerkingsverantwoordelijke bestaan150. Eveneens de behartiging

van het algemeen belang151 (wat voornamelijk betrekking heeft op overheidsdiensten), alsook de

bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon152, worden

als rechtvaardigingsgronden beschouwd.

Tot slot, wordt de verwerking van persoonsgegevens ook aanvaard wanneer deze noodzakelijk is voor

de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een

derde, tenzij de grondrechten en fundamentele vrijheden tot bescherming van de persoonsgegevens van

de betrokkene prevaleren, met name wanneer de betrokkene een kind is153. Dit laatste impliceert een

afweging van de belangen van beide partijen. Hoe deze afweging in concreto dient te geschieden laat

de GDPR echter onbesproken.

4.2.3. Geautomatiseerde besluitvorming en profilering: belang van de

menselijke tussenkomst

4.2.3.1. “Het recht om niet onderworpen te worden aan uitsluitend geautomatiseerde besluiten”

In het kader van dit onderzoek is een goed begrip van de notie “geautomatiseerde besluitvorming” van

essentieel belang. Niettegenstaande de GDPR een bepaling bevat die tot doel heeft geautomatiseerde

besluitvorming te reguleren, is in de GDPR geen spoor van enige definitie terug te vinden.

Nochtans is het in het licht van artikel 22 GDPR bijzonder belangrijk een onderscheid te maken tussen

enerzijds situaties waarbij Big Data, algoritmes en sociale media een wervingsbeslissing trachten voor

te bereiden, en anderzijds gevallen waarbij het gehele wervings- of rekruteringsproces via Big Data,

algoritmes en sociale media gestuurd wordt, zonder enige menselijke tussenkomst.

149 Art. 6, lid 1, b) GDPR. 150 Art. 6, lid 1, c) GDPR. 151 Art. 6, lid 1, e) GDPR. 152 Art. 6, lid 1, d) GDPR. 153 Art. 6, lid 1, f) GDPR.


53

Dit onderscheid kan immers, zij het niet uitdrukkelijk, teruggevonden worden in artikel 22, lid 1 GDPR:

…”De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op

geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem

rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft”…

Deze bepaling handelt over individuele geautomatiseerde besluitvorming en profilering en zal derhalve

een sleutelbepaling vormen voor ondernemingen die zich, al dan niet via tussenkomst van een

headhuntingkantoor, inlaten met het rekruteren van kandidaten via het internet aan de hand van

algoritmes en profileringstechnieken.

Gelet op de tekst van artikel 22, lid 1 GDPR kan worden aangenomen dat een “geautomatiseerde

besluitvorming” een besluit genomen op basis van een geautomatiseerde verwerking impliceert, waarbij

een geautomatiseerde verwerking een digitale, niet-handmatige, verwerking van persoonsgegevens

inhoudt (i.e. bijvoorbeeld het opvragen, opslaan, combineren en analyseren van gegevens van

sollicitanten via het internet, waarna hier vervolgens een algoritme op wordt toegepast om de beste

kandidaat te selecteren).

Uit artikel 22, lid 1 GDPR volgt dat op het “recht om niet onderworpen te worden aan uitsluitend

geautomatiseerde besluiten” slechts beroep kan worden gedaan voor zover aan de geautomatiseerde

besluitvorming geen menselijke tussenkomst te pas kwam. Een strikte interpretatie van deze bepaling

lijkt dit recht bijgevolg enigszins uit te hollen.

Opdat artikel 22, lid 1 GDPR voor de praktijk betekenisvol zou zijn, dient men onder “uitsluitend op

geautimatiseerde verwerking gebaseerde besluiten” eveneens geautomatiseerde besluiten te verstaan

waarbij slechts van een minieme menselijke tussenkomst sprake was154. Anderszins zou de toepassing

van dit artikel in heel wat gevallen uitgesloten worden aangezien men in de praktijk bij geautomatiseerde

beslissingssytemen vaak een beperkte menselijke tussenkomst voorziet155. Dergelijke extensieve

interpretatie werd in de Belgische rechtspraak onder het vroegere artikel betreffende geautomatiseerde

besluitvorming (artikel 12bis WVP) echter reeds aangenomen.

Uit de Belgische rechspraak betreffende artikel 12bis Wet Verwerking Persoonsgegevens (i.e. de quasi-

identieke voorloper van artikel 22 GDPR), blijkt immers dat opdat een handeling als “menselijke

tussenkomst” gekwalificeerd kan worden, een substantiële tussenkomst wordt vereist, hetgeen wil

zeggen dat ze tot gevolg heeft dat ook andere elementen dan de resultaten van de geautomatiseerde

154 A. D. SELBST en J. POWLES, “Meaningful Information and the Right to Explanation”, International Data Privacy Law, vol. 7 (4), 5, 27 november 2017. 155 G. MALGIERI en G. COMANDE, “Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation”, International Data Privacy Law, vol. 7, Issue 3, p. 6, Forthcoming, 13 november 2017.


54

verwerking in overweging worde genomen156. Zo zou de werkgever die zich bij de afwijzing van de

kandidatuur van een sollicitant enkel en alleen steunt op de resultaten van een wervingsalgoritme, een

door het vroegere artikel 12bis WVP geviseerd geautomatiseerd (individueel) besluit nemen. Diens

tussenkomst was immers louter formeel en geenszins als substantieel te kwalificeren. Wanneer

daarentegen een geheel geautomatiseerd proces een aanbeveling doet met betrekking tot de werving van

een kandidaat, waarna de HR-manager, alvorens de definitieve beslissing te nemen, nog een aantal

andere factoren beoordeelt, zal wel van een substantiële menselijke tussenkomst sprake zijn.

Indien de rechtspraak met de inwerkingtreding van de GDPR op dit elan (i.e. blijvende handhaving van

de substantialiteitsvereiste) verdergaat, lijkt dit ongetwijfeld een goede zaak te zijn. Vermeden dient

immers te worden dat het verbod door ondernemingen zou worden omzeild door het “fabriceren” van

een menselijke tussenkomst.

a. Betekent dit het einde van het gebruik van algoritmes bij rekrutering?

Wanneer men de tekst van artikel 22, lid 1, GDPR leest lijkt deze vraag, althans prima facie, bevestigend

beantwoord te moeten worden. Derhalve rijst de vraag of elk besluit dat louter op basis van algoritmes

genomen wordt voortaan verboden is. Oordeel niet te snel, artikel 22, lid 2 GDPR voorziet namelijk op

zijn beurt echter in drie uitzonderingsgevallen. Zo zullen beslissingen uitsluitend gesteund op

geautomatiseerde verwerking niet in strijd zijn met het zogenaamde ‘recht om niet onderworpen te

worden aan volstrekt geautomatiseerde besluiten’, wanneer dergelijke volstrekt geautomatiseerde

verwerking noodzakelijk is voor de totstandkoming of uitvoering van een overeenkomst tussen de

betrokkene en een verwerkingsverantwoordelijke157. Een algoritme is een treffend voorbeeld van zo’n

uitsluitend geautomatiseerde verwerking. Toegepast op deze uitzonderingsgrond dient de beslissing op

basis van het algoritme noodzakelijk te zijn om een overeenkomst aan te gaan of uit te voeren met de

persoon van wie de onderneming in kwestie de gegevens via het algoritme heeft verwerkt. Aldus, mag

geen andere manier bestaan om hetzelfde doel te bereiken.

Daarnaast worden besluiten steunend op uitsluitend geautomatiseerde verwerking overeenkomstig art.

22, lid 2, b) GDPR toelaatbaar geacht ingeval een Unierechtelijke of lidstaatrechtelijke bepaling die op

de verwerkingsverantwoordelijke van toepassing is hierin voorziet158. De laatste, en voor de praktijk

tevens belangrijkste, uitzonderingsgrond ligt vervat in art. 22, lid 2, c) GDPR en betreft de door de

betrokkene uitdrukkelijk gegeven toestemming.

156 X., Personen- en familierecht. Artikelsgewijze commentaar met overzicht van rechtspraak en rechtsleer,… D. DE BOT, “Commentaar bij artikel 12bis Wet persoonsgegevens”, 1 september 2001. 157 Art. 22, lid 2, a) GDPR. 158 Zo kan nationale regelgeving ter bestrijding van belastingontduiking bijvoorbeeld het gebruik van algoritmes toestaan, maar dient zij tevens in passende waarborgen ter bescherming van de rechten, vrijheden en het gerechtvaardigde belang van de betrokkenen te voorzien.


55

In dit opzicht is het bij wijze van voorbeeld denkbaar dat een zeer grote onderneming een

selectieprocedure op poten zet via het internet waarbij kandidaten hun gegevens/cv dienen in te voeren.

Deze onderneming zal derhalve die persoonsgegevens geautomatiseerd verwerken en op basis daarvan

wordt, bijvoorbeeld door een algoritme, de meest geschikte kandidaat geselecteerd. Vermits in

voorkomend geval geen sprake is van een menselijke tussenkomst (zoals een sollicitatiegesprek) wordt

door de onderneming tijdens de sollicitatie via internet eveneens aan de betrokkene gevraagd of deze

bereid is uitdrukkelijk in te stemmen met een beslissing op basis van het algoritme. Op die manier zijn

dergelijke praktijken in lijn met de GDPR-regelgeving. Stel nu dat de onderneming zich niet conform

de GDPR-regelgeving gedraagt en bijgevolg volstrekt geautomatiseerde wervingsbesluiten aanwendt,

zonder daartoe voorafgaandelijk toestemming van de betrokkene te hebben verkregen. In voorkomend

geval is de vraag hoe het zogenaamde “recht om niet te worden onderworpen aan uitsluitend

geautomatiseerde besluitvorming” in concreto dient te worden geïnterpreteerd. Dit recht kan naargelang

de interpretatie immers, hetzij beschouwd worden als een verbodsbepaling welke uitsluitend op

geautomatiseerde verwerking (waaronder profilering) gesteunde besluiten verbied, hetzij

geïnterpreteerd worden als zijnde een louter bezwaarrecht dat de geldigheid van de verwerking onverlet

laat159. De vraag is bijgevolg in welke mate geautomatiseerde verwerking (met inbegrip van profilering)

door de GDPR geregeld wordt. Het lijkt er immers op dat profilering enkel geregeld wordt voor zover

het de daadwerkelijke basis vormt van een geautomatiseerd individueel besluit160.

Voorts, legt artikel 22, lid 3 GDPR verwerkingsverantwoordelijken de verplichting op steeds passende

waarborgen te voorzien wanneer op grond van de uitdrukkelijke toestemming van de betrokkene een

volstrekt op geautomatiseerde verwerking berustend besluit getroffen wordt. Deze waarborgen strekken

tot bescherming van de rechten en vrijheden en de gerechtvaardigde belangen van de betrokkene. De

GDPR stelt hieromtrent een aantal minimumvereisten. Al dient volledigheidshalve te worden opgemerkt

dat voormelde minimumvereisten minder uitgebreid zijn in het eigenlijke artikel 22 GDPR dan in de op

dit artikel betrekking hebbende overweging 71. Artikel 22 GDPR bepaalt namelijk dat de passende

waarborgen minstens volgende elementen dienen te omvatten: een recht in hoofde van de betrokkene

op menselijke tussenkomst van de verwerkingsverantwoordelijke, een recht in hoofde van de betrokkene

om zijn standpunt kenbaar te maken alsook een recht om het besluit aan te vechten. Gelet op artikel 22,

lid 3 GDPR dient de onderneming erop toe te zien dat de betrokkenen (bijvoorbeeld de sollicitanten bij

een online selectieprocedure gebaseerd op een algoritme) erover geïnformeerd worden dat zij hun

mening mogen uiten alsook de beslissing mogen betwisten vermits zij beschikken over het recht om niet

te worden onderworpen aan een beslissing genomen op basis van een algoritme (zonder menselijke

tussenkomst).

159 A. RUPPEL, “Profilering: mag het nog onder de GDPR?”, De Juristen, geen datum. 160 D. DE BOT, “De uitvoering van de algemene verordening gegevensbescherming – enkele bemerkingen bij de Belgische context”, TVW, 2016/3, 221.


56

Opdat het verbod van toepassing zou zijn is daarenboven vereist dat het besluit een rechtsgevolg voor

de betrokkene impliceert of deze anderszins aanmerkelijk treft. Rekrutering vormt derhalve een

voorbeeld van een situatie alwaar de sollicitant wiens kandidatuur op basis van een algoritme geweigerd

werd in aanmerkelijke mate getroffen word. Hoewel er niet zoiets bestaat als een recht op aanvaarding

voor een functie, bestaat in hoofde van de sollicitant echter wel legitiem belang om loyaal en eerlijk te

worden beoordeeld en niet te worden gediscrimineerd tijdens het wervingsproces161.

Het staat echter niet ter discussie dat het verwerken van sollicitaties via internet, zonder menselijke

tussenkomst bestempeld wordt als zijnde een geautomatiseerd besluit dat de betrokkene in

aanmerkelijke mate treft, vermits dit expliciet als voorbeeld werd aangevoerd in overweging 71 GDPR.

Overweging 71 GDPR maakt daarenboven melding van een verplichting in hoofde van de

verwerkingsverantwoordelijke tot het verstrekken van specifieke informatie aan de betrokkene, alsook

een zeker recht op uitleg over het na een dergelijke beoordeling genomen besluit in hoofde van de

betrokkene. Wat de draagwijdte van deze overweging en de mogelijke implicaties van het niet integraal

overnemen ervan in artikel 22 GDPR betreft, zal verder in deze masterproef uitgebreid worden ingegaan.

Tot slot, kan bij wijze van aanbeveling worden opgemerkt dat ondernemingen uitermate voorzichtig

dienen te zijn wanneer het algoritme gebruik maakt van speciale categorieën persoonsgegevens.

Miskenning van hierboven vermelde bepalingen kunnen immers aanleiding geven tot een aanzienlijke

administratieve geldboete162. Hieruit volgt dat de werkgever omzichtig zal moeten omspringen met de

handhaving van geautomatiseerde besluitvormingsprocessen die op basis van algoritmes en/of

profilering functioneren.

4.2.3.2. Introductie van een “recht op uitleg” bij geautomatiseerde besluitvorming?

Vermits het grootste nadeel van het gebruik van algoritmes bij besluitvorming gevonden wordt in zijn

ondoorgrondelijk karakter, werd bij de creatie van de GDPR maximaal ingezet op het informeren van

de bij algoritmische besluitvorming betrokken individuen. Men heeft aan de hand van wettelijke

verplichtingen getracht de betrokkenen bij geautomatiseerde besluitvorming163 zoveel mogelijk

informatie te verschaffen over het bestaan alsook de onderliggende logica van het algoritmisch

besluitvormingssysteem.

161 G., MALGIERI en G., COMANDE, “Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation”, International Data Privacy Law, vol. 7, Issue 3, p. 16, Forthcoming, 13 november 2017. 162 A. VAN DE MEULEBROUCKE, “De algemene verordening gegevensbescherming”, RW., 4 juni 2016, 1562. 163 zie onder andere artikele, 13,14 en 15 GDPR.


57

Daarenboven, kan volgens sommigen in de combinatie van verschillende GDPR-bepalingen zelfs een

zogenaamd ‘recht op uitleg’ bij geautomatiseerde besluitvorming gelezen worden164. Het gaat met name

om de artikelen 13 & 14, 15 en 22 GDPR, welke respectievelijk verwijzen naar het recht op

kennisgeving, het recht op inzage en het recht om niet aan geautomatiseerde besluitvorming te worden

onderworpen.

Teneinde een grondige analyse mogelijk te maken zullen hiernavolgens de voornaamste doelstellingen

toegelicht worden die men met de invoering van dergelijk ‘recht op uitleg’ (mogelijks) beoogd.

Vervolgens zal aan de hand van een analyse van volgende wetsartikelen: artikel 22, artikelen 13 & 14

en artikel 15 GDPR worden onderzocht of in één (of meerdere) van deze GDPR-bepalingen een

rechtsgrond voor een ‘recht op uitleg’ kan worden gevonden.

a. Mogelijke doelstellingen van een recht op uitleg

In dit onderdeel zullen drie doelstellingen uiteengezet worden die de betrokkene met behulp van een

‘recht op uitleg’ (idealiter) zou moeten kunnen verwezenlijken. Elk van de doelstellingen doet derhalve

dienst als drijfveer voor een ‘recht op uitleg’.

Volgende drie potentiële oogmerken zullen van elkaar worden onderscheiden:

Ten eerste kan een ‘recht op uitleg’ ertoe strekken het begrip in hoofde van de betrokkene te vergroten.

Nu is de vraag alleen nog maar hoe men complexe geautomatiseerde beslissingssystemen op een

eenvoudige manier uitgelegd krijgt aan de betrokkenen.

Teneinde betrokkenen onmiddellijk op de hoogte te stellen van de gegevensverzameling stelden enkele

juridische onderzoekers voor om informatieverplichtingen te vervullen via updates van bestaande

privacyverklaringen of kennisgevingen165. Hulpmiddelen die vergelijkbaar zijn met deze die aangewend

worden om gebruikers bewust te maken van cookies of het volgen van winkelgedrag kunnen volgens

de onderzoekers in overweging genomen worden om te voldoen aan de informatieverplichting ex artikel

14 GDPR.

Artikel 12, lid 7 GDPR bepaalt immers dat de vereiste informatie met gebruikmaking van

gestandaardiseerde iconen mag worden verstrekt om de betrokkene een nuttig overzicht in een goed

zichtbare, begrijpelijk en duidelijk leesbare vorm van de voorgenomen verwerking te bieden. Hoewel

in het Europees Parlement de voorgestelde gestandaardiseerde iconen uiteindelijk niet werden

164 G., MALGIERI en G., COMANDE, “Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation”, International Data Privacy Law, vol. 7, Issue 3, 2, 13 november 2017. 165 S. WACHTER, B. MITTELSTADT, C. RUSSELL, “Counterfactual explanations without opening the black box: automated decisions and the GDPR”, Harvard Journal of Law & Technology, 25, 6 oktober 2017.


58

goedgekeurd, bevestigt deze bepaling de initiële voorkeur van de regelgever voor eenvoudig

verstaanbare informatie.

Nu kan men zich echter ook vragen stellen bij de geschiktheid van dergelijke gestandaardiseerde iconen

als communicatie-instrument. Vermits de informatieplicht in hoofde van de

verwerkingsverantwoordelijke tot doel heeft data subjecten te informeren over wat met hun data zal

gebeuren, alsook ertoe strekt hen in staat te stellen een geïnformeerde beslissing betreffende

toestemming te nemen, zullen gestandaardiseerde iconen en beknopte beschrijvingen wellicht

ontoereikend zijn. Des te meer wanneer de informatieverplichting de onderliggende logica van een

besluitvormingssysteem betreft.

Hoewel de door pictogrammen geboden eenvoud en gestandaardiseerde vorm van communicatie,

wenselijk kan zijn, is de “educatieve kracht” ervan eerder beperkt, zelfs indien vergezeld van een korte

beschrijvende tekst. Hieraan zou echter tegemoetgekomen kunnen worden door bijkomende informatie

te voorzien voor diegenen die effectief inzicht wensen te ontwikkelen166.

Kennisgevingen met betrekking tot geautomatiseerde, algoritmische besluitvorming stoten omwille van

hun complexiteit tevens op specifieke knelpunten met betrekking tot de verplichting om een algemeen

zinvol overzicht te bieden. Volgens de WP29 volstaat het de betrokkene op een zeer eenvoudige manier

te informeren over het belang en de verwachte gevolgen van de geautomatiseerde besluitvorming,

zonder telkenmale gehouden te zijn gespecifieerde informatie over een individuele beslissing te

verstrekken. Daarnaast zou de verplichting ex artikel 13, lid 2, f) GDPR tot het verstrekken van nuttige

informatie over de onderliggende logica slechts verduidelijking aangaande de categorieën gegevens die

vereist ter creatie van een profiel, de bron van gegevens alsook de reden waarom deze gegevens relevant

worden geacht, vereisen. Voormelde bepaling houdt bijgevolg geenszins een verplichting in tot het

verstrekken van een gedetailleerde technische beschrijving over hoe een algoritme functioneert.

Deze visie kan eveneens worden teruggevonden in de richtlijnen van artikel 29 werkgroep voor

geautomatiseerde individuele besluitvorming. Voorts, moet de verwerkingsverantwoordelijke een

eenvoudige manier trachten te vinden om de betrokkene te informeren over de onderliggende redenering

en/of de criteria waarop vertrouwd wordt bij de totstandkoming van de beslissing, zonder

noodzakelijkerwijs te vervallen in een complexe uitleg met betrekking tot het gebruikte algoritme of

zelfs een heuse openbaarmaking van het volledige algoritme167. Ondanks de verwijzing naar de

166 S. WACHTER, “GDPR and the Internet of Things: Guidelines to Protect User’s Identity and Privacy, p?, 5 februari 2018. 167 S. WACHTER, B. MITTELSTADT, C. RUSSELL, “Counterfactual explanations without opening the black box: automated decisions and the GDPR”, Harvard Journal of Law & Technology, p. 27.


59

“onderliggende redenering” van de besluitvorming, lijkt deze vereiste te verwijzen naar algemene

systeemfunctionaliteit in plaats van een verklaring betreffende een individuele beslissing.

Het besluitvormingsproces en de algoritmes zelf hoeven met andere woorden niet volledig te worden

onthuld. Er wordt wordt eerder aangestuurd op een beschrijving van het algoritme, wateen opsomming

van gegevensbronnen of variabelen kan bevatten. Opdat het recht om niet onderworpen te zijn aan een

geautomatiseerde beslissing zou kunnen worden gerealiseerd, is het essentieel dat de informatie bij

geautomatiseerde besluitvorming voorafgaandelijk aan het besluitvormingsproces verstrekt wordt.

Wanneer de kennisgeving immers niet voorafgaand aan de gegevensverwerking of besluitvorming

plaatsvindt, kan de betrokkene pas nadat de beslissing reeds geschiedde tot betwisting overgaan, hetgeen

bijzonder tijd- en kostenintensief kan zijn en mogelijks niet toelaat financiële en reputatieschade te

herstellen.

Een tweede mogelijk doel van het bieden van een verklaring bestaat erin informatie te verschaffen opdat

de betrokkene in staat zou zijn het geautomatiseerd besluit aan te vechten indien dit ongunstig of

ongewenst blijkt te zijn. Een recht om beslissingen te betwisten wordt krachtens artikel 22, lid 3, GDPR

aangeboden als zijnde een waarborg bij geautomatiseerde besluitvorming.

Wanneer de redenen die tot een beslissing hebben geleid moeten worden toegelicht, kan de betrokkene

beoordelen of deze legitiem waren en bijgevolg (indien gewenst) de beoordeling betwisten zoals vereist

wordt.

Ten derde kan het recht op uitleg ertoe strekken in een verklaring te voorzien teneinde de betrokkene in

staat te stellen bepaalde factoren, die een invloed op de genomen beslissing uitoefenden, te wijzigen en

derhalve de kans op een gunstige beslissing in de toekomst te vergroten.

b. Rechtsgronden

Nu de mogelijke doelstellingen van het “recht op uitleg” uiteengezet werden, rest slechts de vraag of de

GDPR werkelijk de bedoeling had een “recht op uitleg” in het leven te roepen? Voorziet artikel 22

GDPR effectief in een voor de betrokkene juridisch afdwingbaar “recht op uitleg” betreffende (volstrekt)

geautomatiseerde individuele besluiten of kan de rechtsgrond van voormeld recht misschien elders

gezocht en gevonden worden?

Op juridisch niveau is bijgevolg een belangrijke discussie ontstaan met betrekking tot de specifieke

vereisten en beperkingen in dit verband, en in het bijzonder over hoe informatie te verschaffen over

beslissingen welke door zeer complexe, geautomatiseerde systemen worden genomen. De oplossing van

dit vraagstuk is in belangrijke mate afhankelijk van het beoogde doel welke men met de uitleg van een

geautomatiseerde beslissing tracht na te streven. De inhoud van een verklaring moet immers het beoogde

doel weerspiegelen. Helaas definieert de GDPR geen vereisten met betrekking tot de uitleg bij


60

geautomatiseerde besluitvorming. Bovendien, is men bijzonder karig met aanwijzingen betreffende het

beoogde doel waardoor verschillende doelstellingen mogelijk zijn.

Welke zijn de rechtsgronden waarop het recht op uitleg mogelijks gesteund kan worden?

a) De overeenkomstig artikel 22, lid 3, GDPR vereiste “passende maatregelen” welke door de

verwerkingsverantwoordelijke bij geautomatiseerde individuele besluitvorming dienen te

worden getroffen. Een verdere concretisering hiervan kan gevonden worden in overweging 71

GDPR.

b) De informatieverplichtingen welke krachtens artikelen 13 en 14 GDPR bestaan in hoofde van

de verwerkingsverantwoordelijke.

c) Het recht van inzage van de betrokkene (artikel 15 GDPR).

a) Vormt artikel 22 GDPR de toegangspoort tot een “recht op uitleg”?

Hoewel artikel 22 GDPR voormelde “passende maatregelen ter bescherming van de rechten en vrijheden

en de gerechtvaardigde belangen van de betrokkene”, uitgezonderd van het recht op menselijke

tussenkomst, geenszins verder preciseert, bepaalt artikel 13, §2, f) GDPR dat de betrokkene in geval

van geautomatiseerde besluitvorming (met inbegrip van profilering) recht heeft op nuttige informatie

omtrent de onderliggende logica alsook het belang en de verwachte gevolgen van die verwerking voor

de betrokkene. Naar aanleiding van deze verplichting rijst bijgevolg de vraag wat de facto vereist is om

een algoritmische beslissing conform de huidige regelgeving uit te leggen.

Gelet op de tekst van de wet wordt in artikel 22 GDPR geenszins expliciet gewag gemaakt van een

zogenaamd ‘recht op uitleg’ van de onderliggende op geautomatiseerde wijze genomen beslissing. Aan

de betrokkene worden daarentegen wel uitdrukkelijk het recht op menselijke tussenkomst van de

verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken alsook het recht om het

besluit te betwisten, toegekend. Artikel 22 bevat derhalve in wezen geen ‘recht op uitleg’, slechts een

recht om de verwerking te doen ophouden, tenzij een menselijke tussenkomst wordt voorzien om de

beslissing te herbekijken168. Algemeen beschouwd, wordt enkel in overweging 71169 expliciet melding

gemaakt van het zogenaamde “recht op uitleg” van de individuele geautomatiseerde beslissing:

168 L. EDWARDS, M. VEALE, “Enslaving the Algorithm: From a ‘Right to an Explanation’ to a ‘Right to Better Decisions’, IEEE Security & Privacy (2018), 16 (3), 3, 2018. 169 Een overweging in de preambule bij een verordening is echter geenszins juridisch bindend. Overwegingen strekken ertoe de doelstellingen van een normatief instrument te verduidelijken en kunnen tevens in aanmerking genomen worden om dubbelzinnighede en/of onduidelijkheden op te lossen in de wettelijke bepalingen waarop ze


61

… “In ieder geval moeten voor dergelijke verwerking passende waarborgen worden geboden,

waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om

zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen

besluit te krijgen en om het besluit aan te vechten”…

Overweging 71 van de GDPR, welke overigens beschouwd wordt als zijnde een niet-bindende bepaling,

bepaalt derhalve dat passende garanties tegen geautomatiseerde besluitvorming geïmplementeerd

dienen te worden. Hieronder ligt onder meer de verplichting tot het verstrekken van specifieke

informatie aan de betrokkene, het recht op menselijke tussenkomst, het recht om zijn standpunt kenbaar

te maken, het besluit aan te vechten, alsmede het recht om een verklaring te krijgen van het

geautomatiseerd genomen besluit, vervat.

Het feit dat laatstgenoemd recht (i.e. het recht om een ex post verklaring te krijgen van het

geautomatiseerd genomen besluit), als enige element uit overweging 71, niet in de eigenlijke, juridisch

bindende wettekst werd opgenomen, lijkt te impliceren dat de regelgevers louter hebben willen

verduidelijken dat het verstrekken van uitleg vrijwillig kan geschieden na het nemen van een

geautomatiseerd besluit. Voorts worden immers geen nadere aanwijzingen omtrent de beoogde inhoud

van dergelijk ex post ‘recht op uitleg’ gegeven.

Hieruit volgt dat de weglating van het ‘recht op uitleg’ in artikel 22 GDPR doelbewust lijkt gebeurd te

zijn. Aangenomen kan derhalve worden dat de wetgever er weloverwogen voor gekozen heeft aan het

‘recht op uitleg’ geen juridisch afdwingbaar karakter toe te schrijven170.

b) Behelzen artikelen 13 en 14 GDPR een ex post “recht op uitleg”?

Nu in artikel 22 GDPR geen ‘recht op uitleg’ gelezen lijkt te kunnen worden, zouden de

informatieverplichtingen, welke krachtens de artikelen 13, lid 2, f) en 14, lid 2, g) GDPR op de

verwerkingsverantwoordelijke rusten, mogelijks soelaas kunnen bieden. De vraag is bijgevolg of

voormelde informatieverplichtingen in combinatie met de overeenkomstig artikel 22, lid 3 GDPR

vereiste “passende maatregelen” een ‘recht op uitleg’ van het geautomatiseerd besluit inhouden.

Een analyse van voormelde artikelen dient hieromtrent duidelijkheid te scheppen. Dergelijk ‘recht op

uitleg’ impliceert uiteraard dat het geautomatiseerd besluit vooreerst genomen dient te worden. Men

spreekt met andere woorden van een ex post recht op uitleg van een individuele geautomatiseerde

beslissing. Hierbij stuit men reeds op een eerste moeilijkheid.

betrekking hebben. overwegingen geven een zekere richting aan maar kunnen geen aanleiding geven tot gewettigde verwachtingen vermits ze geenszins over een autonoom juridsich bindend karakter hebben. 170 S. WACHTER, B. MITTELSTADT en L. FLORIDI, “Why a right to explanation of automated decision-making does not exist in the General Data Protection Regulation”, International Data Privacy Law, 11, 28 december 2016.


62

Uit de terminologie van artikel 13, lid 2, f) en artikel 14, lid 2, g) blijkt echter dat deze

informatieverplichtingen ertoe strekken de betrokkene voorafgaandelijk (ex ante) aan de

geautomatiseerde besluitvorming op de hoogte te stellen van de onderliggende logica, het belang en de

verwachte gevolgen van desbetreffende verwerking voor de betrokkene. Deze informatieverplichtingen

hebben met andere woorden betrekking op de fase waarbij data verzameld wordt voor verwerking en

welke zich bijgevolg afspeelt alvorens enig geautomatiseerd besluit werd genomen. Hieruit volgt dat de

artikelen 13 en 14 GDPR omwille van de chronologische discrepantie geen invoering van een ex post

‘recht op uitleg’ kunnen verantwoorden. Belangrijk is echter wel op te merken dat deze kwestie in de

praktijk nog steeds ter discussie staat en hieromtrent (nog) geen eensgezindheid werd bereikt171.

Daarnaast blijkt het uit de bewoordingen van de artikelen 13 en 14 GDPR eerder te gaan om een

informatieverplichting aangaande de algemene werking van het systeem en geenzins om een

verplichting tot het verstrekken van informatie omtrent de wijze van totstandkoming van een specifieke,

reeds genomen, geautomatiseerde beslissing. In juridische termen zou men bijgevolg spreken van een

‘ex ante recht op uitleg’ met een algemene strekking in plaats van een geïndivudualiseerd ‘ex post recht

op uitleg’. Opdat een ‘recht op uitleg’ voor de betrokkene (in casu de sollicitant) betekenisvol zou zijn

dient het echter ex post te worden verstrekt zodanig dat specifieke elementen die het concrete

besluitvormingsproces met betrekking tot de sollicitant betreffen, aan hem/haar worden bekendgemaakt.

Een algemene, voorafgaandelijke kennisgeving over de functionaliteit van het algoritme is daarentegen

bijzonder vaag en nutteloos voor de sollicitant voor wat het aannemelijk maken van discriminatie betreft.

Deze analyse toont derhalve aan dat artikelen 13, lid 2, f) en 14, lid 2, g) evenmin een rechtsgrond

vormen voor een ‘recht op uitleg’.

c) Biedt artikel 15 GDPR soelaas?

Vermits noch in artikel 22 GDPR, noch in de artikelen 13, lid 2, f) en 14, lid 2, g) GDPR een rechtsgrond

voor het recht op uitleg van een individuele geautomatiseerde beslissing gevonden kan worden, vormt

artikel 15 GDPR, hetgeen een recht van inzage in hoofde van de betrokkene onderschrijft, een derde en

tevens laatste mogelijke rechtsgrond.

Volgens overweging 63 heeft het recht van inzage (artikel 15 GDPR) in hoofdzaak tot doel de

betrokkene van de verwerking op de hoogte te stellen en deze derhalve de mogelijkheid te bieden de

rechtmatigheid ervan te controleren.

Het recht op inzage komt toe aan de betrokkene en dient tevens door hem/haar te worden ingeroepen.

De betrokkene dient met andere woorden tot uitoefening van voormeld recht te verzoeken, waarbij

171 L. EDWARDS, M. VEALE, “Enslaving the Algorithm: From a ‘Right to an Explanation’ to a ‘Right to Better Decisions’, IEEE Security & Privacy (2018) 16 (3), 3, 2018.


63

overigens geen termijn in acht dient te worden genomen. Op het eerste zicht kan de betrokkene krachtens

artikel 15 GDPR, wegens het ontbreken van enige tijdsbepaling, op ongeacht welk tijdstip om informatie

verzoeken. Dit impliceert dat het recht van inzage door de betrokkene evenzeer kan worden aangewend

nadat het geautomatiseerde individuele besluit reeds tot stand kwam. Wanneer de specifieke

bewoordingen van artikel 15 GDPR onder de loep genomen worden, valt echter op dat de wettekst in

lid 1 h) identiek is aan het reeds besproken artikel 13, lid 2, f) en artikel 14, lid 2, g) GDPR. In elke van

deze artikelen wordt namelijk melding gemaakt van hetgeen in artikel 15, lid 1, h) te lezen valt:

“De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over

het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage

te verkrijgen van die persoonsgegevens en van de volgende informatie:…

h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4,

bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica,

alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene”…

Het feit dat geopteerd werd voor de bewoording “verwachte gevolgen” wijst er in het bijzonder op dat

deze bepaling betrekking heeft op de toekomst en bijgevolg een verplichting inhoudt in hoofde van de

verwerkingsverantwoordelijke tot het verstrekken van informatie omtrent de mogelijke en voorspelbare

gevolgen van de geuatomatiseerde besluitvorming voor de betrokkene, alvorens deze besluitvorming

echter daadwerkelijk plaatsvindt. De term “verwachte gevolgen” begrenst het recht op uitleg tot een ex

ante recht, dat met andere woorden het individuele geautomatiseerde besluit voorafgaat.

Algemeen beschouwd omvat artikel 15,lid 2, h) GDPR onder andere de verplichting in hoofde van de

verwerkingsverantwoordelijke om de betrokkene op de hoogte te stellen van het bestaan en gebruik van

geautomatiseerde besluitvormingsmethoden, welke aangewend worden om diens data te verwereken.

Het recht op inzage doelt bijgevolg niet op de wijze waarop een individuele beslissing werd bereikt, dan

wel op de plicht in hoofde van de verwerkingsverantwoordelijke om de betrokkene informatie te

verschaffen over het bestaan, de doelstellingen en de (beoogde) gevolgen van dergelijke verwerking.

Net zoals bij de artikelen 13 en 14 GDPR komt dit neer op een verplichting tot het uitleggen van de

algemene systeemfunctionaliteit van het geautomatiseerd besluitvormingsproces172.

Verder valt in artikel 15, lid 2, h) te lezen dat eveneens “nuttige informatie over de onderliggende

logica” verstrekt dient te worden. Sommigen zien hier de introductie van een ex post recht op uitleg van

172 De algemene systeemfunctionaliteit omvat de logica, het belang, de verwachte gevolgen alsook de algemene werking van een geautomatiseerd besluitvormingssysteem, zoals onder andere een specificatie van de algemene vereisten van het systeem, classificatiestructuren en vooraf gedefinieerde modellen. In geval de informatieverplichting daarentegen een individuele beslissing zou betreffen dient de gevolgde redenering en de redenen die, gelet op de omstandigheden van het individu, tot een welbepaalde geautomatiseerde beslissing hebben geleid te worden uitgelegd. Deze informatie is derhalve toegespitst op een individuele casus.


64

een specifieke, individuele geautomatiseerde beslissing in173. Dit artikel werd immers geenszins

voorzien van enige tijdsbeperking wat overigens lijkt te impliceren dat de betrokkene zowel naderhand

als voorafgaandelijk aan de geautomatiseerde beslissing om relevante informatie inzake de

onderliggende logica kan verzoeken. Zij beroepen zich onder meer op overweging 63, alwaar bepaald

wordt dat het recht om persoonsgegevens in te zien door de betrokkene met redelijke tussenpozen mag

worden uitgeoefend.

Wanneer we echter omwille van het loutere gegeven dat (nuttige) informatie aangaande de

onderliggende logica verstrekt dient te worden, besluiten tot het bestaan van een ex post recht op uitleg,

dreigen de overige elementen174 welke artikel 15, lid 2, h) behelst incoherent te zijn met deze

interpretatie.

Anderen zijn immers van mening dat de informatie welke overeenkomstig de kennisgevingsverplichting

ex. artikel 13-14 GDPR verstrekt wordt grotendeels identiek is aan deze welke krachtens artikel 15

GDPR (recht van inzage) door de betrokkene opgevraagd kan worden, hetgeen impliceert dat de

draagwijdte van de verplichting tot het verstrekken van “nuttige informatie over de onderliggende

logica” alsook de betekenis van “de verwachte gevolgen van de verwerking voor de betrokkene”,

beperkend geïnterpreteerd dienen te worden.

Van belang is echter te benadrukken dat de implementatie van de GDPR slechts tot een zeer recent

verleden behoort. Dit impliceert dat voormelde beperkende interpretatie die op heden in de literatuur

wordt gepropageerd175, in de toekomst perfect plaats zou kunnen maken voor een interpretatie die

daarentegen bijzonder extensief is. De artikelen 13, 14, 15 en 22 GDPR zijn in het bijzonder

interpretatie-gevoelig vermits deze bepalingen tal van sleutelbegrippen bevatten die zeer vaag en ruim

zijn en bovendien ongedefineerd blijven (zoals “nuttige informatie”, “onderliggende logica”,

“uitsluitend op geautomatiseerde verwerking gebaseerd”, “anderszins in aanmerkelijke mate treffen”,

etc.).

Het valt bijgevolg af te wachten hoe deze bepalingen onder de GDPR in de Belgische rechtspraak zullen

worden ingevuld. De op nationaal niveau aangenomen intepretaties kunnen immers tussen de lidstaten

onderling enorm verschillen. Zo bestond onder de vroegere Richtlijn 95/46/EG reeds een bepaling die

173 Zo meent Von Lewinski dat artikel 15, lid 1, h) GDPR een quasi-recht op uitleg van de belangrijkste redenen impliceert, steunend op de verplichting tot het verstrekken van “nuttige informatie over de onderliggende logica” op grond waarvan de betrokkene die informatie kan opvragen nadat een beslissing genomen is. 174 De informatieplicht heeft immers evenzeer betrekking op het belang alsook de verwachte gevolgen van de verwerking voor de betrokkene. Het gebruik van voormelde terminologie duidt eerder op een toekomstgerichte bepaling in plaats van de invoering van een ex post recht dat zich chronologisch situeert nadat tot geautomatiseerde besluitvorming werd overgegaan. 175 S. WACHTER, B. MITTELSTADT en L. FLORIDI, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 28 december 2016.


65

over geautomatiseerde besluitvorming handelde. De lidstaten gaven aan de “uitsluitend op

geautomatiseerde verwerking gebaseerd besluiten” echter een zeer uiteenlopende interpretatie waardoor

de dimensie van de bepaling geheel wijzigde. Waar de Duitse rechtspraak (net zoals de Belgische

rechtspraak) een restrictieve uitlegging van artikel 15 Richtlijn 95/46/EG (i.e. de voorloper van het

huidige artikel 22 GDPR) aannam, vulde de nationale gegevenbeschermingsautoriteit in de UK176 de

bepaling op eerder extensieve wijze in177. Alwaar in Duitsland een minimale menselijke tussenkomst

reeds de toepasbaarheid van het artikel betreffende geautomatiseerde besluitvorming uitsloot, bleef

diezelfde bepaling in de UK bij een irrelevante menselijke tussenkomst alsnog toepasbaar.

Opmerkelijk is bovendien dat in artikel 15, lid 2, h) geen melding wordt gemaakt van een recht om

uitleg te krijgen over de na een geautomatiseerde beoordeling genomen beslissing. Overweging 71

onderschrijft daarentegen wél op expliciete wijze een recht op uitleg van een individueel

geautomatiseerd besluit, dat bovendien naderhand kan worden uitgeoefend.

Zodoende rijst de vraag waarom de wetgever voormeld recht uitsluitend in de niet-bindende

overwegingen opnam en geenszins op uitdrukkelijke wijze in één van de artikelen van de GDPR die

over geautomatiseerde besluitvorming handelen. De intentie van de wetgever om dergelijk recht in de

finale versie van de GDPR werkelijk bindend in te schrijven kan derhalve in twijfel worden getrokken.

Niettegenstaande de twijfels welke logischerwijze rijzen omwille van de ontstentenis van een expliciete

voorziening van een recht op uitleg, vormen louter linguïstische en logische redeneringen onvoldoende

grond om te besluiten dat het recht op inzage (artikel 15 GDPR) uitsluitend beperkt is tot een algemene

informatieplicht aangaande het functioneren van het geautomatiseerd systeem in globo.

c. Het recht op uitleg van een individuele geautomatiseerde beslissing versus de “algoritmische

black box”

Naast het ontbreken van een duidelijke rechtsgrond waarop het ‘recht op uitleg’ gesteund kan worden,

botst men bij de introductie van een ‘recht op uitleg’ op significante moeilijkheden die, in tegenstelling

tot het ontbreken van een rechtsgrond, eerder technisch van aard zijn. Het betreft met name de

algoritmische black box.

Vermits de complexiteit van algoritmes alsmaar toeneemt, wordt wel eens gewag gemaakt van de

zogenaamde “algoritmische blaxk box”. Hiermee wordt verwezen naar de situatie waarbij beslissingen

betreffende personen genomen worden op basis van algoritmes en Big Data-analyse zonder dat de

176 i.e. de Information Commissioner’s Office (ICO). 177 G., MALGIERI en G., COMANDE, “Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation”, International Data Privacy Law, vol. 7, Issue 3, p. 8, Forthcoming, 13 november 2017.


66

betrokkenen begrijpen hoe deze algoritmes besluiten nemen evenals hoe, indien nodig, kan worden

ingegrepen178. Eveneens de gegevensverwerks zelf begrijpen steeds minder van de analyses die op basis

van Big Data geschieden alsook de patronen die middels de analyses ontdekt worden.

Pogingen ter implementatie van een ‘recht op uitleg’ in de GDPR dat van aard is de zogenaamde “black

box” te openen teneinde betrokkenen inzicht te verschaffen in de interne werking van het

geautomatiseerde besluitvormingsproces, stoten op verschillende juridische en technische barrières.

De juridische problematiek betreffende de ontstentenis van een rechtsgrond voor het ‘recht op uitleg’

werd in het voorgaande onderdeel reeds uitvoerig besproken. Hier zal derhalve niet opnieuw op worden

ingegaan. Hoewel de meerderheidsopvatting van oordeel is dat de GDPR geen ex post ‘recht op uitleg’

bevat179, dient volledigheidshalve echter nog te worden aangehaald dat indien de bindende kracht van

voormeld recht toch zou worden aangenomen, de draagwijdte ervan nog steeds bijzonder beperkt zou

zijn en derhalve uitsluitend toepassing zou vinden in een specifiek aantal gevallen. De GDPR-bepaling

betreffende geautomatiseerde besluitvorming (artikel 22 GDPR) is immers uitsluitend van toepassing

wanneer de uitsluitend geautomatiseerde beslissing negatieve rechtsgevolgen teweegbrengt of de

persoon in kwestie op soortgelijke wijze in aanmerkelijke mate treft. Dit impliceert dat uitsluitend

systemen waarbij belangrijke, definitieve beslissingen zoals onder meer deze betreffende tewerkstelling,

tot een “recht op uitleg” aanleiding zouden geven.

Een volgende barrière van juridische aard wordt gevonden in de vorm van een carve-out in overweging

63 GDPR en betreft de intellectuele eigendomsrechten, zoals het bedrijfsgeheim of het auteursrecht dat

tot bescherming van de software strekt. Hierdoor wordt het bekendmaken van gedetailleerde informatie

betreffende de voor het nemen van beslissingen aangewende algoritmes in zekere zin bemoeilijkt.

Dataverwerkers zijn vaak niet happig om allerhande details betreffende de werking van de gebruikte

algoritmes prijs te geven aangezien dit bedrijfsgeheimen en/of concurrentievoordelen van

desbetreffende onderneming mogelijks kan onthullen. Hoewel het geenszins de bedoeling is dat dit

resulteert in een persistente weigering in hoofde van de verwerkingsverantwoordelijke tot het

verstrekken van enige informatie aan de betrokkene, maakt het gebrek aan duidelijke bepalingen dit tot

een perfecte voedingsbodem voor discussies.

Voorts vormt een recht op uitleg betreffende de functionaliteit van complexe algoritmische

besluitvormingssystemen en hun beweegredenen een uitdaging op technisch niveau. Hoewel er duidelijk

178 B. MITTELSTADT, S. WACHTER, “Could counterfactuals explain algorithmic decisions without opening the black box?”, Oxford Internet Institute, 15 januari 2018. 179 S. WACHTER, B. MITTELSTADT en L. FLORIDI, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 28 december 2016; M. VEALE, “Slave to the algorithm? Why a ‘Right to an explanation’ is probably not the remedy you are looking for, 16 Duke Law & Technology Review, 23 mei 2017. Available at SSRN: https://ssrn.com/abstract=2972855.


67

nood is aan transparantie aangaande geautomatiseerde beslissingen, is het immers niet onbelangrijk ook

met praktische overwegingen rekening te houden. Men kan zich de vraag stellen of dergelijk recht

haalbaar is in de praktijk. Is het überhaupt praktisch gezien mogelijk en/of wenselijk om een data subject,

nadat de geautomatiseerde beslissing werd genomen, de werking van de complexe, vaak

ondoorgrondelijke, algoritmische systemen uit te leggen? Dergelijke verklaringen verschaffen immers

mogelijks weinig betekenisvolle informatie aan data subjecten en doen tevens vragen rijzen omtrent hun

waarde op de arbeidsmarkt.

Daarnaast vrezen ondernemingen via een verstrekkend ‘recht op uitleg’ in hoofde van een individu, het

recht op privacy van de overige betrokkenen aan te tasten. Tevens tracht de gegevensverwerker er zich

voor te behoeden data subjecten, ten gevolge van het recht op uitleg, zodanig veel informatie ter

beschikking te stellen waardoor zij in staat zouden zijn het besluitvormingsproces te manipuleren180.

Niettegenstaande de juridische en technische moeilijkheden die met het ‘recht op uitleg’ gepaard gaan,

staat de sociale en ethische waarde van voormeld recht buiten kijf. Vandaar dat de implementatie van

instrumenten om de betrokkene zinvolle informatie te verschaffen over de draagwijdte van de gegevens

die worden verwerkt alsook de daaruit voortvloeiende gevolgtrekkingen, sterk aan te raden valt.

Google’s ad manager biedt in dit opzicht als een op heden bestaand mechanisme reeds een model

vermits gebruikers via hun accountinstellingen de informatie die door Google in het kader van

advertenties wordt gebruikt kunnen beheren. Dergelijke modellen vormen bijzonder nuttige

instrumenten om betrokkenen te helpen de veronderstellingen die op basis van hun gegevens worden

gemaakt te begrijpen en deze eventueel te corrigeren.

d. “La loi pour une République numérique”: de Franse variant van het ‘recht op uitleg’

Opmerkelijk is dat, ondanks jarenlange onderhandelingen, de finale wetsbepaling inzake

geautomatiseerde besluitvorming en profilering181, amper afwijkt van de relevante artikelen terzake uit

de voorgaande Richtlijn welke dateert uit 1995 en derhalve de evolutie in algoritme-ontwikkeling

voorafging. In die zin is het dan ook weinig verrassend dat het betwiste “recht op uitleg” bij

geautomatiseerde besluiten om verschillende redenen onder vuur komt te liggen.

Dat er in het kader van deze problematiek modernere regelgeving bestaat wordt onder meer aangetoond

door de Franse “Loi pour une République numérique” (oftwel: de wet voor een Digitale Republiek) van

7 oktober 2016182. Deze wet voorziet immers in een individueel recht op uitleg voor administratieve,

180 S. WACHTER, B. MITTELSTADT, C. RUSSELL, “Counterfactual explanations without opening the black box: automated decisions and the GDPR”, Harvard Journal of Law & Technology, (datum). 181 Het vroegere art. 15 Richtlijn 95/46/EG dat handelde over de bescherming inzake profilering en geautomatiseerde besluitvorming werd getransponeerd naar het nieuwe artikel 22 GDPR. 182 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.


68

geautomatiseerde beslissingen. Artikel 4 voorziet dat wanneer een beslissing genomen wordt op basis

van een algoritmisch systeem, de belangrijkste kenmerken van dit systeem, op verzoek aan de

betrokkene moeten worden meegedeeld. Deze bepaling werd bij decreet van maart 2017183 tevens verder

geconcretiseerd. De administratie zal met name informatie verstrekken over vier onderscheiden

elementen:

1. De mate en wijze waarop de algoritmische verwerking heeft bijgedragen tot de besluitvorming

(hierna: punt 1);

2. De verwerkte data en bronnen (hierna: punt 2);

3. De door het systeem aangewende parameters en, in voorkomend geval, de onderlinge

verhouding, toegepast op de situatie van de betrokkene (hierna punt 3);

4. Het door het systeem uitgevoerde proces (hierna: punt 4).

De door Frankrijk gehanteerde benadering kent belangrijke voordelen in vergelijking met de GDPR.

Ten eerste, wijst punt 1 erop dat beslissingen die slechts deels op basis van een algoritme tot stand

kwamen, geenszins van het recht op uitleg worden uitgesloten. Dit in tegenstelling tot de beperkte

draagwijdte van artikel 22 GDPR dat enkel bij volledig geautomatiseerde besluiten toepassing vindt.

Ten tweede, geeft punt 3 aan dat indien de situatie zich daartoe leent, de onderlinge verhouding van de

verschillende factoren die ten gronde liggen aan de beslissing, op basis van het recht op uitleg aan de

betrokkene kunnen worden bekendgemaakt. Hierbij wordt uitdrukkelijk gesteld dat de

informatieverstrekking aangaande de “paramters van het systeem” toegepast dient te zijn op de situatie

van de betrokkene. Hetgeen impliceert dat het recht op uitleg een geïndividualiseerde verklaring

(subject-based) behelst en geenszins betrekking heeft op algemene, vrijwel vage, overzichten van

complexe besluitvormingssystemen (model-based). Een geïndividualiseerde uitleg betreffende een

specifieke beslissing laat immers, in tegenstelling tot de ingewikkelde, algemene interne werking van

het systeem, eerder toe herkenbare patronen weer te geven184.

De duidelijkheid waarmee artikel 4 Loi pour une République numérique en het aanvullend decreet, in

tegenstelling tot de GDPR-bepalingen aangaande geautomatiseerde besluitvorming, geformuleerd

worden kan een belangrijke les voor de toekomst vormen. Dankzij de nodige concretisering die door het

decreet van 14 maart 2017 aan artikel 4 werd gegeven, staat de draagwijdte van het Franse “recht op

uitleg” allerminst ter discussie.

183 Décret n°2017-330 du 14 mars 2017 relatif aux droits des personnes faisant l’objet de décisions individuelles prises sur le fondement d’un traitement algorithmique. 184 L., EDWARDS, M., VEALE, “Enslaving the Algorithm: From a ‘Right to an Explanation’ to a ‘Right to Better Decisions’, IEEE Security & Privacy (2018) 16 (3), 5, 2018.


69

Hoewel dit “recht op uitleg” zoals omschreven in de Franse Loi pour une République numérique een

unicum vormt binnen Europa, althans voor wat geautomatiseerde besluitvorming betreft, dient het

enthousiame betreffende deze uitwerking van het recht op uitleg enigszins getemperd te worden. Het

Franse recht op uitleg is immers uitsluitend van toepassing op administratieve, geautomatiseerde

beslissingen. Het reguleren van een “recht op uitleg” vormt bij dergelijke beslissingen in zeker opzicht

een minder grote uitdaging. Het aantal discretionaire beslissingen dat op dit ogenbik door algoritmische

systemen van de overheid genomen wordt is immers relatief klein in vergelijking met de in de private

sector waarneembare omgekeerde beweging. Daarnaast wordt algemeen van democratische overheden

verwacht dat zij, tot op zekere hoogte, transparant zullen zijn. De private sector daarentegen wordt

normaliter niet verplicht om zijn geheimen bekend te maken, behalve in een aantal specifieke gevallen

zoals bij financiële toelichtingen185.

4.2.3.3. Alternatieve manieren om sollicitanten inzicht te verschaffen in algoritmische

beslissingen

Hoewel hier nog geen uitsluitsel over bestaat, lijkt de meerderheidsopvatting ervan overtuigd te zijn dat

de hierboven besproken GDPR-bepalingen geen invoering van een ‘recht op uitleg’ impliceren. Dit

betekent derhalve dat het probleem betreffende het gebrek aan inzicht in hoofde van de betrokkene bij

het gebruik van algoritmes blijft bestaan. Wanneer een kandidaat bij een wervingsprocedure op basis

van een algoritme geweigerd wordt, zal de ontstentenis van een ‘recht op uitleg’ tot gevolg hebben dat

de geweigerde kandidaat nooit inzicht verwerft in de werking van het algorime, hetgeen problematische

gevolgen kan hebben (voornamelijk vanuit discriminatie-oogpunt).

Om die reden zullen in het volgende onderdeel van deze masterproef op basis van literatuurstudie twee

verschillende concepten uiteengezet worden, welke echter in wezen eenzelfde doelstelling beogen, met

name een oplossing bieden voor “het mysterie”, de onwetendheid die op heden rond algoritmische

besluitvorming hangt, zonder hierbij echter de black box te openen.

Vermits beide concepten hun oorsprong in de Engelstalige literatuur vinden, werd ervoor geopteerd de

oorspronkelijke Engelstalige benaming te behouden, maar werd eveneens telkens een Nederlandstalige

vertaling voorzien.

185 L., EDWARDS, M., VEALE, “Enslaving the Algorithm: From a ‘Right to an Explanation’ to a ‘Right to Better Decisions’, IEEE Security & Privacy (2018) 16 (3), 6, 2018.


70

a. Twee alternatieve gedaantes van het “recht op uitleg” uiteengezet

a.1. “Counterfactual explanations” of “Tegenfeitelijke verklaringen”

Gelet op het feit dat het “recht op uitleg” zoals tot nog toe afgeschilderd, haaks kwam te staan op de

zogenaamde algoritmische black box, werd door enkele auteurs (Sandra Wachter, Brent Mittelstadt &

Chris Russell) een specifiek type ‘uitleg’ voorgedragen. Het betreft de zogenaamde “counterfactual

explanation” of “tegenfeitelijke verklaring”. Voormelde verklaring beschrijft aan de sollicitant de

kleinste wijziging die, overeenkomstig het huidige besluitvormingsysteem, tot een gunstigere beslissing

zou hebben geleid. Men gaat bijgevolg aan de sollicitant uitleggen welke veranderingen deze kan

bewerkstelligen teneinde de kans op een gunstige beslssing betreffende diens kandidatuur voor de

toekomst te vergroten.

In wezen vertrekt men bij een tegenfeitelijke verklaring vanuit het resultaat waarbij gezegd wordt: “ik

bevind me op dit ogenblik in situatie A, wat is het minimum dat ik moet doen om in situatie B terecht te

komen?”

Tegenfeitelijke verklaringen vertegenwoordigen een specifiek type ‘uitleg’ dat wezenlijk verschilt van

het in de bestaande literatuur beschreven “recht op uitleg”, alwaar ‘uitleg’ meestal naar een poging om

de interne werking en logica van een algoritme over te bregen, verwijst. Tegenfeitelijke verklaringen

daarentegen beschrijven een afhankelijkheid van de externe factoren die tot een beslissing hebben

geleid186.

Daarenboven wordt het verstrekken van een tegenfeitelijke verklaring in geen geval aan

toepassingsvoorwaarden onderworpen187. Dit impliceert dat bij zowel positieve als negatieve

beslissingen met of zonder rechts- of andere ingrijpende gevolgen en ongeacht het al dan niet uitsluitend

geautomatiseerde karakter van beslissing, een tegenfeitelijke verklaring geboden zal worden. Door

tegenfeitelijke verklaringen te hanteren als middel om uitleg bij alle geautomatiseerde individuele

beslissingen te voorzien, gaat men derhalve veel verder dan de bescherming welke krachtens artikel 22

GDPR in het kader van geautomatiseerde besluitvorming geboden wordt.

186 B. MITTELSTADT, S. WACHTER, “Could counterfactuals explain algorithmic decisions without opening the black box?”, Oxford Internet Institute, 6, 15 januari 2018. 187 B., MITTELSTADT, S., WACHTER, “Could counterfactuals explain algorithmic decisions without opening the black box?”, Oxford Internet Institute, 5, 15 januari 2018.


71

a.1.1. Voor- en nadelen

Het voornaamste voordeel lijkt gevonden te kunnen worden in het feit dat men aan de hand van

“tegenfeitelijke verklaringen” in staat is verklaringen te verstrekken zonder daarbij de gehele logica die

achter het algoritme schuilgaat prijs te geven188(i.e. zonder de de black box te openen).

Dit is immers een belangrijk verschilpunt met de zogenaamde “benaderingsmodellen” van complexe

beslissingsalgoritmes. Hoewel het uitgangspunt erin bestaat een eenvoudige, voor de mens begrijpelijke

benadering te ontwikkelen, kan ten zeerste betwijfeld worden of dergelijke benaderende modellen ook

daadwerkelijk door een lekenpubliek begrepen worden. Een beslissingsalgoritme kan immers miljoenen

variabelen omvatten die op tal van mogelijke manieren met elkaar verweven zijn, wat het tot een

bijzonder complex gegeven maakt. Het vormt derhalve een enorme uitdaging om dit aan een

lekenpubliek over te brengen op een manier die hen in staat stelt te redenderen over de werking van het

algoritme. Hieruit volgt dat men zich tevens de vraag kan stellen of deze technische benaderingen

werkelijk zinvol zijn voor de betrokkene. Zal de betrokkene op basis van een technisch

benaderingsmodel, voor zover het reeds begrepen wordt, in staat zijn om de beslissing te verstaan, aan

te vechten of het eigen gedrag dermate te sturen dat de kans op een gunstige, toekomstige beslissing

zienderogen verhoogd? De praktijk zal dit moeten uitwijzen. Het antwoord op deze vragen is op dit

ogenblik in ieder geval onzeker.

Tegenfeitelijke verklaringen daarentegen kunnen omwille van hun aard als instrument worden

aangewend om sollicitanten aan te zetten tot handelen. Een tegenfeitelijke verklaring zal sollicitanten

immers elementen aanreiken die hen in staat stellen actie te ondernemen en veranderingen te

bewerkstelligen.

Daarnaast worden tegenfeitelijke verklaringen bewust beperkt gehouden189. Desondanks het feit dat de

hoeveelheid verstrekte informatie relatief beperkt is, stelt zij sollicitanten in staat elementen te wijzigen

welke volstaan om in de toekomst een gunstige beslissing te realiseren. Tevens slaagt men er op die

manier in de substantiële uitdaging om de interne werking van complexe machine learning-systemen

uit te doeken te doen, te omzeilen. Men tracht derhalve met een minimale hoeveelheid informatie, een

maximaal nut voor de betrokkene te creëeren. De nadruk ligt hierbij op de praktische bruikbaarheid van

de informatie voor de betrokkene. Het spreekt voor zich dat opdat de informatie voor de betrokkene

praktisch bruikbaar zou zijn de wijziging van de aangereikte factoren haalbaar moet zijn.

188 B. MITTELSTADT, S. WACHTER, “Could counterfactuals explain algorithmic decisions without opening the black box?”, Oxford Internet Institute, 15 januari 2018. 189 S. WACHTER, B. MITTELSTADT, C. RUSSELL, “Counterfactual explanations without opening the black box: automated decisions and the GDPR”, Harvard Journal of Law & Technology, p. 12, 6 oktober 2017.


72

Tegenfeitelijke verklaringen strekken ertoe de betrokkene in staat te stellen de 3 mogelijke

doelstellingen van het recht op uitleg te realiseren zonder dat hiertoe kennis betreffende de

onderliggende logica vereist is. De betrokkene wordt in eerste instantie geïnformeerd omtrent wat er is

gebeurd. Daarnaast wordt door middel van een tegenfeitelijke verklaring de mogelijkheid geboden om

de beslissing, indien gewenst, aan te vechten. Tot slot beschikt de betrokkene dankzij de tegenfeitelijke

verklaring over het vermogen om de kans op een gunstige afloop in de toekomst te vergroten. Er dient

echter wel over gewaakt te worden dat de tegenfeitelijke verklaringen niet zodanig beperkt worden dat

slechts 1 element (externe factor) zou worden aangereikt. Het is immers mogelijk dat de betrokkene niet

bij machte is veranderingen betreffende dat enkele element te bewerkstelligen alvorens een nieuwe

beslissing wordt genomen. Dit vormt vooral een probleem wanneer er naast het enkele aangereikte

element, nog andere externe factoren een nefaste invloed op de beslissing hadden die echter wel tijdig

door de betrokkene konden worden aangepast teneinde een gunstige beslissing in de hand te werken.

Dit potentieel nadeel kan echter eenvoudig geremedieerd worden door bij de tegenfeitelijke verklaring

verschillende elementen aan te reiken.

Voorts maken tegenfeitelijke verklaringen geenszins gebruik van moeilijk te interpreteren causale

modellen en wordt de naïeve veronderstelling dat variabelen onafhankelijk zijn van elkaar

doorbroken190.

Op de vraag waarom een bepaalde beslissing door een algoritme genomen werd zal men nooit een

sluitend antwoord krijgen. De waarom-vraag is nochtans van belang om een beslissing te begrijpen. In

vergelijking met vereenvoudigde benaderingsmodellen, bieden tegenfeitelijke verklaringen in dit

opzicht reeds een belangrijke stap voorwaarts vermits zij de externe factoren die tot een beslissing

hebben geleid wel in rekening brengen. Tegenfeitelijke verklaringen scheppen met andere woorden

ruimte voor data subjecten om de draagwijdte en impact van geautomatiseerde beslissingen op hun leven

in te schatten.

Tegenfeitelijke verklaringen kunnen daarnaast ook aantonen dat de beslissing beïnvloed werd door een

beschermd criterium, waardoor mogelijks tot het bestaan van discriminatie besloten kan worden. De

loutere vaststelling van de invloed van een beschermd criterium op een beslissing bewijst op zich nog

niet dat er sprake is van ongerechtvaardigde discriminatie. Er kunnen immers factoren aanwezig zijn

die het gebruik van een beschermd criterium rechtvaardigen. Aangenomen wordt dat wanneer de

tegenfeitelijke verklaring de wijziging van een beschermd criterium vooropstelt als zijnde een manier

om een gunstige beslissing te bekomen, de behandeling van de betrokkene afhankelijk is van het

beschermd criterim. Aangezien tegenfeitelijke verklaringen enkel het verband beschrijven tussen een

190 S. WACHTER, B. MITTELSTADT, C. RUSSELL, “Counterfactual explanations without opening the black box: automated decisions and the GDPR”, Harvard Journal of Law & Technology, p.20, 6 oktober 2017.


73

beslissing en specifieke externe factoren (en niet alle externe factoren) is de omgekeerde bewering

echter onjuist. Beslissingen waarbij de tegenfeitelijke verklaring geen wijziging van een beschermd

criterium vooropstelt, vormt op zich geen bewijs dat het criterium niet relevant was voor de beslissing191.

Tevens kunnen tegenfeitelijke verklaringen een dichting betekenen van de bestaande kloof tussen

enerzijds de belangen van de sollicitant en anderzijds de belangen van de gegevensverwerkende

onderneming. De dichting van deze kloof is van belang vermits zij anderszins een drempel zou kunnen

vormen voor het invoeren van een juridisch afdwingbaar recht op uitleg 192.

Uit dit alles volgt dat tegenfeitelijke verklaringen een interessante methode vormen om de redenering

van een specifieke, geautomatiseerde beslissing (deels) aan de betrokkene uit te leggen, zonder zich

daarbij aan complexe, technische uiteenzettingen te wagen. Nader onderzoek en een verdere

concretisering zijn echter vereist om te weten te komen of de hooggespannen verwachtingen ook

werkelijk worden ingelost.

a.2. De introductie van “the right to legibility”

Onderzoekers G. Malgieri193 en G. Comandé schoven in een recente publicatie met betrekking tot het

‘recht op uitleg’ een niet eerder aan bod gekomen principe naar voren waarbij transparantie en

verstaanbaarheid worden verenigd. Tevens zou hiermee de discussie betreffende een ex ante recht op

uitleg (i.e. algemene systeemfunctionaliteit) versus een ex post recht op uitleg (i.e. specifieke beslissing)

voorgoed van tafel worden geveegd. Althans, zo wordt beweerd. Het is immers van belang bij de

introductie van dergelijk veelbelovende zienswijze een kritische kijk te behouden.

Om die reden zal in wat volgt dit nieuwe concept vooreerst worden toegelicht, vervolgens kritisch

geanalyseerd en tot slot zullen enkele bedenkingen worden geformuleerd.

a.2.1. ‘Legibility by design’

Na een wetsystematischte interpretatie van de GDPR-bepalingen kwamen onderzoekers G. Malgieri en

G. Comandé tot de vaststelling dat de GDPR een, wat zij noemen ‘legibility by design-systeem’

introduceert194. Zij lazen in de artikelen 13, lid 2, f), 14, lid 2, g) en artikel 15, lid 1, h) GDPR immers

de verplichting in hoofde van de verwerkingsverantwoordelijke om algoritmes te auditen of als het ware

191 S. WACHTER, B. MITTELSTADT, C. RUSSELL, “Counterfactual explanations without opening the black box: automated decisions and the GDPR”, Harvard Journal of Law & Technology, p.14, 6 oktober 2017. 192 … 193 Law, Science, Technology and Society studies (LSTS) Research Group, Vrije Universiteit Brussel. 194 G. MALGIERI en G. COMANDE, “Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation”, International Data Privacy Law, vol. 7, Issue 3, 3, Forthcoming, 13 november 2017.


74

door te lichten. Dit vormt immers voor ondernemingen de ideale gelegenheid om de correcte en adequate

werking van het algoritme te controleren en eventuele biases te corrigeren.

‘Legibility’ (letterijk vertaald als ‘leesbaarheid’, maar in deze context beter te vertalen als:

‘verstaanbaarheid’) duidt op het vermogen van individuen om op autonome wijze de logica, het belang

en de verwachte gevolgen van een algoritmische besluitvorming te begrijpen. Het concept verschilt van

loutere leesbaarheid van data-analyses (en wordt om die reden ook niet letterlijk vertaald) vermits zij

een gedetailleerder inzicht verschaft in de beoogde finaliteiten en verwachte gevolgen. Daarnaast is

“legibility by design” toegesneden op het individu, in wiens hoofde een concreet begrip van de logica

en gevolgen wordt gegarandeerd.

De ‘legibility’ van algoritmes is met andere woorden een concept dat het begrijpen van het functioneren

van het algoritme ('architectuur') combineert met transparantie aangaande het contextuele gebruik van

dat algoritme ('implementatie'). Hierdoor wordt het autonome vermogen van individuen om het

functioneren en de impact van algoritmes die op hen betrekking hebben te begrijpen, gegarandeerd.

‘Legibility’ omvat derhalve twee onderscheiden componenten, met name verstaanbaarheid en

transparantie. Teneinde de optimale ontplooiing van beide componenten te garanderen werd een

zogenaamde “legibility test” ontwikkeld welke door de gegevensverwerkende onderneming dient te

worden uitgevoerd.

Aan de hand van een systeem van vragenlijsten kan de onderneming nagaan (afvinken als het ware) of

zij enerzijds de techische werking van het algoritme (in de test ‘architectuur’195 genoemd) en anderzijds

het contexteel gebruik van het besluitvormingssysteem (in de test ‘implementatie’ genoemd), op

afdoende wijze heeft toegelicht.

Toegepast op de bewoordingen uit artikel 15, lid 1 h) GDPR kan gesteld worden dat de ‘architectuur’

overeenstemt met de verplichting tot het verstrekken van informatie betreffende “de onderliggende

logica”, alwaar ‘implementatie’ informatie betreffende “het belang en de verwachte gevolgen”

vertegenwoordigd.

Hieruit volgt dat de “legibility test” voor data subjecten een indicator van transparantie, verstaanbaarheid

en non-discriminatie vormt. Daarenboven kan het uitvoeren van dergelijke test ook voor

gegevensverwerkende ondernemingen nuttig zijn, vermits zij op die manier conform de artikelen 13, lid

2, f), 14, lid 2, g) en 15, lid 1 h) GDPR opereren en dit bovendien kunnen aantonen, hetgeen het risico

aansprakelijk te worden gesteld of tot betaling van een administratieve geldboete te worden veroordeeld,

verminderd. Daarnaast komt het auditen van algoritmes de kwaliteit van het besluitvormingsproces ten

195 In de “legibility test” vertegenwoordigt ‘architectuur’ de component verstaanbaarheid, alwaar ‘implementatie’ transparantie garandeerd.


75

goede en kan men de “legibility test” eveneens aanwende in het kader van een Data Protection Impact

Assessment.

Bijgevolg lijkt een ”legibility test”, althans in theorie, een bijzonder goede manier te zijn om kandidaten

bij een geautomatiseerd wervingsproces afdoend te informeren alsook hun vertrouwen in

geautomatiseerde besluitvorming te verhogen.

Hoewel dit concept en bijhorende “legibility test” gestaafd is en bovendien heel wat voordelen lijkt op

te leveren, dient rekening te worden gehouden met het feit dat dit recent ontwikkelde concept nog maar

in de startblokken staat en de vragenlijsten onder meer verder op punt dienen te worden gesteld.

Daarnaast vormen de intellectuele eigendomsrechten (voornamelijk het bedrijdsgeheim) ook hier een

struikelblok.

4.2.4. Verplichtingen van de werkgever als verwerkingsverantwoordelijke

Krachtens artikel 5, lid 2 GDPR wordt een verantwoordingsplicht in hoofde van de

verwerkingsverantwoordelijke in het leven geroepen. Ter concretisering van voormelde

verantwoordingsplicht werden drie hoofdtaken gecreëerd. De uitwerking van de verplichtingen van de

verwerkingsverantwoordelijke vormt bovendien één van de belangrijkste innovaties van de GDPR.

Allereerst zijn verwerkingsverantwoordelijken verplicht om verslagen bij te houden over hun

gegevensverwerkingsactiviteiten.

Ten tweede wordt aan de verwerkingsverantwoordelijke de verplichting opgelegd om ‘privacy by

design’ en ‘privacy by default’-mechanismen te implementeren196. Dankzij deze twee nieuwe

basisprincipes die door de GDPR worden ingevoerd wordt aan de verwerkingsverantwoordelijke thans

de mogelijkheid geboden om de door hem genomen maatregelen te differentiëren en tevens te

moduleren naargelang de risico’s die aan de verschillende verwerkingen verbonden zijn. Deze twee

concepten houden in wezen in dat men bij elke website, elke app of de ontwikkeling van eender welke

software als uitgangspunt een maximale bescherming van de personen wiens gegevens ermee verwerkt

zullen worden, dient te nemen, waarbij privacy by design staat voor gegevensbescherming bij ontwerp

en privacy by default voor gegevensbescherming door standaardinstellingen: concreet betekent privacy

by default dat de standaardinstellingen binnen de onderneming (website, diensten, app, …) zo privacy-

vriendelijk mogelijk dienen te zijn. We spreken van privacy by default wanneer de instellingen van een

programma, app, website of dienst zodanig zijn dat maximale privacy (van dat programma) wordt

196 Art. 25 GDPR.


76

betracht. Het gaat hierbij niet alleen om opties die kunnen worden ingesteld, ook algemene voorwaarden

moeten privacyvriendelijk zijn. Privacy by default betekent tevens het einde van opt-out regimes: pas

wanneer iemand zich ergens voor heeft aangemeld ontvangt de persoon in kwestie informatie (opt-in).

Privacy by design impliceert dan weer dat je bij iedere nieuwe dienst, product of bedrijfsproces aandacht

dient te besteden aan de privacy van persoonsgegevens. Dit laatste betekent met andere woorden dat

alles wat een onderneming ontwerpt of simpelweg doet dient te gebeuren met de GDPR in het

achterhoofd, privacy moet vanaf het begin reeds worden omarmd. Bij al hetgeen een bedrijf doet, zowel

intern als extern, zal zij moeten nagaan hoe privacy geïmplementeerd kan worden by default (door

standaardinstellingen) maar ook by design (bij ontwerp).

Ten derde moet de verwerkingsverantwoordelijke een DPIA uitvoeren voor de verwerking van

risicogegevens.

Voormelde bepalingen strekken ertoe de verwerkingsverantwoordelijke aan te sporen de

basisbeginselen van de GDPR in acht te nemen en indien vereist, de naleving ervan aan te tonen. Er

wordt zodoende een verantwoordingsplicht ingevoerd voor de verwerkingsverantwoordelijke.

4.2.5. Handhaving en sanctionering

Één van de meest ophefmakende veranderingen die de GDPR met zich meebrengt is ongetwijfeld de

invoering van verregaande controle- en sanctioneringsbevoegdheden voor de toezichthoudende

autoriteiten (de zogenaamde “data protection authorities”)197. In België was dit tot voor kort de

Privacycommissie. Teneinde de Belgische toezichthoudende autoriteit klaar te stomen voor de komst

van de GDPR, werd de Privacycommissie (voortaan Gegevensbeschermingsautoriteit of GBA) met de

Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit grondig hervormd.

Hoewel in heel wat Europese landen in de regeleving omtrent de verwerking van persoonsgegevens, zo

ook in de Belgische Wet Verwerking Persoonsgegevens, reeds sancties waren voorzien, bleken de

toezichthoudende instanties niet in staat deze sancties op te leggen omdat ze niet over een sactionerende

bevoegdheid beschikten. De GDPR bracht hier echter verandering in. Voortaan worden aan de

toezichtichthoudende autoriteiten niet alleen sanctioneringsbevoegdheden toegekend, maar wordt hen

tevens een nieuw en verregaand sanctioneringsarsenaal ter beschikking gesteld waardoor het

sanctierisico drastisch zal veranderen198.

197 Claeys & Engels, “Hoe zal de naleving van de GDPR worden gegarandeerd?”, 21 juni 2017. Raadpleegbaar via: https://www.gdprbelgium.be/nl/nieuws/hoe-zal-de-naleving-van-de-gdpr-worden-gegarandeerd. 198 S., RAETS, “Alles wat werkgevers moeten weten over de Algemene Verordening Gegevensbescherming (GDPR)”, Or. 2016/7, 223.


77

Dankzij de inwerkingtreding van de GDPR zal de bewijslast voortaan echter omgekeerd zijn. Indien er

bijgevolg twijfel rijst over de vraag of de verwerkingsverantwoordelijke de GDPR correct naleeft, zal

deze voortaan moeten kunnen aantonen dat dit ook effectief het geval is. De feitelijke omkering van de

bewijslast vormt een ingrijpende verandering en heeft onder andere tot gevolg dat de werkgever of

headhunter er des te meer over dient te waken dat men in het kader van werving en selectie op basis van

algoritmes steeds in staat is bewijs van uitdrukkelijke toestemming van de kandidaat te leveren teneinde

de geautomatiseerde selectiebeslissing te rechtvaardigen.

Wat de concrete bevoegdheden betreft zullen aan de toezichthoudende autoriteiten in eerste instantie

een aantal onderzoeksbevoegdheden worden toegekend199, welke hen in staat stellen na te gaan of er

sprake is van enige inbreuk op de GDPR.

Daarnaast beschikken de toezichthoudende autoriteiten voortaan over de bevoegdheid om een reeks

corrigerende maatregelen op te leggen200. Het behoort tot de exclusieve appreciatie marge van de

toezichthoudende autoriteit om te oordelen welke sanctie in een concreet geval het meest geschikt is.

Krachtens artikel 83 jo. artikel 58 lid 2 i) GDPR, zijn toezichthoudende autoriteiten tevens gemachtigd

om administratieve geldboetes uit te spreken.

Voor een aantal inbreuken kan de boete, naargelang het hoogste cijfer, oplopen tot 10 miljoen euro of

2% van de totale wereldwijde jaaromzet overeenkomstig het voorgaande boekjaar201.

Het overgrote deel van de inbreuken op de GDPR kan echter bestraft worden met een boete van maar

liefst 20 miljoen euro of 4% van de totale wereldwijde jaaromzet overeenkomstig het voorgaande

boekjaar. Hierbij zal opnieuw telkens het hoogste plafond van toepassing zijn.202.

Lange tijd was de Privacycommissie een louter adviserend orgaan. Deze door de GDPR bewerkstelligde

innovatie is bijgevolg bijzonder nuttig voor de praktijk en de daadwerkelijke inachtname van de

wettelijke bepalingen aangaande privacy- en gegevensbescherming.

4.2.6. De GDPR doorgelicht: wat is de de balans?

Hoewel de GDPR wat de bescherming van persoonsgegevens betreft, ongetwijfeld een evolutie in

positieve zin betekent, blijkt zij in belangrijke mate behoudend en eerder beperkt innovatief te zijn. Heel

wat bepalingen en beginselen die reeds in de vroegere Richtlijn 95/46/EG terug te vinden waren, werden

grotendeels, mits her en der wat aanvullingen, overgenomen. De basisbegrippen van het

199 Art. 58, lid 1 GDPR. 200 Art. 58, lid 2 a) tot en met j) GDPR. 201 Art. 83, lid 4 GDPR. 202 Art. 83, lid 5 GDPR.


78

gegevensbeschermingsrecht zijn evenzeer onveranderd gebleven. Uiteraard introduceerde de GDPR ook

een aantal nieuwigheden. Zo werden onder meer het recht op menselijke tussenkomst en het recht op

verzet als “passende maatregelen” toegevoegd203. Daarnaast vormt de uitdrukkelijke toestemming van

de betrokkene dankzij de inwerkingtreding van de GDPR een derde rechtvaardigingsgrond voor

geautomatiseerde besluitvorming. Tevens werd in hoofde van de verwerkingsverantwoordelijke een

verantwoordingsplicht voorzien. De grootste wijziging lijkt echter wel de sanctioneringsbevoegdheid in

hoofde van de nationale toezichthoudende autoriteiten te zijn.

Voorts bracht een artikelsgewijze analyse van de GDPR een aantal cruciale werkpunten aan het licht:

Ten eerste vereisen verschillende GDPR-bepalingen nadere specificatie en implementatie teneinde de

privacyimpact van profileer- en voorspellingstechnologieën tot een minimum te herleiden204.

Sleutelbegrippen blijven meer dan eens ongedefinieerd, hetgeen onduidelijkheid creëert omtrent de

wijze waarop de belangen van de betrokken data subjecten en deze van de gegevensverwerkende

onderneming zich ten overstaan van elkaar verhouden. Hoewel artikel 22 GDPR in het kader van dit

onderzoek een waar scharnierartikel vormt, bevat zij tal van ongedefinieerde begrippen. Dit zou

mogelijks een maas in de wet kunnen introduceren waarbij de kleinste menselijke betrokkenheid de

bepaling ontoepasbaar maakt205. Algemeen beschouwd vormt het gebrek aan terminologische

duidelijkheid en de ontstentenis van definiërende bepalingen met betrekking tot tal van sleutelbegrippen

GDPR’s grootste tekortkoming. Zeker in het kader van geautomatiseerde besluitvorming is een

concretisering van de waarborgen die data subjecten geboden worden een absolute must.

Ten tweede worden in tal van bepalingen beperkingen opgelegd aangaande de reikwijdte van de

waarborgen die door de verwerkingsverantwoordelijke dienen te worden voorzien. Dit heeft

logischerwijze een vermindering van de bescherming tegen geautomatiseerde besluitvorming

(waaronder profilering) tot gevolg. Ter illustratie kan verwezen worden naar het reeds besproken artikel

22 GDPR dat bij een strikte interpretatie een relatief zwakke bescherming tegen geautomatiseerde

besluitvorming biedt.

Ten derde vertoont een vergelijking van de basisbeginselen van de GDPR enerzijds, en de

karakteristieken van Big Data-analyse anderzijds, geen coherentie. Meer nog, de basisprincipes en

inherente karakteristieken komen menigmaal lijnrecht tegenover elkaar te staan.

203 Art. 22, lid 3 GDPR. 204 S. WACHTER, “Normative challenges of identification in the Internet of Things: Privacy, profiling, discrimination, and the GDPR”, Computer Law & Security Review, 34 (3), 436, 2018. 205 S. WACHTER, B. MITTELSTADT en L. FLORIDI, “Why a right to explanation of automated decisionmaking does not exist in the General Data Protection Regulation”, International Data Privacy Law, 28 december 2016.


79

Vermits de voornaamste tegenstrijdigheden reeds aan bod kwamen in het onderdeel ‘Hoekstenen van

de GDPR’ volstaat een beknopte opsomming. Zo is de kenmerkende ‘data maximalisatie’206 bij Big

Data-analyse en algoritmische besluitvorming rechtstreeks in strijd met de oproepen tot

gegevensminimalisme en het principe van doelgebondenheid207, de geïnformeerde toestemming voor

specifieke en duidelijk omschreven doeleinden208, alsook het principe van privacy by design209. België

dient zich bijgevolg bij de omzetting van de GDPR bewust te zijn van het bestaan van deze inherente

tegenstellingen en hier derhalve rekening mee houden.

Genoemde tegenstellingen impliceren tevens concrete moeilijkheden in het kader van de uitvoering van

DPIA’s. Zo’n DPIA strekt er in essentie toe de potentiële risico’s van de verwerking te voorspellen

teneinde proactieve maatregelen te nemen. Bij Big Data-analyse bestaat vaak echer onduidelijkheid

betreffende de bruikbaarheid van individuele gegevens, de relevantie van heel wat data blijkt vaak pas

naderhand. Het lijkt in een Big Data-context derhalve niet steeds evident om de privacyrisico’s

voorafgaandelijk te voorspellen.

Daarnaast is het onduidelijk of de aan verwerkingsverantwoordelijken opgelegde

informatieverplichtingen (artikelen 13 en 14 GDPR) in een Big Data-context toereikend zijn om de met

het gebruik van predictive analytics gepaard gaande complexiteit over te brengen. Zo biedt artikel 12,

lid 7 GDPR gegevensverwerkers bijvoorbeeld de mogelijkheid om risico’s te communiceren aan een

lekenpubliek via generieke sjablonen of pictogrammen. Dergelijke instrumenten lijken de betrokkenen

echter onvoldoende van de mogelijke implicaties in kennis te stellen210.

Ten vierde worden in de GDPR allerhande rechten in hoofde van data subjecten voorzien, hetgeen een

ruime bescherming en controlebevoegdheid impliceert en derhalve positief is. Het blijft op heden echter

onduidelijk in welke mate de fundamentele belangen (voornamelijk de privacy) van data subjecten

bescherming zullen genieten wanneer zij in conflict komen met de zogenaamde “gerechtvaardigde

belangen” van de verwerkingsverantwoordelijke211. Zo kan het bezwaarrecht waarover data subjecten

overeenkomstig artikel 21 GDPR beschikken, uitgeschakeld worden van zodra de gegevensverwerker

in staat is ‘dwingende gerechtvaardigde gronden voor verwerking’ aan te voeren212. Prima facie lijkt dit

bezwaarrecht bijgevolg bijzonder veelbelovend, maar in de praktijk dreigt het mogelijks dode letter te

blijven vermits de GDPR geen preciserende bepalingen bevat aangaande de inhoudelijke draagwijdte

206 Dit is het overmatig verzamelen, opslaan en delen van persoonlijke gegevens om reden dat zij potentieel nuttig kunnen zijn voor de toekomst. 207 Art. 5, lid 1 b) GDPR. 208 Art. 7 GDPR. 209 Art. 25 GDPR. 210 S. WACHTER, “GDPR and the Internet of Things: Guidelines to Protect User’s Identity and Privacy, 5 februari 2018. 211 Art. 6, lid 1, f) GDPR. 212 Art. 21, lid 2 GDPR.


80

van voormelde ‘dwingende gerechtvaardigde gronden voor verwerking’. De artikelen 15 tot en met 17

GDPR geven blijk van eenzelfde verschijnsel. Ter concretisering van het transparantiebeginsel

verankeren voormelde artikelen verschillende rechten in hoofde van data subjecten om controle uit te

oefenen over de openbaarmaking van hun persoonsgegevens en zodoende privacyinbreuken of

discriminerende behandeling tegen te gaan. Ook hier bestaat echter opnieuw de mogelijkheid dat de

“gerechtvaardigde belangen” van de gegevensverwerker de bovenhand nemen.

Zo biedt artikel 15 GDPR (recht van inzage) datasubjecten de mogelijkheid om onafhankelijk hun

privacy te beheren zonder erop te moeten vertrouwen dat verwerkingsverantwoordelijke tijdig, passende

informatie verstrekt. Dit recht blijkt ingevolge overweging 63 en artikel 15, lid 4 GDPR echter

allesbehalve absoluut te zijn. Aan verwerkingsverantwoordelijken wordt immers tde mogelijkheid

geboden om de gevraagde informatie te beperken ingeval de rechten en vrijheden van anderen dreigen

te worden aangetast. De ‘rechten en vrijheden van anderen’ omvatten onder meer het recht op privacy

van andere data subjecten, alsook bedrijfsgeheimen en intellectuele eigendomsrechten. Het recht van

inzage doet met andere woorden geen afbreuk aan de rechten en vrijheden van anderen.

Dit impliceert dat een fair evenwicht zal moeten worden gezocht tussen de belangen van de betrokkene,

de belangen van andere data subjecten alsook de belangen van de verwerkingsverantwoordelijke.

Toegepast op werving en selectie zal men volgende belangen moeten trachten te verenigen:

- de belangen de kandidaat die zich in de hoedanigheid van data subject op de rechten uit de

GDPR beroept;

- de belangen van de wervende onderneming die in het kader van het wervingsproces

persoonsgegevens verwerkt;

- de (privacy)belangen van alle andere kandidaten wiens gegevens evenzeer door het algoritme

werden geanalyseerd.

Dergelijke belangenafweging is echter allerminst evident. Richtlijnen teneinde een goed evenwicht

tussen de belangen van de ondscheiden partijen te bereiken worden door de GDPR niet geboden. Dit

heeft tot gevolg dat men zich tot de, overigens niet-bindende, richtlijnen van WP-artikel 29 dient te

wenden teneinde enige duidelijkheid aangaande de beoogde doelstellingen te verkrijgen213.

In ieder geval zal de zoektocht naar een billijk evenwicht tussen de onderscheiden belangen een

behoorlijke uitdaging vormen. Vermits de privacybelangen van individuen en groepen met elkaar in

213 Enkele richtingaangevende bepalingen zijn te vinden in: Article 29 Data Protection Working Party, ‘Opinion 06/2014 on the Notion of Legitimate Interests of the Data Controller under Article 7 of Directive 95/46/EC’ 844/14/EN WP 127. http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf.


81

conflict kunnen komen dient te worden op zoek gegaan naar een benadering om te navigeren tussen

concurrerende belangen.

4.3. AANBEVELINGEN

Hoewel de GDPR beloftevolle fundamentele principes zoals transparantie en de verantwoordingsplicht

vooropstelt, lijkt het niet altijd evident deze uitgangspunten te vertalen naar de praktijk. Vooral in de

context van geautomatiseerde besluitvorming slaagt de GDPR er geenszins in een gedetailleerd en

duidelijk kader te scheppen. Om die reden zullen in dit onderdeel enkele (ruwe) aanbevelingen worden

geformuleerd die voornamelijk tot doel hebben de probleemzones aan te wijzen en het debat hieromtrent

te openen.

Gelet op de verantwoordingsplicht in hoofde van de verwerkingsverantwoordelijke is het van belang te

onderzoeken welke persoonsgegevens binnen de onderneming worden verwerkt, waar deze vandaan

komen en met wie welke gegevens worden gedeeld. Er zal met andere woorden onvermijdelijk een ‘data

audit’ dienen te gebeuren. De verantwoordingsplicht impliceert daarenboven dat de wervende

onderneming of headhunter voor elke concrete verwerking zal moeten bepalen op welke rechtsgrond hij

zich beroept, iets waar de reglementering hem voorheen niet toe verplichtte bij stil te staan. Hoewel de

dergelijke ‘data audit’ niet uitdrukkelijk verplichtend wordt gesteld, valt een nauwgezette uitvoering

ervan,in het licht van de verplichtingen van de GDPR, ten zeerste aan te raden.

Voorts bleek uit analyse van de GDPR dat deze (helaas) onvoldoende op Big Data-praktijken en

algoritmische besluitvorming is afgestemd. De lidstaten houden hier bijgevolg bij de omzetting best

rekening mee214. Individuele lidstaten kunnen derhalve in een wetgevend initiatief voorzien waarbij een

ex post recht op uitleg betreffende specifieke beslissingen wordt geïmplementeerd. Dergelijk recht op

uitleg kan immers als “passende waarborg” ex artikel 22, lid 2, b) en artikel 22, lid 3 GDPR beschouwd

worden voor zover genoemd recht op uitleg vereist is om het geautomatiseerd besluit te betwisten. De

overeenkomstig artikel 22, lid 3 GDPR toegekende rechten (i.e. het recht op menselijke tussenkomst,

het recht om zijn standpunt kenbaar te maken en het recht om het geautomatiseerd besluit aan te vechten)

kunnen immers zinloos zijn wanneer de betrokkene niet begrijpt hoe de bestreden beslissing werd

genomen215.

Bij de implementatie van een recht op uitleg op lidstatelijk niveau dient men echter nog steeds met

technische moeilijkheiden af te rekenen. Het betreft derhalve een bijzonder complex gegeven waar geen

214 De GDPR vormt immers Europese minimum harmonisatie. 215 S. WACHTER, B. MITTELSTADT en L. FLORIDI, “Why a right to explanation of automated decision-making does not exist in the General Data Protection Regulation”, International Data Privacy Law, 43, 28 december 2016.


82

pasklare oplossing voor bestaat. Om die reden dienen initiatieven zoals “tegenfeitelijke verklaringen”

minstens nader worden onderzocht.

Vermits op heden een degelijk wettelijk kader met betrekking tot algoritmische besluitvorming

ontbreekt, alsook headhuntingkantoren, doen er bijgevolg goed aan interne definities vast te leggen en

gedragscodes te ontwikkelen. Duidelijkheid aangaande de interpretatie van deze sleutelbegrippen

bevordert immers het vertrouwen van data subjecten en zorgt er tevens voor dat onnodige

rechtsgeschillen vermeden worden.

Daarnaast dient, in aanvulling op de wettelijk bindende vereisten van de GDPR, idealiter aandacht te

worden besteed aan de ontwikkeling van (ethische) richtlijnen. Deze richtlijnen strekken ertoe ethisch

wenselijke vereisten vast te leggen die door ondernemingen bij het gebruik van algoritmes moeten

worden gerespecteerd. Deze richtlijnen zijn met andere woorden bedoeld om de geest van de GDPR

indachtig te zijn, ook wanneer diens wettelijk bindende bepalingen onvoldoende ver reiken.

Door de DPIA’s publiek toegankelijk te maken stelt men personen die dit wensen in staat zich te

informeren over de mogelijke risico’s van gegevensverwerking (in het bijzonder in het kader van

geautomatiseerde besluitvorming) en kunnen zij tevens beoordelen of de gegevensverwerkers

voormelde risico’s voldoende aangepakt hebben.

Besluit

83

HOOFDSTUK 5: BESLUIT

De opkomst van sociale netwerksites, Big Data en algoritmes heeft ertoe geleid dat de

wervingsbeslissingen, die tot enkele jaren geleden quasi uitsluitend door intuïtie gedomineerd werden,

hoe langer hoe meer een product van data-analyse vormen. Algoritmes en Big Data laten immers toe

gerichter, effectiever en goedkoper tot werving over te gaan. Daarnaast trachten de predictive analytics

vaak ook een hogere quality of hire te verwezenlijken.

De alsmaar complexere beslissingsalgoritmes die bij de beoordeling van sollicitanten worden

aangewend vereisen echter vertrouwen in de technologie. De creatie van dergelijk vertrouwen in hoofde

van betrokkenen lijkt op heden echter niet steeds evident. En niet geheel onterecht, zo blijkt.

Een grondig onderzoek aangaande het gebruik van algoritmes en Big Data bij besluitvorming legde

immers net zozeer onmiskenbare valkuilen als voordelen bloot. Algoritmes vormen geen feilloze

indicator van objectiviteit en kunnen net zoals mensen discriminatoire beslissingen in de hand werken.

Hoewel de verdere evoluties in dit domein onduidelijk en weinig voorspelbaar zijn, bracht dit onderzoek

een manifeste noodzakelijkheid aan het licht: het wordt hoog tijd dat de juridische regimes worden

afgestemd op “Big Data’s Big Impact”.

Met het veelbesproken artikel 22 GDPR werd de mogelijkheid geboden in een duidelijke edoch

gedetailleerde regeling betreffende algoritmische besluitvorming te voorzien. Helaas gaf voormeld

artikel eerder aanleiding tot verwarring dan rechtszekerheid. Een gemiste kans.

Een individueel recht op uitleg betreffende specifieke geautomatiseerde beslissingen zou, althans in

theorie, slachtoffers van discriminatie bij aanwerving elementen kunnen aanreiken die hen in staat

stellen het prima facie bewijs te leveren. Er heerst echter bijzonder veel onduidelijkheid over de

praktische haalbaarheid en de werkelijke meerwaarde van dergelijk recht voor de betrokkene.

Om die reden lijkt het mijn insziens aangewezen evenzeer andere pistes te verkennen. Initiatieven zoals

het verstrekken van “tegenfeitelijke verklaringen” of het uitvoeren van een legibility test dienen op zijn

minst verder geconcretiseerd te worden. Aangezien geautomatiseerde besluitvorming in rekrutering

volop in opmars is, zullen ondernemingen er op termijn onherroepelijk toe gehouden zijn specifieke

waarborgen te voorzien. Zo zouden het regelmatig uitvoeren van simulaties om de resultaten van

algoritmes te testen en het vastleggen van ethische richtlijnen reeds stappen in de juiste richting zijn.

Dit onderzoek leidt derhalve tot de vaststelling dat gegevensverwerkers in ieder geval moeten worden

aangemoedigd om bij het ontwerpen van betrouwbare en privacyverhogende systemen verder te gaan

Besluit

84

dan de wettelijke vereisten van de GDPR voorschrijven nu deze allesbehalve op Big Data-praktijken

afgestemd zijn.

i

BIBLIOGRAFIE - RECHTSPRAAK -

HvJ 13 mei 1986, nr. C-170/84, Bilka, www.curia.europa.eu.

GwH 12 februari 2009, nr. 17/2009, www.const.-court.-be.

GwH 2 april 2009, nr. 64/2009.

HvJ 12 januari 2010, Wolf, C-229/08.

HvJ, 6 oktober 2015, C-362/14, Maximilian Schrems t. Data Protection Commissioner.

HvJ 14 maart 2017, nr. C-188/15, Bougnaoui, www.curia.europa.eu.

- WETGEVING -

Wet van 5 december 1968 betreffende de collectieve arbeidsovereenkomsten en de paritaire comités, BS 16 januari 1969.

Wet van 30 juli 1981 tot bestraffing van bepaalde door racisme of xenofobie ingegeven daden, BS 8 augustus 1981, 9928.

Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, BS 18 maart 1993, 5801 tot omzetting van Richtlijk 95/48/EG.

Wet van 10 mei 2007 ter bestrijding van bepaalde vormen van discriminatie (Antidiscriminatiewet).

Wet van 10 mei 2007 ter bestrijding van discriminatie tussen vrouwen en mannen (Genderwet).

Wet van 10 mei 2007 tot aanpassing van het gerechtelijk Wetboek aan de wetgeving ter bestrijding van discriminatie en tot bestraffing van bepaalde door racisme of xenofobie ingegeven daden (Racismewet).

Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

Décret n°2017-330 du 14 mars 2017 relatif aux droits des personnes faisant l’objet de décisions individuelles prises sur le fondement d’un traitement algorithmique.

- AKTEN VAN EUROPESE INSTELLINGEN -

A) Verordeningen

Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

B) Richtlijnen

Richtlijn 76/207/EEG van de Raad van 9 februari 1976 betreffende de tenuitvoerlegging van het beginsel van gelijke behandeling van mannen en vrouwen ten aanzien van de toegang tot het arbeidsproces, de beroepsopleiding en de promotiekansen en ten aanzien van de arbeidsvoorwaarden.

ii

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Richtlijn 2000/43/EG van de Raad van 29 juni 2000 houdende toepassing van het beginsel van gelijke behandeling van personen ongeacht ras of etnische afstamming. Richtlijn 2000/78/EG van de Raad van 27 november 2000 tot instelling van een algemeen kader voor gelijke behandeling in arbeid en beroep.

C) Beschikkingen van de Commissie

Beschikking 2000/520/EG van de Commissie van 26 juli 2000 overeenkomstig Richtlijn 95/46/EG, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de VS zijn gepubliceerd.

- RECHTSLEER -

A) Boeken

BAMBERGER, K.A. en D.K. MULIGAN, Privacy on the ground. Driving corporate behavior in the United States and Europe, Cambridge, Mit Press, oktober 2015, 352 p.

PECINOVSKY, P., Arbeidsrecht - Deel 1, Brugge, die Keure/la Charte, 2017, 322 p.

B) Tijdschriften

AJUNWA, I., FREIDLER, S., SCHEIDEGGER, C., and VENKATASUBRAMANIAN, S., “Hiring by algorithm: predicting and preventing disparate impact”, 2016, 1-29.

BAROCAS, S. and A. D. SELBST, “Big Data’s Disparate Impact”, 104 California Law Review, 2016, 671-732.

BAERT, S., “Facebook profile picture appearance affects recruiters’ first hiring decisions”, New Media & Society, 2018/20, 1220–1239.

BOONE, R., “Tien jaar antidiscriminatiewetten: hoe oordelen de arbeidsgerechten?”, Juristenkrant, 2017, afl. 357, 12.

CAPRONI, M. en TRUYENS M., “Big Data…Big Deal? Toepassing en knelpunten in het arbeidsrecht”, Or., 2015/6, 118-132.

DE BOT, D., “De uitvoering van de algemene verordening gegevensbescherming – enkele bemerkingen bij de Belgische context”, TVW, 2016/3, 218-234.

DEMUYNCK, D., “Sociale netwerksites en arbeidsrecht: nieuwe technologie, nieuwe uitdagingen”, Computerrecht., 2010, 129-138.

EDWARDS, L., en VEALE, M., “Slave to the algorithm? Why a ‘Right to an explanation’ is probably not the remedy you are looking for, 16 Duke Law & Technology Review, 23 mei 2017, 18-84.

EDWARDS, L. en VEALE M., “Enslaving the Algorithm: From a ‘Right to an Explanation’ to a ‘Right to Better Decisions’”, IEEE Security & Privacy,16 (3), 2018, 46-54.

HACKER, P., “Teaching Fairness to Artificial Intelligence: Existing and Novel Strategies against Algorithmic Discrimination under EU Law”, Common Market Law Review, 18 april 2018.

iii

HIRSCH, D.D., “That’s Unfair! Or is it? Big Data, Discrimination and the FTC’s Unfairness Authority”, Kentucky Law Journal, Vol. 103, 2015, 350-351.

KLUEMPER, D., ROSEN, P. and MOSSHOLDER, K., “Social Networking Websites, Personality Ratings, and the Organizational Context: More than Meets the Eye?”, Journal of Applied Social Psychology, 2012, 1143-1172.

KROLL, J.A., HUEY, J., BAROCAS, S., FELTEN, E.W., REIDENBERG, J.R., ROBINSON, D.G. and YU, H., “Accountbale algorithms”, University of Pennsylvania Law Review, 19 november 2016, 633-699.

MALGIERI, G. and COMANDE, G., “Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation”, International Data Privacy Law, Vol. 7, Issue 3, 13 november 2017, 243-265.

MITTELSTADT, B., WACHTER, S., “Could counterfactuals explain algorithmic decisions without opening the black box?”, Oxford Internet Institute, 15 januari 2018.

RAETS, S., “Alles wat werkgevers moeten weten over de Algemene Verordening Gegevensbescherming (GDPR)”, Or., 2016/7, 208-225.

ROSENBLAT, A., KNEESE, T. en BOYD, D., “Networked Employment Discrimination”, 8 october 2014.

SCHERMER, B.W., “The limits of privacy in automated profiling and data mining”, Computer Law & Security Review 27, 1 februari 2011, 45-52.

SELBST, A. D. and POWLES, J., “Meaningful information and the right to explanation”, International Data Privacy Law 233, 2017, 1-45.

SINE, F. en VERHELST, I, “Tien jaar antidiscriminatiewetgeving voor de Belgische arbeidsgerechten: wat maakt het verschil?, Or. 2017/5, 2-47.

TENE, O., en POLONETSKY, J., “Big Data for All: Privacy and User Control in the Age of Analytics”, Northwestern Journal of Technology and Intellectual Property 2013, vol. 11, nr. 5, 240-273.

VAN DE MEULEBROUCKE, A., “De algemene verordening gegevensbescherming”, RW, 4 juni 2016, 1562.

VAN DER SYPE, Y.S. en VEDDER, A., “Privacy, werk en internet of things”, Or., 2016/5, 118-127.

VERHELST, I. en RAETS S., “Discriminatie op de arbeidsplaats: gewikt en gewogen. Een overzicht van de rechtspraak van de arbeidsgerechten betreffende de antidiscriminatiewetten van 10 mei 2007”, Or., 2011/4, 90-125.

WACHTER, S., MITTELSTADT, B. en FLORIDI, L., “Why a right to explanation of automated decision-making does not exist in the General Data Protection Regulation”, International Data Privacy Law, 28 december 2016, 76-99.

WACHTER, S., MITTELSTADT, B. and RUSSELL, C., “Counterfactual explanations without opening the black box: automated decisions and the GDPR”, Harvard Journal of Law & Technology, 6 oktober 2017.

WACHTER, S., “GDPR and the Internet of Things: Guidelines to Protect User’s Identity and Privacy, 5 februari 2018.

WACHTER, S., “Normative challenges of identification in the Internet of Things: Privacy, profiling, discrimination, and the GDPR”, Computer Law & Security Review, 34 (3), 2018, 436-449.

iv

WACHTER S., MITTELSTADT, B. en L. FLORIDI, “Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, 28 december 2016.

C) Online tijdschriften en artikels

CASTELYNS, V., LinkedIn And Facebook In Flanders: The Influences And Biases Of Social Networking Sites In Recruitment And Selection Procedures, www.scriptiebank.be; zie ook Knack, 26 april 2011.

CLAEYS & ENGELS, Hoe zal de naleving van de GDPR worden gegarandeerd?, 21 juni 2017,

CONFESSORE, N. (2018, 4 april). Cambridge Analytica and Facebook: The Scandal and the Fallout so Far, The New York Times.

DE DECKER, M. (2018, 6 april). Sorry volstaat niet meer, Het Nieuwsblad.

DECKMYN D. (2016, 26 november). Eerherstel voor het algoritme, De Standaard.

FUNG, B. (2014, 27 february). Why Civil Rights Groups are Warning Against Big Data, The Washington Post.

HAECK, P. (2018, 25 mei). D-day voor uw data: wat verandert GDPR vanaf vandaag?”, De Tijd.

KEYTSMAN, E. (2018, 30 januari). Antidiscriminatiewet is nog geitenkaas, De Tijd.

KUNCEL, N.R., ONES, D.S., and KLIEGER, D.M., “In Hiring, Algorithms Beat Instinct”, Harvard Business Review, mei 2014.

RUPPEL, A., “Toestemming in de GDPR: een noodzakelijk kwaad?”, De Juristen, 18 oktober 2017.

RUPPEL, A., “Profilering: mag het nog onder de GDPR?”, De Juristen, geen datum.

VAN ’T WOUT, C., (2016, 7 april). Het selectieproces aan mensen overlaten is nog enger, De Standaard.

VERCOUTEREN B., “Kandidaten vinden op Facebook met Social Job Ads”, 23 mei 2016. Beschikbaar op: www.monsterboardblog.nl.

X. (2018, 11 januari). Kamer laat mystery calls toe voor opsporing discriminatie, De Standaard.

X., (2018, 23 juli). Heeft AVG gevolgen voor passieve jobkandidaten, De Standaard.

- VARIA -

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/bescherming-van-persoonsgegevens-in-belgie.pdf.

I

BIJLAGEN & FIGUREN

DEIMPACTVANBIGDA TA,#SOCIALE MEDIA EN ALGORITMES BIJ ... · eigenlijke solliciteren, en anderzijds...

Documents

Transcript of DEIMPACTVANBIGDA TA,#SOCIALE MEDIA EN ALGORITMES BIJ ... · eigenlijke solliciteren, en anderzijds...