Norm RB.04 Geautomatiseerde besluitvorming en/of profilering
Waarom is dit nodig?
Mensen hebben volgens de AVG recht op een menselijke blik bij besluiten. Maak je als school gebruik van geautomatiseerde besluitvorming of profileringElke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.? Dan moet je dat doen volgens de regels van de AVG. Dat betekent onder andere dat je medewerkers en leerlingen goed informeert over het gebruik ervan en dat het mogelijk moet zijn om een nieuw besluit te nemen waarbij een mens de gegevens beoordeeld. Zo bescherm je medewerkers en leerlingen tegen onrechtmatige verwerking.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is niet of onvoldoende bekend of er geautomatiseerde individuele besluitvorming en/of profilering binnen de organisatie plaatsvindt.
- BetrokkenenDe personen van wie persoonsgegevens worden verwerkt. worden niet of nauwelijks geïnformeerd over geautomatiseerde individuele besluitvorming en/of profilering
2 Herhaalbaar
- Er is (enigszins) bekend dat de organisatie gebruik maakt van geautomatiseerde individuele besluitvorming en/of profilering, maar de organisatie heeft geen of beperkt begrip van de gebruikte algoritmes en/of er is geen of onvolledige documentatie hierover.
- DPIA’s worden niet consequent voor elke nieuwe of gewijzigde geautomatiseerde individuele besluitvorming en/of profilering uitgevoerd.
- Betrokkenen worden op ad-hocbasis geïnformeerd over deze vorm van besluitvorming.
- Er zijn informele procedures voor het omgaan met geautomatiseerde besluitvorming en/of profilering, waaronder de mogelijkheid voor betrokkenen om hun standpunt kenbaar te maken en besluiten aan te vechten.
3 Bepaald (streefniveau)
- De organisatie heeft een volledig begrip van en documentatie, waaronder een algoritmeregister, over welke processen gebruik maken van (gedeeltelijke) geautomatiseerde individuele besluitvorming en/of profilering.
- Er zijn formele procedures geïmplementeerd voor geautomatiseerde besluitvorming en/of profilering, inclusief het informeren van betrokkenen en het bieden van mogelijkheden voor betrokkenen om hun standpunt kenbaar te maken en besluiten aan te vechten.
- Betrokkenen worden geïnformeerd over geautomatiseerde besluitvorming en/of profilering op een wijze die in overeenstemming is met de informatieplichtHet aan betrokkenen bekend maken van wat je met hun persoonsgegevens je doet..
- Er wordt een DPIADPIA is Data Protection Impact Assessment. In het Nederlands heet het gegevensbeschermingseffectbeoordeling. Met een DPIA onderzoek je wat het effect op de privacy van de betrokkenen is bij het verwerken van persoonsgegevens. uitgevoerd voor elke nieuwe geautomatiseerde besluitvorming en/of profilering.
4 Beheerst
Aanvullend op niveau 3:
- Geautomatiseerde besluiten en/of profilering, worden periodiek geëvalueerd. Periodiek worden gerelateerde DPIA’s geëvalueerd. Daar waar nodig worden de privacywaarborgen verbeterd.
- De organisatie voert periodiek audits uit om te controleren of de processen van geautomatiseerde individuele besluitvorming en/of profilering voldoen aan de AVG–vereisten en andere wettelijke vereisten, zoals de AI Act.
- De organisatie communiceert proactief informatie over deze vorm van besluitvorming aan betrokkenen.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Er is een (interne) tool waarmee geautomatiseerde besluiten en/of profilering eenvoudig kunnen worden bijgehouden en geëvalueerd op juistheid.
- De organisatie voorziet belanghebbenden van actuele informatie op basis waarvan automatische besluitvorming plaatsvindt.
- De organisatie past continu DPIA’s toe op geautomatiseerde besluitvorming en/of profilering, waarbij de resultaten worden gebruikt om processen te verbeteren.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Geef in het verwerkingsregister aan bij welke processen de organisatie gebruik maakt van geautomatiseerde besluitvorming en profilering.
- Stel een procedure op voor het toepassen van geautomatiseerde besluitvorming en profilering. Neem hierin op hoe betrokkenen worden geïnformeerd en op welke manier zij in contact kunnen komen over het besluit met een echt (contact)persoon van de school, hun standpunt kenbaar kunnen maken of besluiten aan kunnen vechten die geautomatiseerd zijn genomen.
- Informeer betrokkenen vooraf bij het toepassen van geautomatiseerde besluitvorming en profilering. En leg uit op basis van welke criteria of achterliggende gedachte het besluit tot stand komt.
- Voer een DPIA uit voor elke nieuwe verwerking waarbij geautomatiseerde besluitvorming of profilering wordt toegepast.
Hulpmiddelen
Gerelateerde wetten en normen
Norm RB.04 Geautomatiseerde besluitvorming en/of profilering is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).