Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Verwijs naar de verantwoordingsplicht onder artikel 5 AVG #71

Merged
merged 42 commits into from
Jul 4, 2024
Merged

Verwijs naar de verantwoordingsplicht onder artikel 5 AVG #71

Changes from 33 commits
Commits
Show all changes
42 commits
Select commit Hold shift + click to select a range
2cfb371
Create Verantwoordingsplicht.md
floort Mar 25, 2024
84c9d1f
Merge branch 'main' into patch-2
floort Apr 4, 2024
897c20c
Merge branch 'MinBZK:main' into patch-2
floort Apr 11, 2024
bf157ea
Kopieer inhoud over verantwoordingsplicht naar verantwoordingsplicht…
floort Apr 11, 2024
68685ba
Delete docs/normen/privacy en gegevensbescherming/Verantwoordingsplic…
floort Apr 11, 2024
8ffe96a
Merge branch 'main' into patch-2
floort Apr 11, 2024
7488d53
Merge branch 'main' into patch-2
floort Apr 17, 2024
b673fbe
Merge branch 'main' into patch-2
floort Apr 23, 2024
49e4b9b
Merge branch 'main' into patch-2
floort May 21, 2024
92aafb1
Merge branch 'main' into patch-2
floort May 22, 2024
35176da
Merge branch 'main' into patch-2
floort May 22, 2024
9aa8e33
Merge branch 'main' into patch-2
floort May 28, 2024
9d29acb
Merge branch 'main' into patch-2
floort Jun 5, 2024
c6109bb
Merge branch 'main' into patch-2
floort Jun 26, 2024
c8707f0
fix typo
ruthkoole Jun 26, 2024
1766b50
remove metadata, this has been outdated ;)
ruthkoole Jun 26, 2024
831ef65
Duidelijkere risco's uitgewerkt
floort Jun 26, 2024
d7f9581
Merge branch 'release' into patch-2
ruthkoole Jun 26, 2024
7ddf533
Merge branch 'release' into patch-2
floort Jul 2, 2024
5a8d2c6
Merge branch 'release' into patch-2
floort Jul 2, 2024
7654f68
Merge branch 'release' into patch-2
floort Jul 2, 2024
aa74459
Merge branch 'release' into patch-2
floort Jul 3, 2024
164c69e
Merge branch 'release' into patch-2
floort Jul 3, 2024
3128533
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 3, 2024
80e4937
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 3, 2024
0c4e773
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 3, 2024
08572c8
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 3, 2024
b1dc19e
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 3, 2024
f9247c6
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 3, 2024
6cf4e20
Merge branch 'release' into patch-2
floort Jul 3, 2024
a5a0222
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 3, 2024
b36f6a9
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 3, 2024
05201c7
Update verantwoordingsplicht_rechtmatigheid.md
floort Jul 3, 2024
b0f9ce5
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 4, 2024
cd3f9ef
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 4, 2024
ca83fbd
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 4, 2024
c196081
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 4, 2024
69d8288
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 4, 2024
1dcbc5a
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 4, 2024
d2e052a
Update docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
floort Jul 4, 2024
ed443bf
Merge branch 'release' into patch-2
floort Jul 4, 2024
1f951a4
Update verantwoordingsplicht_rechtmatigheid.md
floort Jul 4, 2024
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
66 changes: 66 additions & 0 deletions docs/vereisten/verantwoordingsplicht_rechtmatigheid.md
View file
Open in desktop
Original file line number Diff line number Diff line change
@@ -0,0 +1,66 @@
---
title: Verantwoordingsplicht voor de rechtmatigheid van de verwerking
toelichting: Bij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.
status_vereiste:
- Geldend
levenscyclus:
- ontwerp
- dataverkenning-en-datapreparatie
- ontwikkelen
floort marked this conversation as resolved.
Show resolved Hide resolved
- verificatie-en-validatie
- monitoring-en-beheer
- archiveren
floort marked this conversation as resolved.
Show resolved Hide resolved
bouwblok:
- governance
- privacy-en-gegevensbescherming
---

<!-- tags -->
## Vereiste

De verantwoordelijken moeten bij de verwerking van persoonsgegevens door algoritmes en AI-systemen kunnen aantonen dat de verwerkingen rechtmatig plaatsvinden.
- Dit betekent concreet dat de volgende punten aangetoond kunnen worden:
floort marked this conversation as resolved.
Show resolved Hide resolved
- Rechtmatigheid, behoorlijkheid en transparantie.
Copy link
Collaborator

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

In de komende release worden een aantal vereisten uit de AVG uitgewerkt die hierbij aansluiten. Ik zal deze PR accepteren, maar voorzie wat overlap. Samen even kritisch naar kijken.

Copy link
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Artikel 5 is bedoeld om te overlappen met andere vereisten uit de AVG en andere relevante wetgeving. Artikel 5 bepaald in het kort dat je niet alleen moet voldoen aan andere regels maar moet kunnen aantonen dat je eraan voldoet. Uitleg over de verantwoordingsplicht is wat abstract zonder uitleg waarover verantwoording moet worden uitgelegd. Ik had al geprobeerd om dat redelijk minimaal te houden.

floort marked this conversation as resolved.
Show resolved Hide resolved
- Doelbinding.
- Minimale gegevensverwerking.
- Juistheid.
- Opslagbeperking.
- Integriteit en vertrouwelijkheid
floort marked this conversation as resolved.
Show resolved Hide resolved
Een aandachtpunt daarbij is dat de rechtmatigheid van de verwerking ten opzichte van andere gerelateerde wetgeving zoals de AI Act en de Algemene wet gelijke behandeling ook moeten kunnen worden aangetoond voor zover de rechtmatigheid van de verwerking onder de AVG daarvan afhankelijk is.

## Toelichting

Bij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn.
De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht.
Copy link
Collaborator

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Suggested change
De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht.
de verwerkingsverantwoordelijke moet ervoor zorgen dat deze verantwoordelijkheden worden nageleefd en dit aantoonbaar is (aantoonbaarheidsvereiste). Dit staat bekend als de verantwoordingsplicht.

Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.

## Bronnen

| Bron |
|-------------|
|Artikel 5 AVG|
floort marked this conversation as resolved.
Show resolved Hide resolved
| [Verantwoordingsplicht](https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/verantwoordingsplicht)]
floort marked this conversation as resolved.
Show resolved Hide resolved

## Wanneer van toepassing?
Deze vereiste is van toepassing op alle algoritmen die persoonsgegevens verwerken.


## Risico
floort marked this conversation as resolved.
Show resolved Hide resolved

Het aantoonbaarheidsvereiste heeft niet direct gevolgen voor specifieke risico's voor betrokkenen. Het niet naleven van deze norm moet worden gekwalificeerd als een onrechtmatigheid, niet als een risico voor de rechten en vrijheden van betrokkenen onder de AVG. Het moeten voldoen aan het aantoonbaarheidsvereiste kan wel risico's hebben voor de organisatie die een algortime inzet. Enkele risico's zijn:
Copy link
Collaborator

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

"Aantoonbaarheidsvereiste" komt even uit de lucht vallen. Ik kan hem volgen, maar lijkt me goed om expliciet te maken wat we hiermee bedoelen in de toelichting. Bv. de verwerkingsverantwoordelijke moet ervoor zorgen dat deze verantwoordelijkheden worden nageleefd en dit aantoonbaar is (aantoonbaarheidsvereiste). Dit staat bekend als de verantwoordingsplicht.

Copy link
Contributor Author

@floort floort Jul 4, 2024
edited
Loading

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Ik zou zeggen:

Het niet naleven van deze norm moet worden gekwalificeerd als een onrechtmatigheid, niet als een risico voor de rechten en vrijheden van betrokkenen onder de AVG. Maar het niet voldoen aan artikel 5 betekent in de praktijk vaak wel dat er onvoldoende zicht is op risico's voor de rechten en vrijheden van betrokkenen of dat er te grote risico's worden genomen. Deze gevolgen zijn echter indirect een gevolg van het niet naleven van artikel 5 AVG. Het moeten voldoen aan het aantoonbaarheidsvereiste kan wel risico's hebben voor de organisatie die een algortime inzet. Enkele risico's zijn:

1f951a4

Copy link
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Wat ik lastig vind is om de verantwoordelijkheden van de verwerkingsverantwoordelijke zo te benoemen. Dat staat namelijk in artikel 24 en later. Artikel 5 gaat specifiek over het moeten kunnen aantonen van de rechtmatigheid (en andere aanverwante aspecten). Het is een omdraaing van de bewijslast ten opzichte van de Wbp hiervoor. Voldoen aan de wet is niet voldoende, je moet kunnen aantonen dat je aan de wet voldoet. Het was al zo dat de verwerkingsverantwoordelijke moet zorgen dat de wet wordt nageleeft, maar met artikel 5 moet dat ook aantoonbaar gebeuren. Als je alleen artikel 24 specifiek benoemd, maar bijvoorbeeld dataminimalisatie (art. 5(1)(c) en 25) niet suggereert dat misschien dat de ene wel moet en de andere niet.

Copy link
Collaborator

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Suggested change
Het aantoonbaarheidsvereiste heeft niet direct gevolgen voor specifieke risico's voor betrokkenen. Het niet naleven van deze norm moet worden gekwalificeerd als een onrechtmatigheid, niet als een risico voor de rechten en vrijheden van betrokkenen onder de AVG. Het moeten voldoen aan het aantoonbaarheidsvereiste kan wel risico's hebben voor de organisatie die een algortime inzet. Enkele risico's zijn:
Het aantoonbaarheidsvereiste heeft niet direct gevolgen voor specifieke risico's voor betrokkenen. Het niet naleven van deze vereiste moet worden gekwalificeerd als een onrechtmatigheid, niet als een risico voor de rechten en vrijheden van betrokkenen onder de AVG. Het moeten voldoen aan het aantoonbaarheidsvereiste kan wel risico's hebben voor de organisatie die een algortime inzet. Enkele risico's zijn:

- Aantoonbaarheidsvereisten vragen in de praktijk veel documentatie. Deze documentatie kan via de Woo opgevraagd worden. Het ontbreken van documentatie kan door externen vaak relatief makkelijk in verband worden gebracht met een overtreding van deze vereisten.
- Algoritmen die van nature slecht inzichtelijk en uitlegbaar zijn (zoals deep-learning) hebben een zeer hoge drempel om aan deze vereiste te voldoen. Aantonen van rechtmatigheid is voor een belangrijk deel afhankelijk van inzicht in de werking van het algoritme. De inzet van een algortime kan dus mogelijk tegengehouden worden door deze vereisten.
Copy link
Collaborator

@BartdeVisser BartdeVisser Jul 3, 2024
edited
Loading

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Suggested change
- Algoritmen die van nature slecht inzichtelijk en uitlegbaar zijn (zoals deep-learning) hebben een zeer hoge drempel om aan deze vereiste te voldoen. Aantonen van rechtmatigheid is voor een belangrijk deel afhankelijk van inzicht in de werking van het algoritme. De inzet van een algortime kan dus mogelijk tegengehouden worden door deze vereisten.
- Voor algoritmes en AI-systemen die van nature beperkt inzichtelijk en uitlegbaar zijn (zoals deep-learning) zullen meer maatregelen moeten worden getroffen om aan deze vereiste te voldoen. Aantonen van rechtmatigheid is voor een belangrijk deel afhankelijk van inzicht in de werking van het algoritme of AI-systeem en de verwerking van de persoonsgegevens (bv. ten behoeve van inputvariabelen). Als de verwerkingsverantwoordelijke deze rechtmatigheid niet kan aantonen, is er sprake van een onrechtmatige verwerking van persoonsgegevens.

Copy link
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Ik heb moeite met de "(indien mogelijk)". Artikel 5 bevat geen uitzondering op de verantwoordingsplicht voor verwerkingen die zijn ontworpen op een manier die beperkt uitlegbaar zijn. Deze suggestie zou een afzwakking van artikel 5 zijn zonder onderbouwing in de wet.

De opmerking "De verwerkingsverantwoordelijke moet vaststellen of hieraan wordt voldaan." klopt, maar schiet ook net tekort op een manier die precies het punt van artikel 5 mist. Het is niet voldoende om vast te stellen of je de rechtmatigheid kan aantonen. Wat als het antwoord "nee" is? Het punt van artikel 5 is juist dat je moet kunnen aantonen dat de verwerking rechtmatig is.

Copy link
Collaborator

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Eens met deze punten. Ik ga het verwerken.

Copy link
Contributor Author

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Bedankt. Met alle inspanningen rondom een meningsverschil ben ik toch nog heel nieuwsgierig wat het was zodat het proces een volgende keer misschien makkelijk kan. Waren we het eens over wat artikel 5 zegt, maar zochten jullie naar een manier om de lastige conclusie wat af te houden? Was de inhoud van artikel 5 onduidelijk en had ik beter mijn best kunnen doen om dat uit te leggen?

Vanuit mijn perspectief: als ik had geweten waarom we van mening verschillen had ik meer gericht verbeteringen kunnen doorvoeren of kunnen concluderen dat ik het niet eens ben met dat doel en de keuze over wat wel en niet overgenomen wordt met alle begrip bij julie later liggen. Ik heb zelf liever een helder meningsverschil zodat ik de PR relatief vlot kan loslaten als dat nodig is dan een langdurig heen en weer zonder inhoudelijke argumentatie.

Copy link
Collaborator

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Top, ik denk dat we er inhoudelijk wel zijn. Benieuwd of er feedback vanuit de omgeving komt.

Dat is echt iets wat aan ons ligt. Het raakt zaken als interne werkafspraken en ook de oprechte ambitie om je input voor te leggen aan de werkgroep (waar het spaak is gelopen). Ik hoop dat we vanuit andere PR's inmiddels hebben laten zien dat we er inmiddels beter mee omgaat, maar deze verdient de schoonheidsprijs (vanuit ons) absoluut niet.

- Bij leveranciers die niet of gedeeltelijke transparant zijn over hun product of dienstverlening ontstaat een vergelijkbaar risico. Waar de Woo uitzonderingen heeft voor bedrijfsgeheimen heeft de AVG daar maar beperkte ruimte voor. Het is dus mogelijk dat leveranciers terughoudend zullen zijn met het delen van informatie die onder de AVG ook aan betrokkenen gecommuniceerd moeten worden.
- Samenwerkingsverbanden en externe leveranciers kunnen niet als argumenten worden gebruikt om de aantoonbaarheidsvereisten op af te schuiven. Onafhankelijk van de onderlinge afspraken daarover hebben alle verwerkingsverantwoordelijken de verplichting om aan deze vereisten te kunnen voldoen.


floort marked this conversation as resolved.
Show resolved Hide resolved

## Maatregelen

- Uitgangspunt is dat de rechtmatigheid van de verwerking van persoonsgegevensmoet kunnen worden aangetoond. Dit betekent concreet dat de volgende punten aangetoond kunnen worden:
- Rechtmatigheid, behoorlijkheid en transparantie.
- Doelbinding.
- Minimale gegevensverwerking.
- Juistheid.
- Opslagbeperking.
- Integriteit en vertrouwelijkheid
floort marked this conversation as resolved.
Show resolved Hide resolved