Artikel 35AI-relevant

Gegevensbeschermingseffectbeoordeling

Hoofdstuk IVVan kracht sinds 25-05-2018

Raakvlak met de AI Act

De DPIA is complementair aan de AI Act: hoog-risico classificatie (Art. 6) vereist vaak ook een DPIA, en de FRIA (Art. 27) is het AI-specifieke equivalent.

AI Act Art. 6 →AI Act Art. 27 →

Officiële tekst

Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.

Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in.

Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen: a) een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; b) grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze openbaar. De toezichthoudende autoriteit deelt die lijsten mee aan het in artikel 68 bedoelde Comité.

De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor geen gegevensbeschermingseffectbeoordeling is vereist. De toezichthoudende autoriteit deelt deze lijst mee aan het Comité.

Wanneer de in de leden 4 en 5 bedoelde lijsten betrekking hebben op verwerkingen met betrekking tot het aanbieden van goederen of diensten aan betrokkenen of op het observeren van hun gedrag in verschillende lidstaten, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de bevoegde toezichthoudende autoriteit voorafgaand aan de vaststelling van die lijsten het in artikel 63 bedoelde coherentiemechanisme toe.

De beoordeling bevat ten minste: a) een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd; b) een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden; c) een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen; en d) de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.

De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van commerciële of algemene belangen of de beveiliging van verwerkingen.

Wanneer verwerking uit hoofde van artikel 6, lid 1, onder c) of e), haar rechtsgrond heeft in het Unierecht of in het recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is, de specifieke verwerking of geheel van verwerkingen in kwestie daarbij wordt geregeld, en er reeds als onderdeel van een algemene effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 7 niet van toepassing, tenzij de lidstaten het noodzakelijk achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.

Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden.

Bron: EUR-Lex, Verordening (EU) 2016/679. Officiële tekst, ongewijzigd overgenomen.

Wat betekent dit voor jou?

Verwerkingsverantwoordelijke

Voer een DPIA uit voordat je een AI-systeem in gebruik neemt dat persoonsgegevens verwerkt. Combineer waar mogelijk met de FRIA (AI Act Art. 27). Betrek de FG bij het proces.

Verwerker

Ondersteun de verwerkingsverantwoordelijke bij de DPIA door technische informatie te leveren over het AI-systeem, verwerkingsprocessen en beveiligingsmaatregelen.

Functionaris gegevensbescherming

Begeleid het DPIA-proces en adviseer over risicomitigatie. Beoordeel of de DPIA voldoende AI-specifieke risico's adresseert (bias, ondoorzichtigheid, fout-positieven).

Betrokkene

De DPIA is bedoeld om jouw rechten te beschermen. Als je vermoedt dat een AI-systeem een risico vormt voor jouw privacy, kun je bij de AP vragen of een DPIA is uitgevoerd.

Compliance checklist

DPIA uitgevoerd voor elk AI-systeem dat persoonsgegevens verwerktAI-specifieke risico's geadresseerd (bias, ondoorzichtigheid, fout-positieven)FG betrokken bij het DPIA-procesRisicomitigatiemaatregelen gedocumenteerd en geimplementeerdBeoordeling of voorafgaande raadpleging (Art. 36) nodig isDPIA regelmatig herzien bij wijzigingen in het AI-systeemOverlap met FRIA (AI Act Art. 27) geidentificeerd en geadresseerd

Gerelateerde overwegingen

(84)

Teneinde de naleving van deze verordening te verbeteren indien de verwerking waarschijnlijk gepaard gaat met hoge risico's in verband met de rechten en vrijheden van natuurlijke personen, dient de ver...

(89)

Richtlijn 95/46/EG voorzag in een algemene verplichting om de verwerking van persoonsgegevens aan de toezichthoudende autoriteiten te melden. Die verplichting leidt tot administratieve en financiële l...

(90)

In dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling te verrichten om de specifieke waarschijnlijkheid en de ernst van d...

(91)

Dit dient met name te gelden voor grootschalige verwerkingen die bedoeld zijn voor de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waa...

(92)

Onder bepaalde omstandigheden kan het redelijk en nuttig zijn dat de gegevensbeschermingseffectbeoordeling zich niet beperkt tot een enkel project, bijvoorbeeld wanneer overheidsinstanties of -organen...

(93)

In het kader van de vaststelling van het lidstatelijke recht waarop de vervulling van de taken van de overheidsinstantie of het overheidsorgaan is gebaseerd, en waarin de specifieke verwerking of reek...

(94)

Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de re...

(95)

De verwerker dient de verwerkingsverantwoordelijke, indien nodig en op verzoek, bij te staan om ervoor te zorgen dat de verplichtingen ingevolge de uitvoering van gegevensbeschermingseffectbeoordeling...

Kruisverwijzingen

Art. 6: Rechtmatigheid van de verwerking Art. 9: Verwerking van bijzondere categorieën van persoonsgegevens Art. 10: Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten Art. 40: Gedragscodes Art. 63: Coherentiemechanisme Art. 68: Europees Comité voor gegevensbescherming

Veelgestelde vragen

← Art. 34: Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene Art. 36: Voorafgaande raadpleging →