Algoritmes, AI en de AVG
Wilt u als bedrijf of organisatie algoritmische systemen gaan toepassen en gebruikt u hierbij persoonsgegevens? Dan moet u vooraf vaststellen of u hierbij aan de Algemene verordening gegevensbescherming (AVG) kunt voldoen. Breng eerst de privacyrisico’s in kaart en zorg voor de juiste maatregelen om de gegevens van uw klanten, burgers of patiënten te beschermen. Ook als het om een pilot, test of proefproject gaat.
Op deze pagina
De Autoriteit Persoonsgegevens (AP) houdt toezicht op alle soorten verwerkingen van persoonsgegevens. Op welke manier die verwerking technisch gezien gebeurt, maakt daarvoor niet uit. De AVG is techniek-neutraal opgesteld om technologische ontwikkelingen een plek te kunnen geven. De AP houdt dus ook toezicht op AI en algoritmes waarbij persoonsgegevens worden verwerkt.
In de AVG staan een aantal regels die bijzonder belangrijk zijn bij gebruik van AI & algoritmes.
Snelle antwoorden
Voor organisaties
2 vragen en antwoorden
Moet ik mensen om hun mening vragen als ik ‘machine learning’ wil gebruiken?
Ja, meestal moet u de betrokkenenom hun mening vragen.
Gebruikt u algoritmische systemen bij een project en verwerkt u daarbij persoonsgegevens, dan moet u een data protection impact assessment (DPIA) uitvoeren. In de AVG staat dat bij een DPIA ‘in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening wordt gevraagd over de voorgenomen verwerking’.
Vraagt u voorafgaand niet om meningen van betrokkenen (of vertegenwoordigers)? Dan is het vrijwel onmogelijk om inzicht te krijgen in de mogelijke privacyinbreuken voor deze mensen. Zeker bij complexe of grootschalige projecten.
Ben ik verplicht mijn algoritmes uit te leggen, ook al zijn die bedrijfsgeheim?
Op grond van de AVG bent u verplicht betrokkenen te informeren over wat u met hun gegevens doet en waarom. Zij hebben namelijk recht op informatie.
Verder stelt de AVG dat u deze informatie moet geven ‘in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’. Een heimelijke (stiekeme) verwerking is dus niet mogelijk.
Er zijn extra regels van toepassing als er sprake is van profilering. Bij de inzet van zelflerende algoritmes is dit vaak het geval.
Maar dat betekent niet dat de uitleg aan de betrokkenen ook bedrijfsgeheimen moet bevatten. Wel moet deze uitleg duidelijk maken hoe u persoonsgegevens verwerkt. Ook als de verwerking bijvoorbeeld fraudebestrijding betreft.