Beleid inzake AI en privacy bij geautomatiseerde besluitvorming

Het beleid inzake AI en privacy bij geautomatiseerde besluitvorming definieert verplichte privacyvereisten voor activiteiten rond artificiële intelligentie, profilering, scoring, aanbevelingen, beslissingsondersteuning en geautomatiseerde besluitvorming waarbij persoonsgegevens (PII) betrokken zijn. Het toepassingsgebied omvat AI-ondersteunde systemen, toepassingen, modellen, diensten, workflows, beslissingssystemen, analysemodellen en processen voor geautomatiseerde besluitvorming die persoonsgegevens (PII) gebruiken, afleiden, genereren, verstrekken of anderszins verwerken binnen het PIMS-toepassingsgebied. Het omvat ook persoonsgegevens (PII) die worden gebruikt voor training, testen, validatie, afstemming, monitoring, productie-inferentie, beoordeling van output, prestatiemeting, incidentonderzoek en uitfasering van modellen. Het beleid is van toepassing in contexten van verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker, inclusief AI-gerelateerde leveranciers, verwerkers, subverwerkers, ontvangers van gegevensdeling en internationale doorgifteroutes. Het doel van het beleid is te waarborgen dat AI-, profilerings- en geautomatiseerde besluitvormingsactiviteiten waarbij persoonsgegevens (PII) betrokken zijn, worden geïdentificeerd, gedocumenteerd, op risico worden beoordeeld, transparant zijn, aanvechtbaar zijn, worden gemonitord en beheerst via het PIMS, zonder dubbele AI-specifieke governanceartefacten te creëren. Het stelt expliciet dat het geen volledig AI-governancekader, AI-managementsysteem, AI-inventaris, modelinventaris, modelrisicoregister, fairnessregister, algoritmeregister, AI-incidentregister, AI-comité, rol van modeleigenaar, rol van AI-systeemeigenaar, workflow voor juridisch advies of afzonderlijk AI-goedkeuringsformulier creëert. In plaats daarvan vereist het dat AI-gerelateerde privacyverplichtingen worden onderbouwd via bestaande canonieke bewijsobjecten: REG02, REG04, REG06, REG07, REG08, REG09, REG10 en REG12. Operationeel vereist het beleid dat proceseigenaren/bedrijfseigenaren bepalen of nieuwe of wezenlijk gewijzigde systemen, workflows of bedrijfsprocessen gebruikmaken van AI, profilering, scoring, aanbeveling, beslissingsondersteuning of geautomatiseerde besluitvorming waarbij persoonsgegevens (PII) betrokken zijn, en dat zij deze vaststelling in REG02 vastleggen. Voordat AI-gerelateerde verwerking van persoonsgegevens (PII) begint, vereist het beleid documentatie van het verwerkingsdoel, PII-categorieën, categorieën van betrokkenen, gegevensbronnen, afgeleide of afgeleide gegevenscategorieën, outputcategorieën, categorieën ontvangers, rechtsgrondslag en koppeling met bewaartermijnen. Voor profilering, scoring, aanbeveling, beslissingsondersteuning of geautomatiseerde besluitvorming die in productie wordt gebruikt, moeten de besluitcontext, het verwachte effect op betrokkenen, menselijke betrokkenheid en de route voor rechten worden gedocumenteerd in REG02 en REG04. Risicogovernance vormt een centraal onderdeel van het beleid. Vóór de lancering of wezenlijke wijziging van AI-gerelateerde verwerking van persoonsgegevens (PII) moet de Privacy Lead/PIMS-manager privacyrisicoscreening voltooien en de DPIA-beslissing vastleggen in REG04. Wanneer verwerking profilering, geautomatiseerde besluiten, grootschalige evaluatie, bijzondere categorieën gegevens, gegevens over strafbare feiten, kwetsbare betrokkenen, werknemersbeoordeling, kinderen, gedragsmonitoring, locatiegegevens, biometrische gegevens, scoring met hoge impact of significante gevolgen omvat, moet de Functionaris voor gegevensbescherming (FG)/privacyadviseur het privacyrisico beoordelen en advies vastleggen in REG04. Als na geplande behandeling een hoog resterend privacyrisico blijft bestaan, moet het topmanagement vóór productiegebruik goedkeuren, afwijzen of verdere behandeling vereisen, waarbij de beslissing in REG04 en REG12 wordt vastgelegd. Het beleid stelt ook beheersmaatregelen vast voor transparantie, nuttige informatie, minimalisatie, behandeling van rechten, monitoring, leveranciers en handhaving. De inhoud van privacyverklaringen moet het AI-gerelateerde doel, gegevenscategorieën, outputcategorieën, categorieën ontvangers, route voor rechten en contactroute beschrijven, waarbij versies van privacyverklaringen in REG07 worden vastgelegd. Menselijke tussenkomst, bezwaar en routes voor aanvechtbaarheid zijn vereist voor AI-gerelateerde besluiten met juridische, toelatings-, toegangs-, arbeids-, financiële, onderwijs-, dienstverlenings-, veiligheids- of vergelijkbaar significante gevolgen. Leveranciers en verwerkers moeten via REG08 worden beheerst, waarbij internationale doorgiften via REG09 worden gerouteerd. Monitoringcriteria moeten betrekking hebben op wijzigingen in input, wijzigingen in output, kwesties rond rechten, ongunstige privacy-uitkomsten, ongeautoriseerd gebruik en klachtentrends, met kwartaalbeoordeling voor actieve AI-gerelateerde verwerking van persoonsgegevens (PII) met hoge impact en met vastlegging van non-conformiteiten of corrigerende maatregelen in REG12.