Je werkt bij de overheid en je hebt te maken met persoonsgegevens van burgers. Dan kun je niet om DPIA heen. Voeg ook maar FRIA (of het Nederlandse model IAMA) aan je vocabulaire toe, want de populariteit van AI groeit enorm en de AI-Verordening is op 1 augustus in werking getreden.
We hebben het natuurlijk over het Data Protection Impact Assessment en het Fundamental Rights Impact Assessment (IAMA staat voor Impact Assessment Mensenrechten en Algoritmes). We bespreken wat deze assessments betekenen voor de overheid met niemand minder dan onze eigen Functionaris Gegevensbescherming (FG). Met Sherwien Ramsoedh duiken we in DPIA en IAMA: wat houden ze in, waar moet je goed op letten en welke impact hebben de AI-ontwikkelingen van de laatste tijd?
Een DPIA of IAMA binnen de overheid
Stel, je begint aan een nieuw project of beleidsvoorstel waarin je van plan bent persoonsgegevens van onder andere burgers te verwerken. Of je wilt een nieuwe technologie implementeren. Je ziet de bui al hangen, er komt mogelijk een DPIA om de hoek kijken. Misschien ook wel een IAMA, verzucht je. Zeker als je met algoritmes aan de slag gaat.
Het is niet iets waar de meeste mensen zin in hebben, het uitvoeren van een verplichting. Zeker als die ook nog eens vrij omvangrijk is en waar je veel experts bij nodig hebt. Toch is het belangrijk, dus laten we jou een beetje motiveren!
Sherwien, Kun jij ons het belang van een DPIA laten inzien?
"Een DPIA is soms verplicht, dus dan moet je gewoon aan de wet voldoen. Maar ook als het niet verplicht is, zijn er veel redenen om een DPIA uit te voeren! Denk aan:
- inzicht krijgen in de verwerkingen en wat er met de persoonsgegevens gebeurt;
- transparantie tonen richting de burger en daarmee vertrouwen behouden;
- voorkomen dat je organisatie, en daarmee de overheid, in slecht daglicht komt.
Je verwerkt persoonsgegevens van burgers en het laatste wat je wilt is (nog) een schandaal. Dat maakt je misschien ook nerveus over zo’n DPIA. Maar wees gerust, met het juiste stakeholdermanagement en genoeg inzicht in de verwerkingen komt zo’n DPIA helemaal goed.
Je wilt het vertrouwen van de burger niet verliezen én inzicht krijgen in hoe de gegevens worden verwerkt. Om welke persoonsgegevens gaat het en wat gebeurt daarmee? Wie krijgt ze te zien? Waar worden ze opgeslagen en voor hoe lang? Als het goed is wil je daar zelf ook inzicht in hebben om te voorkomen dat er binnen dat proces iets fout gaat.”
"Met het juiste stakeholdermanagement en genoeg inzicht in de verwerkingen komt zo’n DPIA helemaal goed" - Sherwien Ramsoedh, Functionaris Gegevensbescherming OGD
Helder! Even terug naar de basis, wat is een DPIA en wanneer is het van belang voor overheid?
“Een DPIA is een data protection impact assessment, of gegevensbeschermingseffectbeoordeling in het Nederlands. Het gaat bij een DPIA om het beoordelen van de effecten van een verwerking of verwerkingen van persoonsgegevens; dus wat er precies gebeurt met de persoonsgegevens binnen een proces of applicatie. Je brengt vooraf de privacyrisico’s in kaart. Je identificeert deze risico’s en bepaalt met welke mitigerende maatregelen je die risico’s naar een acceptabel niveau krijgt. Het is dus een systematische methode om inzicht te krijgen in de impact van een verwerking op de bescherming van persoonsgegevens.
Wanneer voer je een DPIA uit? Binnen de overheid verwerk je al snel persoonsgegevens. Begin je aan een nieuwe verwerking, dan is het verstandig om een pre-DPIA uit te voeren. Dit is een voor-inventarisatie van het type verwerking, op basis van een set criteria van de Europese en Nederlandse Privacytoezichthouders. Uit deze inventarisatie blijkt of een DPIA verplicht of wenselijk is.
Een DPIA is verplicht wanneer de verwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. Het Europees Comité voor Gegevensbescherming heeft twee lijsten opgesteld: een met categorieën waarvoor een DPIA verplicht is en een met categorieën waarbij een DPIA aanbevolen wordt. Een DPIA is bijvoorbeeld verplicht bij grootschalige gegevensverwerkingen, stelselmatige monitoring van of geautomatiseerde besluiten over personen. Maar ook bij het gebruik van nieuwe technologieën. De volledige lijst vind je hier.
Een DPIA geeft inzicht in:
- de verwerkingen
- de betrokkenen
- de risico’s
- de mitigerende maatregelen om de risico’s te verminderen of weg te nemen.”
Wat zijn de valkuilen bij het uitvoeren van een DPIA? Waar moet je extra op letten?
“De belangrijkste valkuil is de stakeholderanalyse wat mij betreft. Je hebt veel informatie nodig om een DPIA goed uit te voeren. Je hebt iemand nodig die weet welke informatie precies verwerkt wordt en hoe, je hebt mogelijk inzicht nodig in de processen van een leverancier, soms komt er een jurist aan te pas… de grootste valkuil is dus onvoldoende informatie door een incomplete stakeholdersanalyse.
Let naast de stakeholderanalyse ook op het inzicht in de gegevensverwerkingen. Stel jezelf vooral de vraag: heb ik genoeg inzicht in de verwerkingen, tot aan alle deelprocessen? Hebben de betrokkenen genoeg kennis van zaken om de DPIA uit te voeren of tenminste daaraan bij te dragen? Denk aan specialisten op het gebied van privacy, informatiebeveiliging, proces- of applicatie-eigenaren, maar denk ook aan juristen en compliance professionals.
Daarnaast is het slim om te vragen naar bewijs van alles wat je documenteert. Vraag bij gegevensverwerkingen bij een leverancier bijvoorbeeld om een demo, zodat je zelf kunt zien hoe de verwerkingen plaatsvinden. Ga niet alleen af op het woord van iemand, valideer dit ook.
Tot slot is een DPIA niet een eenmalig iets. Een goede DPIA heeft een cyclus en moet je herzien bij nieuwe of veranderde gegevensverwerkingen én minstens eens in de drie jaar. Goed om in de gaten te houden dus!”
Naast een DPIA kun je ook te maken krijgen met een IAMA, Wat doe je daarmee en hoe verhoudt zich dat tot de DPIA?
“IAMA is de Nederlandse versie van het Fundamental Rights Impact Assessment. Het model is ontwikkeld door onderzoekers van de Universiteit Utrecht. De Tweede Kamer heeft ongeveer twee jaar terug een motie aangenomen. Deze maakt een IAMA verplicht voor overheden die algoritmes gebruiken voor evaluaties of beslissingen over mensen.
Het gaat ook hier om systematisch inzicht (dus op een gestructureerde manier) in verwerkingen, in dit geval met betrekking tot algoritmes. Wat doet het algoritme precies, welke risico’s brengt het met zich mee? En moeten we ermee doorgaan en zo ja, met welke waarborgen eraan verbonden? Het model en de uitkomsten ervan helpen bij het verantwoord inzetten van AI.
De IAMA volgt deze opbouw:
- Waarom? Wat is de doelstelling van de inzet van het algoritme?
- Wat? De technische achtergrond: hoe zit het algoritme in elkaar en welke data gebruikt het? Hoe zit het met bias (aannames) in de data?
- Hoe? In welke context zet je het algoritme in? Welke uitkomsten genereert het algoritme en wat wordt daarmee gedaan?
- Mensenrechten. Raakt het algoritme een grondrecht en is dit noodzakelijk om het doel te bereiken? Is het doel zwaarwegend genoeg om dit te rechtvaardigen?
Ook hier geldt weer dat het assessment verplicht is wanneer het algoritme dat je wilt inzetten tot een hoge risicocategorie behoort (althans geredeneerd vanuit de AI Verordening; de eerdergenoemde motie verplicht dit voor Nederlandse overheden bij elk algoritme). Maar ook daarbuiten is het een goed idee om een IAMA uit te voeren. Daarnaast wil de Rijksoverheid dat alle impactvolle algoritmes binnen de centrale en decentrale overheden in het algoritmeregister komen te staan.
De overheid heeft een duidelijke drijfveer om AI te reguleren: discriminatie en willekeur voorkomen. Daarnaast krijgen we binnenkort allemaal op een of andere manier te maken met de regulering van AI, door de AI-Verordening die straks van kracht wordt.”
"AI en de toepassingen ervan moeten nuttig zijn maar geen onbeheersbare risico’s opleveren in onze samenleving."- Sherwien Ramsoedh, Functionaris Gegevensbescherming OGD
Nu je het over de AI-Verordening hebt. (Generatieve) AI is nu natuurlijk erg populair en daarmee wordt de behoefte aan regulering ook steeds groter. Wat zie jij in de toekomst gebeuren op dit vlak?
“Nou, future sight hoort niet bij mijn vaardigheden, maar wat ik redelijkerwijs kan beargumenteren is dit. Hoewel de AI Verordening recent in werking is getreden, is deze nog niet van kracht. Dat zal wel voor bepaalde onderdelen ervan snel gebeuren. In dat kader ben ik nog wel benieuwd naar de guidance vanuit de Europese AI toezichthouder (AI Office) en natuurlijk onze Nederlandse toezichthouders ervan, de Autoriteit Persoonsgegevens en de Rijksinspectie voor de Digitale Infrastructuur (RDI).
De AI Verordening is een uiting van de drijfveren voor overheden om AI in goede banen te leiden. AI en de toepassingen ervan moeten nuttig zijn maar geen onbeheersbare risico’s opleveren in onze samenleving. In dat spanningsveld moet je bewegen, want vooropgesteld: AI, daar ontkomen we niet meer aan. En als je het in goede banen leidt dan is dat ook niet eens nodig. Het heeft zoveel potentie om goeds te betekenen.
Als we naar de toekomst kijken, zie ik nog wel wat dingen veranderen. Zo is generatieve AI nu enorm in opkomst. Op dit moment hoef je voor die systemen nog geen FRIA uit te voeren. Misschien verandert dat nog wel. Want als generatieve AI-oplossingen straks meer kunnen, dan komen ze mogelijk sneller in een hogere risico-categorie terecht. Voor overheidsinstanties is het advies nu al om bij algoritmes altijd een IAMA uit te voeren. Ik kan me voorstellen dat dit in de toekomst ook voor andere organisaties zal gelden.”
Nou, het is wel duidelijk dat het uitvoeren van een DPIA en/of IAMA erg belangrijk is. Heb jij nog tips voor ambtenaren om goed voorbereid aan de slag te gaan?
“Een DPIA of IAMA schrikt je misschien af en lijkt ingewikkeld. Maar probeer het van de andere kant te bekijken: als je nu een goede DPIA of IAMA doet, dan kun je veel problemen voorkomen. Je kunt beter nu zien dat ergens te veel risico’s aan kleven, dan dat je later een schandaal krijgt. Bovendien laat je zien dat je zorgvuldig en verantwoord omgaat met de (persoons)gegevens en de rechten van burgers.
Mijn tip: gebruik de tools van de Rijksoverheid. Voor de DPIA zijn er modellen en rapportagemodellen. En voor een IAMA kun je de ‘toolbox ethisch verantwoorde innovatie’ gebruiken. Hier vindt je overzichtelijke en handige pagina’s en documenten die ook handig kunnen zijn bij een DPIA.”
Geïnteresseerd in wet- en regelgeving en ict voor de overheid? Lees ook deze content:
