Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarData scientistData engineerAanbiederPrivacy officerSecurity officerEthicusBeleidsmedewerkerPrivacy en gegevensbescherming
Maatregel¶
Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico
Toelichting¶
- Verifieer of een DPIA is uitgevoerd over het werkproces dat wordt of zal worden ondersteund met een algoritme of AI-systeem. Zo nee, voer een risico analyse (DPIA) uit om de risico's voor de rechten en vrijheden van betrokkenen met de inzet van algoritmes en AI-systemen in beeld te brengen.
- Organisatorische en technische maatregelen moeten worden getroffen om persoonsgegevens bij de ontwikkeling en het gebruik van het algoritme of AI-systeem te beschermen.
- Beleg de mitigerende maatregelen bij betrokken actoren. Denk bijvoorbeeld aan het toekennen van de maatregelen als anonimiseren en pseudonimiseren van persoonsgegevens aan een data engineer, voordat deze kunnen worden gebruikt ten behoeve van het ontwikkelen of controleren van het algoritme of AI-systeem.
- Bepaal welke maatregelen moeten zijn gerealiseerd voordat mag worden gestart met de verwerking van de persoonsgegevens en welke moeten worden gemonitord.
- Monitor de voortgang op het realiseren van de maatregelen en zorg voor bewijsstuken als deze zijn gerealiseerd. Deze bewijsstukken kunnen onderdeel worden van een audit.
- Als er een noodzaak is om na verloop van tijd meer persoonsgegevens te verwerken of om andere verwerkingen uit te voeren, zal opnieuw een beoordeling moeten plaatsvinden of er privacyrisico's ontstaan en hoe deze kunnen worden gemitigeerd. Gedurende de levenscyclus van het algoritme of AI-systeem moet aandacht blijven voor het uitvoeren van de risicoanalyse voor privacyrisico's.
- Bij hoge risico's voor het verwerken van persoonsgegevens is een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens onder artikel 36 AVG verplicht. Bepaal of raadpleging noodzakelijk is.
Bijbehorende vereiste(n)¶
Vereiste |
---|
avg-13 - Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen |
Risico¶
Privacyrisico's met de inzet van algoritmes en AI-systemen worden niet gemitigeerd, waardoor privacyrechten van betrokkenen worden geschonden.
Bronnen¶
Voorbeeld¶
Heb jij een goed voorbeeld? Laat het ons weten!