Norm RB.04 Geautomatiseerde besluitvorming en/of profilering

De organisatie voldoet aan de wettelijke vereisten voor geautomatiseerde individuele besluitvorming, waaronder profilering.

Waarom is dit nodig?

Mensen hebben volgens de AVG recht op een menselijke blik bij besluiten. Maak je als school gebruik van geautomatiseerde besluitvorming of profilering? Dan moet je dat doen volgens de regels van de AVG. Dat betekent onder andere dat je medewerkers en leerlingen goed informeert over het gebruik ervan en dat het mogelijk moet zijn om een nieuw besluit te nemen waarbij een mens de gegevens beoordeeld. Zo bescherm je medewerkers en leerlingen tegen onrechtmatige verwerking.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er is niet of onvoldoende bekend of er geautomatiseerde individuele besluitvorming en/of profilering binnen de organisatie plaatsvindt.
  • Betrokkenen worden niet of nauwelijks geïnformeerd over geautomatiseerde individuele besluitvorming en/of profilering
2 Herhaalbaar
  • Er is (enigszins) bekend dat de organisatie gebruik maakt van geautomatiseerde individuele besluitvorming en/of profilering, maar de organisatie heeft geen of beperkt begrip van de gebruikte algoritmes en/of er is geen of onvolledige documentatie hierover.
  • DPIA’s worden niet consequent voor elke nieuwe of gewijzigde geautomatiseerde individuele besluitvorming en/of profilering uitgevoerd.
  • Betrokkenen worden op ad-hocbasis geïnformeerd over deze vorm van besluitvorming.
  • Er zijn informele procedures voor het omgaan met geautomatiseerde besluitvorming en/of profilering, waaronder de mogelijkheid voor betrokkenen om hun standpunt kenbaar te maken en besluiten aan te vechten.
3 Bepaald (streefniveau)
  • De organisatie heeft een volledig begrip van en documentatie, waaronder een algoritmeregister, over welke processen gebruik maken van (gedeeltelijke) geautomatiseerde individuele besluitvorming en/of profilering.
  • Er zijn formele procedures geïmplementeerd voor geautomatiseerde besluitvorming en/of profilering, inclusief het informeren van betrokkenen en het bieden van mogelijkheden voor betrokkenen om hun standpunt kenbaar te maken en besluiten aan te vechten.
  • Betrokkenen worden geïnformeerd over geautomatiseerde besluitvorming en/of profilering op een wijze die in overeenstemming is met de informatieplicht.
  • Er wordt een DPIA uitgevoerd voor elke nieuwe geautomatiseerde besluitvorming en/of profilering.
4 Beheerst

Aanvullend op niveau 3:

  • Geautomatiseerde besluiten en/of profilering, worden periodiek geëvalueerd. Periodiek worden gerelateerde DPIA’s geëvalueerd. Daar waar nodig worden de privacywaarborgen verbeterd.
  • De organisatie voert periodiek audits uit om te controleren of de processen van geautomatiseerde individuele besluitvorming en/of profilering voldoen aan de AVG–vereisten en andere wettelijke vereisten, zoals de AI Act.
  • De organisatie communiceert proactief informatie over deze vorm van besluitvorming aan betrokkenen.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • Er is een (interne) tool waarmee geautomatiseerde besluiten en/of profilering eenvoudig kunnen worden bijgehouden en geëvalueerd op juistheid.
  • De organisatie voorziet belanghebbenden van actuele informatie op basis waarvan automatische besluitvorming plaatsvindt.
  • De organisatie past continu DPIA’s toe op geautomatiseerde besluitvorming en/of profilering, waarbij de resultaten worden gebruikt om processen te verbeteren.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Geef in het verwerkingsregister aan bij welke processen de organisatie gebruik maakt van geautomatiseerde besluitvorming en profilering.
  • Stel een procedure op voor het toepassen van geautomatiseerde besluitvorming en profilering. Neem hierin op hoe betrokkenen worden geïnformeerd en op welke manier zij in contact kunnen komen over het besluit met een echt (contact)persoon van de school, hun standpunt kenbaar kunnen maken of besluiten aan kunnen vechten die geautomatiseerd zijn genomen.
  • Informeer betrokkenen vooraf bij het toepassen van geautomatiseerde besluitvorming en profilering. En leg uit op basis van welke criteria of achterliggende gedachte het besluit tot stand komt.
  • Voer een DPIA uit voor elke nieuwe verwerking waarbij geautomatiseerde besluitvorming of profilering wordt toegepast.

Hulpmiddelen

Gerelateerde wetten en normen

Norm RB.04 Geautomatiseerde besluitvorming en/of profilering is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).

AVG

Afdrukken

Op deze pagina