DPIA niet alleen verplicht bij hoog risico systeem onder AI act #135
Conversation
Co-authored-by: Ruth Koole <71120805+ruthkoole@users.noreply.github.com>
Signed-off-by: dependabot[bot] <support@github.com> Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>
Co-authored-by: Ruth Koole <71120805+ruthkoole@users.noreply.github.com>
Co-authored-by: BartdeVisser <155545133+BartdeVisser@users.noreply.github.com>
Co-authored-by: Ruth Koole <71120805+ruthkoole@users.noreply.github.com>
Co-authored-by: Ruth Koole <71120805+ruthkoole@users.noreply.github.com>
Signed-off-by: dependabot[bot] <support@github.com> Co-authored-by: Floor Terra <floort@gmail.com> Co-authored-by: Jasper van der Heide <19666278+jaspervanderheide@users.noreply.github.com> Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com>
Co-authored-by: Jasper van der Heide <19666278+jaspervanderheide@users.noreply.github.com>
Signed-off-by: dependabot[bot] <support@github.com> Co-authored-by: Jasper van der Heide <19666278+jaspervanderheide@users.noreply.github.com> Co-authored-by: BartdeVisser <155545133+BartdeVisser@users.noreply.github.com> Co-authored-by: dependabot[bot] <49699333+dependabot[bot]@users.noreply.github.com> Co-authored-by: Nout <168716911+noutvandeijck@users.noreply.github.com>
…#113) Co-authored-by: Nout <168716911+noutvandeijck@users.noreply.github.com>
|
Excuus voor het sluiten van de pull-request! Er ging even iets fout met rebasen van de release branch. Zo zijn je suggesties wel weer wat overzichtelijker! We gaan er inhoudelijk mee aan de slag! |
|
Ik ben niet zo bekend met projecten die langdurig bestaande branches onderhouden in plaats van een branch per issue die al dan niet gemerged wordt. Ik weet dus niet zo goed wat de etiquette is voor het onderhouden van deze PR op de release branch. Ik zie dat de rebase een merge conflict heeft veroorzaakt. Wordt ik geacht de PR te onderhouden en het merge conflict op te lossen? Ik zie nu namelijk een een flinke lijst commits onder deze PR staan die zijn doorgevoer voordat de PR is ingediend en het gaat me wat tijd kosten om te reconstrueren wat de intentie van al die commits is geweest. |
| @@ -37,6 +37,19 @@ Een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assess | |||
| Deze beoordeling identificeert en beperkt potentiële risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. | |||
| Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd. | |||
|
|
|||
| Deze beoordeling van een hoog risico is niet noodzakelijk dezelfde beoordeling als voor een hoog-risico AI-systeem. Volgens [Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens](https://wetten.overheid.nl/BWBR0042812/2019-11-27) moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog risico als er sprake is van één van de volgende voorwaarden: | |||
There was a problem hiding this comment.
Hallo Floor
We begrijpen sommige zinnen niet helemaal. Bedoel je hier expliciet te maken dat een hoog risico systeem onder de AI Act niet altijd een hoog risico systeem onder de AVG is? En dat een systeem dat geen hoog risico is onder de AI Act toch een hoog risico systeem kan zijn volgens de besluitlijst van de AP?
There was a problem hiding this comment.
Ik bedoel dat de DPIA verplichting niet gebaseerd is op hoog-risico criteria uit de AI-act, maar op de waarschijnlijk hoog risico inschatting onder de AVG en de daarbij genoemde lijst van voorwaarden waarbij je er vanuit moet gaan dat er waarschijnlijk een hoog risico is. Het advies noemt die lijst uit het besluit niet terwijl die in een Algoritmekader-context erg vaak zullen matchen met punt 1, 2, 5, 6, 8 en/of 9. Op basis van het advies zoals het nu is verwacht ik dat veel organisaties onterecht niet een waarschijnlijk hoog risico zien.
Ik denk dat je veel eerder te maken hebt met een waarschijnlijk hoog risico als trigger om een DPIA te doen onder de AVG dan dat je een hoog risico systeem hebt onder de AI-act.
There was a problem hiding this comment.
Mee eens.
Misschien kunnen we de eerste zin op een andere manier formulieren zodat het duidelijker wordt. Bvb 'Let op: de DPIA verplichting is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens.......'
ipv 'Deze beoordeling van een hoog risico is niet noodzakelijk dezelfde beoordeling als voor een hoog-risico AI-systeem.'
Beschrijf jouw aanpassingen
Bij welk issue hoort deze pull-request?
Checklist before requesting a review
releasealvorens te mergen naar demainbranch).