Beschrijf voor welk doel het algoritme persoonsgegevens gebruikt en waarom dit mag

owp-03OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProjectleiderJuristPrivacy en gegevensbescherming

Maatregel

Het doel voor het verwerken van persoonsgegevens met een algoritme is welbepaald en omschreven.

Toelichting

Persoonsgegevens mogen alleen worden verwerkt voor een ‘welbepaald, uitdrukkelijk omschreven en gerechtvaardigd’ doel. De wettelijke grondslag voor de verwerking van de persoonsgegevens moet zijn beschreven.

De verwerking van persoonsgevens voor het ontwikkelen en gebruiken van een algoritme moet verenigbaar zijn met het oorspronkelijke verwerkingsdoel (doelbinding). Eventuele verdere (subsidiaire) verwerkingen, zoals het verwerken van persoonsgegevens voor een onderzoek naar onbewuste vooringenomenheid, moeten uitdrukkelijk worden omschreven.

Stel een overzicht op waarin is beschreven welke persoonsgegevens mogen worden verwerkt. Bij de persoonsgegevens is aangegeven om wat voor categorie persoonsgegevens het gaat. Per kenmerk is toegelicht waarom deze noodzakelijk is om te verwerken voor het ontwikkelen en gebruiken van het algoritme. Het principe van dataminimalisatie is toegepast, wat betekent dat een keuze is gemaakt of een persoonsgegevens al dan niet strikt noodzakelijk is om het doel te bereiken of dat verwerking ervan achterwege kan blijven.

Voor het beschermen van deze persoonsgegevens wordt per kenmerk aangegeven op welke manier deze kan worden beschermd. Denk hierbij aan het anonimiseren, pseudonomiseren en aggregeren van de persoonsgegevens.

Gebruik een DPIA om bovenstaande zaken te beschrijven.

Risico

Als het doel voor het verwerken van persoonsgegevens onvoldoende is omschreven en onderbouwd, ontstaat het risico dat onrechtmatig persoonsgegevens worden verwerkt en een inbreuk wordt gemaakt op privacyrechten van betrokkenen.

Bijbehorende vereiste(n)

Bekijk alle vereisten

Vereiste
avg-01 - Persoonsgegevens worden op een rechtmatige manier verwerkt
awb-01 - Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig

Bronnen

• Toetsingskader Algoritmes Algemene Rekenkamer, 3.01, 3.05
• Onderzoekskader Algoritmes Auditdienst Rijk, PRI.4
• Onderzoekskader Algoritmes Auditdienst Rijk, PRI.7

Voorbeelden

Stichting Inlichtingenbureau: Signaal Kostendelers

Stichting Inlichtingenbureau (IB) maakt gebruik van het algoritme ‘signaal kostendelers’ dat aangeeft wanneer er iets is veranderd dat de hoogte van de bijstandsuitkering kan beïnvloeden. Het IB krijgt informatie over wie in het huishouden woont om zo veranderingen op de kostendelersnorm door te kunnen geven aan gemeenten. Bij dit algoritme wordt onder andere gebruik gemaakt van het BSN en studie-informatie. Deze informatie is noodzakelijk om veranderingen te kunnen controleren van huishoudens. Het verwerken van deze persoonsgegevens is toegestaan onder (onder andere) ‘Wet structuur uitvoeringsorganisatie werk en inkomen’ artikel 63 en ‘Participatiewet’ artikel 64 en artikel 68. Het verwerken van deze gegevens is dus noodzakelijk voor het IB om haar functie te kunnen uitvoeren. Dit zal per organisatie verschillen maar soortgelijke wettelijke grondslag kan dus als uitgangspunt genomen worden voor controle binnen de eigen organisatie.

Bron: Signaal Kostendelers - Stichting Inlichtingenbureau

Heb je een ander voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl