Vermeld het gebruik van persoonsgegevens in een privacyverklaring

imp-07ImplementatieProjectleiderJuristPrivacy en gegevensbescherming

Maatregel

Neem het gebruik van een algoritme of AI-systeem op in de privacyverklaring als hierbij persoonsgegevens worden verwerkt.

Toelichting

• Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene geïnformeerd over de verwerking van diens persoonsgegevens.
• Een privacyverklaring kan op organistieniveau worden opgesteld en ook voor specifieke verwerkingen.

• In een privacyverklaring wordt in ieder geval het volgende opgenomen:

• de identiteit en contactgegevens van uw organisatie. En ook die van vertegenwoordiger in de Europese Unie (EU), als deze er zijn.

• de contactgegevens van de functionaris gegevensbescherming (FG), als een organistie deze heeft.
• de doeleinden van de verwerking en de AVG-grondslag.
• de (categorieën van) ontvangers van de persoonsgegevens.
• of de persoonsgegevens door worden geven buiten de EER of aan een internationale organisatie. En zo ja, op welke juridische grond.
• de bewaartermijn van de gegevens.
• de privacyrechten van de betrokkenen, zoals het recht op inzage, rectificatie en gegevens verwijderen.
• het recht van de betrokkenen om de toestemming die zij voor een bepaalde verwerking hebben gegeven, altijd weer te mogen intrekken.
• dat de betrokkenen een klacht kunnen indienen bij de privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP).
• of de betrokkenen verplicht zijn de persoonsgegevens te verstrekken. En zo ja, waarom. Vermeld dan ook wat de gevolgen zijn als zij de gegevens niet verstrekken.
• of er sprake is van geautomatiseerde besluitvorming, inclusief profilering. En zo ja, hoe deze beslissing wordt genomen.

• als persoonsgegevens van een andere organisatie zijn ontvangen: de bron waar de persoonsgegevens vandaan komen. En of de gegevens afkomstig zijn van openbare bronnen.

• Het is denkbaar dat in een specifieke privacyverklaring informatie over onderliggende logica van het algoritme of AI-systeem, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. Het is ook denkbaar dat deze informatie in het algoritmeregister wordt opgenomen.

• Als ervoor wordt gekozen om het algoritme uit te faseren, dan moet informatie in het algoriteregister hierop worden aangepast.

Bijbehorende vereiste(n)

Vereiste
avg-07 - Organisaties zijn transparant over het verwerken van persoonsgegevens

Risico

Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.

Bronnen

• Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8
• Autoriteit Persoonsgegevens Algoritmekader
• Toetsingskader Algoritmes Algemene Rekenkamer, 3.12

Voorbeeld

Heb jij een goed voorbeeld? Laat het ons weten!