Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair

avg-04OntwerpDataverkenning en datapreparatieJuristOntwikkelaarFundamentele rechtenPrivacy en gegevensbescherming

Vereiste

Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair.

Toelichting

Gegevensverwerking moet in verhouding staan tot het beoogde doel en persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens moet dit vereiste aantoonbaar zijn.

Proportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme en voor het genereren van de benodigde output in balans is met het beoogde doel.

Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken.

Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan noodzakelijk is voor legitieme doeleinden.

Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritmes moet worden toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.

Bronnen

• Artikel 5(1)(c) Algemene Verordening Gegevensbescherming
• Overweging 170 Algemene Verordening Gegevensbescherming
• Artikel 5(4) Verdrag betreffende de Europese Unie, Maastricht, 07-02-1992 |
• Artikel 52 Handvest van de Grondrechten van de Europese Unie
• Protocol betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid Verdrag betreffende de Europese Unie, Maastricht, 07-02-1992
• Artikel 1.10, 1.13 en 1.16 Aanbestedingswet 2012

Van toepassing op

Deze vereiste geldt waarschijnlijk voor jouw algoritmische toepassingen. Bekijk de bronnen om te controleren of dit zo is.

Risico

Zonder toetsing aan het proportinaliteits- en subsidiariteitsbeginsel ontstaat het risico dat er een onnodig zware en daardoor onrechtmatige inbreuk wordt gemaakt op de privacyrechten van betrokkenen.

Maatregelen

id	Maatregelen
owp-05	Stel vast in welke risicogroep het algoritme valt en bepaal vervolgens welke vereisten van toepassing zijn.
owp-15	Bespreek de vereisten die gelden voor een verantwoorde inzet van algoritmes met aanbieders
owp-16	Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst
owp-20	Maak vereisten onderdeel van (sub)gunningscriteria bij een aanbesteding
owp-21	Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te realiseren
owp-23	Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
owp-27	Maak vereisten onderdeel van het programma van eisen bij een aanbesteding
dat-02	Toets en analyseer of de inputvariabelen of risicoindicatoren geschikt zijn voor het beoogde algoritme
owk-02	Maak een noodplan voor het stoppen van het algoritme