Release v2.0/controleren vereisten 6 (#486)

Co-authored-by: Nout van Deijck <[email protected]>

docs/voldoen-aan-wetten-en-regels/vereisten/arc-01-archiefwet.md

@@ -1,7 +1,7 @@
 ---
-title: Informatie over algoritmes wordt gedocumenteerd volgens de Archiefwet
+title: Informatie over algoritmes wordt in goede, geordende en toegankelijke staat gebracht, bewaard en vernietigd wanneer nodig.
 id: urn:nl:ak:ver:arc-01
-toelichting: Volgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes, tot stand zijn gekomen. Informatie over algoritmes moet daarom op basis van de selectielijst bewaard en vernietigd worden.
+toelichting: Overheden moeten informatie over algoritmes in goede, geordende en toegankelijke staat brengen en bewaren. Ook moeten ze zorgen voor de vernietiging van archiefbescheiden die daarvoor in aanmerking komen. 
 levenscyclus: 
 - uitfaseren
 - monitoring-en-beheer
@@ -19,13 +19,13 @@ hide:
 <!-- tags -->
 ## Vereiste
 
-Overheidsorganen zijn verplicht de onder hen berustende archiefbescheiden in goede, geordende en toegankelijke staat te brengen en te bewaren, alsmede zorg te dragen voor de vernietiging van de daarvoor in aanmerking komende archiefbescheiden.
+Informatie over algoritmes wordt in goede, geordende en toegankelijke staat gebracht, bewaard en vernietigd wanneer nodig. 
 
 ## Toelichting 
 
-Volgens de Archiefwet moeten overheden informatie bewaren.
-Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes, tot stand zijn gekomen.
-Informatie over en van algoritmes moet daarom op basis van de selectielijst bewaard en vernietigd worden.
+Overheden moeten informatie over algoritmes in goede, geordende en toegankelijke staat brengen en bewaren. Ook moeten ze zorgen voor de vernietiging van archiefbescheiden die daarvoor in aanmerking komen. 
+
+Op basis van deze informatie moet bijvoorbeeld gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes, tot stand zijn gekomen. Informatie over algoritmes moet daarom op basis van de selectielijst bewaard en vernietigd worden.
 
 ## Bronnen 
 
@@ -39,7 +39,8 @@ Informatie over en van algoritmes moet daarom op basis van de selectielijst bewa
 
 ## Risico 
 
-Zonder goede toepassing van de Archiefwet is het voor betrokkene(n) of derden niet mogelijk om achteraf te reconstrueren en te controleren hoe besluiten, waar algoritmes aan hebben bijgedragen, tot stand zijn gekomen.
+Zonder goede het goede, geordende en toegankelijke staat brengen en bewaren van gegevens is het voor betrokkene(n) of derden niet mogelijk om achteraf te reconstrueren en te controleren hoe besluiten, waar algoritmes aan hebben bijgedragen, tot stand zijn gekomen.
+
 Het nalaten om archiefbescheiden na verloop van tijd te verwijderen brengt risico's met zich mee op het gebied van privacy en informatiebeveiliging.
 
 ## Maatregelen { data-search-exclude } 

docs/voldoen-aan-wetten-en-regels/vereisten/aut-01-auteursrechten.md

@@ -1,13 +1,12 @@
 ---
-title: Auteursrechten zijn beschermd
+title: Auteursrechten zijn beschermd.
 id: urn:nl:ak:ver:aut-01
-toelichting: Bepaalde type algoritmes worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes. Het gebruiken van deze data mag geen inbreuk maken op auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes mag geen inbreuk maken op deze rechten. 
+toelichting: Bij het ontwikkelen, testen en gebruiken van algoritmes mag geen inbreuk gemaakt worden op auteursrechten en naburige rechten. 
 levenscyclus: 
-- dataverkenning-en-datapreparatie
 - ontwerp
+- dataverkenning-en-datapreparatie
 onderwerp: 
 - data
-- governance
 rollen:
 - jurist
 hide:
@@ -17,7 +16,7 @@ hide:
 <!-- tags -->
 ## Vereiste
 
-Auteursrechten mogen niet geschonden worden bij het ontwikkelen en gebruiken van algoritmes.
+Auteursrechten en naburige rechten mogen niet geschonden worden bij het ontwikkelen, testen en gebruiken van algoritmes.
 
 ## Toelichting 
 
@@ -26,7 +25,6 @@ Deze data wordt gebruikt voor het trainen en testen van algoritmes.
 Het gebruiken van deze data mag geen inbreuk maken op auteursrechten van diegene die deze rechten heeft.
 Ook de gegenereerde output van algoritmes mag geen inbreuk maken op deze rechten.
 
-
 ## Bronnen 
 
 - [Artikel 1 Auteurswet](https://wetten.overheid.nl/jci1.3:c:BWBR0001886&hoofdstuk=I&paragraaf=1&artikel=1&z=2022-10-01&g=2022-10-01) 
@@ -35,14 +33,15 @@ Ook de gegenereerde output van algoritmes mag geen inbreuk maken op deze rechten
 - [Artikel 13 Auteurswet](https://wetten.overheid.nl/jci1.3:c:BWBR0001886&hoofdstuk=I&paragraaf=5&artikel=13&z=2022-10-01&g=2022-10-01)
 - [Artikel 15n jo. 15o Auteurswet](https://wetten.overheid.nl/jci1.3:c:BWBR0001886&hoofdstuk=I&paragraaf=6&artikel=15n&z=2022-10-01&g=2022-10-01)
 - [Artikel 3 en 4 van de DSM-richtlijn (EU 2019/790)](https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32019L0790&from=PL)
+- [Artikel 4 (3) Richtlijn inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van 
+Richtlijnen 96/9/EG en 2001/29/EG](https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32019L0790)
 
 ## Wanneer van toepassing? 
 <!-- tags-ai-act --> 
 
-
 ## Risico 
 
-Het niet voldoen aan het auteursrecht kan leiden tot onrechtmatig gebruik van auteursrechtelijk beschermde inhoud, wat kan resulteren in mogelijke juridische geschillen, boetes en schadevergoedingen voor inbreuk op het auteursrecht.
+Het niet voldoen aan het auteursrecht of naburige rechten kan leiden tot onrechtmatig gebruik van auteursrechtelijk beschermde inhoud, wat kan resulteren in mogelijke juridische geschillen, boetes en schadevergoedingen voor inbreuk op het auteursrecht.
 Bovendien kan het niet naleven van het auteursrecht het vertrouwen van gebruikers en belanghebbenden ondermijnen, wat kan leiden tot reputatieschade en gebrek aan vertrouwen.
 
 ## Maatregelen { data-search-exclude } 

docs/voldoen-aan-wetten-en-regels/vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt.md

@@ -1,9 +1,8 @@
 ---
-title: Persoonsgegevens worden op een rechtmatige manier verwerkt
+title: Persoonsgegevens worden op een rechtmatige manier verwerkt.
 id: urn:nl:ak:ver:avg-01
 toelichting: De verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.
 levenscyclus:
-- probleemanalyse
 - ontwerp
 - dataverkenning-en-datapreparatie
 onderwerp:
@@ -18,16 +17,17 @@ hide:
 <!-- tags -->
 ## Vereiste
 
-De verwerking van persoonsgegevens moet rechtmatig plaatsvinden.
+Persoonsgegevens worden op een rechtmatige manier verwerkt.
 
 ## Toelichting
 
 De verwerking van persoonsgegevens moet rechtmatig plaatsvinden, wat betekent dat de verwerking gebaseerd moet zijn op één van de wettelijke grondslagen die zijn geformuleerd in artikel 6 Algemene Verordening Gegevensbescherming.
-Persoonsgegevens mogen alleen worden verzameld voor specifieke, duidelijk omschreven en gerechtvaardigde doeleinden.
+
+Persoonsgegevens mogen alleen worden verzameld en verwerkt voor specifieke, duidelijk omschreven en gerechtvaardigde doeleinden.
 Het is niet toegestaan om deze gegevens verder te verwerken op een manier die niet verenigbaar is met deze oorspronkelijke doeleinden.
 
-Bij het verwerken van persoonsgegevens ten behoeve van de ontwikkeling en gebruik van algoritmes moet worden onderzocht of dit kan worden gebaseerd op één van de verwerkingsgrondslagen.
-Het is van belang dat wordt uitgewerkt welke persoonsgegevens waarvoor worden verwerkt en op basis van welke grondslag.
+Bij het verwerken van persoonsgegevens ten behoeve van de ontwikkeling en gebruik van algoritmes moet worden onderzocht of dit kan worden gebaseerd op één van de verwerkingsgrondslagen. Het is van belang dat wordt uitgewerkt welke persoonsgegevens waarvoor worden verwerkt en op basis van welke grondslag.
+
 Hierbij kan worden gedacht aan persoonsgegevens ten behoeve van trainingsdata, voor het genereren van output of, indien (juridisch) mogelijk, voor het uitvoeren van een onderzoek naar onbewuste vooringenomenheid.
 
 ## Bronnen
@@ -43,9 +43,7 @@ Hierbij kan worden gedacht aan persoonsgegevens ten behoeve van trainingsdata, v
 
 ## Risico
 
-Het risico wanneer persoonsgegevens niet op een rechtmatige manier worden verwerkt (verzamelen van gegevens valt hier ook onder), is dat er niet aan de AVG wordt voldaan.
-Er worden dan onrechtmatig persoonsgegevens verwerkt, waarmee privacy van personen in het geding komt.
-Ook kan het leiden tot hoge boetes voor organisaties, en kan een datalek plaatsvinden.
+Het risico wanneer persoonsgegevens niet op een rechtmatige manier worden verwerkt (verzamelen van gegevens valt hier ook onder), is dat er niet aan de AVG wordt voldaan. Er worden dan onrechtmatig persoonsgegevens verwerkt, waarmee privacy van personen in het geding komt. Ook kan het leiden tot hoge boetes voor organisaties, en kan een datalek plaatsvinden.
 
 ## Maatregelen { data-search-exclude }
 

docs/voldoen-aan-wetten-en-regels/vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens.md

@@ -1,11 +1,10 @@
 ---
-title: Persoonsgegevens worden zo kort mogelijk bewaard
+title: Persoonsgegevens worden zo kort mogelijk bewaard.
 id: urn:nl:ak:ver:avg-02
 toelichting: Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.
 levenscyclus:
 - ontwerp
 - dataverkenning-en-datapreparatie
-- ontwikkelen
 - uitfaseren
 onderwerp:
 - privacy-en-gegevensbescherming
@@ -17,6 +16,7 @@ hide:
 ---
 
 <!-- tags -->
+
 ## Vereiste
 
 Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.
@@ -25,11 +25,11 @@ Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de
 
 Persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
 Dit vereist dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt.
+
 Het beginsel van opslagbeperking betekent dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor de realisering van de doeleinden waarvoor de persoonsgegevens worden verwerkt.
 
 In de context van algoritmes is het belangrijk dat, wanneer persoonsgegevens worden verwerkt, er onderzocht wordt op welke manieren identificatie van betrokkenen tegen kan worden gegaan.
-Hierbij kan worden gedacht aan maatregelen als pseudonomisering en anonimisering.
-
+Hierbij kan worden gedacht aan maatregelen als het pseudonomiseren, anonimiseren en aggregeren van de persoonsgegevens. 
 
 ## Bronnen
 
@@ -38,12 +38,9 @@ Hierbij kan worden gedacht aan maatregelen als pseudonomisering en anonimisering
 ## Wanneer van toepassing? 
 <!-- tags-ai-act -->
 
-
 ## Risico
 
-Het onnodig lang bewaren van persoonsgegevens levert een onrechtmatige situatie op.
-De privacyrechten van betrokken worden hierdoor aangetast.
-Er ontstaan aanvullende risico's bij bijvoorbeeld een datalek.
+Het onnodig lang bewaren van persoonsgegevens levert een onrechtmatige situatie op. De privacyrechten van betrokken worden hierdoor aangetast. Er ontstaan aanvullende risico's bij bijvoorbeeld een datalek.
 
 
 ## Maatregelen { data-search-exclude }

docs/voldoen-aan-wetten-en-regels/vereisten/avg-03-minimale-verwerking-van-persoonsgegevens.md

@@ -1,5 +1,5 @@
 ---
-title: Persoonsgegevens worden zo min mogelijk verwerkt
+title: Persoonsgegevens worden zo min mogelijk verwerkt.
 id: urn:nl:ak:ver:avg-03
 toelichting: De verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. 
 levenscyclus:
@@ -18,14 +18,18 @@ hide:
 <!-- tags -->
 ## Vereiste
 
-De verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
-
+Persoonsgegevens worden zo min mogelijk verwerkt.
 
 ## Toelichting
+De verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
 
 Het is van belang dat énkel persoonsgegevens worden verwerkt die noodzakelijk zijn gezien de doeleinden van die vewerking.
+
 Er moet een beoordeling worden gemaakt welke persoonsgegevens dit wel en eventueel niet zijn.
-Voor het ontwikkelen en gebruiken van algoritmes is het van belang om te beoordelen welke persoonsgegevens noodzakelijk zijn om het beoogde doel te bereiken. Afhankelijk van de toepassing vraagt dit om een intensieve toets. Er moet voor worden gezorgd dat persoonsgegevens die niet als noodzakelijk worden beschouwd, buiten de verwerking blijven. 
+
+Voor het ontwikkelen en gebruiken van algoritmes is het van belang om te beoordelen welke persoonsgegevens noodzakelijk zijn om het beoogde doel te bereiken. 
+
+Afhankelijk van de toepassing vraagt dit om een intensieve toets. Er moet voor worden gezorgd dat persoonsgegevens die niet als noodzakelijk worden beschouwd, buiten de verwerking blijven. 
 
 ## Bronnen
 
@@ -34,7 +38,6 @@ Voor het ontwikkelen en gebruiken van algoritmes is het van belang om te beoorde
 ## Wanneer van toepassing? 
 <!-- tags-ai-act -->
 
-
 ## Risico
 
 Het onnodig verwerken van persoonsgegevens kan een inbreuk maken op rechten van betrokkenen, en zou kunnen leiden tot een datalek.

docs/voldoen-aan-wetten-en-regels/vereisten/avg-04-proportionaliteit-en-subsidiariteit.md

@@ -1,5 +1,5 @@
 ---
-title: Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair
+title: Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair.
 id: urn:nl:ak:ver:avg-04
 toelichting: Gegevensverwerking moet in verhouding staan tot het beoogde doel en persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens moet dit vereiste aantoonbaar zijn. 
 levenscyclus: 
@@ -18,15 +18,20 @@ hide:
 <!-- tags -->
 
 ## Vereiste
+Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair.
+
 
-Gegevensverwerking moet in verhouding staan tot het beoogde doel en persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens moet dit vereiste aantoonbaar zijn. 
 
 ## Toelichting 
+Gegevensverwerking moet in verhouding staan tot het beoogde doel en persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens moet dit vereiste aantoonbaar zijn. 
 
 Proportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme en voor het genereren van de benodigde output in balans is met het beoogde doel.
-Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. 
+
+Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken.
+
 Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan noodzakelijk is voor legitieme doeleinden.
-Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritmes moet worden toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.
+
+Het is van belang om deze principes te hanteren om te bepalen of en in [welke vorm een algoritmes](../maatregelen/1-pba-03-onderbouwen-gebruik-algoritme) moet worden toegepast en om tot een passende mate van gegevensverwerking te komen om het [doel](../maatregelen/1-pba-02-formuleren-doelstelling.md) te bereiken.
 
 ## Bronnen 
 

docs/voldoen-aan-wetten-en-regels/vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens.md

@@ -1,5 +1,5 @@
 ---
-title: Persoonsgegevens zijn juist en actueel
+title: Persoonsgegevens zijn juist en actueel.
 id: urn:nl:ak:ver:avg-05
 toelichting: De te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.
 levenscyclus:
@@ -16,14 +16,14 @@ hide:
 <!-- tags -->
 ## Vereiste
 
-De te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.
+Persoonsgegevens zijn juist en actueel.
 
 ## Toelichting
 
 De te verwerken persoonsgegevens moeten nauwkeurig, juist en zo nodig actueel zijn.
 Dit betekent dat alle maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist.
-Dat kan betekenen dat persoonsgegevens moeten worden geactualiseerd of verbeterd.
-In de context van algoritmes is het van belang dat ook daar wordt onderzocht welke maatregelen nodig zijn om die juistheid toe te passen.
+
+Dat kan betekenen dat persoonsgegevens moeten worden geactualiseerd of verbeterd. In de context van algoritmes is het van belang dat ook daar wordt onderzocht welke maatregelen nodig zijn om die [juistheid](../maatregelen/2-owp-11-gebruikte-data.md) toe te passen.
 
 ## Bronnen
 

docs/voldoen-aan-wetten-en-regels/vereisten/avg-06-verantwoordingsplicht-rechtmatigheid.md

@@ -1,5 +1,5 @@
 ---
-title: Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken
+title: Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken.
 id: urn:nl:ak:ver:avg-06
 toelichting: Bij het verwerken van persoonsgegevens voor algoritmes moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.
 levenscyclus: 
@@ -14,7 +14,9 @@ rollen:
 
 <!-- tags -->
 ## Vereiste
+Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken.
 
+## Toelichting 
 De verantwoordelijken moeten bij de verwerking van persoonsgegevens door algoritmes kunnen aantonen dat de verwerkingen rechtmatig plaatsvinden.
 Dit betekent concreet dat de volgende punten aangetoond kunnen worden:
 
@@ -27,11 +29,9 @@ Dit betekent concreet dat de volgende punten aangetoond kunnen worden:
 
 Een aandachtpunt daarbij is dat de rechtmatigheid van de verwerking ten opzichte van andere gerelateerde wetgeving zoals de AI Act en de Algemene wet gelijke behandeling ook moeten kunnen worden aangetoond voor zover de rechtmatigheid van de verwerking onder de AVG daarvan afhankelijk is.
 
-## Toelichting 
-
 Bij het verwerken van persoonsgegevens voor algoritmes moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn.
+
 De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht.
-Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.
 
 ## Bronnen