Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.
OntwikkelenVerificatie en validatieMonitoring en beheerProceseigenaarAanbiederData engineerData scientistSecurity officerTechnische robuustheid en veiligheidPrivacy en gegevensbescherming
Maatregel¶
Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.
Toelichting¶
- (Persoons)gegevens die het algoritme of AI-systeemn verwerkt worden niet langer bewaard dan voor de verwezenlijking van de verwerkingsdoeleinden noodzakelijk is.
- Beschrijf de bewaartermijnen voor de gegevens, bijvoorbeeld in een DPIA.
- Beschrijf hoe de (persoons)gegeven moeten worden vernietigd.
- Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende (zaak)systemen.
- Controleer of deze maatregelen voor de bewaartermijnen en vernietiging van de (persoons)gegevens (in de onderliggende systemen) zijn getroffen en zorg dat dit aantoonbaar is, bijvoorbeeld met logbestanden.
- Maak aantoonbaar dat persoonsgegevens zijn vernietigd, bijvoorbeeld met logbestanden.
Bijbehorende vereiste(n)¶
| Vereiste | Uitleg |
|---|---|
| De archiefwet is ook van toepassing op algoritmes en AI-systemen | Volgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden. |
| Beperkte bewaartermijn van persoonsgegevens | Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt. |
| Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie | De aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode. |
Bronnen¶
| Bron |
|---|
| Onderzoekskader Algoritmes Auditdienst Rijk, PRI.11 |
| Toetsingskader Algoritmes Algemene Rekenkamer, 3.17 |
| Algoritmekader |
Voorbeeld¶
Heb jij een goed voorbeeld? Laat het ons weten!