Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen

avg-13OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatiePrivacy officerPrivacy en gegevensbescherming

Vereiste

Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Toelichting

Een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assessment (DPIA) is verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potentiële risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.

Let op: de DPIA verplichting is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog risico als er sprake is van één van de volgende voorwaarden:

1. Evaluatie of scoretoekenning
2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg
3. Stelselmatige monitoring
4. Gevoelige gegevens of gegevens van zeer persoonlijke aard
5. Op grote schaal verwerkte gegevens
6. Matching of samenvoeging van datasets
7. Gegevens met betrekking tot kwetsbare betrokkenen
8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen
9. de situatie waarin als gevolg van de verwerking zelf "betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst";

Het is mogelijk dat algoritmes die niet aan één of meer van deze eigenschappen voldoen toch voor een potentieel hoog risico zorgen.

Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die informatie op grond van artikel 13 AI Verordening om hun verplichting na te komen om een gegevensbeschermingseffectbeoordeling uit te voeren.

Bronnen

• Artikel 35 Algemene Verordening Gegevensbescherming
• Artikel 26(9) Verordening Artificiële Intelligentie
• Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens
• Data protection impact assessment (DPIA) Autoriteit Persoonsgegevens

Wanneer van toepassing?

Risico

Het niet evalueren van de impact van het verwerking van persoonsgegevens in AI-systemen en algoritmes kan resulteren in het niet onderkennen van de bijbehorende risico's en het niet op tijd te mitigieren van deze risico's. Dit kan leiden tot potentiële schendingen van de rechten en vrijheden van betrokkenen en een onrechtmatige verwerking.

Maatregelen

Zoeken

Rollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officer

Levenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenverificatie-en-validatie

Onderwerpenprivacy-en-gegevensbeschermingpublieke-inkoop

id	Maatregelen	Rollen	Levenscyclus	Onderwerpen
	Bespreek de vereiste met aanbieder of opdrachtnemer	proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer	ontwerp ontwikkelen	publieke-inkoop
	Creëer ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.	proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
	Maak de vereiste onderdeel van het programma van eisen	proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
	Maak de vereiste onderdeel van de contractovereenkomst	behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
	Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden	proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
	Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt	proceseigenaar privacy-officer inkoopadviseur	ontwerp monitoring-en-beheer	publieke-inkoop privacy-en-gegevensbescherming
	Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst	proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist	ontwerp ontwikkelen	publieke-inkoop
	Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's	proceseigenaar data-scientist data-engineer aanbieder privacy-officer security-officer ethicus beleidsmedewerker	ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie	privacy-en-gegevensbescherming