From ad20b8c9b00c8170deb0e1b53ae50bfc23294eb9 Mon Sep 17 00:00:00 2001 From: BdV <155545133+BartdeVisser@users.noreply.github.com> Date: Tue, 17 Dec 2024 16:28:01 +0100 Subject: [PATCH] Release v2.0/controleren vereisten 7 (#496) Co-authored-by: Nout van Deijck <168716911+noutvandeijck@users.noreply.github.com> --- ...nsparantie-bij-verwerken-persoonsgegevens.md | 4 ++-- ...telijke-verwerking-van-gevoelige-gegevens.md | 6 ++++-- ...vacyrecht-bij-verwerking-persoonsgegevens.md | 7 ++++--- ...t-op-niet-geautomatiseerde-besluitvorming.md | 17 ++++++++++++----- ...twerp-bij-verwerking-van-persoonsgegevens.md | 17 +++++------------ .../avg-12-beveiliging-van-verwerking.md | 8 ++------ .../vereisten/avg-13-dpia-verplicht.md | 11 +++++------ 7 files changed, 34 insertions(+), 36 deletions(-) diff --git a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens.md b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens.md index a9b4954e4b..84dc7719b9 100644 --- a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens.md +++ b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens.md @@ -23,8 +23,10 @@ De verwerking van persoonsgegevens moet transparant zijn. ## Toelichting Een betrokkene moet op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt van diens persoonsgegevens en van de doeleinden daarvan (zoals ook is verwoord in het beginsel van transparante verwerking, artikel 5 AVG). + Hierbij moeten de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt, worden meegenomen. In artikel 13 en 14 AVG wordt toegelicht welke informatie in welke gevallen moet worden verstrekt door de verwerkersverantwoordelijke. + Als persoonsgegevens worden verwerkt ten behoeve van het ontwikkelen of gebruiken van algoritmes, zal deze informatie moeten worden verstrekt. ## Bronnen @@ -38,12 +40,10 @@ Als persoonsgegevens worden verwerkt ten behoeve van het ontwikkelen of gebruike ## Wanneer van toepassing? - ## Risico Rechten van betrokken worden geschonden als er geen sprake is van transparantie over de verwerkingen van de persoonsgegevens. - ## Maatregelen { data-search-exclude } diff --git a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens.md b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens.md index 81b99e216a..aaab363947 100644 --- a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens.md +++ b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens.md @@ -1,5 +1,5 @@ --- -title: Gevoelige persoonsgegevens worden alleen gebruikt als hiervoor een wettelijke uitzondering geldt +title: Gevoelige persoonsgegevens worden alleen gebruikt als hiervoor een wettelijke uitzondering geldt. id: urn:nl:ak:ver:avg-08 toelichting: Bijzondere categorieën van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering. levenscyclus: @@ -24,12 +24,14 @@ Bijzondere categorieën van persoonsgegevens mogen alleen worden verwerkt op bas ## Toelichting Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming. + Dit komt doordat de context van de verwerking ervan significante risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden. -Denk hierbij aan persoonsgegevens als ras, ethnische afkomst, politieke opvattingen of religieuze of levenschouwelijke overtuigingen. +Denk hierbij aan persoonsgegevens als ras, ethnische afkomst, politieke opvattingen of religieuze of levenschouwelijke overtuigingen. Bijzondere categorieën persoonsgegevens mogen alleen worden verwerkt als er hier een wettelijke uitzondering voor is ([artikel 9 AVG](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679#d1e2043-1-1) en [artikel 30 UAVG](https://wetten.overheid.nl/jci1.3:c:BWBR0040940&hoofdstuk=3¶graaf=3.1&artikel=30&z=2021-07-01&g=2021-07-01)). + Deze vereiste is ook van toepassing bij het ontwikkelen en gebruiken van algoritmes en stelt daarmee beperkingen aan het mogen verwerken van deze categorieën persoonsgegevens, bv. ten behoeve van trainingsdata of het genereren van de beoogde output. ## Bronnen diff --git a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens.md b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens.md index 99df55fc98..7251b2b1e2 100644 --- a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens.md +++ b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens.md @@ -1,7 +1,7 @@ --- -title: Betrokkenen kunnen een beroep doen op hun privacyrechten +title: Betrokkenen kunnen een beroep doen op hun privacyrechten. id: urn:nl:ak:ver:avg-09 -toelichting: Betrokkenen kunnen een beroep doen op hun privacyrechten. +toelichting: Het kunnen uitoefenen van privacyrechten is essentieel voor het beschermen van de privacy van individuen, het waarborgen van transparantie en controle uitvoeren over persoonsgegevens. levenscyclus: - organisatieverantwoordelijkheden - ontwikkelen @@ -22,9 +22,11 @@ Betrokkenen kunnen een beroep doen op hun privacyrechten. ## Toelichting Mensen hebben het recht om hun privacyrechten uit te oefenen door een beroep te doen op verschillende wettelijke bepalingen, zoals het recht op inzage, correctie, verwijdering en bezwaar tegen de verwerking van hun persoonsgegevens. + Dit betekent dat individuen controle hebben over hoe hun gegevens worden gebruikt en kunnen verzoeken om toegang te krijgen tot hun gegevens of om wijzigingen aan te brengen indien nodig. Het kunnen uitoefenen van privacyrechten is essentieel voor het beschermen van de privacy van individuen, het waarborgen van transparantie en controle uitvoeren over persoonsgegevens. + Als persoonsgegevens worden verwerkt voor het ontwikkelen en gebruiken van algoritmes, is het van belang dat maatregelen worden getroffen om deze rechten te eerbiedigen. ## Bronnen @@ -34,7 +36,6 @@ Als persoonsgegevens worden verwerkt voor het ontwikkelen en gebruiken van algor ## Wanneer van toepassing? - ## Risico Betrokkenen hebben geen controle over hun persoonsgegevens wanneer ze geen beroep kunnen doen op hun privacyrechten. diff --git a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming.md b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming.md index 031aa4feef..307b746302 100644 --- a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming.md +++ b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming.md @@ -1,5 +1,5 @@ --- -title: Besluiten die levens kunnen beïnvloeden, zijn niet volledig geautomatiseerd +title: Besluiten die levens kunnen beïnvloeden, zijn niet volledig geautomatiseerd. id: urn:nl:ak:ver:avg-10 toelichting: Betrokkenen hebben het recht om niet onderworpen te worden aan een enkel op geautomatiseerde verwerking, waaronder proflering, gebaseerd besluit, wanneer dit rechtsgevolgen heeft voor hen of het hen anderszins in aanzienlijke mate treft. status_vereiste: @@ -25,7 +25,9 @@ Betrokkenen hebben het recht om niet onderworpen te worden aan een enkel op geau ## Toelichting Overheidsorganisaties zijn vaak belast met de uitvoering van wettelijke taken waarbij zij 'besluiten' moeten nemen, bijvoorbeeld als een burger vraagt om een uitkering, toeslag of een subsidie. + Hiervoor moeten gegevens worden verwerkt om te kunnen bepalen of een burger hier ook recht op heeft. Om deze gegevens snel en accuraat te verwerken, zetten overheidsorganisaties vaak algoritmes in. Deze gegevens worden dan vaak 'geautomatiseerd' door deze algoritmes verwerkt, zonder dat een ambtenaar dit werk controleert. + Soms wordt het proces voor het nemen van een **besluit** volledig geautomatiseerd ingericht. Denk hierbij aan het opleggen van een boete voor een snelheidsovertreding. Hierdoor kan in korte tijd en op een efficiënte wijze, een grote hoeveelheid besluiten worden genomen. Het geautomatiseerd verwerken van gegevens voor de totstandkoming van een besluit brengt risico's met zich mee. Zeker als hierbij persoonsgegevens van individuen worden verwerkt en er sprake is van profilering. Hierdoor ontstaat bijvoorbeeld het risico op discriminatie. Daarom is in art. 22 AVG het recht voor betrokkenen gecreëerd om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit. @@ -36,7 +38,9 @@ Bij het geautomatiseerd uitvoeren van processen dient altijd te worden voldaan a ### Algemene eisen aan geautomatiseerde besluitvorming door overheden -De Nederlandse wetgever heeft in artikel 40 lid 1 UAVG gebruik gemaakt van de mogelijkheid een uitzondering te maken op het verbod van art. 22 lid 1 AVG. In Nederland is geautomatiseerde besluitvorming toegestaan, als het gaat om besluitvorming waarbij menselijke tussenkomst geen toegevoegde waarde heeft. Dit is het geval als er sprake is van een gebonden karakter waarbij weinig of geen beoordelingsruimte is waarin tot een andere conclusie kan worden gekomen. Hierbij kan worden gedacht aan het toekennen van kinderbijslag of de hoogte van het recht op studiefinanciering. Deze uitzondering geldt niet voor 'profilering', tenzij er specifieke (sectorale) wetgeving het verbod opheft. +De Nederlandse wetgever heeft in artikel 40 lid 1 UAVG gebruik gemaakt van de mogelijkheid een uitzondering te maken op het verbod van art. 22 lid 1 AVG. In Nederland is geautomatiseerde besluitvorming toegestaan, als het gaat om besluitvorming waarbij menselijke tussenkomst geen toegevoegde waarde heeft. + +Dit is het geval als er sprake is van een gebonden karakter waarbij weinig of geen beoordelingsruimte is waarin tot een andere conclusie kan worden gekomen. Hierbij kan worden gedacht aan het toekennen van kinderbijslag of de hoogte van het recht op studiefinanciering. Deze uitzondering geldt niet voor 'profilering', tenzij er specifieke (sectorale) wetgeving het verbod opheft. Om deze uitzondering toe te kunnen passen, moet er op grond van artikel 22 AVG een 'passende maatregel' in de vorm van wetgeving zijn die personen voldoende bescherming biedt. In Nederland moet de Algemene wet bestuursrecht deze bescherming aan burgers bieden als bestuursorganen besluiten nemen. De Awb bevat vereisten en algemene beginselen waaraan besluitvorming moet voldoen. @@ -48,7 +52,9 @@ Bij het toepassen van geautomatiseerde besluitvorming, moet aan de hand van een Profilering is bijzonder gevoelig. Bij profilering gaat het om elke vorm van een geautomatiseerde verwerking van persoonsgegevens, waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd. Daarbij gaat het voornamelijk om het analyseren of verspellen van zaken als beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of een verplaatsingen. -Volgens deze definitie gaat het om een verwerking door een computersysteem waarbij het systeem algemene aanname(s) toegepast in een concreet geval. Dit doet het door een individu, met gebruikmaking van diens persoonsgegevens, in te delen in een categorie(profiel). Een dergelijk categorie(profiel) wordt vaak in verband gebracht met bepaalde risico's, bijvoorbeeld het risico op het misbruiken van bepaalde publieke voorzieningen. De gevoeligheid is dat nog niet is vastgesteld dat, in dit voorbeeld, de betreffende natuurlijke persoon ook daadwerkelijk misbruik heeft gemaakt van bepaalde voorzieningen. Als daar wel automatisch gevolgen aan worden verbonden, ontstaat het risico op een onrechtmatige behandeling van een natuurlijk persoon. +Volgens deze definitie gaat het om een verwerking door een computersysteem waarbij het systeem algemene aanname(s) toegepast in een concreet geval. Dit doet het door een individu, met gebruikmaking van diens persoonsgegevens, in te delen in een categorie(profiel). Een dergelijk categorie(profiel) wordt vaak in verband gebracht met bepaalde risico's, bijvoorbeeld het risico op het misbruiken van bepaalde publieke voorzieningen. + +De gevoeligheid is dat nog niet is vastgesteld dat, in dit voorbeeld, de betreffende natuurlijke persoon ook daadwerkelijk misbruik heeft gemaakt van bepaalde voorzieningen. Als daar wel automatisch gevolgen aan worden verbonden, ontstaat het risico op een onrechtmatige behandeling van een natuurlijk persoon. #### Besluit @@ -60,7 +66,9 @@ Het begrip 'rechtsgevolg' duidt op wijziging in de rechtspositie van betrokkene. #### Aanmerkelijke mate treffen -De Europese wetgever heeft weinig richting gegeven aan hoe dit begrip moet worden geïnterpreteerd. Er zijn wel aanknopingspunten om te duiden wanneer hier sprake van is. De EDPB spreekt van ernstige, aanzienlijke effecten, groot of belangrijk genoeg zijn om aandacht te verdienen. Dat is in ieder geval zo als het besluit het potentieel heeft om de omstandigheden, het gedrag of de keuze van de betrokken personen in aanmerkelijke mate te treffen; een langdurig of blijvend effect op de betrokkene te hebben; of in het uiterste geval, tot uitsluiting of discriminatie te leiden. Dit vraagt per geval om een analyse welke 'keuzes' van het systeem welke gevolgen hebben voor een individu en of die gevolgen rechtsgevolgen zijn of alleen een feitelijk gevolg. Zie voor een nadere toelichting hiervoor het advies van de Autoriteit Persoonsgegevens inzake geautomatiseerde selectietechnieken. +De Europese wetgever heeft weinig richting gegeven aan hoe dit begrip moet worden geïnterpreteerd. Er zijn wel aanknopingspunten om te duiden wanneer hier sprake van is. De EDPB spreekt van ernstige, aanzienlijke effecten, groot of belangrijk genoeg zijn om aandacht te verdienen. Dat is in ieder geval zo als het besluit het potentieel heeft om de omstandigheden, het gedrag of de keuze van de betrokken personen in aanmerkelijke mate te treffen; een langdurig of blijvend effect op de betrokkene te hebben; of in het uiterste geval, tot uitsluiting of discriminatie te leiden. + +Dit vraagt per geval om een analyse welke 'keuzes' van het systeem welke gevolgen hebben voor een individu en of die gevolgen rechtsgevolgen zijn of alleen een feitelijk gevolg. Zie voor een nadere toelichting hiervoor het advies van de Autoriteit Persoonsgegevens inzake geautomatiseerde selectietechnieken. #### Toepassing @@ -78,7 +86,6 @@ Volledig geautomatiseerde vaststelling van een publiekrechtelijk besluit zoals e ## Wanneer van toepassing? - ## Risico Bij geautomatiseerde besluitvorming kan het risico ontstaan dat kenmerken van een bepaalde groep ten onrechte worden tegengeworpen aan een individu die deze kenmerken niet hoeft te bezitten. diff --git a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens.md b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens.md index 11c0bea8b6..11219f2c9e 100644 --- a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens.md +++ b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens.md @@ -1,7 +1,7 @@ --- -title: Ontwerp en standaardinstellingen (defaults) zijn zo gunstig mogelijk voor de privacy van betrokkenen +title: Ontwerp en standaardinstellingen (defaults) zijn zo gunstig mogelijk voor de privacy van betrokkenen. id: urn:nl:ak:ver:avg-11 -toelichting: Pas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingen +toelichting: Pas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingen. levenscyclus: - ontwerp - dataverkenning-en-datapreparatie @@ -19,32 +19,25 @@ hide: ## Vereiste - -Privacy en gegevensbescherming door goed ontwerp en door standaardinstellingen +Privacy en gegevensbescherming door goed ontwerp en door standaardinstellingen. ## Toelichting - Gegevensbescherming door ontwerp en standaardinstellingen houdt in dat privacy- en gegevensbescherming vanaf het begin worden geïntegreerd in de ontwikkeling van systemen en processen (ook wel privacy-by-design genoemd). -Door al bij het ontwerp rekening te houden met privacyaspecten en door standaardinstellingen die privacy bevorderen, wordt de bescherming van persoonsgegevens versterkt. -Hierbij kan worden gedacht een het pseudonimiseren van persoonsgegevens of dataminimalisatie. + +Door al bij het ontwerp rekening te houden met privacyaspecten en door standaardinstellingen die privacy bevorderen, wordt de bescherming van persoonsgegevens versterkt. Hierbij kan worden gedacht een het pseudonimiseren van persoonsgegevens of dataminimalisatie. Deze aanpak zorgt ervoor dat privacy-overwegingen een integraal onderdeel zijn van alle aspecten van gegevensverwerking en draagt bij aan het vertrouwen van individuen in de veilige omgang met hun gegevens. Dit is eveneens van toepassing als persoonsgegevens worden verwerkt bij het ontwikkelen en gebruiken van algoritmes. - ## Bronnen - - [Artikel 25 Algemene Verordening Gegevensbescherming](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679#d1e3055-1-1) ## Wanneer van toepassing? - ## Risico - Door privacy en gegevensbescherming door ontwerp en standaardinstellingen niet toe te passen, kan een inbreuk op rechten van betrokkenen ontstaan. - ## Maatregelen { data-search-exclude } diff --git a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-12-beveiliging-van-verwerking.md b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-12-beveiliging-van-verwerking.md index e2930ae126..65553cc4d1 100644 --- a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-12-beveiliging-van-verwerking.md +++ b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-12-beveiliging-van-verwerking.md @@ -1,7 +1,8 @@ --- -title: Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen +title: Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen. id: urn:nl:ak:ver:avg-12 toelichting: Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. + levenscyclus: - organisatieverantwoordelijkheden onderwerp: @@ -17,10 +18,8 @@ hide: ## Vereiste - Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. - ## Toelichting Voor de ontwikkeling en gebruik van algoritmes is data nodig. @@ -29,16 +28,13 @@ De organisatie zal technische en organisatorische maatregelen moeten treffen om Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn. - ## Bronnen - [Artikel 32 Algemene Verordening Gegevensbescherming](https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32016R0679)| ## Wanneer van toepassing? ## Risico - Er kunnen risico's ontstaan zoals potentiële cyberaanvallen en datalekken. Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking. diff --git a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-13-dpia-verplicht.md b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-13-dpia-verplicht.md index 2e76f507e2..1fb9a8f27c 100644 --- a/docs/voldoen-aan-wetten-en-regels/vereisten/avg-13-dpia-verplicht.md +++ b/docs/voldoen-aan-wetten-en-regels/vereisten/avg-13-dpia-verplicht.md @@ -1,7 +1,7 @@ --- -title: Een Data Protection Impact Assessment (DPIA) wordt uitgevoerd wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen +title: Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. id: urn:nl:ak:ver:avg-13 -toelichting: Een Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potentiële risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in algoritmes, waardoor de privacy van individuen wordt gewaarborgd. +toelichting: Een Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. status_vereiste: - geldend levenscyclus: @@ -20,13 +20,13 @@ hide: ## Vereiste - -Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. +Een [gegevensbeschermingseffectbeoordeling (DPIA)](../hulpmiddelen/DPIA.md) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. ## Toelichting +Een Gegevensbeschermingseffectbeoordeling (GEB) of [Data Protection Impact Assessment (DPIA)](../hulpmiddelen/DPIA.md) is verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen. -Een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assessment (DPIA) is verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potentiële risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. + Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in algoritmes, waardoor de privacy van individuen wordt gewaarborgd. Let op: de DPIA verplichting is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens [Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens](https://wetten.overheid.nl/BWBR0042812/2019-11-27) moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog risico als er sprake is van één van de volgende voorwaarden: @@ -55,7 +55,6 @@ Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die inf ## Risico - Het niet evalueren van de impact van het verwerking van persoonsgegevens in algoritmes kan resulteren in het niet onderkennen van de bijbehorende risico's en het niet op tijd te mitigieren van deze risico's. Dit kan leiden tot potentiële schendingen van de rechten en vrijheden van betrokkenen en een onrechtmatige verwerking.