Verbeteringen in privacy-en-gegevensbescherming

[MauriceHendriks]

Beschrijf jouw aanpassingen

• Duidelijker maken dat er een concrete grondslag nodig is voor het gebruik van persoonsgegevens.
• Daarnaast dat toestemming die grondslag niet kan vervangen. Dat alleen in sommige gevallen bovenop de grondslag nog toestemming vereist is.

Bij welk issue hoort deze pull-request?

N.v.t.

Checklist before requesting a review

• Ik heb de contributing guidelines van deze repository gelezen en gevolgd.
• Ik heb mijn aanpassingen gecheckt op spelfouten.
• Als ik gebruik heb gemaakt van links, dan heb ik gecheckt of deze werken.
• Ik heb gebruik gemaakt van de templates en formats van het algoritmekader.

[MauriceHendriks]

Voordat het e.e.a. gemerged wordt laat ik mijn verbeteringen ook graag nog even reviewen door mijn CDO Tim de Groot.

[MauriceHendriks]

Gebruik alleen persoonsgegevens voor je algoritme als daar een grondslag (wettelijk, algemeen belang, toestemming) voor is.

[floort]

Een grondslag is niet voldoende. Je kan bijvoorbeeld toestemming van betrokkenen hebben, maar als het niet noodzakelijk is voor het doel van de verwerking is het nog steeds onrechtmatig. De orginele formulering klopt daarom beter. Hoewel ook daar problemen inzitten. Wie of wat is de eigenaar van persoonsgegevens en hoezo kan toestemming van de eigenaar een alternatief zijn voor een rechtmatige verwerking?

[MauriceHendriks]

We hebben hier intern met privacy juristen naar gekeken en precies die discussie rond toestemming gehad. Juist omdat we moeite hadden met de verwoording in de oorspronkelijke tekst waarin ook toestemming gelijkwaardig wordt gezien aan de wetmatigheid.

Wat vind je van deze suggestie:

Gebruik alleen persoonsgegevens voor je algoritme als daar een grondslag (wettelijk en algemeen belang) voor is. In sommige gevallen is ook expliciet toestemming van de eigenaar nodig.

[floort]

Er zijn 6 mogelijke grondslagen (art. 6(1)(a) t/m (f)). Ik zou die niet kunstmatig beperken door maar een subset te noemen.

Gebruik alleen persoonsgegevens als de verwerking voor dat specifieke doel rechtmatig is. Dat betekent o.a. dat er een passende grondslag moet zijn voor de verwerking, zoals een specifieke wettelijke taak of aantoonbaar geïnformeerde toestemming van de betrokkenen. Maar een gronslag alleen is niet voldoende voor rechtmatigheid. Een verwerking moet om rechtmatig te zijn ook aan andere voorwaarden voldoen zoals degenen die genoemd zijn in de andere vereisten.

[MauriceHendriks]

Ik kom hier nog op terug.

[floort]

Dat is een invalshoek waar ik totaal niet aan gedacht had. Dat verklaart een flink deel van onze discussie.
Ik kan alleen niet vinden waaruit een dergeleijke scope-beperking blijkt. Ik lees "Het doel van het Algoritmekader is om overheden op een praktische wijze te ondersteunen, zodat zij op een wettige en ethisch verantwoorde wijze algoritmes en AI-systemen gebruiken." in de README.md en ben nog geen mededelingen tegengekomen die de scope beperken. Sterker nog: ik dacht dat ook niet op personen gerichte algoritmes (waar AVG niet van toepassing hoeft te zijn) binnen scope kunnen zijn.

Kan je mij wijzen op de tekst die bij jullie de verwachting heeft geschept dat het algoritmeregister die veel beperktere scope heeft?

[MauriceHendriks]

Kan je mij wijzen op de tekst die bij jullie de verwachting heeft geschept dat het algoritmeregister die veel beperktere scope heeft?

Nee, dat kan ik niet. Dat was een indruk die bij collega's leefde waarvan ik ook niet wist dat dat zo was. Dit kan simpelweg weggenomen worden door de scope te expliciteren.

[floort]

Helder. Als we in alle redelijkheid een behoorlijk ander beeld van de scope kunnen hebben lijkt het me een goed idee als dat duidelijker wordt opgeschreven.

[MauriceHendriks]

Ik kan de aanname wel indenken. De oorsprong van het Algoritmekader lag natuurlijk in het maatschappelijke discours rond bijv. SyRI. Algoritmes die een sterke relatie hebben tot gerichte dienstverlening aan burgers. In het maatschappelijk discours is het naar mijn weten niet tot nauwelijks gegaan over algoritmes die de overheidsfinanciën wel of niet correct analyseren, of algoritmes die kwetsbaarheid van bruggen en sluizen correct classificeren. Ik noem maar wat (fictieve) voorbeelden.

[floort]

Ik kreeg in het verleden best wat weerstand als ik betoogde algoritmes die niet onder de AVG vallen in de publieke discussies zeldzaam tot zuiver theoretisch zijn. Ik begrijp de gedachte daarom goed. Het is een goed idee om deze bias in het maatschappelijke debat te corrigeren door expliciet de scope te formuleren.