Home
Sluit menu

Filter zoek resultaten

AI & algoritmes gebruiken

Wilt u als bedrijf of organisatie algoritmische systemen gebruiken bij het verwerken van persoonsgegevens? Dan moet u vooraf vaststellen of u hierbij aan de Algemene verordening gegevensbescherming (AVG) kunt voldoen. Verder moet u de privacyrisico’s in kaart brengen en hiertegen maatregelen treffen. Ook als het om een pilot, test of proefproject gaat.

Op deze pagina

Regels bij gebruik van AI & algoritmes

Een verwerking van persoonsgegevens met inzet van een algoritme is niet anders dan een ‘gewone’ verwerking. U moet daarom voldoen aan de algemene beginselen voor de verwerking van persoonsgegevens. Die beginselen staan in artikel 5 van de AVG. Belangrijke beginselen zijn onder meer:

Rechtmatigheid

U moet een grondslag hebben om persoonsgegevens te mogen verwerken.

Transparantie

  • Bij het verwerken van persoonsgegevens moet u transparant zijn richting de betrokkenen (art. 12, 13 en 14 AVG).
  • Ook moet u een verwerkingsregister opstellen (art. 30 AVG).
  • Gebruikt u een algoritmisch systeem voor bijvoorbeeld uw besluitvorming? Dan moet u informatie geven over de onderliggende logica en de verwachte gevolgen van die verwerking voor de betrokkene.

Doelbinding

U mag alleen persoonsgegevens verwerken voor een doel dat u van tevoren heeft vastgesteld. U bent aan dit doel gebonden. Dit betekent dat u niet zomaar de persoonsgegevens voor een ander doel mag verwerken.

Dataminimalisatie

Verwerkt u persoonsgegevens voor een bepaald doel, dan moet u dit met zo min mogelijk persoonsgegevens doen. Gegevens die niet aantoonbaar nodig zijn, mag u niet verwerken.

U mag de gegevens ook maar beperkt opslaan. U moet vooraf de bewaartermijnen vaststellen.

Juistheid

De persoonsgegevens die u verwerkt, moeten juist zijn (kloppen). Hiermee voorkomt u onverwachte uitkomsten en ongewenste effecten voor de betrokkene.

Beveiliging

Alle persoonsgegevens die u verwerkt, moet u goed beveiligen. U moet hiervoor technische en organisatorische maatregelen treffen (art. 32 AVG). Daarbij moet u rekening houden met:

  • de stand van de techniek, oftewel wat er technisch mogelijk is;
  • de aard, omvang, context en verwerkingsdoeleinden;
  • de risico's voor de rechten en vrijheden van betrokkenen.

Privacy by design & default

Bij de ontwikkeling van (algoritmische) systemen moet u rekening houden met de principes privacy by design en privacy by default. Dit betekent dat u systemen privacyvriendelijk moet ontwikkelen, inrichten en inzetten. Instellingen voor de gebruiker moeten standaard privacybeschermend zijn.

Een DPIA opstellen

Maakt u bij een project gebruik van algoritmische systemen en worden daarbij persoonsgegevens verwerkt? Dan is het verplicht een data protection impact assessment (DPIA) uit te voeren. Met een DPIA brengt u vooraf de privacyrisico’s van een gegevensverwerking in kaart. U kunt daarna maatregelen nemen om de risico’s te verkleinen.

Criteria voor DPIA

Over het algemeen moet u als organisatie een DPIA uitvoeren als er sprake is van een hoog privacyrisico voor betrokkenen. Om te beoordelen of dat zo is, kunt u gebruikmaken van een lijst met criteria voor een DPIA. Zijn 2 (of meer) van de 9 criteria uit deze lijst van toepassing op uw verwerking? Dan is een DPIA verplicht. Let op: dit geldt ook voor pilots, testen en proefprojecten.

Vrijwillige DPIA

Ook als een DPIA in uw geval niet verplicht is, kan het aan te raden zijn om er toch een uit te voeren. U moet namelijk sowieso voldoen aan de AVG bij gebruik van een algoritme. Zo moet u bijvoorbeeld:

  • technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen;
  • uw verwerkingen vastleggen in een register;
  • voldoen aan een aantal andere transparantieverplichtingen;
  • ervoor zorgen dat u de privacyrechten van betrokkenen op een juiste manier faciliteert.

Een DPIA kan hiervoor een goede leidraad zijn, waarmee u het (ontwikkel)proces in juiste banen leidt en u de juiste personen erbij betrekt.

Aandachtspunten

Naast de regels voor reguliere DPIA’s moet u specifiek aandacht besteden aan:

  • technische aspecten, zoals algoritmekeuze, bias en NFL;
  • transparantie en uitlegbaarheid van het algoritme en de inzet daarvan;
  • rechten van betrokkenen, zoals het recht op verwijdering en het recht op rectificatie.

Format voor DPIA algoritmes

Bent u op zoek naar een format voor uw algoritme-specifieke DPIA? Dan kunt u op internet zoeken op ‘AI impact assessments’. Afhankelijk van uw specifieke project en organisatie kunt u er een kiezen. U kunt ook zelf uw DPIA aanvullen met de hiervoor genoemde specifieke aandachtspunten bij DPIA’s voor algoritmes.

Voorafgaande raadpleging

Het is goed mogelijk dat er een hoog risico zit aan de inzet van algoritmes. En dat het u niet lukt om (voldoende) maatregelen te vinden om dit risico te beperken. Dan moet u met de Autoriteit Persoonsgegevens (AP) overleggen voordat u met de verwerking start.

Dit wordt een voorafgaande raadpleging genoemd. Uw functionaris gegevensbescherming (FG) kan u adviseren over het aanvragen van een voorafgaande raadpleging.

Rechten bij AI & algoritmes

De AVG geeft bepaalde rechten aan mensen van wie persoonsgegevens worden verwerkt. Het doel hiervan is dat mensen controle houden over hun persoonsgegevens. Deze rechten gelden óók als hun persoonsgegevens worden verwerkt door een algoritmisch systeem. Mensen hebben bijvoorbeeld recht op informatie en op inzage in hun gegevens.

Ook hebben zij recht op een menselijke blik bij besluiten. Dat betekent dat u als bedrijf of organisatie een voor hen belangrijke beslissing niet geautomatiseerd mag nemen, maar dat een medewerker dit moet doen.

Voor meer informatie, zie: Privacyrechten AVG.

Terug naar onderwerp Algoritmes & AI

Lees ook

Snelle antwoorden

Moet ik mensen om hun mening vragen als ik ‘machine learning’ wil gebruiken?

Ja, meestal moet u de betrokkenenom hun mening vragen.

Gebruikt u algoritmische systemen bij een project en verwerkt u daarbij persoonsgegevens, dan moet u een data protection impact assessment (DPIA) uitvoeren. In de AVG staat dat bij een DPIA ‘in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening wordt gevraagd over de voorgenomen verwerking’.

Vraagt u voorafgaand niet om meningen van betrokkenen (of vertegenwoordigers)? Dan is het vrijwel onmogelijk om inzicht te krijgen in de mogelijke privacyinbreuken voor deze mensen. Zeker bij complexe of grootschalige projecten.

Ben ik verplicht mijn algoritmes uit te leggen, ook al zijn die bedrijfsgeheim?

Op grond van de AVG bent u verplicht betrokkenen te informeren over wat u met hun gegevens doet en waarom. Zij hebben namelijk recht op informatie.

Verder stelt de AVG dat u deze informatie moet geven ‘in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’. Een heimelijke (stiekeme) verwerking is dus niet mogelijk.

Er zijn extra regels van toepassing als er sprake is van profilering. Bij de inzet van zelflerende algoritmes is dit vaak het geval.

Maar dat betekent niet dat de uitleg aan de betrokkenen ook bedrijfsgeheimen moet bevatten. Wel moet deze uitleg duidelijk maken hoe u persoonsgegevens verwerkt. Ook als de verwerking bijvoorbeeld fraudebestrijding betreft.

Terug naar onderwerp Algoritmes & AI