Vermeld het gebruik van persoonsgegevens in een privacyverklaring
imp-06ImplementatieProjectleiderJuristPrivacy en gegevensbeschermingTransparantie
Maatregel
Neem het gebruik van een algoritme op in de privacyverklaring als hierbij persoonsgegevens worden verwerkt.
Toelichting
- Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme, wordt een betrokkene geïnformeerd over de verwerking van diens persoonsgegevens.
- Een privacyverklaring kan op organistieniveau worden opgesteld en ook voor specifieke verwerkingen.
-
In een privacyverklaring wordt in ieder geval het volgende opgenomen:
-
de identiteit en contactgegevens van uw organisatie. En ook die van vertegenwoordiger in de Europese Unie (EU), als deze er zijn.
- de contactgegevens van de functionaris gegevensbescherming (FG), als een organistie deze heeft.
- de doeleinden van de verwerking en de AVG-grondslag.
- de (categorieën van) ontvangers van de persoonsgegevens.
- of de persoonsgegevens door worden geven buiten de EER of aan een internationale organisatie. En zo ja, op welke juridische grond.
- de bewaartermijn van de gegevens.
- de privacyrechten van de betrokkenen, zoals het recht op inzage, rectificatie en gegevens verwijderen.
- het recht van de betrokkenen om de toestemming die zij voor een bepaalde verwerking hebben gegeven, altijd weer te mogen intrekken.
- dat de betrokkenen een klacht kunnen indienen bij de privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP).
- of de betrokkenen verplicht zijn de persoonsgegevens te verstrekken. En zo ja, waarom. Vermeld dan ook wat de gevolgen zijn als zij de gegevens niet verstrekken.
- of er sprake is van geautomatiseerde besluitvorming, inclusief profilering. En zo ja, hoe deze beslissing wordt genomen.
-
als persoonsgegevens van een andere organisatie zijn ontvangen: de bron waar de persoonsgegevens vandaan komen. En of de gegevens afkomstig zijn van openbare bronnen.
-
Het is denkbaar dat in een specifieke privacyverklaring informatie over onderliggende logica van het algoritme, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. Het is ook denkbaar dat deze informatie in het algoritmeregister wordt opgenomen.
- Als ervoor wordt gekozen om het algoritme uit te faseren, dan moet informatie in het algoriteregister hierop worden aangepast.
Bijbehorende vereiste(n)
Risico
Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.
Bronnen
- Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8
- Autoriteit Persoonsgegevens Algoritmekader
- Toetsingskader Algoritmes Algemene Rekenkamer, 3.12
Voorbeeld
UWV: Privacyverklaring
_Dit voorbeeld kan zonder veel aanpassingen in uw organisatie gebruikt worden._
In de algemene privacyverklaring van het UWV staat per situatie wat voor persoonsgegevens kunnen worden verwerkt. Daarnaast staat in heldere taal uitgelegd waarvoor de verwerking van persoonsgegevens binnen UWV in het algemeen nodig is. Daarnaast wordt het “Geautomatiseerd nemen van besluiten en profilering” toegelicht.
Bron: [Privacyverklaring UWV](https://www.uwv.nl/nl/privacy/privacyverklaring)
Heb je een ander voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl