Ga naar inhoud

Privacy en persoonsgegevens beschermen in algoritmes

Overheden die algoritmes gebruiken, moeten de persoonsgegevens van burgers beschermen. Hiervan gebruik je niet meer dan nodig is. En je beveiligt deze gegevens goed.

Wat is het beschermen van privacy en persoonsgegevens in algoritmes?

Overheidsalgoritmes mogen persoonsgegevens gebruiken als hier een grondslag voor is, bijvoorbeeld omdat de verwerking wordt voorgeschreven in specifieke wetgeving of wanneer de verwerking noodzakelijk is voor een specifieke wettelijke taak. En wanneer je netjes omgaat met hun persoonsgegevens. Dit betekent:

Als overheid moet je hier goed op letten. Doe dit zo vroeg mogelijk in de levenscyclus van het algoritme.

Rechtmatig persoonsgegevens gebruiken

Als je persoonsgegevens gebruikt voor algoritmes, moet je rekening houden met wetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) en de Auteurswet. De belangrijkste regels zijn:

  • Gebruik alleen persoonsgegevens die je mag gebruiken voor het doel van je algoritme: je hebt toestemming van de eigenaar, of het mag volgens de wet.
  • Gebruik zo min mogelijk persoonsgegevens om dit doel bereiken.

Je organisatie moet aantoonbaar de verwerking beperken tot de persoonsgegevens die noodzakelijk zijn voor een duidelijk bepaald doel. Dit kan lastig zijn. Want welke gegevens zijn bijvoorbeeld nodig als je vooraf niet weet welke verbanden het algoritme legt?

De persoonsgegevens die overblijven, gebruik je zo minimaal mogelijk. Hoe minimaal dat is, bepaalt je organisatie zelf. Technieken om privacy zoveel mogelijk te beschermen zijn:

  • Anonimiseren: data zoveel mogelijk anoniem maken
  • Pseudonimiseren: data moeilijker herleidbaar maken naar personen
  • Aggregeren: data zoveel mogelijk combineren of samenvoegen tot 1 waarde, zoals een totaal of gemiddelde

!!! "tip" Tip

Leg de keuzes die je maakt duidelijk uit. Zo voorkom je fouten op de werkvloer. Persoonsgegevens die zijn verzameld voor doel A mogen bijvoorbeeld alleen onder specifieke voorwaarden voor doel B gebruiken.

Belang van privacy en persoonsgegevens beschermen

Algoritmes die persoonsgegevens verwerken, kunnen snel de privacy schenden van grote groepen mensen. Vooral impactvolle algoritmes kunnen veel schade veroorzaken in de maatschappij.

Wanneer je de privacy en persoonsgegevens van mensen goed beschermt, verlaag je de kans op:

  • Gebruik van persoonsgegevens voor het verkeerde doel, zoals het per ongeluk publiceren van iemands paspoortfoto op de website van een gemeente.
  • Discriminatie, bijvoorbeeld door onnodig gebruik van leeftijd in een algoritme.
  • Lekken van persoonsgegevens.

Persoonsgegevens helemaal niet gebruiken, is onmogelijk. Voor sommige taken kunnen overheden niet meer zonder algoritmes, bijvoorbeeld voor het beoordelen van grote aantallen aanvragen voor subsidies of vergunningen. Hiervoor zijn persoonsgegevens nodig zoals iemands naam, adres of bepaalde kenmerken.

Vereisten

idVereisten
aia-33AI-testomgevingen die persoonsgegevens verwerken, voldoen aan strenge voorwaarden
avg-01Persoonsgegevens worden op een rechtmatige manier verwerkt
avg-02Persoonsgegevens worden zo kort mogelijk bewaard
avg-03Persoonsgegevens worden zo min mogelijk verwerkt
avg-04Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair
avg-05Persoonsgegevens zijn juist en actueel
avg-06Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken
avg-07Organisaties zijn transparant over het verwerken van persoonsgegevens
avg-08Gevoelige persoonsgegevens worden alleen gebruikt als hiervoor een wettelijke uitzondering geldt
avg-09Betrokkenen kunnen een beroep doen op hun privacyrechten
avg-10Besluiten die levens kunnen beïnvloeden, zijn niet volledig geautomatiseerd
avg-11Ontwerp en standaardinstellingen (defaults) zijn zo gunstig mogelijk voor de privacy van betrokkenen
avg-12Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
avg-13Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen

Aanbevolen maatregelen

idMaatregelen
owp-03Beschrijf voor welk doel het algoritme persoonsgegevens gebruikt en waarom dit mag
owp-14Maak het opstellen van een verwerkersovereenkomst onderdeel van de aanbesteding als persoonsgegevens worden verwerkt
dat-03Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsprocedure
dat-04Bescherm persoonsgegevens door data te anonimiseren, pseudonimiseren of te aggregeren
owk-03Analyseer de privacy-risico’s en neem maatregelen om deze risico’s laag te houden
imp-05Vermeld het gebruik van persoonsgegevens in een privacyverklaring
imp-07Vermeld het gebruik van persoonsgegevens in het verwerkingsregister
imp-10Spreek af hoe de organisatie omgaat met privacy-verzoeken
uit-01Bij uitfaseren en doorontwikkeling wordt correct omgegaan met data en modelinformatie

Aanbevolen hulpmiddelen

Hulpmiddelen
AI Impact Assessment (AIIA)
Assessment List for Trustworthy Artificial Intelligence (ALTAI)
Data Protection Impact Assessment
Standaarden

Help ons deze pagina te verbeteren

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.