Verantwoord algoritmegebruik: de rol van de IAMA bij een DPIA

29 sep 2023

Eind juni heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (‘BZK’) een concept van het Implementatiekader ‘Verantwoorde inzet van algoritmen’ gepubliceerd, waarin een aantal maatregelen worden omschreven die overheidsinstellingen en bedrijven kunnen aanwenden om een correcte toepassing van AI-systemen te garanderen. In het rapport wordt onder andere aandacht besteed aan de Impact Assessment Mensenrechten Algoritmen  (‘IAMA’) en de wijze waarop dit instrument zich verhoudt tot een Data Protection Impact Assessment (‘DPIA’). Benieuwd naar de overige waarborgen die je kunt treffen om AI-systemen verantwoord te gebruiken? Je leest er meer over in de onderstaande blog.

IAMA in vogelvlucht:

  • Voor wie? Het uitvoeren van een IAMA is zowel voor overheidsorganisaties als bedrijven relevant, ook al geldt het concept Implementatiekader alleen voor de overheid.
  • Waarom? Een IAMA helpt bij het identificeren en aanpakken van potentiële risico’s in algoritmische besluitvorming, bevordert transparantie en verantwoording, versterkt het publieke vertrouwen en moedigt ethisch verantwoorde innovatie aan (zie voor een meer uitgebreide toelichting ook ‘Waarom een IAMA uitvoeren?’).
  • Wanneer? Onder andere bij de ontwikkeling van een AI-model, bij significante aanpassingen of bij klachten is het goed om een IAMA uit te voeren. Zie voor meer informatie ook: 'Wanneer moet een IAMA worden uitgevoerd?'.
  • Hoe? De ingevoerde gegevens worden geëvalueerd op bronnen, kwaliteit en mogelijke vooroordelen. Omtrent de doorvoer van gegevens worden onder andere het type algoritme en de mate van transparantie beoordeeld.

DPIA voor algoritmegebruik

Bij het gebruik van algoritmen worden vaak persoonsgegevens verwerkt, waardoor de beginselen van de AVG van toepassing zijn op de verwerking. Dit betekent ook dat het soms verplicht is om DPIA uit te voeren. Met een DPIA breng je voorafgaand het gebruik van het algoritme de privacyrisico’s van een gegevensverwerking in kaart, zodat je daarna maatregelen kan nemen om de risico’s te mitigeren.

DPIA of IAMA?

Een IAMA en een DPIA beoordelen in de kern allebei of een algoritme ethisch verantwoord is. Een DPIA richt zich specifiek op gegevensbescherming en de privacyaspecten van een algoritme, terwijl een IAMA zich op mensenrechten in bredere zin focust.

Indien je een DPIA wilt uitvoeren voor algoritmegebruik is het daarom aan te raden om een IAMA uit te voeren, zo adviseert de Autoriteit Persoonsgegevens (‘AP’). Binnen een IAMA worden immers ook andere relevante mensenrechten - naast bescherming van persoonsgegevens en privacy - meegenomen in de beoordeling.

De in opdracht van de Rijksoverheid ontwikkelde IAMA wordt door de AP aangeraden om te gebruiken bij de ontwikkeling en inzet van algoritmes door overheden en publieke organisaties.

Wanneer een DPIA uitvoeren?

Een DPIA dient te worden uitgevoerd wanneer er een hoog privacy risico voor betrokkenen bestaat. Om te beoordelen of dit het geval is, kun je kijken naar de criterialijst voor een DPIA; als minstens 2 van de 9 criteria op de lijst van toepassing zijn, is een DPIA verplicht. Dit geldt tevens voor pilots, testen en proefprojecten.

De 9 criteria zijn in het kort:

  1. Beoordelen van mensen op basis van persoonskenmerken;
  2. Geautomatiseerde besluiten;
  3. Stelselmatige en grootschalige monitoring;
  4. Gevoelige gegevens;
  5. Grootschalige gegevensverwerkingen;
  6. Gekoppelde databases;
  7. Gegevens over kwetsbare personen;
  8. Gebruik van nieuwe technologieën;
  9. Blokkering van een recht, dienst of contract.

Verantwoord algoritmegebruik in het algemeen

Omdat de specifieke risico’s die algoritmegebruik op de lange termijn met zich meebrengt nog onduidelijk zijn, is het belangrijk om de risico’s zoveel mogelijk te beperken. De focus dient in ieder geval te liggen op:

  • de kwaliteit van het AI-model, waarbij gekeken wordt naar de nauwkeurigheid en de robuustheid; en
  • de gebruikte data, waarbij gekeken wordt naar de representativiteit, de volledigheid en de juistheid van gegevens.

Daarnaast is het voldoen aan de verplichtingen uit de AVG uiteraard van belang, indien er persoonsgegevens worden verwerkt voor het algoritme. Denk aan de rechten van betrokkenen, zoals het recht op menselijke controle, maar ook aan transparantie en opslagbeperking.

Daarnaast zijn er ook documenten, bijvoorbeeld vanuit de overheid, die kunnen helpen bij het verantwoord gebruiken van algoritmen. Zie bijvoorbeeld: Handreiking non-discriminatie by design.

Conclusie

Met de recente publicatie van het Implementatiekader 'Verantwoorde inzet van algoritmen' groeit het belang van (het uitvoeren van) een IAMA. Zowel overheidsorganisaties als bedrijven kunnen profiteren van het uitvoeren van een IAMA, aangezien het helpt bij het identificeren van potentiële risico's, het bevorderen van transparantie en verantwoording, alsook het versterken van het publieke vertrouwen in ethisch algoritmegebruik.

Als het nodig is om een DPIA uit te voeren, adviseert de AP om een IAMA toe te passen. Zelfs wanneer een DPIA niet verplicht is, kan het nuttig zijn om een IAMA uit te voeren, omdat het ontbreken van hoge privacyrisico's niet uitsluit dat andere mensenrechten in het geding kunnen zijn. Het IAMA biedt een breder perspectief op mogelijke mensenrechtenkwesties, naast gegevensbescherming, en draagt bij aan verantwoord algoritmegebruik.

Vragen over of hulp nodig bij het uitvoeren van een DPIA of een IAMA? Neem gerust contact op met onze AI/privacy expert: Noa Rubingh.

Noa 1