Vermeld het gebruik van persoonsgegevens in een privacyverklaring

imp-07ImplementatieProjectleiderJuristPrivacy en gegevensbeschermingTransparantie

Maatregel

Neem het gebruik van een algoritme op in de privacyverklaring als hierbij persoonsgegevens worden verwerkt.

Toelichting

• Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme, wordt een betrokkene geïnformeerd over de verwerking van diens persoonsgegevens.
• Een privacyverklaring kan op organistieniveau worden opgesteld en ook voor specifieke verwerkingen.

• In een privacyverklaring wordt in ieder geval het volgende opgenomen:

• de identiteit en contactgegevens van uw organisatie. En ook die van vertegenwoordiger in de Europese Unie (EU), als deze er zijn.

• de contactgegevens van de functionaris gegevensbescherming (FG), als een organistie deze heeft.
• de doeleinden van de verwerking en de AVG-grondslag.
• de (categorieën van) ontvangers van de persoonsgegevens.
• of de persoonsgegevens door worden geven buiten de EER of aan een internationale organisatie. En zo ja, op welke juridische grond.
• de bewaartermijn van de gegevens.
• de privacyrechten van de betrokkenen, zoals het recht op inzage, rectificatie en gegevens verwijderen.
• het recht van de betrokkenen om de toestemming die zij voor een bepaalde verwerking hebben gegeven, altijd weer te mogen intrekken.
• dat de betrokkenen een klacht kunnen indienen bij de privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP).
• of de betrokkenen verplicht zijn de persoonsgegevens te verstrekken. En zo ja, waarom. Vermeld dan ook wat de gevolgen zijn als zij de gegevens niet verstrekken.
• of er sprake is van geautomatiseerde besluitvorming, inclusief profilering. En zo ja, hoe deze beslissing wordt genomen.

• als persoonsgegevens van een andere organisatie zijn ontvangen: de bron waar de persoonsgegevens vandaan komen. En of de gegevens afkomstig zijn van openbare bronnen.

• Het is denkbaar dat in een specifieke privacyverklaring informatie over onderliggende logica van het algoritme, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. Het is ook denkbaar dat deze informatie in het algoritmeregister wordt opgenomen.

• Als ervoor wordt gekozen om het algoritme uit te faseren, dan moet informatie in het algoriteregister hierop worden aangepast.

Bijbehorende vereiste(n)

Bekijk alle vereisten

Vereiste
avg-07 - Organisaties zijn transparant over het verwerken van persoonsgegevens

Risico

Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.

Bronnen

• Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8
• Autoriteit Persoonsgegevens Algoritmekader
• Toetsingskader Algoritmes Algemene Rekenkamer, 3.12

Voorbeeld

Heb jij een goed voorbeeld? Laat het ons weten!