Vergroot contrast

AI & algoritmes

Een algoritme is eenvoudig gezegd een stappenplan om een bepaald doel te bereiken. Algoritmes zijn er in alle soorten en maten, van simpele ‘recepten’ tot geavanceerde, zelflerende systemen. Zowel bedrijven als de overheid gebruiken inmiddels op grote schaal algoritmes. Vaak om bepaalde beslissingen (deels) te automatiseren. Geavanceerde algoritmes vallen onder het overkoepelende gebied van artificiële intelligentie (AI).

AI omvat onder meer machine learning, deep learning en neural networks. AI is sterk in ontwikkeling. Daardoor worden algoritmische beslismodellen steeds krachtiger en complexer.

Voordelen algoritmes

Inzet van geavanceerde algoritmes kan voordelen bieden. Door patronen te halen uit data, kan bijvoorbeeld de gezondheidszorg meer inzicht krijgen in het verloop van ziektes.

Nadelen algoritmes

Algoritmes worden vaak gebruikt om geautomatiseerd besluiten te nemen. Een van de risico’s hiervan is de kans op een oneerlijk of bevooroordeeld besluit. Of zelfs op discriminatie.

Algoritmes en de AVG

Algoritmes (en de complexere algoritmische systemen die veelal als 'AI' worden aangeduid) verwerken vaak persoonsgegevens.

Dit betekent dat het gebruik van algoritmes moet voldoen aan de Algemene verordening gegevensbescherming (AVG), net als alle andere verwerkingen van persoonsgegevens.

Gebruik AI & algoritmes

Wilt u als bedrijf of organisatie algoritmische systemen gebruiken bij het verwerken van persoonsgegevens? Dan moet u vooraf vaststellen of u hierbij aan de AVG-beginselen kunt voldoen.

Ook moet u de privacyrisico’s in kaart brengen en hiertegen maatregelen treffen. Let op: dit geldt óók als het om een pilot, test of proefproject gaat.

Voor meer informatie, zie: Vragen van organisaties over AI & algoritmes.

Rechten bij AI & algoritmes

De privacywet, de AVG, geeft mensen van wie persoonsgegevens worden verwerkt bepaalde rechten. Het doel hiervan is dat mensen controle houden over hun persoonsgegevens.

Deze rechten gelden óók als uw persoonsgegevens worden verwerkt door een algoritmisch systeem. U heeft bijvoorbeeld recht op informatie en op inzage in uw gegevens.

Ook heeft u recht op een menselijke blik bij besluiten. Dat betekent dat een bedrijf of organisatie een voor u belangrijke beslissing niet geautomatiseerd mag nemen, maar dat een medewerker dit moet doen.

Voor meer informatie, zie: Gebruik uw privacyrechten.

Toezicht op AI & algoritmes

De Autoriteit Persoonsgegevens (AP) houdt toezicht op alle verwerkingen van persoonsgegevens. Dus ook op AI en algoritmes waarbij persoonsgegevens worden verwerkt.

In de Focus AP 2020-2023 is het toezicht op AI & Algoritmes een van de drie focusgebieden van de AP. Dat houdt in dat de AP extra aandacht besteedt aan verwerkingen van persoonsgegevens door algoritmische systemen.

Dit doet de AP door voorlichting te geven, klachten te behandelen en onderzoeken te doen. Ook werkt de AP aan een stelsel van toezicht dat zowel zorgt voor privacybescherming als voor verantwoorde innovatie. Dit doet de AP samen met de andere Europese privacytoezichthouders en met andere toezichthouders binnen Nederland.

Zie verder:

Nieuws

Alle nieuwsberichten over het onderwerp 'AI & algoritmes'

Alle antwoorden op mijn vragenVragen van organisaties over AI & algoritmes

  • Waar moet u aan voldoen als u met een algoritme persoonsgegevens verwerkt?

    Een verwerking van persoonsgegevens met inzet van een algoritme is niet anders dan een ‘gewone’ verwerking. U moet daarom voldoen aan de algemene beginselen voor de verwerking van persoonsgegevens.

    Die beginselen staan in artikel 5 van de Algemene verordening gegevensbescherming (AVG). Belangrijke beginselen zijn onder meer:

    Rechtmatigheid

    U moet een grondslag hebben om persoonsgegevens te mogen verwerken (art. 6 AVG).

    Transparantie

    • Bij het verwerken van persoonsgegevens moet u transparant zijn richting de betrokkene (art. 12, 13 en 14 AVG). De betrokkene is degene van wie u gegevens verwerkt.
    • Ook heeft u een register van verwerkingsactiviteiten nodig (art. 30).
    • En gebruikt u een algoritmisch systeem voor bijvoorbeeld uw besluitvorming? Dan moet u nuttige informatie geven over de onderliggende logica en de verwachte gevolgen van die verwerking voor de betrokkene.

    Doelbinding

    U mag alleen persoonsgegevens verwerken voor een vooraf vastgesteld doel. U bent aan dit doel gebonden. Dit betekent dat u niet zomaar de persoonsgegevens voor een ander doel mag verwerken.

    Dataminimalisatie

    Verwerkt u persoonsgegevens voor een bepaald doel, dan moet u dit met zo min mogelijk persoonsgegevens doen. Alle gegevens die niet aantoonbaar nodig zijn, verwerkt u onrechtmatig.

    U mag de gegevens ook maar beperkt opslaan. U moet hiertoe vooraf de bewaartermijnen vaststellen.

    Juistheid

    De persoonsgegevens die u verwerkt, moeten juist zijn (kloppen). Hiermee voorkomt u onvoorzienbare uitkomsten en ongewenste effecten voor de betrokkene.

    Beveiliging

    Alle persoonsgegevens die u verwerkt, moet u goed beveiligen. U moet hiervoor technische en organisatorische maatregelen treffen (art. 32 AVG). Daarbij moet u rekening houden met:

    • de stand van de techniek;
    • de aard, omvang, context en verwerkingsdoeleinden;
    • de uiteenlopende risico's voor de rechten en vrijheden van betrokkenen.

    Privacy by design & default

    Bij de ontwikkeling van (algoritmische) systemen moet u rekening houden met de principes privacy by design en privacy by default.

    Dit betekent dat u systemen privacyvriendelijk moeten ontwikkelen, inrichten en inzetten. Instellingen voor de gebruiker moeten standaard privacybeschermend zijn.

  • Moet u een DPIA opstellen als u een algoritme wilt gebruiken?

    Ja, meestal wel. Projecten waarbij gebruik wordt gemaakt van algoritmische systemen, kennen doorgaans een DPIA-verplichting. Let op: dit geldt alleen als u met het algoritme persoonsgegevens verwerkt.

    DPIA

    Onder de Algemene verordening gegevensbescherming (AVG) kan het verplicht zijn een data protection impact assessment (DPIA) uit te voeren.

    Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen.

    Criteria voor DPIA

    In zijn algemeenheid moet u als organisatie een DPIA uitvoeren wanneer er sprake is van een hoog privacyrisico voor betrokkenen. U moet in elk geval een DPIA uitvoeren wanneer u:

    • systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op automatische verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
    • op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
    • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied.

    Om te beoordelen of er sprake is van een hoog risico voor betrokkenen, kunt u gebruikmaken van een lijst met criteria voor een DPIA.

    Zijn 2 (of meer) van de 9 criteria uit deze lijst van toepassing op uw verwerking? Dan is een DPIA verplicht. Let op: dit geldt ook voor pilots, testen en proefprojecten.

    Voorafgaande raadpleging

    Het is goed mogelijk dat er een hoog risico zit aan de inzet van algoritmes. En het u niet lukt om (voldoende) maatregelen te vinden om dit risico te beperken.

    Dan moet u met de Autoriteit Persoonsgegevens (AP) overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging (VR) genoemd.

    Uw functionaris gegevensbescherming (FG) kan u adviseren over het aanvragen van een VR.

    Vrijwillige DPIA

    Ook als een DPIA in uw geval niet verplicht is, kan het aan te raden zijn om er toch een uit te voeren. U moet namelijk sowieso voldoen aan de AVG bij gebruik van een algoritme.

    Zo moet u bijvoorbeeld technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen, uw verwerkingen vastleggen in een register en voldoen aan een aantal andere transparantieverplichtingen.

    En moet u ervoor zorgen dat u de privacyrechten van betrokkenen op een juiste manier faciliteert. Een DPIA kan hiervoor een goede leidraad zijn, waarmee u het (ontwikkel)proces in juiste banen leidt en u de juiste personen erbij betrekt.

  • Waar moet u op letten bij het opstellen van een DPIA voor algoritmes?

    Naast de regels voor reguliere DPIA’s moet u specifiek aandacht besteden aan:

    • technische aspecten, zoals algoritmekeuze, bias, NFL, enz.;
    • transparantie en uitlegbaarheid van het algoritme en de inzet daarvan;
    • rechten van betrokkenen, zoals het recht op verwijdering en het recht op rectificatie.

    Format voor DPIA algoritmes

    Bent u op zoek naar een format voor uw algoritme-specifieke DPIA? Dan kunt u op internet zoeken op ‘AI impact assessments’. Afhankelijk van uw specifieke project en organisatie kunt u er een kiezen.

    U kunt ook zelf uw DPIA aanvullen met de hiervoor genoemde specifieke aandachtspunten voor DPIA’s voor algoritmes.

  • Moet u betrokkenen om hun mening vragen als u van plan bent bijvoorbeeld machine learning te gebruiken?

    Ja, meestal wel. De Algemene verordening gegevensbescherming (AVG) bepaalt dat bij de uitvoering van een DPIA ‘in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening [wordt gevraagd] over de voorgenomen verwerking’.

    Zodra u verplicht bent een DPIA op te stellen, betekent dit dat er aanmerkelijke privacyrisico’s zijn voor betrokkenen.

    Bij complexe of grootschalige projecten is het vrijwel onmogelijk om inzicht te krijgen in de mogelijke privacyinbreuken voor iedereen van wie u persoonsgegevens verwerkt zonder die betrokkenen (of vertegenwoordigers) voorafgaand om hun mening te vragen.

  • Bent u verplicht uw algoritmes uit te leggen, ook al zijn die bedrijfsgeheim?

    Op grond van de Algemene verordening gegevensbescherming (AVG) bent u verplicht de mensen van wie u gegevens verwerkt (betrokkenen) te informeren over wat u met hun gegevens doet en waarom.

    Zij hebben namelijk recht op informatie.

    Verder stelt de AVG dat u deze informatie moet geven ‘in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’. Een heimelijke verwerking is dus niet mogelijk.

    Er zijn extra regels van toepassing als er daarnaast sprake is van profilering. Bij de inzet van zelflerende algoritmes is dit vaak het geval.

    Dat betekent niet dat de uitleg aan de betrokkenen ook bedrijfsgeheimen moet bevatten. Wel moet deze uitleg duidelijk maken hoe u persoonsgegevens verwerkt. Ook als de verwerking bijvoorbeeld fraudebestrijding betreft.

Alle antwoorden op mijn vragenVragen over het toezicht op algoritmes

  • Verschilt het toezicht van de AP op verwerkingen met inzet van een algoritme van verwerkingen zonder algoritme?

    Nee. De Autoriteit Persoonsgegevens (AP) houdt toezicht op alle verwerkingen van persoonsgegevens. Op welke manier die verwerking technisch gezien gebeurt, maakt daarvoor niet uit.

    De Algemene verordening gegevensbescherming (AVG) is techniek-neutraal opgesteld om technologische ontwikkelingen een plek te kunnen bieden. En ook daarop toezicht door de toezichthouder mogelijk te maken. 

    Veel verplichtingen zijn hetzelfde. Alleen kan het per verwerking verschillen hoe de verwerkingsverantwoordelijke deze verplichtingen moet invullen. Dat hangt af van de specifieke verwerking.

  • Is het onderscheid tussen lerende en traditionele algoritmen van belang?

    Alle geautomatiseerde verwerkingen van persoonsgegevens worden door algoritmen gedaan. Vaak wordt er onderscheid gemaakt tussen lerende algoritmen en traditionele algoritmen. Voor het toezicht door de Autoriteit Persoonsgegevens (AP) is dit onderscheid niet van belang. Het kan wel uitmaken voor de organisatie die het algoritme inzet.

    Toezicht door AP

    Zodra er persoonsgegevens worden verwerkt, houdt de AP daar toezicht op. Op welke manier de verwerking technisch gezien gebeurt, maakt daarvoor niet uit. 

    Het maakt dus niet uit of daarbij spreadsheets worden gebruikt, databases of andere ICT-middelen. Of dat er een traditioneel of een lerend algoritme wordt ingezet.

    Lerende algoritmes

    Lerende algoritmes zijn nieuw en hun werking wordt nog niet volledig doorgrond. Daarmee is het voor organisaties die een lerend algoritme inzetten, mogelijk lastiger om aan de transparantieplicht uit de Algemene verordening gegevensbescherming (AVG) te voldoen. 

    Verder valt de inzet van machine learning en deep learning in veel gevallen onder ‘gebruik van nieuwe technologieën’. Dat is een van de criteria voor een verplichte DPIA.