Een Data Protection Impact Assessment (DPIA) wordt uitgevoerd wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen
avg-13OntwerpDataverkenning en datapreparatieVerificatie en validatieJuristProjectleiderPrivacy en gegevensbescherming
Vereiste
Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Toelichting
Een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assessment (DPIA) is verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potentiële risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.
Let op: de DPIA verplichting is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog risico als er sprake is van één van de volgende voorwaarden:
- Evaluatie of scoretoekenning
- Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg
- Stelselmatige monitoring
- Gevoelige gegevens of gegevens van zeer persoonlijke aard
- Op grote schaal verwerkte gegevens
- Matching of samenvoeging van datasets
- Gegevens met betrekking tot kwetsbare betrokkenen
- Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen
- de situatie waarin als gevolg van de verwerking zelf "betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst";
Het is mogelijk dat algoritmes die niet aan één of meer van deze eigenschappen voldoen toch voor een potentieel hoog risico zorgen.
Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die informatie op grond van artikel 13 AI Verordening om hun verplichting na te komen om een gegevensbeschermingseffectbeoordeling uit te voeren.
Bronnen
- Artikel 35 Algemene Verordening Gegevensbescherming
- Artikel 26(9) Verordening Artificiële Intelligentie
- Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens
- Data protection impact assessment (DPIA) Autoriteit Persoonsgegevens
Wanneer van toepassing?
Risico
Het niet evalueren van de impact van het verwerking van persoonsgegevens in AI-systemen en algoritmes kan resulteren in het niet onderkennen van de bijbehorende risico's en het niet op tijd te mitigieren van deze risico's. Dit kan leiden tot potentiële schendingen van de rechten en vrijheden van betrokkenen en een onrechtmatige verwerking.
Maatregelen
Hulpmiddelen
| Hulpmiddelen |
|---|
| Data Protection Impact Assessment |
| Toetsingskader Algoritmes Algemene Rekenkamer |