Ga naar inhoud

Privacy en gegevensbescherming

Overheidsinstanties verwerken vaak persoonsgegevens om hun taken uit te voeren en maatschappelijke waarden te creëren. Met de opkomst van algoritmes en kunstmatige intelligentie (AI) worden deze gegevens steeds vaker gebruikt om processen te optimaliseren, zoals bij het beoordelen van subsidieaanvragen of het verlenen van vergunningen.

Bij het gebruik van algoritmes en AI-systemen is van groot belang om aandacht te besteden aan privacy en gegevensbescherming. Deze technologieën variëren van eenvoudige rekenregels tot complexe machine learning-modellen en generatieve AI, elk met hun eigen specifieke risico’s. Bijvoorbeeld, eenvoudige AI kan basisberekeningen uitvoeren, terwijl complexere AI-voorspellingen kan doen of informatie kan genereren. Ongeacht de complexiteit is het identificeren van risico’s en het implementeren van passende beheersmaatregelen essentieel om de privacy van burgers te waarborgen en gevoelige gegevens te beschermen.

Bij de inzet van AI in de publieke sector moeten overheidsinstanties rekening houden met de vereisten uit privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Dit omvat onder andere het minimaliseren van gegevensgebruik, implementeren van een privacy by design werkwijze waar mogelijk, en het transparant zijn over hoe en waarom (persoons)gegevens worden verwerkt. Het toewijzen van verantwoordelijkheden en het opstellen van duidelijke richtlijnen voor gegevensverwerking zijn belangrijke stappen in dit proces.

Het bouwblok privacy en gegevensbescherming van algoritmen en AI-systemen wordt ook geïntegreerd in de algoritmelevenscyclus. Dit biedt inzicht in wanneer specifieke vereisten en maatregelen tijdens de ontwikkeling van algoritmen en AI-systemen moeten worden toegepast. Door deze vereisten in de levenscyclus te integreren, kunnen de gebruikers inzichten opdoen wanneer deze maatregelen kunnen worden geïmplementeerd.

Vereisten

idVereisten
aia-33AI-testomgevingen die persoonsgegevens verwerken, voldoen aan strenge voorwaarden
avg-01Persoonsgegevens worden op een rechtmatige manier verwerkt
avg-02Persoonsgegevens worden zo kort mogelijk bewaard
avg-03Persoonsgegevens worden zo min mogelijk verwerkt
avg-04Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair
avg-05Persoonsgegevens zijn juist en actueel
avg-06Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken
avg-07Organisaties zijn transparant over het verwerken van persoonsgegevens
avg-08Gevoelige persoonsgegevens worden alleen gebruikt als hiervoor een wettelijke uitzondering geldt
avg-09Betrokkenen kunnen een beroep doen op hun privacyrechten
avg-10Besluiten die levens kunnen beïnvloeden, zijn niet volledig geautomatiseerd
avg-11Ontwerp en standaardinstellingen (defaults) zijn zo gunstig mogelijk voor de privacy van betrokkenen
avg-12Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
avg-13Een Data Protection Impact Assessment (DPIA) wordt uitgevoerd wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen

Maatregelen

idMaatregelen
owp-03Beschrijf voor welk doel het algoritme persoonsgegevens gebruikt en waarom dit mag
owp-09Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt
owp-14Maak het opstellen van een verwerkersovereenkomst onderdeel van de aanbesteding als persoonsgegevens worden verwerkt.
dat-03Beschrijf welke persoonsgegevens het algoritme gebruikt en waarom
dat-04Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsprocedure
dat-05Bescherm persoonsgegevens door data te anonimiseren, pseudonimiseren of te aggregeren
owk-03Analyseer de privacy-risico’s en neem maatregelen om deze risico’s laag te houden
imp-06Spreek af hoe de organisatie omgaat met privacy-verzoeken
imp-07Vermeld het gebruik van persoonsgegevens in een privacyverklaring
imp-08Vermeld het gebruik van persoonsgegevens in het verwerkingsregister

Hulpmiddelen

Hulpmiddelen
Assessment List for Trustworthy Artificial Intelligence (ALTAI)
Data Protection Impact Assessment