"Zwarte doos" Amazon: algoritme discrimineert klanten
noyb heeft vandaag opnieuw een klacht ingediend tegen Amazon Europa. De e-commercegigant biedt klanten de mogelijkheid om producten later te betalen via "Monthly Invoice". Een klant die zonder opgaaf van redenen voor deze betaalmethode werd afgewezen, diende bij Amazon een verzoek om toegang in om te achterhalen waarom hij werd afgewezen. Het bedrijf weigerde informatie te verstrekken.
Het systeem besloot volledig geautomatiseerd. Luttele seconden nadat de bestelling was bevestigd, ontving de klant een automatische e-mail waarin de betaling per "Monthly Invoice" werd geweigerd. Amazon drong er bij hem op aan over te schakelen op betaling met een creditcard, anders zou de bestelling binnen 5 dagen worden geannuleerd. Er werd geen reden voor de afwijzing gegeven, noch beantwoordde de klantenservice vragen hierover.
GDPR vereist transparantie en controleerbaarheid. Voor geautomatiseerde individuele beslissingen - zoals het al dan niet toestaan van betaling op rekening - moet een bedrijf zinvolle informatie verstrekken over de betrokken logica en de reikwijdte van de onderliggende gegevensverwerking. In het privacybeleid van Amazon is echter alleen vage informatie te vinden over eventuele kredietcontrolemechanismen
Geautomatiseerde besluiten moeten door mensen kunnen worden geverifieerd. Dit is bij Amazon duidelijk niet mogelijk, zoals hun factureringsafdeling verduidelijkt:"Deze geautomatiseerde beslissing kan verschillende oorzaken hebben en kan niet handmatig worden aangepast."Ironisch genoeg rechtvaardigt Amazon dit door te zeggen dat de klantenservice de exacte reden voor de afwijzing niet kan zien "om redenen van gegevensbescherming". Ze weigerden ook te verduidelijken of interne informatie of een negatieve kredietscore werd gebruikt voor het besluitvormingsproces in kwestie.
Bij een mislukt verzoek om toegang kwamen nog meer GDPR-schendingen aan het licht. In plaats van een kopie van de gegevens te krijgen, zoals artikel 15, lid 3, van de GDPR voorschrijft, werd de klant verondersteld handmatig 54 mappen met meestal onbegrijpelijke tabellen te downloaden. Er werd geen informatie verstrekt over de doeleinden of de rechtsgrondslag van de gegevensverwerking. Ook weigerde Amazon informatie te verstrekken over gegevensbronnen of ontvangers - hoewel de GDPR voor de verwerking verantwoordelijken verplicht dergelijke informatie te verstrekken. Vragen van de klant werden afgedaan met onbeduidende tekstblokken.
"De mate waarin Amazon de EU-wetgeving inzake gegevensbescherming negeert, is verontrustend. Algoritmes nemen beslissingen die zelfs hun eigen medewerkers niet kunnen begrijpen en controleren. De reactie van Amazon op het toegangsverzoek schendt ook zo'n beetje elke paragraaf van de toepasselijke GDPR-bepalingen." - Marco Blocher, advocaat gegevensbescherming bij noyb
Luxemburgse autoriteit grotendeels inactief. Aangezien Amazon Europe in Luxemburg is gevestigd, is de nationale gegevensbeschermingscommissie van het land verantwoordelijk voor de behandeling van de klacht. noyb heeft in januari 2019 al een klacht tegen Amazon ingediend; tot op heden is er nog geen beslissing in zicht. Informatie over de status van de procedure of toegang tot dossiers worden geweigerd omdat dit de taken van de autoriteit in gevaar zou brengen en afbreuk zou doen aan het doel van de procedure. Wij hopen dat de vandaag ingediende klacht niet in het struikgewas van de Luxemburgse autoriteit zal verdwijnen.