Proportionaliteit en subsidiariteit

avg-04OrganisatieverantwoordelijkhedenGovernancePrivacy en gegevensbescherming

Vereiste¶

Gegevensverwerking moet in verhouding staan tot het beoogde doel en persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens moet dit vereiste aantoonbaar zijn.

Toelichting¶

Proportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan noodzakelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritmes en AI moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.

Bronnen¶

Wanneer van toepassing?¶

Risico¶

Zonder toetsing aan het proportinaliteits- en subsidiariteitsbeginsel ontstaat het risico dat er een onnodig zware en daardoor onrechtmatige inbreuk wordt gemaakt op de privacyrechten van betrokkenen.

Maatregelen¶

Maatregelen	Rollen	Levenscyclus	Onderwerpen
Bespreek de vereiste met aanbieder of opdrachtnemer	proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer	ontwerp ontwikkelen	publieke-inkoop
Creëer ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.	proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
Maak de vereiste onderdeel van het programma van eisen	proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
Maak de vereiste onderdeel van de contractovereenkomst	behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden	proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.	proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder	organisatieverantwoordelijkheden	governance
Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.	proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder	ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren	governance
Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst	proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.		ontwerp ontwikkelen	publieke-inkoop governance