Verantwoordingsplicht voor de rechtmatigheid van de verwerking

avg-06OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernancePrivacy en gegevensbescherming

Vereiste

De verantwoordelijken moeten bij de verwerking van persoonsgegevens door algoritmes en AI-systemen kunnen aantonen dat de verwerkingen rechtmatig plaatsvinden. Dit betekent concreet dat de volgende punten aangetoond kunnen worden:

• Rechtmatigheid, behoorlijkheid en transparantie
• Doelbinding
• Minimale gegevensverwerking
• Juistheid
• Opslagbeperking
• Integriteit en vertrouwelijkheid

Een aandachtpunt daarbij is dat de rechtmatigheid van de verwerking ten opzichte van andere gerelateerde wetgeving zoals de AI Act en de Algemene wet gelijke behandeling ook moeten kunnen worden aangetoond voor zover de rechtmatigheid van de verwerking onder de AVG daarvan afhankelijk is.

Toelichting

Bij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.

Bronnen

• Artikel 5 lid 2 Algemene Verordening Gegevensbescherming
• Artikel 24 Algemene Verordening Gegevensbescherming
• Artikel 26 Algemene Verordening Gegevensbescherming
• Artikel 27 Algemene Verordening Gegevensbescherming
• Artikel 29 Algemene Verordening Gegevensbescherming
• Verantwoordingsplicht

Wanneer van toepassing?

Risico

Het niet naleven van deze norm moet worden gekwalificeerd als een onrechtmatigheid, niet als een risico voor de rechten en vrijheden van betrokkenen onder de AVG. Maar het niet voldoen aan artikel 5 betekent in de praktijk vaak wel dat er onvoldoende zicht is op risico's voor de rechten en vrijheden van betrokkenen of dat er te grote risico's worden genomen. Deze gevolgen zijn echter indirect een gevolg van het niet naleven van artikel 5 AVG. Het moeten voldoen aan het aantoonbaarheidsvereiste kan wel risico's hebben voor de organisatie die een algortime inzet. Enkele risico's zijn:

• Aantoonbaarheidsvereisten vragen in de praktijk veel documentatie. Deze documentatie kan via de Woo opgevraagd worden. Het ontbreken van documentatie kan door externen vaak relatief makkelijk in verband worden gebracht met een overtreding van deze vereisten.
• Algoritmen die van nature slecht inzichtelijk en uitlegbaar zijn (zoals deep-learning) hebben een zeer hoge drempel om aan deze vereiste te voldoen. Aantonen van rechtmatigheid is voor een belangrijk deel afhankelijk van inzicht in de werking van het algoritme. De inzet van een algortime kan dus mogelijk tegengehouden worden door deze vereisten.
• Bij leveranciers die niet of gedeeltelijke transparant zijn over hun product of dienstverlening ontstaat een vergelijkbaar risico. Waar de Woo uitzonderingen heeft voor bedrijfsgeheimen heeft de AVG daar maar beperkte ruimte voor. Het is dus mogelijk dat leveranciers terughoudend zullen zijn met het delen van informatie die onder de AVG ook aan betrokkenen gecommuniceerd moeten worden.
• Samenwerkingsverbanden en externe leveranciers kunnen niet als argumenten worden gebruikt om de aantoonbaarheidsvereisten op af te schuiven. Onafhankelijk van de onderlinge afspraken daarover hebben alle verwerkingsverantwoordelijken de verplichting om aan deze vereisten te kunnen voldoen.

Maatregelen

Zoeken

Rollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-engineerdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officer

Levenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelen

Onderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoop

id	Maatregelen	Rollen	Levenscyclus	Onderwerpen
	Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.	proceseigenaar privacy-officer data-scientist data-engineer inkoopadviseur contractbeheerder aanbieder	ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie monitoring-en-beheer	privacy-en-gegevensbescherming governance
	Bespreek de vereiste met aanbieder of opdrachtnemer	proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer	ontwerp ontwikkelen	publieke-inkoop
	Creëer ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.	proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
	Maak de vereiste onderdeel van het programma van eisen	proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
	Maak de vereiste onderdeel van de contractovereenkomst	behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
	Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden	proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
	Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst	proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop