Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.
OntwerpOntwikkelenVerificatie en validatieImplementatieUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederPrivacy en gegevensbescherming
Maatregel¶
Neem het gebruik van een algoritme of AI-systeem op in de privacyverklaring als hierbij persoonsgegevens worden verwerkt.
Toelichting¶
- Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene geïnformeerd over de verwerking van diens persoonsgegevens.
- Een privacyverklaring kan op organistieniveau worden opgesteld en ook voor specifieke verwerkingen.
-
In een privacyverklaring wordt in ieder geval het volgende opgenomen:
-
de identiteit en contactgegevens van uw organisatie. En ook die van vertegenwoordiger in de Europese Unie (EU), als deze er zijn.
- de contactgegevens van de functionaris gegevensbescherming (FG), als een organistie deze heeft.
- de doeleinden van de verwerking en de AVG-grondslag.
- de (categorieën van) ontvangers van de persoonsgegevens.
- of de persoonsgegevens door worden geven buiten de EER of aan een internationale organisatie. En zo ja, op welke juridische grond.
- de bewaartermijn van de gegevens.
- de privacyrechten van de betrokkenen, zoals het recht op inzage, rectificatie en gegevens verwijderen.
- het recht van de betrokkenen om de toestemming die zij voor een bepaalde verwerking hebben gegeven, altijd weer te mogen intrekken.
- dat de betrokkenen een klacht kunnen indienen bij de privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP).
- of de betrokkenen verplicht zijn de persoonsgegevens te verstrekken. En zo ja, waarom. Vermeld dan ook wat de gevolgen zijn als zij de gegevens niet verstrekken.
- of er sprake is van geautomatiseerde besluitvorming, inclusief profilering. En zo ja, hoe deze beslissing wordt genomen.
-
als persoonsgegevens van een andere organisatie zijn ontvangen: de bron waar de persoonsgegevens vandaan komen. En of de gegevens afkomstig zijn van openbare bronnen.
-
Het is denkbaar dat in een specifieke privacyverklaring informatie over onderliggende logica van het algoritme of AI-systeem, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. Het is ook denkbaar dat deze informatie in het algoritmeregister wordt opgenomen.
- Als ervoor wordt gekozen om het algoritme uit te faseren, dan moet informatie in het algoriteregister hierop worden aangepast.
Bijbehorende vereiste(n)¶
Vereiste |
---|
avg-07 - Transparantie bij verwerking persoonsgegevens |
Risico¶
Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.
Bronnen¶
Bron |
---|
Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8 |
Autoriteit Persoonsgegevens Algoritmekader |
Toetsingskader Algoritmes Algemene Rekenkamer, 3.12 |
Voorbeeld¶
Heb jij een goed voorbeeld? Laat het ons weten!