Ga naar inhoud

Privacy en persoonsgegevens beschermen in algoritmes

Overheden die algoritmes gebruiken, moeten de persoonsgegevens van burgers beschermen. Hiervan gebruik je niet meer dan nodig is. En je beveiligt deze gegevens goed.

Wat is het beschermen van privacy en persoonsgegevens in algoritmes?

Overheidsalgoritmes mogen persoonsgegevens gebruiken, zolang je de privacy van burgers en bedrijven niet schendt. En wanneer je netjes omgaat met hun persoonsgegevens. Dit betekent:

Als overheid moet je hier goed op letten. Doe dit zo vroeg mogelijk in de levenscyclus van het algoritme.

Rechtmatig persoonsgegevens gebruiken

Als je persoonsgegevens gebruikt voor algoritmes, moet je rekening houden met wetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) en de Auteurswet. De belangrijkste regels zijn:

  • Gebruik alleen persoonsgegevens die je mag gebruiken voor het doel van je algoritme: je hebt toestemming van de eigenaar, of het mag volgens de wet.
  • Gebruik zo min mogelijk persoonsgegevens om dit doel bereiken.

Je organisatie beoordeelt zelf welke persoonsgegevens nodig zijn voor een bepaald doel. Dit kan lastig zijn. Want welke gegevens zijn bijvoorbeeld nodig als je vooraf niet weet welke verbanden het algoritme legt?

De persoonsgegevens die overblijven, gebruik je zo minimaal mogelijk. Hoe minimaal dat is, bepaalt je organisatie zelf. Technieken om privacy zoveel mogelijk te beschermen zijn:

  • Anonimiseren: data zoveel mogelijk anoniem maken
  • Pseudonimiseren: data moeilijker herleidbaar maken naar personen
  • Aggregeren: data zoveel mogelijk combineren of samenvoegen tot 1 waarde, zoals een totaal of gemiddelde

!!! "tip" Tip

Leg de keuzes die je maakt duidelijk uit. Zo voorkom je fouten op de werkvloer. Gevoelige persoonsgegevens voor doel A mag je bijvoorbeeld niet automatisch voor doel B gebruiken.

Belang van privacy en persoonsgegevens beschermen

Algoritmes die persoonsgegevens verwerken, kunnen snel de privacy schenden van grote groepen mensen. Vooral impactvolle algoritmes kunnen veel schade veroorzaken in de maatschappij.

Wanneer je de privacy en persoonsgegevens van mensen goed beschermt, voorkom je:

  • Gebruik van persoonsgegevens voor het verkeerde doel, zoals het per ongeluk publiceren van iemands paspoortfoto op de website van een gemeente.
  • Discriminatie, bijvoorbeeld door onnodig gebruik van leeftijd in een algoritme.
  • Lekken van persoonsgegevens.

Persoonsgegevens helemaal niet gebruiken, is onmogelijk. Voor sommige taken kunnen overheden niet meer zonder algoritmes, bijvoorbeeld voor het beoordelen van grote aantallen aanvragen voor subsidies of vergunningen. Hiervoor zijn persoonsgegevens nodig zoals iemands naam, adres of bepaalde kenmerken.

Vereisten

idVereisten
aia-33AI-testomgevingen die persoonsgegevens verwerken, voldoen aan strenge voorwaarden.
avg-01Persoonsgegevens worden op een rechtmatige manier verwerkt.
avg-02Persoonsgegevens worden zo kort mogelijk bewaard.
avg-03Persoonsgegevens worden zo min mogelijk verwerkt.
avg-04Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair.
avg-05Persoonsgegevens zijn juist en actueel.
avg-06Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken.
avg-07Organisaties zijn transparant over het verwerken van persoonsgegevens
avg-08Gevoelige persoonsgegevens worden alleen gebruikt als hiervoor een wettelijke uitzondering geldt.
avg-09Betrokkenen kunnen een beroep doen op hun privacyrechten.
avg-10Besluiten die levens kunnen beïnvloeden, zijn niet volledig geautomatiseerd.
avg-11Ontwerp en standaardinstellingen (defaults) zijn zo gunstig mogelijk voor de privacy van betrokkenen.
avg-12Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen.
avg-13Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Aanbevolen maatregelen

idMaatregelen
owp-03Beschrijf voor welk doel het algoritme persoonsgegevens gebruikt en waarom dit mag
owp-14Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt
owp-17Maak het opstellen van een verwerkersovereenkomst onderdeel van de aanbesteding als persoonsgegevens worden verwerkt.
dat-03Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsprocedure
dat-04Bescherm persoonsgegevens door data te anonimiseren, pseudonimiseren of te aggregeren
owk-03Analyseer de privacy-risico’s en neem maatregelen om deze risico’s laag te houden
imp-06Vermeld het gebruik van persoonsgegevens in een privacyverklaring
imp-08Vermeld het gebruik van persoonsgegevens in het verwerkingsregister
imp-11Spreek af hoe de organisatie omgaat met privacy-verzoeken
uit-01Bij uitfaseren en doorontwikkeling wordt correct omgegaan met data en modelinformatie.

Aanbevolen hulpmiddelen

Hulpmiddelen
Assessment List for Trustworthy Artificial Intelligence (ALTAI)
Data Protection Impact Assessment
Standaarden

Help ons deze pagina te verbeteren

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.