AVG-Proof

GDPR-Compliant

Privacywetgeving

Privacy is een fundamenteel recht. Het grondrecht op privacy omvat het recht op een privéleven, alsook het recht op informationele privacy. Privacy als mensenrecht is ondermeer vastgelegd in de Nederlandse Grondwet, het VN Verdrag voor de rechten van de mens, de AVG (Algemene Verordening Gegevensbescherming die de Wet persoonsgegevens per 25 mei 2018 vervangt), het EVRM (Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden), het EU handvest Grondrechten en het Europese Dataprotectieverdrag. De Engelse benaming voor de AVG is de GDPR (General Data Protection Regulation). In de Verenigde Staten is het recht op privacy als consumentenrecht verankerd, niet als grondrecht. Tussen de EU en de VS bestaat een Privacyschild. Als organisatie wilt u GDPR Compliant zijn.

Regulering van verwerking persoonsgegevens

Bij de regulering van het gebruik, bezit en het delen van data spelen privacybelangen een aanzienlijke rol. Burgers hebben een grondwettelijk recht op rechtmatige verwerking van hun persoonsgegevens. Partijen die deze persoonsgegevens onverhoopt of opzettelijk op onrechtmatige wijze verwerken, kunnen daarvoor aansprakelijk worden gesteld. Handhaving van privacywetgeving kent in dat verband zowel een publiekrechtelijk als een civielrechtelijk kader.

Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens (AP) is het overheidsorgaan dat in Nederland toezicht op het verwerken van persoonsgegevens. De Autoriteit Persoonsgegevens houdt zich bezig met privacywetgeving. Een belangrijke taak is toezicht op en onderzoek naar de naleving van de Algemene Verordening Gegevensbescherming (AVG). Waaronder onderzoek naar big data analyse en profiling. In de aanloop naar de invoering van de AVG heeft de Autoriteit Persoonsgegevens voorlichting en advies gegeven over deze nieuwe Europese wetgeving. Ondermeer door het publiceren van een AVG-regelhulp, een stappenplan om AVG-Proof te worden en het opstellen van AVG-guidelines die bepaalde onderwerpen verduidelijken.

Bezit en gebruik van data

In het privacyrecht gaat het enerzijds om het bezit van data, anderzijds om privacy-toestemming voor het gebruik c.q. de verwerking van data zoals persoonsgegevens. Gebruik is in deze benadering de fase die volgt op het initiële verzamelen van de gegevens. Het gaat in het informationele privacyrecht derhalve zowel om gegevensbescherming als om regulering van gegevensverwerking. Het is van groot belang dat privacywaarborgen worden ingebouwd bij het gebruik van data in revolutionaire technologieën zoals blockchain, machine learning, big data en cloud computing.

Schade bij onrechtmatige gegevensverwerking

Individuen kunnen ernstige schade oplopen indien hun privédata op onrechtmatige wijze wordt gebruikt of verwerkt, waaronder materiële schade en immateriële schade zoals vermogensschade en reputatieschade. Men onderscheidt in dat verband ook wel tussen de gebruikswaarde en economische waarde van databezit voor de eigenaar ervan, en de schade ontstaan door openbaarmaking van privacygevoelige informatie, zoals een schending van het portretrecht en het recht om vergeten te worden danwel om niet geprofiled / geprofileerd te worden.

6 Privacybelangen die de EU Privacy Verordening (AVG) tracht te waarborgen

Privacy is een grondwettelijk vrijheidsrecht dat het individu tegen inbreuken van buitenaf dient te beschermen. De AVG tracht een aantal concrete privacybelangen te waarborgen, die als volgt kunnen worden benoemd. Het gaat om het waarborgen van reputatie als in eer en goede naam, consumentenbescherming in hun relatie tot bedrijven, erkenning van de autonomie van het individu, controle over het gebruik van persoonsgegevens en over de juistheid ervan, het voorkomen van schade door identiteitsfraude en tenslotte het voorkomen van vermogensschade door misbruik van data en unlawful bias in algoritmes. De AVG gebruikt hierbij een Privacy by Design benadering.

Dataportabiliteit oftewel het recht op gegevensoverdraagbaarheid

Heeft u vragen over privacywetgeving, internet en de AVG neem dan vrijblijvend contact met ons op. Hoe zit het bijvoorbeeld met dataportabiliteit oftewel het recht van consument en burger op toegankelijke, leesbare overdracht van hun persoonsgegevens? Verschilt dat van het recht op inzake in privé data? Hoe kan ik ervoor zorgen dat persoonsgegevens worden beschermd tijdens de reis die input trainingsdata voor mijn AI aflegt in diens neurale netwerk?

Uitvoeringswet Algemene verordening gegevensbescherming

Ter uitvoering van de AVG in Nederland heeft de overheid de Uitvoeringswet Algemene verordening gegevensbescherming in het leven geroepen. Voluit heet deze wet zo:

Wet van 16 mei 2018, houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming).

AI en Privacy by Design, 7 principes

Het is bij AI, big data en cloud computing algoritmes van belang om privacy waarborgen van meet af aan te embedden in het systeem. Wij noemen dit een Privacy by Design Framework (en het aanverwante Privacy by Default). Het gaat hierbij om het implementeren van PET’s (privacy enhancing technology) in de AI-applicatie dan wel het algoritme. In wezen tracht men hiermee menselijke waarden in te bouwen in een niet-menselijk systeem c.q. een machine.

Het Privacy by Design systeem is bedacht door de Canadese Ann Cavoukian en is gegrondvest op 7 principes. Dit zijn:

1. proactief niet reactief - preventief ipv correctief;

2. privacy als default instelling - geen extra actie door individu vereist;

3. privacy ingebed in IT systeem en workflow bedrijf;

4. volledige functionaliteit - positief-som, niet nul-som – win win situatie zonder onnodige compromissen;

5. end to-end beveiliging - volledige levenscyclus bescherming;

6. zichtbaarheid en transparantie – houd het open;

7. respect voor de privacy van gebruikers - de gebruiker staat centraal.

Data Protection Impact Assessment

Er kleven considerabele privacyaspecten aan het werken met omvangrijke datasets. Sinds de invoering van de nieuwe AVG wetgeving op dit vlak, zijn bedrijven onder omstandigheden verplicht om een Data Processing Impact Assessment te maken. Een aan de Privacy Impact Assessment verwant risico-inschattingsinstrument voor kunstmatige intelligentie is de Artificial Intelligence Impact Assessment.

Ethische en juridische normen

De AIIA is een leidraad voor verantwoorde implementatie van AI-systemen en bevat een stappenplan inclusief checklist met ethische en juridische normen die van belang zijn bij AI-toepassingen zoals deep learning algoritmes, eHealth medical devices en smart robotics.

3 voorwaarden voor de verplichting tot het uitvoeren van een DPIA

De DPIA (Data Protection Impact Assessment, ook bekend als GEB en PIA) is een risico-inschatting bij de verwerking van persoonsgegevens. Een gegevensbeschermingseffectbeoordeling (GEB) is verplicht als de verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dat is volgens artikel 35 lid AVG het geval indien:

(a) een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;

b) grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in

artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare

feiten als bedoeld in artikel 10;

of

(c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

9 verwerkingsmethoden van persoonsgegevens: ook DPIA vereist

Ook als het gaat om een van de volgende 9 verwerkingsmethoden of gegevenstypes in uw data-infrastructuur, dient er een DPIA te worden uitgevoerd: evaluatie en scoretoekenning zoals profiling, geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg, stelselmatige monitoring, gevoelige gegevens of gegevens van zeer persoonlijke aard, op grote schaal verwerkte gegevens, matching of samenvoeging van datasets, gegevens met betrekking tot kwetsbare betrokkenen, innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen, alsook wanneer als gevolg van de verwerking zelf betrokkenen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst.

8 stappen bij het uitvoeren van een PIA

Over richtsnoeren en criteria, methoden en modellen, sectorspecifieke EU kaders.

Men mag zelf een sectorspecifiek DPIA kader opstellen passend bij de branche, zolang dit voldoet aan de richtsnoeren en criteria van de AVG. Zolang dit met andere woorden binnen de Europese kaders uit de Privacy Verordening blijft.

• Stap 1 is altijd de beoordeling van de noodzaak van het doen van een DPIA.

• Stap 2 is het opstellen van een systematische beschrijving van de gegevensverwerking.

• Stap 3 is de beoordeling van de noodzaak en de proportionaliteit / evenredigheid van de verwerkingen.

• Stap 4 is de identificatie van privacy risico’s.

• Stap 5 is de vaststelling en evaluatie van privacy oplossingen, waaronder maatregelen om privacy risico’s op te lossen zoals het reduceren van de impact die risico’s kunnen hebben. Bijvoorbeeld in het kader van een datawarehouse dat al uw bedrijfsdata bevat. In deze fase kan mede worden aangetoond dat de organisatie van de AVG voldoet.

• Stap 6 is het betrekken van de belanghebbenden in het DPIA proces, waaronder de aangestelde functionaris voor gegevensbescherming.

• Stap 7 is het documenteren van de voorgaande stappen, waaronder de uitkomsten van de beoordeling, in een DPIA rapport.

• Stap 8 betreft de follow up, en wel het integreren van de DPIA uitkomsten en bevindingen in de workflow van uw bedrijf danwel in uw lopende projecten. Publicatie van uw PIA / GEB is tenslotte optioneel en niet verplicht.

3 Voorbeelden van GEB

Enkele voorbeelden van GEB-methoden (gegevensbeschermingseffectbeoordeling) die AVG-proof zijn, zijn het Duitse Standard Data Protection Model, het EBGB Model voor slimme netten en slimme metersystemen en het Toetsmodel Privacy Impact Rijksdienst.

5 richtsnoeren voor AVG Compliant gegevensverwerking

De 5 richtsnoeren en uitgangspunten voor gegevensverwerking in lijn met de AVG zijn (zie ook Preadviezen NJV 2016 Homo Digitalis): doelspecificatie (een uitdrukkelijk omschreven en rechtmatig doel voor het verzamelen van gegevens), dataminimalisatie (niet meer data verzamelen dan nodig), grondslag voor de verwerking dient aanwezig te zijn, specifieke grondslag voor bijzondere persoonsgegevens, verenigbaar gebruik (oorspronkelijk doel in het oog houden bij verdere verwerking).

Wettelijke grondslagen verwerking

Gegevensverwerking kan voorts rechtmatig zijn in geval van toestemming van de betrokkene, uitvoering van de overeenkomst, het nakomen van een wettelijke verplichting, op grond van een vitaal belang van de betrokkene, op basis van de juiste vervulling van een publiekrechtelijke taak, en bij het behartigen van een gerechtvaardigd belang.

Praktisch juridisch privacy advies voor onze cliënten

Indien uw organisatie een algoritme gebruikt om datasets die persoonsgegevens bevatten te analyseren, moet u zich aan de verplichtingen uit de AVG houden. Als u bijvoorbeeld gebruik maakt van een gegevenspakhuis. Uw bedrijf dient zich aan het principe van Algoritmische Accountability houden, binnen de context van big data. Onze AI-juristen voorzien u graag van praktisch juridisch privacy advies. Enkele uitgangspunten van gegevensbescherming betreffen een billijke en evenwichtige, rechtmatige en transparante verwerking van data waaronder persoonsgegevens. Daarnaast dienen de gegevens accuraat en juist te zijn. Bovendien hebben natuurlijke personen het recht op uitleg en inzage in de opslag en verwerking van hun privédata en – belangrijk – het recht om zich te verzetten tegen individuele geautomatiseerde besluitvorming, zoals profiling en het recht om vergeten te worden door een zoekmachine.

Vraagt u ons gerust om uw onderneming praktisch toepasbaar inzicht te verschaffen in de vereisten van de Europese Privacywetgeving.

Algorithmic accountability en machine learning

Een uitdaging voor AI-designers is het inbouwen van privacy waarborgende technologieën waardoor de uitkomsten van het machine learning proces onder alle omstandigheden voorspelbaar, controleerbaar en transparant zijn. Een van de eigenschappen van deep learning systemen is nu juist dat een AI zichzelf zodanig kan ontwikkelen dat het voor mensen niet meer valt te voorspellen of uit te leggen (explainability) wat er nu precies is gebeurd of gaat gebeuren. Treffende, tamelijk onschuldige voorbeelden zijn de Google Translate AI en de Facebook AI die zichzelf herprogrammeerden en een compleet nieuwe taal aanleerde waarmee zij efficiënter ‘hun ding konden doen’.

Algoritmische bias

U heeft evenwel een (morele en wettelijke) verantwoordingsplicht ten aanzien van het ontwikkelingsproces van algoritmen. De trainingsdatasets die u de AI voert dienen representatief te zijn en bias (en funelling) in de zin van onrechtmatige vooroordelen zoals discriminatie van bevolkingsgroepen (ras, geslacht, uiterlijk, seksuele voorkeur etc.) dient te worden voorkomen. Ook dienen er op gezette tijden gedurende de ontwikkelingsfase van het algoritme reviews, screenings en audits plaats te vinden. Tenslotte moet u als AI-ontwikkelaar weten hoe u bovengenoemde stappen dient te documenteren om te kunnen voldoen aan de Data Protection Impact Assessment vereisten uit de AVG.

Doel is dat u AVG-proof bent en blijft!