Een verwerking van persoonsgegevens met inzet van een algoritme is niet anders dan een ‘gewone’ verwerking. U moet daarom voldoen aan de algemene beginselen voor de verwerking van persoonsgegevens. Die beginselen staan in artikel 5 van de Algemene verordening gegevensbescherming (AVG). Belangrijke beginselen zijn onder meer:
Rechtmatigheid
U moet een grondslag hebben om persoonsgegevens te mogen verwerken (art. 6 AVG).
Transparantie
Bij het verwerken van persoonsgegevens moet u transparant zijn richting de betrokkene (art. 12, 13 en 14 AVG). De betrokkene is degene van wie u gegevens verwerkt.
Ook heeft u een register van verwerkingsactiviteiten nodig (art. 30).
En gebruikt u een algoritmisch systeem voor bijvoorbeeld uw besluitvorming? Dan moet u nuttige informatie geven over de onderliggende logica en de verwachte gevolgen van die verwerking voor de betrokkene.
Doelbinding
U mag alleen persoonsgegevens verwerken voor een vooraf vastgesteld doel. U bent aan dit doel gebonden. Dit betekent dat u niet zomaar de persoonsgegevens voor een ander doel mag verwerken.
Dataminimalisatie
Verwerkt u persoonsgegevens voor een bepaald doel, dan moet u dit met zo min mogelijk persoonsgegevens doen. Alle gegevens die niet aantoonbaar nodig zijn, verwerkt u onrechtmatig. U mag de gegevens ook maar beperkt opslaan. U moet hiertoe vooraf de bewaartermijnen vaststellen.
Juistheid
De persoonsgegevens die u verwerkt, moeten juist zijn (kloppen). Hiermee voorkomt u onvoorzienbare uitkomsten en ongewenste effecten voor de betrokkene.
Beveiliging
Alle persoonsgegevens die u verwerkt, moet u goed beveiligen. U moet hiervoor technische en organisatorische maatregelen treffen (art. 32 AVG). Daarbij moet u rekening houden met:
de stand van de techniek;
de aard, omvang, context en verwerkingsdoeleinden;
de uiteenlopende risico's voor de rechten en vrijheden van betrokkenen.
Privacy by design & default
Bij de ontwikkeling van (algoritmische) systemen moet u rekening houden met de principes privacy by design en privacy by default.
Dit betekent dat u systemen privacyvriendelijk moeten ontwikkelen, inrichten en inzetten. Instellingen voor de gebruiker moeten standaard privacybeschermend zijn.
