Regels bij gebruik van AI & algoritmes
Als u persoonsgegevens verwerkt door het toepassen van een algoritme, dan moet u voldoen aan de AVG. Belangrijke aspecten zijn bijvoorbeeld rechtmatigheid, transparantie en beveiliging.
Op deze pagina
Belangrijke regels uit de AVG
Rechtmatigheid
U moet een grondslag hebben om persoonsgegevens te mogen verwerken. Heeft u de check gedaan en geen geldige grondslag in uw omstandigheden? Dan mag u geen persoonsgegevens gebruiken.
Transparantie
- Bij het verwerken van persoonsgegevens moet u transparant zijn richting uw klanten, patiënten, burgers of medewerkers. In de AVG worden deze personen betrokkenen genoemd (art. 12, 13 en 14 AVG).
- Ook moet u een verwerkingsregister opstellen (art. 30 AVG).
- Gebruikt u een algoritmisch systeem voor bijvoorbeeld uw besluitvorming? Dan moet u informatie geven over de onderliggende logica en de verwachte gevolgen van die verwerking voor de betrokkene.
- Voor overheden geldt: maak gebruik van het algoritmeregister.
Doelbinding
U mag alleen persoonsgegevens verwerken voor een doel dat u van tevoren heeft vastgesteld. U bent aan dit doel gebonden. Dit betekent dat u deze persoonsgegevens niet zomaar voor een ander doel mag verwerken.
Dataminimalisatie
Gebruikt u persoonsgegevens voor een bepaald doel, dan moet u dit met zo min mogelijk persoonsgegevens doen. Gegevens die niet aantoonbaar nodig zijn, mag u niet verwerken.
U mag de gegevens ook maar beperkt opslaan. U moet vooraf de bewaartermijnen vaststellen.
Juistheid
De persoonsgegevens die u verwerkt, moeten juist zijn (kloppen). Hiermee voorkomt u onjuiste of onverwachte uitkomsten en ongewenste effecten voor de betrokkene.
Beveiliging
Alle persoonsgegevens die u verwerkt, moet u goed beveiligen. U moet hiervoor technische en organisatorische maatregelen treffen (art. 32 AVG). Daarbij moet u rekening houden met:
- de stand van de techniek, oftewel wat er technisch mogelijk is;
- de aard, omvang, context en verwerkingsdoeleinden;
- de risico’s voor de rechten en vrijheden van betrokkenen.
Privacy by design & default
Gaat u zelf een algoritmisch systeem (laten) ontwikkelen? Dan moet u rekening houden met de AVG-principes privacy by design en privacy by default. Dit betekent dat u systemen privacyvriendelijk moet ontwikkelen, inrichten en inzetten. Instellingen voor de gebruiker moeten standaard privacybeschermend zijn.
Een DPIA opstellen
Wilt u gebruik gaan maken van algoritmische systemen en worden daarbij persoonsgegevens verwerkt? Dan is het verplicht een data protection impact assessment (DPIA) uit te voeren. Met een DPIA brengt u vooraf de privacyrisico’s van een gegevensverwerking in kaart. U kunt daarna maatregelen nemen om de risico’s te verkleinen.
Criteria voor DPIA
Over het algemeen moet u als organisatie een DPIA uitvoeren als er sprake is van een hoog privacyrisico voor betrokkenen. Om te beoordelen of dat zo is, kunt u gebruikmaken van een lijst met criteria voor een DPIA. Zijn 2 (of meer) van de 9 criteria uit deze lijst van toepassing op uw verwerking? Dan is een DPIA verplicht.
Let op: dit geldt ook voor pilots, testen en proefprojecten.
Vrijwillige DPIA
Ook als een DPIA in uw geval niet verplicht is, kan het aan te raden zijn om er toch een uit te voeren. U moet namelijk sowieso voldoen aan de AVG bij gebruik van een algoritme. Zo moet u bijvoorbeeld:
- technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen;
- uw verwerkingen vastleggen in een register;
- voldoen aan een aantal andere transparantieverplichtingen;
- ervoor zorgen dat u de privacyrechten van betrokkenen op een juiste manier faciliteert.
Een DPIA kan hiervoor een goede leidraad zijn, waarmee u het (ontwikkel)proces in juiste banen leidt en u de juiste experts erbij betrekt.
Aandachtspunten
Naast de regels voor reguliere DPIA’s moet u specifiek aandacht besteden aan:
- technische aspecten, zoals algoritmekeuze, bias en NFL;
- transparantie en uitlegbaarheid van het algoritme en de inzet daarvan;
- rechten van betrokkenen, zoals het recht op verwijdering en het recht op rectificatie.
Format voor DPIA algoritmes: IAMA
Bent u op zoek naar een impact assessment waarin mensenrechten kunnen worden beoordeeld, dan kunt u gebruikmaken van het Impact Assessment Mensenrechten en Algoritmes (IAMA). Dit is in opdracht van de Rijksoverheid ontwikkeld en wordt aangeraden om te gebruiken bij de ontwikkeling en inzet van algoritmes voor overheden en publieke organisaties. In het IAMA worden verbanden gelegd met relevante regels, instrumenten en toetsingskaders op het gebied van algoritmes.
Voorafgaande raadpleging
Het is goed mogelijk dat de inzet van algoritmes een hoog risico oplevert voor de betrokkenen. En dat het u niet lukt om (voldoende) maatregelen te vinden om dit risico te beperken. Dan moet u met de Autoriteit Persoonsgegevens (AP) overleggen voordat u met de verwerking start.
Dit wordt een voorafgaande raadpleging genoemd. Uw functionaris gegevensbescherming (FG) kan u adviseren over het aanvragen van een voorafgaande raadpleging.
Rechten bij AI & algoritmes
De AVG geeft bepaalde rechten aan mensen van wie persoonsgegevens worden verwerkt. Het doel hiervan is dat mensen controle houden over hun persoonsgegevens. Deze rechten gelden óók als hun persoonsgegevens worden verwerkt door een algoritmisch systeem. Mensen hebben bijvoorbeeld recht op informatie en op inzage in hun gegevens.
Ook hebben zij recht op een menselijke blik bij besluiten. Dat betekent dat u als bedrijf of organisatie een voor hen belangrijke beslissing niet geautomatiseerd mag nemen, maar dat een medewerker dit moet doen.
Voor meer informatie, zie: Privacyrechten AVG.
Tip: lees meer over de regels en principes uit de AVG.
Privacyverhaal
Jason (30) zocht een huurwoning maar werd door een algoritme uitgesloten. "Door een foutje viel ik steeds buiten de boot. Dat viel niemand op."