Ga naar inhoud

Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.

OntwerpOntwikkelenVerificatie en validatieImplementatieUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederPrivacy en gegevensbescherming

Maatregel

Neem het gebruik van een algoritme of AI-systeem op in de privacyverklaring als hierbij persoonsgegevens worden verwerkt.

Toelichting

  • Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene geïnformeerd over de verwerking van diens persoonsgegevens.
  • Een privacyverklaring kan op organistieniveau worden opgesteld en ook voor specifieke verwerkingen.

  • In een privacyverklaring wordt in ieder geval het volgende opgenomen:

  • de identiteit en contactgegevens van uw organisatie. En ook die van vertegenwoordiger in de Europese Unie (EU), als deze er zijn.

  • de contactgegevens van de functionaris gegevensbescherming (FG), als een organistie deze heeft.
  • de doeleinden van de verwerking en de AVG-grondslag.
  • de (categorieën van) ontvangers van de persoonsgegevens.
  • of de persoonsgegevens door worden geven buiten de EER of aan een internationale organisatie. En zo ja, op welke juridische grond.
  • de bewaartermijn van de gegevens.
  • de privacyrechten van de betrokkenen, zoals het recht op inzage, rectificatie en gegevens verwijderen.
  • het recht van de betrokkenen om de toestemming die zij voor een bepaalde verwerking hebben gegeven, altijd weer te mogen intrekken.
  • dat de betrokkenen een klacht kunnen indienen bij de privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP).
  • of de betrokkenen verplicht zijn de persoonsgegevens te verstrekken. En zo ja, waarom. Vermeld dan ook wat de gevolgen zijn als zij de gegevens niet verstrekken.
  • of er sprake is van geautomatiseerde besluitvorming, inclusief profilering. En zo ja, hoe deze beslissing wordt genomen.

  • als persoonsgegevens van een andere organisatie zijn ontvangen: de bron waar de persoonsgegevens vandaan komen. En of de gegevens afkomstig zijn van openbare bronnen.

  • Het is denkbaar dat in een specifieke privacyverklaring informatie over onderliggende logica van het algoritme of AI-systeem, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. Het is ook denkbaar dat deze informatie in het algoritmeregister wordt opgenomen.

  • Als ervoor wordt gekozen om het algoritme uit te faseren, dan moet informatie in het algoriteregister hierop worden aangepast.

Bijbehorende vereiste(n)

VereisteUitleg
Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.

Risico

Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.

Bronnen

Bron
Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8
Autoriteit Persoonsgegevens Algoritmekader
Toetsingskader Algoritmes Algemene Rekenkamer, 3.12

Voorbeeld

Heb jij een goed voorbeeld? Laat het ons weten!